Yang perlu merchant ketahui untuk mengamankan transaksi

Cari tahu bagaimana untuk menyimpan, mengolah, dan mengirimkan data pembayaran secara aman

Semua merchant yang menyimpan, proses atau mentransmisikan data pemegang kartu harus lolos uji kepatuhan PCI. Setiap merchant yang dikategorikan sebagai Level 1, Level 2 atau Level 3 wajib melaporkan status pemenuhan langsung ke bank yang mengakuisisi.

Menentukan level merchant seringkali menimbulkan pertanyaan. Mastercard® merekomendasikan pada merchant untuk menghubungi bank pengakuisisi dan memperoleh asistensi dalam menyelesaikan langkah-langkah berikut:

  • Tentukan level merchant menggunakan volume transaksi Mastercard dari periode 52-minggu terakhir

  • Konfirmasi persyaratan validasi PCI yang diperlukan

  • Hubungi vendor yang sudah disetujui, lalu ikuti prosedur validasi

Setelah merchant telah diverifikasi dalam uji kepatuhan, merchant harus menyerahkan persyaratan validasi ke bank yang mengakuisisi, yang kemudian akan melaporkan status merchant Mastercard.

Kategori Kriteria Pensyaratan  Tanggal Pernilaian
Level 1
  • Setiap merchant yang terkena peretasan atau serangan yang menyebabkan kerusakan data akun
  • Setiap merchant yang memiliki transaksi total lebih dari 6 juta yang dikombinasikan dengan Mastercard dan Maestro tiap tahunnya
  • Setiap merchant yang berada di Level 1 of Visa
  •  Setiap merchant yang memiliki Mastercard, sesuai dengan ketentuan, diharuskan memenuhi kriteria Level 1 merchant untuk meminimalisir risiko kerusakan sistem
  • Onsite Assesment Tahunan1
  • Pemindaian jaringan per tiga bulan yang dilakukan oleh ASV2

30 Juni 20123

Level 2
  • Setiap merchant yang memiliki transaksi total lebih dari 1 juta tapi kurang atau sama dengan 6 juta yang dikombinasikan dengan Mastercard dan Maestro tiap tahunnya
  • Setiap merchant yang berada di Level 2 of Visa
  • Self-Assessment tahunan4
  • Onsite Assessment dengan kebijakan Merchant4
  • Pemindaian jaringan per tiga bulan yang dilakukan oleh ASV2

30 Juni 20124

Level 3
  • Setiap merchant dengan total transaksi lebih dari 20,000 kombinasi Mastercard dan Maestro e-commerce tiap tahunnya namun total transaksinya kurang atau sama dengan 1 juta kombinasi Mastercard dan Maestro e-commerce tiap tahunnya
  • Setiap merchant yang berada di Level 3 of Visa
  • Self-Assessment Tahunan
  • Pemindaian jaringan per tiga bulan yang dilakukan oleh ASV2

30 Juni 2005

Level 4
  • Semua merchant lainnya5
  • Self-Assessment Tahunan
  • Pemindaian jaringan per tiga bulan yang dilakukan oleh ASV2

Konsultasi Acquirer

 

Kunjungi pcisecuritystandards.org untuk informasi terbaru

  1. Efektif 30 Juni 2012, Merchant Level 1 yang memilih untuk melakukan penilaian penukaran tahunan menggunakan auditor internal harus memastikan bahwa staf internal auditor utama yang terlibat dalam memvalidasi PCI DSS kepatuhan menghadiri Pelatihan PCI SSC ISA dan lulus program akreditasi terkait setiap tahun untuk auditor internal.
  2. Scan Jaringan Triwulan harus dilakukan oleh vendor yang telah disetujui oleh PCI SSC.
  3. Tanggal kepatuhan awal Juni 2005 untuk merchant Level 1 kini telah berlalu. T30 Juni 2012 merupakan batas waktu bagi pelatihan dan sertifikasi PCI SSC ISA bagi merchant yang memilih untuk melakukan penilaian penukaran tahunan menggunakan auditor internal sendiri.
  4. Efektif 30 Juni 2012, Merchant Level 2 yang memilih untuk menyelesaikan kuesioner self-assessment tahunan harus memastikan bahwa staf yang terlibat dalam penilaian diri menghadiri Pelatihan PCI SSC ISA dan lulus program akreditasi terkait setiap tahunnya dalam rangka untuk melanjutkan self-assessment untuk validasi kepatuhan. Atau, merchant Level 2 diperbolehkan, pada kebijakan mereka sendiri, menyelesaikan penilaian onsite tahunan yang dilakukan oleh Penilai Keamanan Berkualifikasi (QSA) yang telah disetujui PCI Sleh SC, daripada mengisi kuesioner self-assesment tahunan.
  5. Merchant Level 4 diwajibkan untuk mematuhi PCI DSS. Merchant Level 4 harus berkonsultasi dengan pengakuisisi mereka untuk menentukan apakah validasi kepatuhan juga diperlukan.

Belajar bagaimana menjadi PCI compliant

Lihat modul pendidikan terbaru kami

Pahami Persyaratan Validasi untuk merchant

Onsite atau Self-Assessment

Sebuah penilaian rinci dilakukan oleh Penilai Keamanan Berkualifikasi (QSA) yang telah disetujui PCI DSS, atau oleh internal Keamanan penilai bersertifikat (ISA). Penilaian memvalidasi pengakuisisi bahwa organisasi menangani data kartu sesuai dengan Standar Industri untuk Keamanan Data Kartu Pembayaran (PCI DSS).

Berlaku untuk: Merchant Level 1 dan Level 2

Self-Assessment Questionnaire (SAQ)

Perangkat validasi yang sering digunakan oleh merchant dan penyedia layanan tidak diperlukan untuk menjalani penilaian onsite dalam kepatuhan mereka terhadap PCI DSS.

Berlaku untuk: Merchant Level 2, 3 dan 4

Scan vulnerabilitas eksternal

Scan Vulnerabilitas dilakukan oleh Scanning Vendor yang telah disetujui PCI SSC kepada semua komponen sistem Internet yang merupakan bagian dari, atau memberikan jalan ke, lingkungan pemegang kartu data.

Berlaku untuk: Semua merchant (sebagaimana berlaku)