第三方处理商和数据存储实体须知

进一步了解您在 PCI 合规中的职责

如何确定服务提供商级别和验证要求

所有第三方处理商(TPP)均为 1 级服务提供商。数据存储实体(DSE)根据年度万事达卡交易量归为 1 级或 2 级服务提供商。

万事达卡要求所有服务提供商均成为 PCI 合规者

  • 根据级别来审查服务提供商的验证要求,并在必要时与授权扫描服务商(ASV)或合格安全评估商(QSA)合作。
  • 一经合规,机构需签署并提交合规证明(AOC);已具备 SAQ 申请资格的服务提供商,需向万事达卡提交 SAQ D AOC和最新版的清晰扫描件。
  • 尚未合规的机构应首先完成 PCI 服务提供商行动计划,并将结果提交给万事达卡

请注意:万事达卡仅列出已在万事达卡注册程序(MRP)中注册并获准成为会员服务提供商(MSP)的机构,以及成功完成年度现场评估的服务提供商。

网站数据保护服务提供商级别

类别 标准 要求
1 级
  • 所有第三方处理商(TPP)
  • 年处理万事达卡和万事顺卡交易量超过 30 万笔的数据存储实体(DSE)
  • 由 QSA 实施的年度现场评估1
  • 由 PCI 授权扫描服务商(ASV)实施的季度网络扫描2
2 级
  • 年处理万事达卡和万事顺卡交易量小于或等于 30 万笔的所有数据存储实体(DSE)
  • 年度自我评估
  • 由 PCI 授权扫描服务商(ASV)实施的季度网络扫描2

 

  1. 所有 1 级服务提供商必须完成由持有 PCI SSC 认证的 QSA 实施的年度现场评估。
  2. 季度网络扫描须由 PCI 授权扫描服务商 PCI SSC ASV 实施。

 

如何注册成为服务提供商

万事达卡要求所有主要银行或金融机构代表其自身及附属机构通过 MRP 数据库提交服务提供商注册(如果该机构仅面向自身或其附属机构提供服务,则不做此硬性规定)。如果服务提供商与一家或多家银行有直接关系,应与每家银行联系,代表他们提交注册。

获取业务管理工具(BA)

  1. 联系 customer_support@mastercard.com 
  2. 要求获取业务管理(BA)工具
  3. 客服人员将通过我们的安全门户 Mastercard Connect™ 为您提供 BA 工具。 

注册流程

  1. 登陆 Mastercard Connect 页面,选择「Business Administration Tool」(业务管理工具)。
  2. 前往「Business Administration/Register & Provision a Company」(业务管理/注册并供应一家公司)。
  3. 请求“Provision a Company」(供应一家公司)。  
  4. 点击至「Provision & Manage Your Service Provider」(供应并管理您的服务提供商)。 
  5. 如果实体还没有注册,请点击「Create new registration」(新用户注册)。
  6. 添加服务提供商名称和地址。 
  7. 点击「Next」(下一步)并填写联系信息。  
  8. 输入主要(银行)和基本(服务提供商)联系信息。 
  9. 在「Services」和「Store」详情部分选择项目服务(选择服务提供商向客户提供的服务)。 
  10. 在提交过程中的任何时候都不要点击「save as draft」(保存草稿)。 
  11. 选择「Data」并选取与注册相对应的 ICA 号码和项目(对每项所选服务均须执行这一步)。  
  12. 点击「Next」(下一步)。 
  13. 在「Customer Certification」(客户认证)部分点击「Accept」(接受)。 
  14. 注册提交流程即告完成,您将得到一个 SPR 注册号。 
  15. 注册将显示「Pending-Approval」(待批准)状态。

注:客户银行必须先提供 SPR 号,注册才能得到审批。一旦提交注册,如果所需信息均已提供,我们将审核并最终予以批准。审批时间需要五至七个工作日。 

请注意,注册流程与 PCI 合规文件的提交是分开的,银行必须先完成注册流程,其服务提供商注册才能得到批准。所有 PCI 合规文件必须提交给万事达卡。 

要成为合规服务提供商,服务提供商需要注册并认证成为会员服务提供商(MSP),且必须成功完成由持有 PCI SSC 认证的合格安全评估商(QSA)实施的年度现场评估。 

若有任何问题,请联系万事达卡服务提供商团队:member_service_provider@mastercard.com