검색:

Navigation

    카드 취급 서비스 제공업체 등록부 카드 정보 보안(AIS) 프로그램 여행자 수표 취급 가맹점 교육

카드 정보 보안(AIS) 프로그램

가맹점


준수 인증 세부 사항

매입사들은 자사의 모든가맹점이 PCI데이터 보안 규정(DSS)을 
준수하는지 확인할 책임이 있습니다. 그러나 가맹점의 준수 인증은
거래량, 잠재 리스크, 지불 시스템의 노출 정도에 기반하여 우선순위가 정해집니다.
 
레벨 1, 레벨 2 가맹점의 금지 데이터 저장 마감 기한
2009년 9월 30일까지 매입사들은 자사의 레벨 1, 레벨 2
가맹점들이 거래 승인 후 민감한 승인 정보 (전체 마그네틱
띠/트랙, CVV2, PIN 데이터) 를 보유하지 않도록 확인해야 합니다.
 
* 상기 마감 기한 이후, 준수 증명서 양식을 제출하지 않은 매입사 및 금지된 정보를 저장한 가맹점을 매입한 회사를 대상으로 비자는
벌금등과 같은 제제를 적용할 수 있습니다.
 
레벨 1 가맹점의 PCI DSS 준수 인증 마감 기한 
2010년 9월 30일 까지 매입사들은 자사의 레벨 1 가맹점이 PCI DSS완전 준수를 인증 받았음을 증명해야 합니다.
 
* 상기 마감 기한 이후, 모든 레벨 1 가맹점의 완전 준수를 증명하지
않은 매입사를 대상으로 비자는벌금등과 같은 제제를 적용할 수
있습니다.
 
레벨 1, 2, 3 가맹점의 준수 보고
AIS프로그램 조건의 준수 확인을 위해 매입사는 다음과 같은 레벨 1,2,3 가맹점의 준수 상태 보고서를 1년에 두번씩 제출해야 합니다.
  • 레벨 1 가맹점의 PCI DSS준수상황을 포함한 매입사 보고서
  • 레벨 2 가맹점의PCI DSS준수상황을 포함한 매입사 보고서
  • 레벨 3 가맹점의 준수관련 통계적 수치 보고
참고: 매입사는 위의 가맹점 준수 리포트(Merchant Compliance Validation Report)에 TIP에 적용되는 레벨 1과 2 가맹점들도 포함 하셔야 합니다.

Back to top

가맹점 레벨과 인증 조건

비자는 거래량, 잠재 리스크, 비자 시스템의 노출 정도에 기반하여 
다음과 같이 가맹점 인증 레벨을 규정합니다.
 
모든 가맹점은 12개월간의 총 비자 거래량에 기준하여 하단의 네 가지 레벨중 하나에 해당됩니다. 거래량은 가맹점의 사업명(“DBA”)기준
총 비자 거래 량(신용카드거래, 직불(Debit)카드거래, Pre-paid
카드거래 포함)에 기준 합니다. 가맹점이 여러개의 DBA를 지닐 경우, 인증 레벨 규정을 위해 회원사는 반드시 기업의 저장, 처리, 전송한
총 거래 규모를 고려해야 합니다. 여러 개의 DBA에 대해 가맹점이
데이터를 총계하지 않거나, 기업이 여러 개의 DBA를 대표하여 카드
사용자의 데이터를 저장, 처리, 전송하지 않을 경우, 회원사들은 인증 레벨 결정 시 DBA의 개별 거래량을 고려해야 합니다.
 
레벨
가맹점 기준
인증 조건
1
연간 6백만 건 이상(모든 채널)의 비자 거래를
처리하는 가맹점 또는
비자가 지정한 글로벌
레벨 1가맹점
 • 인증 보완 감사원(“QSA”)또는
   내부 감사자[1] 가 실시한 연간
   준수 보고서(“ROC”)
 • 승인 스캔 벤더 (“ASV”)의
   분기별 취약성 스캔
 • 준수 증명서 양식[2]
2
연간 백만~ 6백만 건
이상(모든 채널)의 비자
거래를 처리하는 가맹점
 • 연간 자가 평가 질문 지(“SAQ”)
 • ASV의 분기별취약성 스캔
 • 준수 증명서 양식
3
연간 2만~백만 건의 비자 전자 상거래를 처리하는
가맹점
 • 연간SAQ
 • ASV의 분기별 취약성 스캔
 • 준수 증명서 양식
4
연간 2만 건 미만의 비자 전자상거래를 처리하는
가맹점 및 연간 백만 건의 비자 거래를 처리하는
가맹점
 • 연간 SAQ
 • 적용 가능 시, ASV의 분기별
   취약성 스캔
 • 매입사가 설정한 준수 인증
   조건 준수
 
1.가맹점이 내부 감사자를 통해PCI DSS 평가 완수하였을 경우,
가맹점의 임원(예. CEO, CFO, CTO)이 반드시 준수 증명서
양식에 서명해야 한다.
2.준수 증명서 양식- PCI DSS 조건 및 보안 평가 절차의 부록 D.

Back to top

Technology Innovation Program (TIP)

비자 TIP는 카드 개인 정보 보호를 돕는 보안 행위를 강화하고 지불시스템을 보호하기위한 비자의 지속적인 전략의 하나입니다.  이프로그램은 EMV 기술을 사용함으로 도용 정보의 가치를 낮추도록 도모합니다. 
 
2011년 3월 31일 부터, TIP 프로그램이 실효되며 미국외 자격이 되는 가맹점들은 PCI DSS 연간 인증을 실행하지 않아도 됩니다. 자격이 되는 가맹점들은 기존 연간 실행하던 인증 관련 비용을 줄임으로 다이나믹 데이터 프로세싱을 서포트하는 추가 기술에 더욱 투자할 수 있는 기회를 갖게 될 것입니다.
 
TIP 프로그램 자격 요건사항들
TIP 프로그램의 자격이 되기위해, 가맹점들은 다음의 조건들을 충족해야 합니다.
1.PCI DSS 완전 준수하거나, 갭(Gap) 분석 기준으로 완전준수를 성취하기위한 조정계획을 비자에 제출한 가맹점들.
2.PCI DSS 기준 민감한 정보를 저장하지 않은 가맹점들 ( 마그네틱 전체 정보, CVV2, 그리고 PIN 관련 정보).
3.전체 카드거래중 적어도 75퍼센트의 카드거래가 EMV터미널 (Chip-Reading Device1)에서 발생되는 가맹점들.
4.데이트 유실 사고가 없는 가맹점들. 데이터 유실사고 이후, PCI DSS 완전 준수된 가맹점은 TIP 프로그램의 자격이 됨.
 
위의 자격조건을 충족하지 못한 가맹점들과 온라인 가맹점 그리고 전화주문가맹점들은 계속하여 PCI DSS에 준수 해야 합니다.
 
모든 가맹점들은 지속적으로 PCI DSS 준수함으로 카드 고객들의 정보를 보호해야 합니다. 매입사들은 가맹점 PCI DSS준수에 대한 책임과 데이터 유실시 관련된 수수료와 벌금에대하여 책임이 있습니다.

1EMV 터미널이란 (Chip-Reading Device), 현재 EMV거래를 승인할 수 있는 장치로, 비자의Acquirer Device Validation Toolkit (ADVT) 혹은비자의 payWave Test Tool (VpTT) 를 통과하고 비자의Transaction Acceptance Device Requirements (TADR)에 준수하는  터미널입니다.

Back to top

  • 인쇄

바로가기

 

관련 링크

 
 
Home | 회사소개 | 채용정보 | 사이트맵 | 법적고지 | 개인정보보호정책 | 글로벌 사이트 | 아태지역 사이트
© Copyright Visa. All Rights Reserved.