Есть много сайтов, на которых перечислены уровни соответствия мерчанту PCI. В основном они делают прямые заявления вроде «PCI требует, чтобы продавцы с объемами транзакций более 6 миллионов в год были на уровне 1». Это хороший и простой подход. К сожалению, это также неверно по нескольким причинам.
При прямом подсчете транзакций этот мерчант будет иметь уровень 1 для JCB и уровень 2 для American Express и Visa. Еще больше усложняет ситуацию то, что у Visa есть дополнительное правило, которое требует, чтобы вы были Уровнем 1 для Visa, если какой-либо другой бренд карты признал вас Уровнем 1. Таким образом, в этом случае вы в конечном итоге окажетесь на Уровне 1 для JCB и Visa и будете подвержены риску американского Выразите определение вашего Уровня 1 по тем же причинам.
Итак, что означают уровни? По сути, они определяют, разрешено ли вам оценивать соответствие требованиям PCI с помощью анкеты самооценки (SAQ) или вы должны провести оценку на месте и заполнить полный отчет о соответствии (ROC). Уровни также определяют, каковы ваши ежегодные требования к отчетности PCI для бренда (ов) карт.
Теперь, когда мы рассмотрели это на высоком уровне, пришло время погрузиться в требования к оценке и отчетности по брендам карт.
Уровни соответствия по бренду карты
Для мерчантов уровня 1 Discover, Mastercard и Visa в основном соответствуют требованиям. Вот почему большинство людей, обсуждающих уровни мерчанта, обычно используют эти определения. Всегда помните, что American Express и JCB существенно отличаются друг от друга, и для некоторых мерчантов эта разница может иметь существенное значение для того, как они проводят оценку PCI.
На более низких уровнях торговли различные марки карт различаются сильнее. Только Mastercard и Visa имеют даже уровень мерчанта 4 уровня, а самый низкий уровень, признанный JCB, - это уровень 2.
В некоторой степени эти пороговые значения определяются относительным количеством держателей карт для каждой программы. Например, с картами JCB меньше людей, чем с Visa. Если бы JCB установила для своего мерчанта пороговое значение 1 уровня равным 6 миллионам, как в случае с Visa, таким образом можно было бы отнести к категории значительно меньшее их число. Поскольку мы предполагаем, что определения категорий обусловлены риском компрометации для бизнеса бренда карты, разумно, чтобы меньшее общее количество транзакций представляло аналогичный процент от общего объема транзакций JCB и, следовательно, дохода.
Даже если конкретный бренд карты не требует, чтобы вы были Уровнем 1 при ваших текущих объемах, если другой бренд действительно считает вас Уровнем 1, вы также можете быть Уровнем 1 для всех. Чтобы достичь уровня 1, вы должны ежегодно проходить аттестацию на месте и проходить ROC, хотя некоторые бренды позволяют вам пройти это самостоятельно без QSA. Выполнив такой объем работы, вы также можете повторно использовать тот же пакет отчетов, который вы создали, для сообщения другим брендам.
Обратите внимание, что на более низких уровнях Mastercard и Visa проводят различие между транзакциями электронной торговли и всеми другими транзакциями. Это различие становится важным, если учесть, на какой именно опросный лист вы имеете право.
Требования к оценке и отчетности по бренду карты
Приведенная выше таблица позволяет сопоставить объем транзакций по брендам карт с вашим текущим уровнем мерчанта. Теперь, когда вы знаете свой уровень, как это сделать?
Технически все мерчанты, принимающие любой из брендов, должны соответствовать полному стандарту PCI DSS, применимому к их бизнесу (возможно, что-то в стандарте недоступно для конкретного мерчанта). Но уровень проверки этого соответствия зависит от объема вашей транзакции. Опять же, используя подход, основанный на оценке риска, разумно, чтобы мерчанты, занимающиеся большим объемом продаж, подвергались более тщательной проверке.
Вместо того, чтобы обрабатывать на индивидуальной основе, бренды карт решили управлять требованиями к оценке и отчетности на уровне вашего мерчанта. В следующей таблице показаны обязательства для каждого бренда карты в зависимости от вашего текущего уровня мерчанта.
Стоит отметить, что эти требования, как и другие аспекты PCI, на самом деле немного менее строги для мерчантов, чем для поставщиков услуг того же уровня. Мерчанты уровня 1 нуждаются в оценке на месте, результатом которой является ROC, но в большинстве случаев разрешается использовать для этого внутренний персонал. В то время как для поставщиков услуг уровень 1 в основном требует, чтобы оценку проводил внешний QSA.
Это еще один пример подхода, основанного на оценке риска: поскольку они обычно предоставляют услуги нескольким мерчантам, компрометация поставщика услуг представляет большую общую уязвимость для безопасности платежей. О поставщиках услуг мы поговорим в отдельной статье.
Вот требования к оценке мерчанта и отчетности.
Сайты брендов карт
Какой у вас уровень мерчанта - это сложная тема, возможно, даже больше, если вы явно не мерчант 1-го уровня. Если вы находитесь Level 1, то самый straightfoward путь к контракту с QSAC и есть их сотрудники QSA сделать оценку на месте. Если вы не находитесь на Уровне 1, но по-прежнему имеете значительные объемы транзакций, вам необходимо тщательно выбрать правильный опросный лист для каждого бренда. Вам также необходимо убедиться, что у вас есть соответствующий человек, выполняющий это. Некоторые бренды карт требуют, чтобы сотрудники службы внутреннего аудита имели квалификацию специалиста по внутренней безопасности (ISA) для заполнения анкеты самооценки у мерчантов более высокого уровня, тогда как другие этого не делают.
Используйте приведенные выше таблицы в качестве отправной точки для выполнения ваших обязательств по соблюдению нормативных требований и отчетности. Но помимо этого вам необходимо ознакомиться с программами информационной безопасности, которые действуют и предписываются брендами карт, которые вы принимаете.
Следующие сайты поддерживаются различными брендами карт и описывают требования их соответствующих программ информационной безопасности.
- PCI DSS не требует категоризации мерчантов по уровню. Уровни устанавливаются программами защиты информации различных производителей карт, а не Советом PCI. Это те же программы, которые в конечном итоге требуют, чтобы мерчанты в первую очередь соблюдали PCI DSS; и
- Правила сопоставления объемов транзакций с уровнями не так просты, поскольку у каждого бренда карты есть свои правила. Даже при одинаковом объеме транзакции вы можете быть на одном уровне для American Express, на другом для JCB и на третьем для Visa.
При прямом подсчете транзакций этот мерчант будет иметь уровень 1 для JCB и уровень 2 для American Express и Visa. Еще больше усложняет ситуацию то, что у Visa есть дополнительное правило, которое требует, чтобы вы были Уровнем 1 для Visa, если какой-либо другой бренд карты признал вас Уровнем 1. Таким образом, в этом случае вы в конечном итоге окажетесь на Уровне 1 для JCB и Visa и будете подвержены риску американского Выразите определение вашего Уровня 1 по тем же причинам.
Итак, что означают уровни? По сути, они определяют, разрешено ли вам оценивать соответствие требованиям PCI с помощью анкеты самооценки (SAQ) или вы должны провести оценку на месте и заполнить полный отчет о соответствии (ROC). Уровни также определяют, каковы ваши ежегодные требования к отчетности PCI для бренда (ов) карт.
Теперь, когда мы рассмотрели это на высоком уровне, пришло время погрузиться в требования к оценке и отчетности по брендам карт.
Уровни соответствия по бренду карты
Для мерчантов уровня 1 Discover, Mastercard и Visa в основном соответствуют требованиям. Вот почему большинство людей, обсуждающих уровни мерчанта, обычно используют эти определения. Всегда помните, что American Express и JCB существенно отличаются друг от друга, и для некоторых мерчантов эта разница может иметь существенное значение для того, как они проводят оценку PCI.
На более низких уровнях торговли различные марки карт различаются сильнее. Только Mastercard и Visa имеют даже уровень мерчанта 4 уровня, а самый низкий уровень, признанный JCB, - это уровень 2.
В некоторой степени эти пороговые значения определяются относительным количеством держателей карт для каждой программы. Например, с картами JCB меньше людей, чем с Visa. Если бы JCB установила для своего мерчанта пороговое значение 1 уровня равным 6 миллионам, как в случае с Visa, таким образом можно было бы отнести к категории значительно меньшее их число. Поскольку мы предполагаем, что определения категорий обусловлены риском компрометации для бизнеса бренда карты, разумно, чтобы меньшее общее количество транзакций представляло аналогичный процент от общего объема транзакций JCB и, следовательно, дохода.
Даже если конкретный бренд карты не требует, чтобы вы были Уровнем 1 при ваших текущих объемах, если другой бренд действительно считает вас Уровнем 1, вы также можете быть Уровнем 1 для всех. Чтобы достичь уровня 1, вы должны ежегодно проходить аттестацию на месте и проходить ROC, хотя некоторые бренды позволяют вам пройти это самостоятельно без QSA. Выполнив такой объем работы, вы также можете повторно использовать тот же пакет отчетов, который вы создали, для сообщения другим брендам.
| Уровень | American Express | Обнаружить | JCB | Mastercard | Visa |
|---|---|---|---|---|---|
| 1 | Мерчанты, обрабатывающие более 2,5 миллионов транзакций по картам American Express в год, или любой продавец, который American Express считает уровнем 1. | Мерчанты, обрабатывающие более 6 миллионов транзакций по картам ежегодно в сети Discover. Любой торговец, который Discover считает себя торговцем 1-го уровня. Все торговцы, которых другой платежный бренд или эквайер требует, чтобы они подтвердили свое соответствие в качестве торговца 1-го уровня и сообщили о нем. | Мерчанты, обрабатывающие более 1 миллиона транзакций JCB ежегодно, или скомпрометированные продавцы. | Мерчанты, обрабатывающие более 6 миллионов транзакций Mastercard ежегодно, идентифицированные Visa как Уровень 1, или продавцы, которые испытали компрометацию данных учетной записи. | Мерчанты, обрабатывающие более 6 миллионов транзакций Visa ежегодно, идентифицированные другим брендом платежных карт как Уровень 1, или мерчанты, которые испытали компрометацию данных учетной записи. |
| 2 | Мерчанты, обрабатывающие от 50 000 до 2,5 миллионов транзакций American Express ежегодно, или любой продавец, которого American Express считает Уровнем 2. | Все мерчанты ежегодно обрабатывают от 1 до 6 миллионов транзакций по картам в сети Discover. | Мерчанты обрабатывают менее 1 миллиона транзакций JCB ежегодно. | Мерчанты, обрабатывающие от 1 до 6 миллионов транзакций Mastercard ежегодно, или продавцы, соответствующие критериям уровня 2 Visa. | Мерчанты, обрабатывающие от 1 до 6 миллионов транзакций Visa ежегодно. |
| 3 | Мерчанты, обрабатывающие менее 50 000 транзакций American Express ежегодно. | Все остальные мерчанты. | N / A | Мерчанты, обрабатывающие от 20 000 до 1 миллиона транзакций электронной коммерции Mastercard ежегодно, или продавцы, соответствующие критериям уровня 3 Visa. | Мерчанты, обрабатывающие от 20 000 до 1 миллиона транзакций электронной коммерции Visa ежегодно. |
| 4 | N / A | N / A | N / A | Все остальные мерчанты Mastercard. | Мерчанты, обрабатывающие менее 20 000 транзакций электронной коммерции Visa в год, и все другие мерчанты, обрабатывающие до 1 миллиона транзакций Visa в год. |
Требования к оценке и отчетности по бренду карты
Приведенная выше таблица позволяет сопоставить объем транзакций по брендам карт с вашим текущим уровнем мерчанта. Теперь, когда вы знаете свой уровень, как это сделать?
Технически все мерчанты, принимающие любой из брендов, должны соответствовать полному стандарту PCI DSS, применимому к их бизнесу (возможно, что-то в стандарте недоступно для конкретного мерчанта). Но уровень проверки этого соответствия зависит от объема вашей транзакции. Опять же, используя подход, основанный на оценке риска, разумно, чтобы мерчанты, занимающиеся большим объемом продаж, подвергались более тщательной проверке.
Вместо того, чтобы обрабатывать на индивидуальной основе, бренды карт решили управлять требованиями к оценке и отчетности на уровне вашего мерчанта. В следующей таблице показаны обязательства для каждого бренда карты в зависимости от вашего текущего уровня мерчанта.
Стоит отметить, что эти требования, как и другие аспекты PCI, на самом деле немного менее строги для мерчантов, чем для поставщиков услуг того же уровня. Мерчанты уровня 1 нуждаются в оценке на месте, результатом которой является ROC, но в большинстве случаев разрешается использовать для этого внутренний персонал. В то время как для поставщиков услуг уровень 1 в основном требует, чтобы оценку проводил внешний QSA.
Это еще один пример подхода, основанного на оценке риска: поскольку они обычно предоставляют услуги нескольким мерчантам, компрометация поставщика услуг представляет большую общую уязвимость для безопасности платежей. О поставщиках услуг мы поговорим в отдельной статье.
Вот требования к оценке мерчанта и отчетности.
| Уровень | American Express | Обнаружить | JCB | Mastercard | Visa |
|---|---|---|---|---|---|
| 1 | Ежегодная оценка безопасности на месте, проводимая QSA или внутренним аудитором с результатами, сертифицированными генеральным директором, финансовым директором, CISO или директором. Проведение ежеквартального сканирования сети с помощью ASV и представление AOSC или резюме. | Ежегодная оценка безопасности на месте, проводимая QSA или внутренним аудитором, имеющим квалификацию ISA. Проведение ежеквартального сканирования сети с помощью ASV, предоставление результатов сканирования не требуется. | Ежегодная оценка безопасности на месте, проводимая QSA. Проведение ежеквартального сканирования сети с помощью ASV. | Ежегодная оценка безопасности на месте, проводимая QSA или внутренним аудитором, имеющим квалификацию ISA. Ежеквартальное сканирование сети, проводимое ASV. | Подайте ROC QSA или Внутренним аудитором, если он подписан должностным лицом компании. Отправка формы AOC. Проведение ежеквартального сканирования с помощью ASV. |
| 2 | Заполните годовой опросный лист опроса и получите его заверение генеральным директором, финансовым директором, CISO или директором. Проведите ежеквартальное сканирование сети с помощью ASV и отправьте AOSC или резюме. | Ежегодная самооценка, проводимая внутренним аудитором Проведение ежеквартального сканирования сети с помощью ASV, предоставление результатов сканирования не требуется | Ежегодная самооценка Проведение ежеквартального сканирования сети с помощью ASV | Ежегодная самооценка, проводимая внутренним аудитором, имеющим квалификацию ISA, или оценка на месте, проводимая QSA. Ежеквартальное сканирование сети, проводимое ASV. | Заполните опросный лист. Отправьте форму AOC. Проведите ежеквартальное сканирование сети с помощью ASV. |
| 3 | Рекомендуется заполнять годовой опросный лист опроса и иметь его сертифицированный генеральным директором, финансовым директором, CISO или руководителем. Рекомендуется проводить ежеквартальное сканирование сети с помощью ASV и подавать AOSC или резюме. | Ежегодная самооценка, проводимая внутренним аудитором Проведение ежеквартального сканирования сети с помощью ASV, предоставление результатов сканирования не требуется | N / A | Ежегодная самооценка, проводимая внутренним аудитором, имеющим квалификацию ISA, или оценка на месте, проводимая QSA. Ежеквартальное сканирование сети, проводимое ASV. | Заполните опросный лист. Отправьте форму AOC. Проведите ежеквартальное сканирование сети с помощью ASV. |
| 4 | N / A | N / A | N / A | Требуется соответствие PCI DSS Покупатель определит, требуется ли проверка соответствия. При необходимости: - Ежегодная самооценка, проводимая внутренним аудитором, имеющим квалификацию ISA, или оценка на месте, проводимая QSA - Ежеквартальное сканирование сети, проводимое ASV | Заполните опросный лист. Отправьте форму AOC. Проведите ежеквартальное сканирование сети с помощью ASV. |
Сайты брендов карт
Какой у вас уровень мерчанта - это сложная тема, возможно, даже больше, если вы явно не мерчант 1-го уровня. Если вы находитесь Level 1, то самый straightfoward путь к контракту с QSAC и есть их сотрудники QSA сделать оценку на месте. Если вы не находитесь на Уровне 1, но по-прежнему имеете значительные объемы транзакций, вам необходимо тщательно выбрать правильный опросный лист для каждого бренда. Вам также необходимо убедиться, что у вас есть соответствующий человек, выполняющий это. Некоторые бренды карт требуют, чтобы сотрудники службы внутреннего аудита имели квалификацию специалиста по внутренней безопасности (ISA) для заполнения анкеты самооценки у мерчантов более высокого уровня, тогда как другие этого не делают.
Используйте приведенные выше таблицы в качестве отправной точки для выполнения ваших обязательств по соблюдению нормативных требований и отчетности. Но помимо этого вам необходимо ознакомиться с программами информационной безопасности, которые действуют и предписываются брендами карт, которые вы принимаете.
Следующие сайты поддерживаются различными брендами карт и описывают требования их соответствующих программ информационной безопасности.
| Бренд карты | Сайт |
|---|---|
| American Express |
American Express - Page Not FoundThe page you are looking for cannot be found. Use this page to navigate to the part of the site you are looking for.
merchant-channel.americanexpress.com
|
| Discover |
Together, we can help you grow your business in new ways. Connect with us. | Discover Global NetworkReach, capabilities and partnership - all in one global network.
|
| JCB |
JCB Data Security Program | JCB Global Website
www.global.jcb
|
| Mastercard |
Small & Medium Business Solutions | Mastercard Payment SolutionsGrow your small & medium businesses with Mastercard's payment solutions. Manage everything from purchasing to getting paid with our innovative business solutions.
www.mastercard.us
|
| Visa |
PCI Compliance | Keeping Customer Data SafeFrom fraud prevention tips to innovative security technologies, we provide powerful resources to help keep your business safe and secure. Learn more.
|
