第三方处理商和数据存储实体须知
进一步了解您在 PCI 合规中的职责
如何确定服务提供商级别和验证要求
所有第三方处理商(TPP)均为 1 级服务提供商。数据存储实体(DSE)根据年度万事达卡交易量归为 1 级或 2 级服务提供商。
万事达卡要求所有服务提供商均成为 PCI 合规者
- 根据级别来审查服务提供商的验证要求,并在必要时与授权扫描服务商(ASV)或合格安全评估商(QSA)合作。
- 一经合规,机构需签署并提交合规证明(AOC);已具备 SAQ 申请资格的服务提供商,需向万事达卡提交 SAQ D AOC和最新版的清晰扫描件。
- 尚未合规的机构应首先完成 PCI 服务提供商行动计划,并将结果提交给万事达卡。
请注意:万事达卡仅列出已在万事达卡注册程序(MRP)中注册并获准成为会员服务提供商(MSP)的机构,以及成功完成年度现场评估的服务提供商。
网站数据保护服务提供商级别
类别 | 标准 | 要求 |
---|---|---|
1 级 |
|
|
2 级 |
|
|
- 所有 1 级服务提供商必须完成由持有 PCI SSC 认证的 QSA 实施的年度现场评估。
- 季度网络扫描须由 PCI 授权扫描服务商 PCI SSC ASV 实施。
如何注册成为服务提供商
万事达卡要求所有主要银行或金融机构代表其自身及附属机构通过 MRP 数据库提交服务提供商注册(如果该机构仅面向自身或其附属机构提供服务,则不做此硬性规定)。如果服务提供商与一家或多家银行有直接关系,应与每家银行联系,代表他们提交注册。
获取业务管理工具(BA)
- 联系 customer_support@mastercard.com
- 要求获取业务管理(BA)工具
- 客服人员将通过我们的安全门户 Mastercard Connect™ 为您提供 BA 工具。
注册流程
- 登陆 Mastercard Connect 页面,选择「Business Administration Tool」(业务管理工具)。
- 前往「Business Administration/Register & Provision a Company」(业务管理/注册并供应一家公司)。
- 请求“Provision a Company」(供应一家公司)。
- 点击至「Provision & Manage Your Service Provider」(供应并管理您的服务提供商)。
- 如果实体还没有注册,请点击「Create new registration」(新用户注册)。
- 添加服务提供商名称和地址。
- 点击「Next」(下一步)并填写联系信息。
- 输入主要(银行)和基本(服务提供商)联系信息。
- 在「Services」和「Store」详情部分选择项目服务(选择服务提供商向客户提供的服务)。
- 在提交过程中的任何时候都不要点击「save as draft」(保存草稿)。
- 选择「Data」并选取与注册相对应的 ICA 号码和项目(对每项所选服务均须执行这一步)。
- 点击「Next」(下一步)。
- 在「Customer Certification」(客户认证)部分点击「Accept」(接受)。
- 注册提交流程即告完成,您将得到一个 SPR 注册号。
- 注册将显示「Pending-Approval」(待批准)状态。
注:客户银行必须先提供 SPR 号,注册才能得到审批。一旦提交注册,如果所需信息均已提供,我们将审核并最终予以批准。审批时间需要五至七个工作日。
请注意,注册流程与 PCI 合规文件的提交是分开的,银行必须先完成注册流程,其服务提供商注册才能得到批准。所有 PCI 合规文件必须提交给万事达卡。
要成为合规服务提供商,服务提供商需要注册并认证成为会员服务提供商(MSP),且必须成功完成由持有 PCI SSC 认证的合格安全评估商(QSA)实施的年度现场评估。
若有任何问题,请联系万事达卡服务提供商团队:member_service_provider@mastercard.com。