簡介

收單機構有責任確保所有商店遵守PCIDSS規定。商店合規執行的優先順序需根據交易筆數、潛在風險、以及因引入其他支付系統之衍伸風險進行分級。 
 

第1、2級商店移除敏感性資料完成期限

收單機構必須在2009年9月30日前確認第1、2級商店在交易授權後，並未儲存敏感之身份驗證資料（即全磁條、CVV2 或PIN資料）。

第1級商店之PCI DSS合規確認完成期限

收單機構必須在2010年9月30日前確認所有第1級商店都已符合PCI DSS規定。

第1、2、3級商店合規報告

為確保遵守AIS計劃之規定，收單機構必須每年兩次向Visa通報第1、2、3級商店之合規狀況，通報內容包括：   所有第1級商店之AIS合規狀況 所有第2級商店之AIS合規狀況 所有第3級商店之商店店數及AIS合規狀況 附註:收單機構也須將符合TIP標準之第1級及第2級商店標註在”商店合規認證通報檔案”中。

商店認證分級制度

所有商店可根據12個月的Visa交易筆數，區分為以下四種認證等級。交易筆數是以商店Doing Business As (“DBA”)交易（包括Debit、Credit和Prepaid Card 之交易筆數加總）為計算單位。若某商店擁有不止一個DBA，收單機構必須考慮該商店所儲存、處理和傳輸的交易筆數總量，以確定其所屬等級。反之，如果資料沒有匯總，收單機構則須繼續考慮以DBA為單位將交易筆數個別計算。 
 

商店 認證等級*	定義
1	每年處理超過600萬筆Visa交易之商店（不論交易來自何種管道），或在Visa任一區域已是第1級之全球商店**。基於風險控管需求，任何非第1級商店皆有可能因特殊風險因素由Visa直接指定為第1級商店。
2	每年處理100萬到600萬筆Visa交易之商店（不論交易來自何種管道）。
3	每年處理2萬到100萬筆Visa網路交易之商店。
4	每年處理不到2萬筆Visa網路交易之商店，或其他每年處理小於100萬筆Visa交易之商店（不論交易來自何種管道）。

 

*	任何曾因駭客攻擊導致帳戶資料外洩的商店，皆有可能被拉高認證等級。
**	若商店在Visa任一市場/地區已達到第1級標準，並跨市場/地區經營者，將被視為”全球第1級商店”。若此類跨境營業之商店並無資料共用系統，或交易資料並未跨境匯總，則商店之交易筆數應由各市場/地區分開計算之。

完成認證程序規定

第1級、第2級和第3級商店須完成以下認證程序，以符合PCI DSS規定。第4級商店將視需要執行之。 

等級	認證應執行程序	有權執行認證單位
1	每年一次進行PCI DSS現場稽核， 並且 每季進行網路掃描	合格評核機構或由公司高階主管簽署之內部稽核報告 授權掃描供應商
2	每年完成PCI DSS自我評估問卷(SAQ)， 並且 每季進行網路掃描	商店   授權掃描供應商
3	每年完成PCI DSS自我評估問卷(SAQ)， 並且 每季進行網路掃描	商店   授權掃描供應商
4*	每年完成PCI DSS自我評估問卷(SAQ)， 並且 每季進行網路掃描（選項）	商店   授權掃描供應商

 
* PCI DSS規定，所有使用外部IP位址的商店均須執行外部網路掃描以符合規定。收單機構也可視需要要求第4級商店提交掃描報告及／或自我評估問卷。

認證步驟及應提交合規報告

收單機構必須確認商店按適當等級分級，並進行認證和要求商店提交相關合規報告。收單機構必須每年兩次向Visa提交商店之合規狀況報告，合規狀況的細節報告須在Visa要求時隨時提供審閱。收單機構和商店還應確實遵守其他支付卡品牌的合規報告規定，並提供合規認證文件。合規認證相關費用應由商店承擔，細節包括： 
 
第1級商店
第1級商店必須按照PCI規定和安全評估步驟，完成每季網路弱點掃描和每年一次之PCI DSS現場稽核。稽核報告即為證明合規之提交文件。
 
第1級商店應當聘請合格評核機構(QSA)完成合規認證，並將認證報告提交給收單機構。另外，如果商店已經進行自我稽核，收單機構可以選擇接受第1級商店之內部稽核報告作為合規證明文件。惟該報告須經商店高階主管簽署（CTO、CFO、CEO、CCO）方可接受之。
 
收單機構必須在收到商店合規報告並確認無誤後，向Visa提交商店合規認證報告(Merchant compliance validation report)。
 
下載PCI相關規定安全評估步驟(PCI Requirements and Security Assessment Procedures)。
下載PCI商店合規認證通報報告(Merchant compliance validation report)。
 
 
第2級／第3級商店
第2級和第3級商店必須完成每年一次的PCI自我評估問卷和每季網路安全掃描。收單機構有責任確保商店的每季網路安全掃描都是由授權掃描供應商所執行。每季網路安全掃描適用於有在使用外部IP位址之商店。
 
下載PCI規定安全掃描步驟(Security Scanning Procedures)。
下載PCI規定自我評估問卷(Self Assessment Questionnaire)。
 
 
第4級商店
收單機構可視需要要求第4級商店完成PCI自我評估問卷及／或網路安全掃描。

Risk-based PCI DSS認證

Visa正透過多樣化之安全工具，如採用PCI DSS、增加使用安全技術（例如應用iCVV之EMV晶片）以及利用像資料加密等工具，強化支付環境安全性。依據Risk-based PCI DSS認證機制的設計，商店能結合如下述其他風險控管機制再加上實施PICDSS重點要求後，就可以算是達到Visa的資安要求。  
 
其他風險控管機制包括：

• 點對點(end to end)加密¹；及／或
• 商店在iCVV普及率²超過75%之市場處理EMV晶片交易³

1.	已經符合PCI SSC規範之Prioritized Approach Milestones第1至4項，將可視同已完成Visa PCI DSS認證程序。
	注：只有那些做完所有PCI DSS認證程序之商店才可被視為完全符合PCI DSS規定。收單機構仍須對沒有完全完成PCI DSS認證之商店因資料外洩所造成之損失和衍伸罰責負責。對發生Visa卡資料外洩之商店，Visa保留要求其重新完成PCI DSS完整認證程序之權利。詳細規定如下表說明:

PCI SSC Prioritized Approach Milestones		Visa對 已實施點對點加密及／或 在iCVV普及率超過75%市場處理EMV晶片交易商店之 合規要求	Visa認定合規程度
1	移除敏感性資料及限制資料存取	查核前項Milestones之 第1至4項要點	商店已經符合 Visa之合規認證規定 但 收單機構仍須對商店因資料外洩造成之損失和衍伸罰責負責
2	保護週邊、內部及無線網路
3	採用安全應用軟體
4	透過監控和限制資料存取保護資料安全
5	亂碼持卡人資料使其無法任意讀取	在Visa要求時， 繼續完成前項Milestones之 第5和第6項查核工作	完全符合 PCI DSS規定
6	取得最終合規認證並維護PCI DSS要求

2.	已證實未儲存敏感性資料，並在iCVV普及率超過75%之市場處理EMV晶片交易之商店，可從商店的年度總交易筆數中先刪除晶片交易筆數，再以非晶片交易筆數來定義所屬商店認證等級。
	收單機構可依前項規定在刪除晶片卡交易筆數後，降低商店認證等級(至多降一級)。因此，原屬第1級之商店，在刪除晶片交易會少於600萬筆時，可降為第2級，並透過完成自我評估問卷和每季弱點掃描來確認符合PCI DSS。但是，第1級商店不可跳級降為第3級或第4級。

創新技術轉換方案 (TIP)

創新技術轉換方案(TIP)是Visa目前針對保護全球支付系統之安全所設計之最新方案。推動TIP方案之主要精神除感謝已在支付卡環境採用EMV技術之收單機構之付出與努力外，也希望藉此方案來激勵其他收單機構加快轉換EMV技術之腳步。    自2011年3月31日起，全球已符合TIP方案標準之商店（美國區除外）將允許不必再繼續執行AIS規定之各項PCI DSS認證程序，這群已符合標準之商店可藉此將原投資在PCI DSS之成本，轉換到其他例如發展動態資料傳輸技術此類更先進更具成效之技術發展領域上。

 

創新技術轉換方案(TIP)標準說明

商店需同時達到下列四項標準方可視為已符合TIP方案，之後將不必再繼續持行AIS規定之各項PCI DSS認證程序：

1. 商店須已經所屬收單機構審核並通報為符合PCI DSS標準之商店，或已透過其收單機構向Visa繳交做過與PCI DSS標準差異化分析後之改善方案。  2. 已遵照PCI DSS規定，提交過無儲存敏感資料之保證書(敏感資料即為磁條全碼數據full contents of magnetic stripe、CVV2、PIN-Data)。 3. 商店75%以上之Visa卡交易係經由已啟用完整晶片功能之晶片讀卡機1送出 （晶片讀卡機包括單接觸式 或 感應+接觸雙介面式讀卡機）。 4. 未曾涉及任何資料外洩事件之商店。惟曾有前述不良紀錄之商店在事件發生後，若能即時採取補救措施（即再度完成所有AIS規定之PCI DSS標準認證程序）者，仍有權再度申請加入TIP方案。

 

不符合上述標準或經手之Visa卡交易主要係來自於網路及郵電購(MO/TO) 之商店，並無法申請採用TIP方案，此類商店仍需依照Visa AIS規定，每年完成PCI DSS之標準認證程序。   各商店不論是否已採用TIP方案簡化PCI DSS認證程序，商店仍負有遵從PCI DSS標準以維交易資料安全之責。收單機構亦連帶保證簽約商店PCI DSS合之規狀況，包括成本、罰款、或接受違規懲處等相關責任。