日本 Japan
サービスプロバイダ様向け情報
■はじめに
サービスプロバイダとは、Visaの加盟店契約会社(アクワイアラ)やカード発行会社(イシュア)、加盟店、または他のサービスプロバイダに代わってVisaのカード会員データの保管、処理、送信を行う企業のことです。
Visaのカード発行会社(イシュア)と加盟店契約会社(アクワイアラ)には、契約する全てのサービスプロバイダがペイメントカード業界データセキュリティ基準(PCI DSS)要件を満たしていることを保証する義務があります。
Visaは、取引件数や決済システムにもたらされる潜在的リスクや起こり得る損害の大きさに基づいてサービスプロバイダを分類し、それぞれのレベルにおいて適用される遵守バリデーション要件を策定しました。
■サービスプロバイダのレベル
サービスプロバイダは、以下の2レベルに分類されます。
| サービスプロバイダのレベル | 基準 | |
| 1 | Visaカード会員/取引*データの保管、処理、送信件数が年間30万件以上のサービスプロバイダ | |
| 2 | Visaカード会員/取引*データの保管、処理、送信件数が年間30万件未満のサービスプロバイダ | |
| * | 種類/チャネルにかかわらず、全ての取引を含みます | |
■PCI DSS遵守のバリデーション要件
AISプログラムにおいて、サービスプロバイダは、以下に示すとおり、PCI DSS遵守のバリデーションを行うことが義務付けられています。
|
■遵守報告の必要書類
Visa加盟店契約会社(アクワイアラ)とカード発行会社(イシュア)には、契約サービスプロバイダがVisaサービスプロバイダ・レジストリプログラムによって既に登録を行っている場合を除いて、契約サービスプロバイダ1社につき以下の書類を提出する義務があります。
| サービスプロバイダのレベル | 必要提出書類 |
| レベル1 | 1. 署名済みの遵守証明書 2. QSAが発行する遵守報告書(ROC)の全体要旨(Executive Summary)、並びに、業務・遵守遂行手段の内容(Description of Scope of Work and Approach Taken)のセクション。ROCの全部を提出する必要はありませんが、Visaには必要に応じて完全版のROCを要求する権利があります。 |
| レベル2 | 自己評価問診票(SAQ)バージョンD。SAQの正確性を審査する責任は、カード発行会社と加盟店契約会社にあるため、Visaにおいて、SAQの内容の審査は行いません。 |
■サービスプロバイダのレジストリ
サービスプロバイダのレジストリとは、オプションのサービスプロバイダ専用プログラムで、以下のような特典を享受することができます。
1. 上記の遵守報告書類を契約カード発行会社/加盟店契約会社(アクワイアラ)を経由せずに直接Visaに提出することができます。
2. QSAによる訪問調査でPCI DSSの完全遵守が証明されれば、サービスプロバイダのレジストリ(「レジストリ」)に掲載され、提供するサービスの内容や担当者などの追加情報がレジストリ上で閲覧できるようになります。
自己評価問診と四半期毎のネットワークスキャンのみを行っているレベル2のサービスプロバイダに関しては、登録は奨励されていますが、レジストリ上には掲載されません。
Visaはサービスプロバイダに年1回、PCI DSSへの遵守の証明、報告を行うことを求めています。遵守報告が1~60日遅れた場合、レジストリ上のサービスプロバイダは黄色で記され、60~90日遅れた場合は、赤で記されます。年次の遵守報告期限後90日以内に完全なPCI DSS への遵守が証明されない場合は、そのサービスプロバイダはレジストリから削除されます。
本プログラムの詳細とレジストリの閲覧はこちらから
