誰需要通過 PCI DSS 的審查呢 ? Part 2

2018/08/28

務供應商 (Service Provider) 的定義,為「提供對持卡人資料有衝擊或可掌握相關作業的服務之公司」,如代收付業者、整合各通路的購物平台等;或者如雲端服務商、IDC 機房服務商等,雖然不直接提供交易相關服務,但對持卡人資料會有一定程度的衝擊,故也會含括在此定義內。

而服務供應商不同於特約商店,僅只有兩個等級的區分 (以 VISA 為例),分類及其合規的要求說明如下:

Level 1 等級一
每年度的總交易數在 30 萬筆以上。
年度透過 QSA 進行 On-site 的審查,提交 Report on Compliance (ROC) 報告。
提交 Attestation of Compliance (AOC) 文件。
每季透過 Approved Scan Vendor (ASV) 執行弱點掃描。

Level 2 等級二
每年度總交易數不足 30 萬筆。
年度提交自我審查評估表 Self-Assessment Questionnaire (SAQ)。
提交 Attestation of Compliance (AOC) 文件。
每季透過 Approved Scan Vendor (ASV) 執行弱點掃描。

安律 PCI DSS 是金融支付安全產業最佳的顧問諮詢及審查服務公司
以下為參考 VISA 網址:

https://usa.visa.com/support/small-business/security-compliance.html
https://usa.visa.com/partner-with-us/pci-dss-compliance-information.html