概述

收单银行有责任确保所有商户遵守PCI数据安全标准(DSS)规定，但是，已经根据交易数量、潜在风险，以及引入到支付系统中的危险，确定商户达标确认的优先次序。 
 

1、2级商户的禁止数据储存截止期限

到2009年9月30日，收单银行必须确认1、2级商户在交易授权后，并未保留敏感身份验证数据（即全磁条／轨道、CVV2 或PIN数据）。

1级商户的PCI DSS标准确认截止期限

到2010年9月30日，收单银行必须证实每位1级商户都已确认完全符合PCI DSS的规定。

1、2、3级商户达标报告

为确保遵守AIS计划的规定，收单银行必须每年两次报告1、2、3级商户的合达标状态，具体情况如下： 收单银行报告，包括每个1级商户的状态 收单银行报告，包括每个2级商户的状态 3级商户的统计数据报告标准 注意:技术创新项目(TIP) 收单行的报告也报告合格的L1和L2商户。

商户等级

根据12个月的Visa交易数量，商户可分为四个等级，所有商户可归入其中一个等级。交易数量是建立在商户Doing Business As (“DBA”)交易（包括贷记、借记和预付）总量基础上的。如果某一商户公司拥有不止一个DBA，收单银行必须考虑该公司实体所储存、处理和传送的交易总量，以确定确认等级。如果数据没有汇总，这时，公司实体不能代表多个DBA储存、处理或传送持卡人资料，收单银行将继续考虑DBA的个别交易数量，以确定确认等级。 
 

商户等级*	描述
1	每年处理超过600万Visa交易（通过各种渠道）的商户，或通过任何Visa地区确定为1级的全球商户**任何Visa自行确定认为达到1级商户规定可最小化对Visa系统的风险的商户。
2	（不考虑承兑渠道）任何每年处理1,000,000到6,000,000项Visa交易的商户。
3	任何每年处理20,000到1,000,000项Visa电子商务交易的商户。
4	任何每年处理不到20,000项Visa电子商务交易的商户，以及（不考虑承兑渠道）其他每年处理多达1,000,000项Visa电子商务交易的商户。

 

*	任何曾遭受黑客攻击，导致账户资料外泄的商户，可能会被提升到更高的确认水平。
**	在任何一个Visa国家/地区达到1级标准，并在不止1个国家/地区经营的商户，都被视为全球1级商户，如果通用基础设施不健全，或Visa数据没有跨境汇总，则属于例外情况，在此种情况下，商户按照地区水平完成确认工作。

达到确认规定

除遵守PCI数据安全标准外，1级、2级和3级商户还须达到确认规定，对4级商户可能也会有此要求。 

等级	确认项目	确认方
1	每年进行现场的PCI数据安全评估， 并且 每季度进行网络扫描	合格安全评估机构或由公司高级职员签字的内部审计 授权扫描供应商
2	每年完成PCI自我评估问卷(SAQ)， 并且 每季度进行网络扫描	商户   授權掃描供應商
3	每年完成PCI自我评估问卷(SAQ)， 并且 每季度进行网络扫描	商户   授权扫描供应商
4*	每年完成PCI自我评估问卷(SAQ)， 并且 季度进行网络扫描（如适用）	商户   授权扫描供应商

 
* PCI DSS规定，所有使用外部IP地址的商户均须执行外部网络扫描，以便符合规定。收单银行可能会要求4级商户提交扫描报告及／或问卷。

确认程序和文件

收单银行必须确保他们的商户按适当水平确认，并从商户获得规定的达标确认文件。收单银行必须向Visa提交每两年一次的状况报告，所有达标确认文件必须可应要求向Visa提供。收单银行和商户还应当核实遵守其他支付卡品牌的达标报告规定，这可能需要提供达标确认的证明。达标确认的费用由商户承担，具体如下： 
 
1级商户
1级商户必须按照PCI规定和安全评估程序，完成每季度网络安全扫描和每年度现场PCI数据安全评估文件。本文件还用来作为达标报告模板。

1级商户应当聘请一个合格安全评估机构，以完成达标报告，并将报告提交给收单银行。另外，如果公司已经进行内部检查，收单银行可以选择接受1级商户的达标报告，前提是该报告须由商户的高级职员签署（CTO、CFO、CEO、CCO）。

收单银行必须在收到并接受商户确认文件后，向Visa提交商户达标确认报告。

下载PCI规定和安全评估程序。
下载商户达标确认报告。
 
2级／3级商户
2级和3级商户必须完成每年的PCI自我评估问卷和每季度网络安全扫描。收单银行有责任确保商户的每季度网络安全扫描是由授权扫描供应商执行的。每季度网络安全扫描适用于使用外部IP地址的商户。

下载PCI安全扫描程序。
下载PCI自我评估问卷。
 
四级商户
可能会要求4级商户完成PCI自我评估问卷及／或收单银行特别规定的网络安全扫描。

基于风险的PCI DSS确认

Visa正通过多级安全性，促进安全支付，其中包括PCI数据安全标准、增加使用安全技术（例如应用iCVV的EMV芯片）以及利用像加密压缩数据这样的可用工具。通过基于风险的PCI DSS确认，商户能够在采取下述其他风险控制措施的同时，实施PCI DSS的主要规定，符合Visa的达标规定。 
 
商户如果已经实施：

• 端到端加密¹；及／或
• 在iCVV普及率²为75%以上的国家，处理EMV芯片交易³，

1.	已经按照PCI SSC优先处理方法第1至4项核查点，完成达标确认的商户，将被确认为符合Visa PCI DSS确认规定。
	注：只有那些符合所有PCI DSS规定的商户才可被视为完全遵守PCI DSS。没有完全遵守PCI DSS的商户收单机构，仍须对资料外泄造成的损失和潜在的处罚负有责任。对于若发生Visa持卡人资料外泄或失窃，Visa保留要求商户确认完全遵守PCI DSS规定的权利。下表概述了这一处理方法。

PCI SSC 优先处理方法核查点		Visa对已经实施 端到端加密及／或应用 iCVV的EMV芯片的商户的 确认规定	Visa达标行动
1	删除敏感验证数据和 有限的数据保留	按照规定的 第１至４项核查点 完成Visa基于风险的 PCI DSS确认工作	商户已经符合 Visa的达标确认规定   收单银行仍对商户因 潜在的资料外泄造成的 损失和处罚负有责任
2	保护外围、内部及无线网络
3	安全应用
4	通过监控和访问控制保护
5	使持卡人数据不可读	在Visa认为必要时， 按照推荐的第5和第6项 核查点确认	完全遵守PCI DSS
6	取得最后达标确认并维护PCI DSS

2.	已证实未储存禁止数据，并在iCVV普及率高于75%的市场处理EMV芯片交易的商户，可从他们的年度交易总量中删除芯片交易，并按年度非芯片交易数量确定其商户等级。
	当只考虑非芯片交易时，收单银行可根据总交易数量，降低商户的确认等级，从原确认等级减少至少一个等级。因此，可处理不到600万项非芯片交易的合资格1级商户，可将其商户等级降为2级，并通过完成自我评估问卷和每季度漏洞扫描，确认符合PCI DSS。但是，1级商户不可降为3级或4级。

技术创新项目(TIP)

(TIP)是Visa持续战略的一部分，用以保护支付系统和提高安全实践，从而帮助保障持卡人数据的安全。此项目奖励和进一步支持使用 EMV 技术，因为该技术可降低交易数据对犯罪分子的价值。    该项目于2011年3月31日生效，该项目将允许美国以外地区的合格商户中止年度 PCI DSS 再验证评估。合格的商户可以节省大量费用，有机会将这笔节省费用重新投入其他的技术以支持动态数据处理。

 

最低商户合格标准

要符合项目条件和通过项目受益，商户必须符合下述所有条件：

1. 商户之前必须已验证PCI DSS合规性，或将确定的补救计划提交到Visa（通过其收单行），以基于缺口分析实现合规要求。  2. 按PCI DSS的规定，商户必须已确认未存储敏感的验证数据（如磁条的完整内容、CVV2和PIN数据）。 3. 商户总交易额中必须至少有75%源自启用的芯片读取设备1终端（如接触式和/或双重界面接触式/非接触式终端）。 4. 商户不得参与泄漏持卡人数据的行为。泄漏数据的商户也可以具有 TIP 资格，前提是随后验证了PCI DSS合规性。

 

不符合该项目 EMV 终端化要求的商户，包括交易额主要来自电子商务和MO/TO受理渠道的商户，每年仍需要根据Visa合规项目验证PCI DSS合规性。   所有商户仍需继续遵守PCI DSS。收单行保留对商户PCI DSS合规性的完全责任，以及所有费用、罚款或处罚的责任，这可能适用于数据泄漏的情况。