商户须知安全交易知识

了解如何安全地存储、处理和传输支付数据

所有储存、处理或传输持卡人数据的商户都必须遵守 PCI 规定。所有 1 级、2 级和 3 级商户都必须直接向其收单行报告其合规状态。

决定商户级别时常会遇到问题。万事达卡建议商户与其收单行联系,在收单行的协助下完成以下步骤:

  • 根据最近 52 周内的万事达卡交易量来决定商户级别
  • 确认必要的 PCI 验证要求
  • 视情况与一家认证供应商接洽,并遵守验证程序

一旦商户经验证合规,该商户必须向收单行提交验证要求,由收单行向万事达卡报告商户的合规状态。

类 别 标准 要求 合规日期
1 级
  • 曾遭受过黑客入侵或网络攻击以致账户数据被盗的商户
  • 年万事达卡和万事顺卡交易总量超过六百万笔的商户
  • 达到 Visa 卡 1 级标准的商户
  • 万事达卡认定需要满足 1 级商户要求以降低系统风险的商户
  • 年度现场评估1
  • 由 ASV(PCI 授权扫描服务商)实施的季度网络扫描2

2012 年 6 月 30 日3
2 级
  • 年万事达卡和万事顺卡交易总量超过一百万笔但少于或等于六百万笔的商户
  • 达到 Visa 卡 2 级标准的商户
  • 年度自我评估4
  • 由商户自主选择的现场评估4
  • 由 PCI 授权扫描服务商(ASV)实施的季度网络扫描2

2012 年 6 月 30 日4
3 级
  • 年万事达卡和万事顺卡交易总量超过 2 万笔但少于或等于一百万笔的商户
  • 达到 Visa 卡 3 级标准的商户
  • 年度自我评估
  • 由 PCI 授权扫描服务商(ASV)实施的季度网络扫描2

2005 年 6 月 30 日
4 级
  • 所有其他商户5
  • 年度自我评估
  • 由 PCI 授权扫描服务商(ASV)实施的季度网络扫描2

咨询收单机构

 

  1. 2012 年 6 月 30 日生效:凡是选择利用内部审计员实施年度现场评估的 1 级商户,必须确保其参与验证 PCI DSS 合规性的核心内部审计员每年都接受 PCI SSC ISA 培训,内部审计员唯有通过相关认证程序,才能继续进行合规评估。
  2. 季度网络扫描必须由 PCI SSC 授权的扫描服务商(ASV)实施。
  3. 1级商户的初始合规日期为 2005 年 6 月,现已过期。2012年6月30日的期限仅针对PCI SSC ISA培训和认证,适用于那些选择采用内部审计师实施年度现场评估的商户。
  4. 2012 年 6 月 30 日生效:凡是选择完成年度自我评估问卷的2级商户,必须确保其参与自我评估的员工每年都接受 PCI SSC ISA 培训,这些员工唯有通过相关认证程序,才能继续通过自我评估进行合规验证。2 级商户也可选择由获得 PCI SSC 认证的合格安全评估商(QSA)实施年度现场评估,而无需完成年度自我评估问卷。
  5. 4级商户需要遵循 PCI DSS 的规定。4 级商户应咨询其收单机构,以确定是否需要合规验证。

了解如何成为PCI合规者

了解我们最新的教育课程

了解针对商户的验证要求

现场评估或自我评估 

这是一项详细的评估,由持有PCI SSC认证的合格安全评估商(QSA)或经认证的内部安全评估员(ISA)实施。该评估将帮助收单机构验证受评机构是否按照支付卡行业数据安全标准(PCI DSS)处理卡片数据。

适用范围:1级和2级商户

自我评估问卷(SAQ)

这是一项主要由特定商户和服务提供商使用的验证工具,这些商户和服务提供商无需接受现场评估,只需按照PCI DSS对其合规性进行自我评估。

适用范围:2级、3级和4级商户

外部漏洞扫描

PCI SSC授权扫描服务商(ASV)会对所有连接互联网的系统组件进行漏洞扫描,这些组件是持卡人数据环境中的一部分或是通向该数据环境的路径。

适用范围:所有商户(如果适用)