第三方處理商(TPP)和資料存儲實體(DSE)須知

進一步了解您在 PCI 合規中的職責

如何確定服務供應商級別和驗證要求

所有第三方處理商(Third-Party Processors, TPP)均為 1 級服務供應商。資料存儲實體(Data Storage Entities, DSE)則根據年度萬事達卡交易量分為 1 級或 2 級服務供應商。

萬事達卡要求所有服務供應商均成為 PCI 合規者

  • 根據級別來審查服務供應商的驗證要求,並在必要時與授權掃描服務商(Approved Scanning Vendor, ASV)或合格安全評估商(Qualified Security Assessor, QSA)合作。

  • 一經合規,需簽署並提交合規證明(Attestation of Compliance, AOC);已具備 SAQ 申請資格的服務供應商,需向萬事達卡提交 SAQ D AOC)和最新版清淨的掃描件。 Mastercard.

  • 尚未合規者,應先完成 PCI 服務供應商行動計畫,並提交萬事達卡。

請注意:萬事達卡僅列出已在萬事達卡註冊計劃(Mastercard Registration Program, MRP)中註冊並獲准成為會員服務供應商(Member Service Provider, MSP)的機構,以及成功完成年度現場評估的服務供應商。

網站資料保護服務供應商級別

級別 判別標準 要求
1級
  • 所有第三方處理商 (TPP)
  • Mastercard萬事達卡和 Maestro萬事順卡年交易總量超過 30 萬筆的資料存儲實體 (DSE)
  • 由安全評估商 QSA1 實施年度現場評估 
  • 由PCI授權掃描服務商 ASV2 實施季度網路掃描
2級
  • Mastercard 萬事達卡和 Maestro 萬事順卡年交易總量小於或等於30萬筆的所有資料存儲實體(DSE)
  • 年度自我評估
  • 由PCI授權掃描服務商 ASV2 實施季度網路掃描
  1. 所有 1 級服務供應商必須完成由持有 PCI SSC 認證的 QSA 實施的年度現場評估。
  2. 季度網絡掃描須由 PCI 授權掃描服務商 PCI SSC ASV 實施。

如何註冊成為服務供應商

萬事達卡要求所有主要銀行或金融機構代表其自身及附屬機構通過 MRP 資料庫提交服務供應商註冊(如果該機構僅對自身或其附屬機構提供服務,則無需提交)。如果服務供應商與一家或多家銀行有直接關係,應與每家銀行聯繫,代表服務供應商提交註冊。

要求獲取業務管理工具 (Business Administration Tool)

  1. 聯繫 customer_support@mastercard.com
  2. 要求獲取業務管理 (BA) 工具的許可
  3. 客服支援人員將透過我們的安全網站 Mastercard Connect™ 授予登入許可權,為您提供 BA 工具。

註冊流程

  1. 登入 Mastercard Connect 頁面,選擇「Business Administration Tool」(業務管理工具)。
  2. 前往「Business Administration / Register & Provision a Company」(業務管理 / 註冊並提高一家公司)。
  3. 請求「Provision a Company」(提供一家公司)。  
  4. 點擊至「Provision & Manage Your Service Provider」(提供並管理您的服務供應商)。
  5. 如果尚未註冊,請點擊「Create new registration」(新用戶註冊)。
  6. 添加服務供應商名稱和地址。
  7. 點擊「Next」(下一步)並填寫聯繫資訊。  
  8. 輸入主要(銀行)和基本(服務供應商)聯繫資訊。
  9. 在「Services」服務和「Store」商店詳情部分選擇「Program Services」專案服務(選擇服務供應商對客戶提供的服務)。 
  10. 在提交過程中的任何時刻都不要點擊「save as draft」(儲存草稿)。
  11. 選擇「Data」並選取與註冊相對應的 ICA 號碼和計劃專案(針對每項所選服務均須執行這一步驟)。
  12. 點擊「Next」(下一步)。
  13. 在 Customer Certification(客戶認證)部分點擊「Accept」(接受)。
  14. 註冊提交流程即告完成,您將得到一個 SPR 註冊號。
  15. 註冊將顯示「Pending-Approval」(待批准)狀態。  

注意:客戶銀行必須先提供 SPR 號,註冊才能得到審批。一旦完成提交註冊,如果所需資訊均已完整提供,我們將盡速審核。審核時間大約需要 5 至 7 個工作日。 

請注意,註冊流程與 PCI 合規檔案的提交是分開的,必須由會員銀行先完成註冊流程,其服務供應商註冊才能得到批准。所有 PCI 合規檔案必須提交給萬事達卡。 Mastercard

要成為合規服務供應商,服務供應商需要完成註冊並獲得認證成為會員服務供應商(MSP),且必須成功完成由持有 PCI SSC 認證的合格安全評估商(QSA)實施的年度現場評估。

若有任何疑問,請聯繫萬事達卡服務供應商團隊: member_service_provider@mastercard.com.