Apa yang perlu diketahui pihak ketiga prosesor dan entitas penyimpanan data

Cari tahu lebih lanjut tentang peran Anda dalam kepatuhan PCI

Cara menentukan level dan validasi persyaratan penyedia layanan

Semua prosesor pihak ketiga (TPPs) dianggap sebagai Penyedia Layanan Level 1. Entitas Data Storage (DSEs) dikategorikan sebagai Penyedia Layanan Level 1 atau Level 2 berdasarkan volume transaksi tahunan Mastercard®.

Mastercard mengharuskan semua penyedia layanan menjadi PCI-compliant

  • Berdasarkan level, lakukan peninjauan terhadap  persyaratan validasi Service Provider dan jalin hubungan dengan  Scanning Vendor yang Disetujui (ASV) atau Penilai Keamanan Berkualifikasi(QSA), jika diperlukan.

  • Setelah dinyatakan compliant, ajukan Attestation of Compliance (AOC); atau bagi para SAQ yang memenuhi syarat, kirimkan SAQ D AOC scan terbaru kepada Mastercard.

  • Jika belum lolos uji compliance, Rencana Aksi PCI untuk Penyedia Layanan harus diselesaikan dan diserahkan kepada Mastercard.

Harap dicatat: Mastercard hanya akan mendaftarkan Service Provider yang juga terdaftar dan disetujui sebagai Penyedia Layanan Anggota (MSP) dengan Program Mastercard Pendaftaran (MRP) dan para individu yang juga telah berhasil menyelesaikan penilaian onsite tahunan.

Level Penyedia Layanan Perlindungan Data Situs 

Kategori Kriteria Persyaratan
Level 1
  • Semua Prosesor Pihak Ketiga (TPPs).
  • Semua Entitas Penyimpanan Data (DSEs) dengan lebih dari 300.000 transaksi total gabungan Mastercard dan Maestro per tahun
  • Penilaian Onsite tahunan yang dilakukan oleh QSA1 sebuah
  • Quarterly Network Scan yang dilakukan oleh ASV2
Level 2
  •  Semua DSEs dengan 300.000 atau kurang dari itu, total gabungan transaksi Mastercard dan Maestro per tahun 
  • Self-Assessment tahunan
  • Quarterly Network Scan yang dilakukan oleh ASV2
  1. Semua Level 1 Service Provider harus menyelesaikan penilaian onsite tahunan yang dilakukan oleh SSC PCI bersertifikat QSA.
  2. Quarterly network scan harus dilakukan oleh PCI SSC ASV.

Cara mendaftar sebagai penyedia layanan

Mastercard mengharuskan semua peserta bank atau lembaga keuangan untuk mengajukan pendaftaran penyedia layanan atas nama mereka sendiri dan afiliasi mereka melalui database MRP (tidak wajib jika anggota utama hanya menyediakan layanan untuk diri mereka sendiri atau afiliasi mereka). Jika penyedia layanan memiliki hubungan langsung dengan satu atau lebih dari satu bank, mereka harus menghubungi masing-masing bank untuk menyerahkan pendaftaran atas nama mereka.

Meminta akses ke Perangkat Administrasi Bisnis

  1. Kontak customer_support@mastercard.com
  2. Meminta akses ke Alat Administrasi Bisnis (BA).
  3. Customer suppory akan memberikan akses ke Perangkat BA via Mastercard Connect ™, portal aman kami.

Proses registrasi

  1. Login ke Mastercard Connect dan pilih "Business Administration Tool"
  2. Arahkan ke bagian Business Administration/ Register & Provision a Company
  3. Pilih Provision a Company
  4. Klik Provision & Manage Your Service Provider
  5. Klik "Create new registration" jika entitas tidak ditemukan karena sudah terdaftar.   
  6. Tambahkan Nama layanan Provider dan alamat.   
  7. Klik "Next" dan lengkapi rincian kontak.   
  8. Masukkan Principal (bank) dan  informasi kontak Primary (SP)   
  9. Pilih Program Service di "Service" dan pada section "Store"( pilih layanan yang akan SP berikan kepada pelanggan).
  10. Jangan klik "save as draft" setiap saat selama proses pengiriman.   
  11. Pilih "Data" dan pilih nomor ICA khusus untuk pendaftaran dan Program (ini harus dilakukan untuk setiap layanan yang dipilih).   
  12. Klik "Next".   
  13. Klik "Accept" di bagian "Customer Certification".   
  14. Pada saat ini, proses pengajuan pendaftaran seharusnya sudah selesai dan nomor registrasi SPR akan diterbitkan.   
  15. Pendaftaran akan menunjukkan status "Pending-Approval." 

Catatan: Bank pelanggan harus menyediakan nomor SPR sehingga pendaftaran dapat ditinjau untuk persetujuan. Setelah pendaftaran telah disampaikan, kami akan meninjau dan menyelesaikan persetujuan jika semua informasi yang diperlukan telah disediakan. Persetujuan jangka waktu kira-kira 5-7 hari kerja.

Harap dicatat proses pendaftaran terpisah dengan pengajuan dokumen PCI Compliance dan harus diselesaikan oleh bank anggota sebelum pendaftaran penyedia layanan disetujui. Semua dokumen PCI Compliance harus diserahkan ke Mastercard

Untuk dicatatkan sebagai Penyedia Layanan Compliant, penyedia layanan harus terdaftar dan disetujui sebagai MSP dan harus telah berhasil menyelesaikan penilaian onsite tahunan yang dilakukan oleh bersertifikat QSA PCI SSC.

Jika Anda memiliki pertanyaan, silahkan hubungi tim Service Provider di member_service_provider@mastercard.com.