サービスプロバイダーのレベル定義

 

サービスプロバイダーの皆様は、Mastercard SDP(サイトデータプロテクション)プログラムにおいて自社がどのレベルに分類されているかを理解することが重要です。この分類によって、各サービスプロバイダーが従うべき手順が決まります。

下表に、Mastercard SDPプログラムサービスプロバイダーの2つのレベルと、各レベルのサービスプロバイダーに義務づけられている検証手順を示します。

サービスプロバイダー
レベルの定義
基準 検証要件
レベル1
  • 全てのTPP
  • 年間30万件超の取引を保管・送信・処理するDSE
  • 年次訪問審査1
  • 四半期脆弱性スキャンテスト2
レベル2
  • 年間30万件以下の取引を保管・送信・処理するDSE
  • 年次自己診断
  • 四半期脆弱性スキャンテスト2


定義

  • TPP (Third Party Processor):取引処理サービスをアクワイアラーのために行うサービスプロバイダー(インターネットペイメントサービス等)
  • DSE (Data Storage Entity):取引処理サービスを加盟店又は他のサービスプロバイダーのために行うサービスプロバイダー(ウェブホスティングサービス等)

  1. 訪問審査は、Payment Card Industry Security Standard Council(PCI SSC)認定セキュリティ審査機関(Qualified Security Assessor)を利用して実施しなければなりません。

    PCI SSC認定セキュリティ審査機関(Qualified Security Assessor)のリストはこちら

  2. 四半期毎の脆弱性セキュリティースキャンは、PCI SSC認定スキャニングベンダー(Approved Scanning Vendor)を利用して実施しなければなりません。

    PCI SSC認定スキャニングベンダー(Approved Scanning Vendor)のリストはこちら

 

MASTERCARD SDP (サイトデータプロテクション) プログラム その他のコンテンツ