日本 Japan
登録要件
■どのセキュリティ基準に従う必要があるのでしょうか?
以下のデータを保存、処理及び/あるいは処理し送信するサービスプロバイダーは:
| ●Visa 会員番号1, | |
| ●CVV, CVV2, iCVV1 及び/または | |
| ●その他のクレジット・カード会員データ1, |
について、ペイメント・カード業界データセキュリティ基準(PCI DSS)を遵守しなければなりません。 加えて、暗号化キー及び/または、暗証番号(PIN)などのデータを保存、処理及び/あるいは送信するサービスプロバイダーは、PINセキュリティ基準を遵守しなければなりません。 3-Dセキュア・アクセスコントロール・サーバー(Visaにより検証される)に関連するサービスを提供するサービスプロバイダーについては、下記「PCI PINセキュリティ基準の遵守」を参照ください。
別段の指定のない限り、アジア太平洋に於いてVisaの認定カードベンダプログラムに登録したサービスプロバイダーは、サービスプロバイダーのレジストリに自動的に含まれることとなります。
上記のカテゴリーの何れにも該当しないサービスプロバイダーは、エージェント登録プログラムに基づきアジア太平洋地区のVisaクライアントによる登録が必要になります。この確認に当たっては、貴社との提携Visaクライアントまでお問い合わせください。
Visaクライアントとの直接的なビジネス関係を持っていないサービスプロバイダーについては、関係、提供されたサービスの種類及び、ビジネス関係の期間を確認するために、少なくとも現在の顧客の一つからの照会を必要とします。
1これらの専門用語の定義については用語解説をご参照ください。
■PCI DSSの遵守
Visaカード会員アカウントまたは、トランザクション情報を保存、処理及び/あるいは、送信するサービスプロバイダーは、以下に示すとおりPCI DSSを遵守しなければなりません:
| | 年間300,000 Visa トランザクション 以上 | 年間300,000 Visa トランザクション 未満 |
| PCI DSS オンサイト審査 | 必須 | 推奨 |
| 四半期毎の ネットワーク スキャン | 必須 | 必須 |
| 自己問診(SAQ) | オプション | 必須 |
PCI DSSオンサイト・セキュリティ審査は、PCI Security Standards Council (PCI SSC)によって承認された公認の監査会社(QSA)によって実施されなければなりません。
四半期毎のネットワークスキャンは、PCI SSCによってリストアップされた認定セキュリティ評価ベンダー(Approved Scanning Vendor 「ASV」) によって実行されなければなりません。
PCI DSS, 公認の監査会社(QSA)及び認定セキュリティ評価ベンダー(ASV)のリストに付いての詳細情報は、ウェブサイト: www.pcisecuritystandards.org.にアクセスしてください。
OSAによるオンサイト審査を経てPCI DSSへの完全準拠が証明されたサービスプロバイダーのみがレジストリ上のリストに記載される点に留意してください。
自己問診及びネットワークスキャンのみの要件を満たしたサービスプロバイダーに対しては、自由にVisaへの登録を行うことができます。しかし、レジストリには記載されません。
VisaNetエクステンデッド・アクセスサーバー(VEAS)を経由して直接Visaに接続するサービスプロバイダーは、追加の要件を遵守しなければなりません。詳細については、現地のVisaオフィスへご連絡ください。
■PCI PINセキュリティ基準の遵守
暗証番号(Personal Identification Numbers)を保存、処理及び/あるいは、送信するサービスプロバイダーは、PINセキュリティ基準を遵守しなければなりません。これらのサービスプロバイダー各社は、PINセキュリティ・プログラムに基づきVisaによる検査を受けることとなります。 PINセキュリティ基準の詳細情報については、ウェブサイト:www.visa.com/pinsecurity にアクセスするか、Eメールでappinsec@visa.com.宛てにお問い合わせください。 Visa検査プロセスの詳細についてお知りになりたい場合は、貴社の地域のVisaオフィスにお問い合わせください。
■3-D セキュア・アクセス・コントロールサーバー・セキュリティ基準 (3-D Secure Access Control Server Security Standards)
Visa認証プログラムに基づいて、3-D セキュア・アクセス・コントロールサーバー(ACS)に関連するサービスを提供するサービスプロバイダーは、かかるサービスの提供を行う前にVisaによる検査を受けなければなりません。 3-D セキュア・アクセス・コントロールサーバー・セキュリティ要件についての詳細情報をご覧になりたい場合は、ウェブサイト:www.visa.com/3-DSecure.にアクセスしてください。
