商戶須知安全交易知識

了解如何安全地存儲、處理和傳輸支付資料

所有儲存、處理或傳輸持卡人資料的商戶都必須遵守PCI規定。所有1級、2級和3級商戶都必須直接向其收單行報告其合規狀態。

決定商戶級別時常會遇到問題。萬事達卡建議商戶與其收單行聯繫,在收單行的協助下完成以下步驟:

  • 根據最近52周內的萬事達卡交易量來決定商戶級別

  • 確認必要的PCI驗證要求

  • 視情況,與符合認證的協力廠商接洽,並遵守驗證程序

一旦商戶經驗證合規,該商戶必須向收單行提交驗證要求,由收單行向萬事達卡報告商戶的合規狀態。

級別 評判標準 要求 合規日期
1級
  • 曾遭受過駭客入侵或網路攻擊以致帳戶資料被盜的商戶
  • Mastercard萬事達卡和Maestro萬事順卡年交易總量超過六百萬筆的商戶
  • 達到Visa卡1級標準的商戶
  • 萬事達卡認定需要滿足1級商戶要求以降低系統風險的商戶
  • 年度現場評估1
  • 由ASV(PCI授權掃描服務商)實施的季度網路掃描2

2012年6月30日3

2級
  • Mastercard萬事達卡和Maestro萬事順卡年交易總量超過一百萬筆但少於或等於六百萬筆的商戶
  • 達到Visa卡2級標準的商戶
  • 年度自我評估4
  • 由商戶自主選擇的現場評估4
  • 由PCI授權掃描服務商(ASV)實施的季度網路掃描2

2012年6月30日4

3級
  • Mastercard萬事達卡和Maestro萬事順卡年交易總量超過二萬筆但少於或等於一百萬筆的商戶
  • 達到Visa卡3級標準的商戶
  • 年度自我評估
  • 由PCI授權掃描服務商(ASV)實施的季度網路掃描2

30/6/2005

4級
  • 所有其他商戶5
  • 年度自我評估
  • 由PCI授權掃描服務商(ASV)實施的季度網路掃描2

諮詢收單機構

 

查詢最新資訊,請登入pcisecuritystandards.org

  1. 2012年6月30日生效:凡是選擇利用內部稽核員實施年度現場評估的1級商戶,必須確保核心內部稽核員參與驗證PCI DSS的合規性並且每年接受PCI SSC ISA培訓,內部稽核員唯有每年通過相關認證程式,才能繼續進行合規評估。
  2. 季度網絡掃描必須由PCI SSC授權核准的掃描服務商(ASV)實施。
  3. 1級商戶的初始合規日期為2005年6月,現已過期。2012年6月30日的期限僅針對PCI SSC ISA培訓和認證,適用於那些選擇採用內部稽核員實施年度現場評估的商戶。
  4. 2012年6月30日生效:凡是選擇完成年度自我評估問卷的2級商戶,必須確保參與自我評估的員工每年都接受PCI SSC ISA培訓,並通過相關認證計劃,才能繼續選擇自我評估進行合規驗證。2級商戶也可選擇由獲得PCI SSC認證的合格安全評估商(QSA)實施年度現場評估,而非自己完成年度自我評估問卷。
  5.  4級商戶需要遵循PCI DSS的規定。4級商戶應諮詢其收單機構,以確定是否需要合規驗證。

了解如何成為PCI合規者

了解我們最新的教育課程

了解針對商戶的驗證要求

現場評估或自我評估

這是一項詳細的評估,由持有PCI SSC認證的合格安全評估商(QSA)或經認證的內部安全評估員(ISA)實施。該評估將幫助收單機構驗證受評機構是否按照支付卡行業資料安全標準(PCI DSS)處理卡片資料。

適用範圍:1級和2級商戶

自我評估問卷(SAQ)

這是提供給特定商戶和服務提供者使用的重要驗證工具,這些商戶和服務提供者無需接受現場評估,只需按照PCI DSS對其合規性進行自我評估。

適用範圍:2級、3級和4級商戶

外部漏洞掃描

PCI SSC核准授權的掃描服務商(ASV)會對所有連接互聯網的系統元件進行漏洞掃描——這些系統元件是持卡人資料環境中的一部分,或是提供路徑通向持卡人的資料環境。

適用範圍:所有商戶(如果適用)