加盟店レベルと検証要件の決定方法について

カード会員データを保有、処理、伝送するすべての加盟店の皆様はPCIコンプライアンスに準拠しなければなりません。下記レベル１、2.、3のいずれかの条件に該当する加盟店の皆様方においては、契約するアクワイアラにコンプライアンス状況を直接報告しなければなりません。

多くの事業者様より加盟店レベルの決定方法ついてお問い合わせがございます。加盟店の皆様は、先ずはご契約のアクワイアラにご連絡ください。契約アクワイアラからの協力を得ることで、次のステップを完了することが可能です。

• 過去52週間のMastercardブランドカードの取扱件数を特定すること。
• PCIコンプライアンスの検証要件（オンサイトアセスメントまたは自己問診、自己問診票、外部脆弱性スキャン）を確認すること。
• 該当する場合、認定ベンダーを導入し、検証を実施すること。
• 加盟店様のPCIコンプライアンス準拠が証明されたら、加盟店様は準拠証明資料をアクワイアラに提出してください。その後、加盟店様のコンプライアンス状況をアクワイアラがMastercardに報告すること。

1. 2012年6月30日付、社内監査人によるオンサイトアセスメント実施を選択するレベル１加盟店が、社内監査人を使用し続けるためには、PCIDSSのコンプライアンス検証に関与した社内監査人の代表従業員が毎年必ずPCI SSC主催のISAトレーニングプログラムに参加し、かつPCI SSC ISA資格に合格しなければなりません。
2. 四半期ごとのネットワーク・スキャンはPCISSC認定スキャニングベンダー(Approved Scanning Vendor)によって実施されなければなりません。
3. レベル1加盟店の初期のコンプライアンス検証期日は過ぎています。2020年3月31日の準拠期限日は、日本国内の所在する対面取引加盟店のみを対象とし、非対面取引加盟店は対象外です。
4. 2012年6月30日付、自己問診表による検証の実施を選択するレベル2加盟店が、コンプライアンス検証に自己問診実施のオプションを継続するためには、自己問診に関与した従業員が毎年必ずPCI SSC主催のISAトレーニングプログラムに参加し、かつPCI SSC ISA資格に合格しなければなりません。レベル2加盟店は、自己の裁量により、代替として自己問診表を完了させずにPCISSC認定 QSAによるオンサイトアセスメントを完了することがあります。
5. レベル4加盟店はPCIデータセキュリティ基準に準拠しなければなりません。レベル4加盟店の場合、コンプライアンスの検証が必要であるか決定するためには、契約アクワイアラに相談してください。
6. PCI DSS Prioritized Approach Milestone 1による検証の対象となるのは対面取引加盟店のみです。非対面取引加盟店は対象外です。