โปรแกรมการปกป้องข้อมูลของไซต์และ PCI

การปกป้องระบบนิเวศของการชำระเงิน

การปฏิบัติตามมาตรฐาน PCI DSS

Mastercard ได้ทำงานร่วมกับพันธมิตรในอุตสาหกรรมเพื่อช่วยสร้าง มาตรฐานความปลอดภัยข้อมูล PCI (DSS) ซึ่งเป็นกรอบการทำงานระดับโลกที่ปกป้องข้อมูลบัญชีและสนับสนุนการประมวลผลการชำระเงินอย่างปลอดภัย

เรียนรู้เพิ่มเติม

SDP Program

โปรแกรมการป้องกันข้อมูลไซต์ (SDP) ช่วยให้ผู้มีส่วนได้เสียบรรลุการปฏิบัติตามมาตรฐาน PCI โดยการเสนอแนวทางที่ชัดเจน เครื่องมือตรวจสอบที่ได้รับการอนุมัติ และแนวปฏิบัติที่ดีที่สุดเพื่อลดความเสี่ยงและเพิ่มความปลอดภัยของข้อมูล

เรียนรู้เพิ่มเติม

ภาพระยะใกล้ของโทรศัพท์ที่แตะเครื่องชำระเงินที่ร้านกาแฟ

PCI 360 Resources

โปรแกรมการศึกษา Mastercard PCI 360 ช่วยให้ลูกค้า ร้านค้า และผู้ให้บริการมีความรู้และเครื่องมือที่จำเป็นในการทำความเข้าใจและปฏิบัติตามข้อกำหนด SDP ของ Mastercard

เรียนรู้เพิ่มเติม

ข้อกำหนดการตรวจสอบความสอดคล้องของ PCI

ร้านค้าทุกรายที่จัดเก็บ ประมวลผล หรือส่งต่อข้อมูลผู้ถือบัตรจะต้องปฏิบัติตามมาตรฐาน PCI เว้นแต่จะได้รับการยกเว้น Mastercard แนะนำให้ร้านค้าติดต่อธนาคารที่รับผิดชอบ และด้วยความช่วยเหลือจากธนาคาร ร้านค้าจะสามารถดำเนินการตามขั้นตอนต่อไปนี้ได้:

ขั้นตอนที่ 1

กำหนดระดับของร้านค้าโดยใช้ปริมาณการทำธุรกรรมของ Mastercard จากช่วงเวลา 52 สัปดาห์ล่าสุด

ขั้นตอนที่ 2

ยืนยันข้อกำหนดการปฏิบัติตาม PCI ที่จำเป็น

ขั้นตอนที่ 3

ติดต่อผู้ประเมินที่ได้รับการอนุมัติจาก PCI ตามความเหมาะสม และปฏิบัติตามขั้นตอนการตรวจสอบ

ร้านค้าจำเป็นต้องส่งเอกสารการตรวจสอบ PCI ไปยังธนาคารผู้รับบัตร ซึ่งจะดูแลการปฏิบัติตามข้อกำหนด และเมื่อจำเป็น จะรายงานสถานะไปยัง Mastercard

หมวดหมู่	เกณฑ์	ข้อกำหนด
ระดับ 1	ร้านค้าใดๆ ที่มีการทำธุรกรรมรวมของ Mastercard และ Maestro มากกว่าหกล้านรายการต่อปี ร้านค้าใดก็ตามที่ตรงตามเกณฑ์ระดับ 1 ของ Visa ร้านค้าที่ Mastercard พิจารณาตามดุลยพินิจของตนเองว่าควรปฏิบัติตามข้อกำหนดของร้านค้าระดับ 1 เพื่อลดความเสี่ยงต่อระบบ	การประเมิน PCI DSS ประจำปีที่ส่งผลให้มีการจัดทำรายงานการปฏิบัติตามข้อกำหนด (ROC)¹
ระดับ 2	ร้านค้าทุกร้านที่มีการทำธุรกรรมรวมของ Mastercard และ Maestro มากกว่าหนึ่งล้านครั้งแต่ไม่เกินหกล้านครั้งต่อปี ร้านค้าใดก็ตามที่ตรงตามเกณฑ์ระดับ 2 ของ Visa	แบบสอบถามการประเมินตนเองประจำปี (SAQ)²
ระดับ 3	ร้านค้าใดๆ ที่มีการทำธุรกรรม Mastercard และ Maestro E-Commerce Maestro E-Commerce รวมกันมากกว่า 20,000 รายการต่อปี แต่น้อยกว่าหรือเท่ากับหนึ่งล้านรายการทั้งหมดของ Mastercard และ Maestro E-Commerce Maestro E-Commerce รวมกันต่อปี ร้านค้าใดก็ตามที่ตรงตามเกณฑ์ระดับ 3 ของ Visa	แบบสอบถามการประเมินตนเองประจำปี (SAQ)³
ระดับ 4	ร้านค้าอื่น ๆ ทั้งหมด⁴	แบบสอบถามการประเมินตนเองประจำปี (SAQ)³

ผู้ให้บริการใด ๆ ที่จัดเก็บ ส่ง หรือประมวลผลข้อมูลของผู้ถือบัตรจะต้องปฏิบัติตามมาตรฐานความปลอดภัยของข้อมูล PCI ที่มีผลบังคับใช้ทั้งหมด Mastercard แนะนำให้ผู้ให้บริการระดับ 1 และระดับ 2 แสดงให้ Mastercard เห็นว่าพวกเขาปฏิบัติตามภาคผนวก Designated Entities Supplemental Validation (DESV) ของ PCI DSS

ขั้นตอนที่ 1

ตามระดับ ให้ตรวจสอบข้อกำหนดการตรวจสอบของผู้ให้บริการ และติดต่อผู้ประเมินความปลอดภัยที่ได้รับการรับรองจาก PCI (QSA) ตามความจำเป็น

ขั้นตอนที่ 2

เมื่อท่านปฏิบัติตามข้อกำหนดแล้ว โปรดส่ง Attestation of Compliance (AOC) ที่ลงนามแล้ว หรือสำหรับผู้ที่มีสิทธิ์ใช้ SAQ โปรดส่ง SAQ D AOC ไปยัง Mastercard.

ขั้นตอนที่ 3

หากยังไม่เป็นไปตามข้อกำหนด โปรดส่ง แผนปฏิบัติการ PCI DSS สำหรับผู้ให้บริการ; หรือ หากมีความเหมาะสม โปรดส่ง แผนปฏิบัติการ PCI 3DS Core สำหรับผู้ให้บริการ ไปยัง Mastercard

หมวดหมู่	เกณฑ์	ข้อกำหนด
ระดับ 1	ผู้ประมวลผลบุคคลที่สาม (TPPs) ทั้งหมด ผู้ให้บริการกระเป๋าเงินดิจิทัล (SDWO) ทั้งหมด ผู้ให้บริการกิจกรรมดิจิทัลทั้งหมด (DASPs) ผู้ให้บริการชำระเงินสำหรับธุรกิจทั้งหมด (BPSPs) ผู้ให้บริการโทเค็นทั้งหมด (TSPs) ผู้ให้บริการ 3-D Secure ทั้งหมด (3-DSSPs) ผู้ให้บริการผ่อนชำระทั้งหมด (ISPs) เกตเวย์การชำระเงินของร้านค้าทั้งหมด (MPGs) ผู้ให้บริการ AML/Sanctions ทั้งหมด, หน่วยงานจัดเก็บข้อมูล (DSEs) และผู้ให้บริการชำระเงิน (PFs) ที่มีการทำธุรกรรม Mastercard และ Maestro รวมกันมากกว่า 300,000 รายการต่อปี	การประเมิน PCI ประจำปีที่ส่งผลให้มีการจัดทำรายงานการปฏิบัติตามข้อกำหนด (ROC) เสร็จสมบูรณ์⁵
ระดับ 2	ผู้ให้บริการ AML/การคว่ำบาตรทั้งหมด, DSE⁶ และ PF ที่มีธุรกรรม Mastercard และ Maestro รวมกันไม่เกิน 300,000 รายการต่อปี ผู้ให้บริการเทอร์มินัลทั้งหมด (TSs)⁷	แบบสอบถามการประเมินตนเองประจำปี (SAQ)

ผู้รับบัตรมีความรับผิดชอบในการสร้างและบำรุงรักษาโปรแกรมการปฏิบัติตามมาตรฐาน PCI นี่คือขั้นตอนบางประการที่ท่านต้องปฏิบัติตามเมื่อมีการมีส่วนร่วมกับร้านค้าต่างๆอย่างแข็งขัน:

ขั้นตอนที่ 1

ช่วยให้ร้านค้ากำหนดระดับร้านค้า SDP ของตนเองตามปริมาณการทำธุรกรรมของ Mastercard ในช่วง 52 สัปดาห์ล่าสุด

ขั้นตอนที่ 2

กำหนดเส้นตายให้กับร้านค้าในการส่งข้อกำหนดการตรวจสอบ PCI และจัดหาข้อมูลให้พวกเขาว่าจะส่งเอกสารที่เสร็จสมบูรณ์ไปที่ใด

ขั้นตอนที่ 3

กรุณาส่ง แบบฟอร์มการส่งและสถานะการปฏิบัติตามของ SDP Acquirer ทุก ๆ หกเดือน โดยรายงานความคืบหน้าในการปฏิบัติตาม PCI สำหรับร้านค้าระดับ 1 และระดับ 2

Mastercard ไม่จำเป็นต้องให้ร้านค้าระดับ 3 และระดับ 4 ยืนยันการปฏิบัติตามมาตรฐาน PCI อย่างไรก็ตาม ผู้รับต้องยืนยันต่อ Mastercard ว่าพวกเขามีโปรแกรมการจัดการความเสี่ยงเพื่อระบุและจัดการความเสี่ยงด้านความปลอดภัยในการชำระเงินภายในพอร์ตโฟลิโอของร้านค้า ระดับ 3 และระดับ 4 ของตน

รายชื่อผู้ให้บริการที่ลงทะเบียนที่สอดคล้องกับ Mastercard SDP

ดูตอนนี้

ระดับร้านค้า:

1. ร้านค้าระดับ 1 จะต้องเข้ารับการประเมิน PCI DSS ประจำปี ซึ่งจะต้องกรอกแบบฟอร์ม ROC AOC ที่ลงนามโดยผู้ประเมินความปลอดภัยที่มีคุณสมบัติ (QSA) ที่ได้รับการอนุมัติจาก PCI SSC, ผู้ประเมินความปลอดภัยภายในที่ได้รับการรับรองจาก PCI SSC (ISA), หรือเจ้าหน้าที่บริหารของร้านค้า เว้นแต่กฎหมายหรือระเบียบข้อบังคับจะห้ามไว้ ↩

2. ร้านค้าระดับ 2 ที่ทำ SAQ A, SAQ A-EP หรือ SAQ D จะต้องจ้าง QSA ที่ได้รับการอนุมัติจาก PCI SSC หรือ ISA ที่ได้รับการรับรองจาก PCI SSC เพิ่มเติมสำหรับการตรวจสอบการปฏิบัติตามข้อกำหนด ร้านค้าระดับ 2 อาจเลือกที่จะว่าจ้าง QSA ที่ได้รับการอนุมัติจาก PCI SSC หรือ ISA ที่ได้รับการรับรองจาก PCI SSC เพื่อทำ ROC แทนที่จะทำ SAQ ตามดุลยพินิจของท่าน ↩

3. ร้านค้าระดับ 3 และระดับ 4 อาจเลือกใช้ดุลยพินิจของตนเองในการว่าจ้าง QSA ที่ได้รับการอนุมัติจาก PCI SSC เพื่อดำเนินการ ROC แทนการดำเนินการ SAQ ↩

4. ร้านค้าระดับ 4 จำเป็นต้องปฏิบัติตามมาตรฐาน PCI DSS แม้ว่าจะไม่จำเป็นต้องตรวจสอบการปฏิบัติตามข้อกำหนดของ Mastercard ยกเว้นตามที่กฎหมายหรือข้อบังคับที่เกี่ยวข้องกำหนด ↩

ระดับของผู้ให้บริการ:

5. ผู้ให้บริการระดับ 1 ต้องตรวจสอบการปฏิบัติตาม PCI DSS เป็นประจำทุกปี และผู้ให้บริการ 3-DSSP แต่ละรายต้องตรวจสอบการปฏิบัติตาม PCI 3DS Core Security Standard ทุกสองปี โดยการผ่านการประเมิน PCI ซึ่งส่งผลให้มีการดำเนินการ ROC โดย QSA ที่ได้รับการอนุมัติจาก PCI SSC ↩

6. เป็นทางเลือกแทนการตรวจสอบการปฏิบัติตาม PCI DSS AOC, DSE ระดับ 2 ที่มีคุณสมบัติอาจส่ง AOC ข้อกำหนดความปลอดภัยของ PIN PCI จากผู้ประเมิน PIN ที่ได้รับการรับรอง (QPA) ที่ได้รับการอนุมัติจาก PCI SSC ทุกสองปี ↩

7. เป็นทางเลือกในการตรวจสอบการปฏิบัติตามข้อกำหนดแทนการประเมินตนเองประจำปี TS หากมีสิทธิ์ อาจส่ง แบบฟอร์มการยืนยันการเข้าร่วม QIR ของผู้ให้บริการเทอร์มินัล ที่กรอกแล้วไปยัง Mastercard ↩

คุณกำลังมองหาอะไรอยู่?

เนื้อหาเด่น

การบูรณาการการป้องกันการฉ้อโกงทางไซเบอร์สำหรับยุคแห่งความเสี่ยงใหม่

โปรแกรมการปกป้องข้อมูลของไซต์และ PCI

การปกป้องระบบนิเวศของการชำระเงิน

การปฏิบัติตามมาตรฐาน PCI DSS

SDP Program

PCI 360 Resources

ข้อกำหนดการตรวจสอบความสอดคล้องของ PCI

ขั้นตอนที่ 1

ขั้นตอนที่ 2

ขั้นตอนที่ 3

ระดับการปกป้องข้อมูลของร้านค้าในเว็บไซต์

ขั้นตอนที่ 1

ขั้นตอนที่ 2

ขั้นตอนที่ 3

ระดับของผู้ให้บริการการปกป้องข้อมูลของไซต์

ขั้นตอนที่ 1

ขั้นตอนที่ 2

ขั้นตอนที่ 3

รายชื่อผู้ให้บริการที่ลงทะเบียนที่สอดคล้องกับ Mastercard SDP

ต้องการความช่วยเหลือไหม?

บริษัท

ข้อกฎหมายและนโยบายความเป็นส่วนตัว

เว็บไซต์ของ Mastercard

โปรแกรมการปกป้องข้อมูลของไซต์และ PCI

การปกป้องระบบนิเวศของการชำระเงิน

การปฏิบัติตามมาตรฐาน PCI DSS

SDP Program

PCI 360 Resources

ข้อกำหนดการตรวจสอบความสอดคล้องของ PCI

สิ่งที่ผู้ค้าออนไลน์จำเป็นต้องทราบ

ขั้นตอนที่ 1

ขั้นตอนที่ 2

ขั้นตอนที่ 3

ระดับการปกป้องข้อมูลของร้านค้าในเว็บไซต์

สิ่งที่ผู้ให้บริการจำเป็นต้องทราบ

ขั้นตอนที่ 1

ขั้นตอนที่ 2

ขั้นตอนที่ 3

ระดับของผู้ให้บริการการปกป้องข้อมูลของไซต์

สิ่งที่ผู้ซื้อกิจการต้องทราบ

ขั้นตอนที่ 1

ขั้นตอนที่ 2

ขั้นตอนที่ 3

รายชื่อผู้ให้บริการที่ลงทะเบียนที่สอดคล้องกับ Mastercard SDP

ต้องการความช่วยเหลือไหม?

บริษัท

ข้อกฎหมายและนโยบายความเป็นส่วนตัว

เว็บไซต์ของ Mastercard