サービスプロバイダーの皆様は、Mastercard SDP(サイトデータプロテクション)プログラムにおいて自社がどのレベルに分類されているかを理解することが重要です。この分類によって、各サービスプロバイダーが従うべき手順が決まります。
下表に、Mastercard SDPプログラムサービスプロバイダーの2つのレベルと、各レベルのサービスプロバイダーに義務づけられている検証手順を示します。
| サービスプロバイダー レベルの定義 |
基準 | 検証要件 |
|---|---|---|
| レベル1 |
|
|
| レベル2 |
|
|
定義
- TPP (Third Party Processor):取引処理サービスをアクワイアラーのために行うサービスプロバイダー(インターネットペイメントサービス等)
- DSE (Data Storage Entity):取引処理サービスを加盟店又は他のサービスプロバイダーのために行うサービスプロバイダー(ウェブホスティングサービス等)
- 訪問審査は、Payment Card Industry Security Standard Council(PCI SSC)認定セキュリティ審査機関(Qualified Security Assessor)を利用して実施しなければなりません。
四半期毎の脆弱性セキュリティースキャンは、PCI SSC認定スキャニングベンダー(Approved Scanning Vendor)を利用して実施しなければなりません。