加盟店レベルの定義

加盟店レベルと検証要件の決定方法について

カード会員データを保有、処理、伝送するすべての加盟店の皆様はPCIコンプライアンスに準拠しなければなりません。下記レベル1、2.、3のいずれかの条件に該当する加盟店の皆様方においては、契約するアクワイアラにコンプライアンス状況を直接報告しなければなりません。

多くの事業者様より加盟店レベルの決定方法ついてお問い合わせがございます。加盟店の皆様は、先ずはご契約のアクワイアラにご連絡ください。契約アクワイアラからの協力を得ることで、次のステップを完了することが可能です。

  • 過去52週間のMastercardブランドカードの取扱件数を特定すること。
  • PCIコンプライアンスの検証要件(オンサイトアセスメントまたは自己問診、自己問診票、外部脆弱性スキャン)を確認すること。
  • 該当する場合、認定ベンダーを導入し、検証を実施すること。
  • 加盟店様のPCIコンプライアンス準拠が証明されたら、加盟店様は準拠証明資料をアクワイアラに提出してください。その後、加盟店様のコンプライアンス状況をアクワイアラがMastercardに報告すること。

 

加盟店
レベル
基準 要件 遵守期限
レベル1
  • ハッキングや攻撃の被害が原因でアカウントデータが漏洩したすべての加盟店
  • MastercardとMaestroの年間取引総件数の合計が600万件を超えるすべての加盟店
  • Visaのレベル1基準を満たすすべての加盟店
  • Mastercardが、単独の裁量により、システムへのリスクを最小限にするためにレベル1の加盟店要件を満たすべきと判断するすべての加盟店
  • PCI DSS Prioritized Approach Milestone 16
  • 年次のオンサイトアセスメント1
  • ASVによる四半期毎のネットワークスキャン2
2020年3月31日3
レベル2
  • MastercardとMaestroの年間取引総件数の合計が100万件を超えるが、600万件未満のすべての加盟店
  • Visaのレベル2基準を満たすすべての加盟店
  • PCI DSS Prioritized Approach Milestone 16
  • 年次の自己問診4
  • 加盟店の裁量による年次のオンサイトアセスメント4
  • ASVによる四半期毎のネットワークスキャン2
2020年3月31日3
レベル3
  • MastercardとMaestroの年間eコマース取引総件数の合計が2万件を超えるが、MastercardとMaestroの年間取引総件数の合計が100万件以下のすべての加盟店
  • Visaのレベル3基準を満たすすべての加盟店
  • 年次の自己問診
  • ASVによる四半期毎のネットワークスキャン2
2005年6月30日
レベル4
  • その他すべての加盟店5
  • 年次の自己問診
  • ASVによる四半期毎のネットワークスキャン2
契約アクワイアラに相談

 

  1. 2012年6月30日付、社内監査人によるオンサイトアセスメント実施を選択するレベル1加盟店が、社内監査人を使用し続けるためには、PCIDSSのコンプライアンス検証に関与した社内監査人の代表従業員が毎年必ずPCI SSC主催のISAトレーニングプログラムに参加し、かつPCI SSC ISA資格に合格しなければなりません。
  2. 四半期ごとのネットワーク・スキャンはPCISSC認定スキャニングベンダー(Approved Scanning Vendor)によって実施されなければなりません。
  3. レベル1加盟店の初期のコンプライアンス検証期日は過ぎています。2020年3月31日の準拠期限日は、日本国内の所在する対面取引加盟店のみを対象とし、非対面取引加盟店は対象外です。
  4. 2012年6月30日付、自己問診表による検証の実施を選択するレベル2加盟店が、コンプライアンス検証に自己問診実施のオプションを継続するためには、自己問診に関与した従業員が毎年必ずPCI SSC主催のISAトレーニングプログラムに参加し、かつPCI SSC ISA資格に合格しなければなりません。レベル2加盟店は、自己の裁量により、代替として自己問診表を完了させずにPCISSC認定 QSAによるオンサイトアセスメントを完了することがあります。
  5. レベル4加盟店はPCIデータセキュリティ基準に準拠しなければなりません。レベル4加盟店の場合、コンプライアンスの検証が必要であるか決定するためには、契約アクワイアラに相談してください。
  6. PCI DSS Prioritized Approach Milestone 1による検証の対象となるのは対面取引加盟店のみです。非対面取引加盟店は対象外です。

 

MASTERCARD SDP (サイトデータプロテクション) プログラム その他のコンテンツ