商戶安全交易須知

了解如何安全地儲存、處理和傳輸支付數據

所有儲存、處理或傳輸持卡人數據的商戶必須遵守支付卡行業(PCI)規定。所有第1、2及3級商戶必須直接向所屬收單銀行報告合規狀態。

Mastercard®建議商戶與其收單行聯繫,共同協商解決鑑定商戶級別經常發生的問題。在收單銀行協助下,完成以下步驟:

  • 根據最近52週內的Mastercard交易量來決定商戶級別

  • 確認各項必要的PCI驗證要求

  • 視乎實際情況與獲認證的供應商接洽,並遵守驗證程序

經商戶驗證合規的商戶必須向收單銀行提交驗證要求,由收單銀行向Mastercard報告商戶的合規狀態。

類 別   標準 要求 合規日期
第1級
  • 曾遭受黑客入侵或網絡攻擊以致賬戶數據被盜的商戶
  • Mastercard及Maestro合共年度交易總量逾六百萬宗的商戶
  • 達Visa卡1級標準的商戶
  • 由Mastercard認定需要滿足1級商戶要求以降低系統風險的商戶
  • 年度實地評估1
  • 由授權評估者(ASV)實施季度網絡掃描2

2012年6月30日3

第2級
  • Mastercard及Maestro合共年度交易總量介乎一百萬以上至六百萬宗或以內的商戶
  • 達Visa卡2級標準的商戶
  • 年度自我評估4
  • 由商戶自主選擇的實地評估4
  • 由ASV實施的季度網絡掃描2

2012年6月30日4

第3級
  • Mastercard及Maestro合共年度電子交易總量介乎兩萬以上至一百萬宗或以內的商戶
  • 達到Visa卡3級標準的商戶
  • 年度自我評估
  • 由ASV實施的季度網絡掃描2

2005年6月30日

第4級
  • 其他商戶5
  • 年度自我評估
  • 由ASV實施的季度網絡掃描2

諮詢收單機構

 

  1. 2012年6月30日生效:凡選擇透過內部審計員實施年度實地評估的1級商戶,必須確保參與驗證PCI DSS合規性的核心內部審計員,接受PCI安全標準協會(PCI SSC)内部安全性評估商(ISA)所舉辦的年度培訓。內審人員通過相關認證程序後,便可繼續進行合規評估。
  2. 季度網絡掃描必須由PCI SSC授權評估者(ASV)實施。
  3. 1級商戶2005年6月之初始合規日期已經到期。2012年6月30日的期限僅針對PCI SSC ISA培訓和認證,適用於選​​擇採用內部審計師實施年度實地評估的商戶。
  4. 2012年6月30日生效:凡選擇完成年度自我評估問卷的2級商戶,必須確保其參與自我評估的員工接受PCI SSC ISA舉辦的年度培訓。參與者通過相關認證程序後,便可以通過自我評估進行合規驗證。 2級商戶也可選擇由PCI SSC認證的合格安全評估商(QSA)所實施的年度實地評估,而無需完成年度自我評估問卷。
  5. 4級商戶需要遵循PCI DSS的規定。 4級商戶應諮詢其收單機構,確定是否需要進行合規驗證。

了解商戶驗證要求

實地及自我評估

實地及自我評估是由持有PCI SSC認證的QSA或ISA實施的詳細評估,協助收單機構驗證受評機構是否按照PCI DSS處理卡片數據。

適用於第1及2級商戶

自我評估問卷(SAQ)

SAQ是一項主要由特定商戶和服務提供商使用的驗證工具,這些商戶和服務提供商無需接受實地評估,只需按照PCI DSS對其合規性進行自我評估。

適用於第2、3及4級商戶

外部漏洞掃描

PCI SSC ASV會對所有連接互聯網的系統組件進行漏洞掃描。這些組件是持卡人數據環境中的一部分或通向該數據環境的路徑。

適用於所有商戶(如適用)