加盟店レベルの定義  

Your tools for security success

加盟店レベルと検証要件の決定方法について

カード会員データを保有、処理、伝送するすべての加盟店の皆様はPCIコンプライアンスに準拠しなければなりません。下記レベル1、2.、3のいずれかの条件に該当する加盟店の皆様方においては、契約するアクワイアラにコンプライアンス状況を直接報告しなければなりません。

多くの事業者様より加盟店レベルの決定方法ついてお問い合わせがございます。加盟店の皆様は、先ずはご契約のアクワイアラにご連絡ください。契約アクワイアラからの協力を得ることで、次のステップを完了することが可能です。

  • 過去52週間のMasterCardブランドカードの取扱件数を特定すること。
  • PCIコンプライアンスの検証要件(オンサイトアセスメントまたは自己問診、自己問診票、外部脆弱性スキャン)を確認すること。
  • 該当する場合、認定ベンダーを導入し、検証を実施すること。
  • 加盟店様のPCIコンプライアンス準拠が証明されたら、加盟店様は準拠証明資料をアクワイアラに提出してください。その後、加盟店様のコンプライアンス状況をアクワイアラがMasterCardに報告すること。
加盟店
レベル		 基準 要件 遵守期限
レベル1
  • ハッキングや攻撃の被害が原因でアカウントデータが漏洩したすべての加盟店
  • MasterCardとMaestroの年間取引総件数の合計が600万件を超えるすべての加盟店
  • Visaのレベル1基準を満たすすべての加盟店
  • MasterCardが、単独の裁量により、システムへのリスクを最小限にするためにレベル1の加盟店要件を満たすべきと判断するすべての加盟店
  • 年次のオンサイトアセスメント1
  • ASVによる四半期毎のネットワークスキャン2
 2012年
6月30日3
レベル2
  • MasterCardとMaestroの年間取引総件数の合計が100万件を超えるが、600万件未満のすべての加盟店
  • Visaのレベル2基準を満たすすべての加盟店
  • 年次の自己問診4
  • 加盟店の裁量による年次のオンサイトアセスメント4
  • ASVによる四半期毎のネットワークスキャン2
 2012年
6月30日4
レベル3
  • MasterCardとMaestroの年間eコマース取引総件数の合計が2万件を超えるが、MasterCardとMaestroの年間取引総件数の合計が100万件以下のすべての加盟店
  • Visaのレベル3基準を満たすすべての加盟店
  • 年次の自己問診
  • ASVによる四半期毎のネットワークスキャン2
 2005年
6月30日
レベル4
  • その他すべての加盟店5
  • 年次の自己問診
  • ASVによる四半期毎のネットワークスキャン2
 契約アクワイアラに相談

1 2012年6月30日付、社内監査人によるオンサイトアセスメント実施を選択するレベル1加盟店が、社内監査人を使用し続けるためには、PCIDSSのコンプライアンス検証に関与した社内監査人の代表従業員が毎年必ずPCI SSC主催のISAトレーニングプログラムに参加し、かつPCI SSC ISA資格に合格しなければなりません。


2 四半期ごとのネットワーク・スキャンはPCISSC認定スキャニングベンダー(Approved Scanning Vendor)によって実施されなければなりません。


3 レベル1加盟店の初期のコンプライアンス検証期日は過ぎています。2012年6月30日の準拠期限日は、PCI SSC主催のISAトレーニングに参加し、ISA資格に合格した社内監査人を使用して年次オンサイトアセスメントの実施を選択する加盟店のみに適用されます。


4 2012年6月30日付、自己問診表による検証の実施を選択するレベル2加盟店が、コンプライアンス検証に自己問診実施のオプションを継続するためには、自己問診に関与した従業員が毎年必ずPCI SSC主催のISAトレーニングプログラムに参加し、かつPCI SSC ISA資格に合格しなければなりません。レベル2加盟店は、自己の裁量により、代替として自己問診表を完了させずにPCISSC認定 QSAによるオンサイトアセスメントを完了することがあります。


5 レベル4加盟店はPCIデータセキュリティ基準に準拠しなければなりません。レベル4加盟店の場合、コンプライアンスの検証が必要であるか決定するためには、契約アクワイアラに相談してください。