PCI DSS Self-Assessment Questionnaire
指令文
カード会員データを保存、処理、または送信するすべての加盟店の場所または単位は、Payment Card Operationsと提携して毎年自己評価を実施する必要があります。
指令の理由
フロリダ大学のクレジットカード加盟店は、顧客のクレジットカードデータを保護し、PCI DSSに最大限準拠するために、厳格な手順に従うことが要求されます。 このような情報の保護に失敗すると、顧客の金銭的損失、クレジットカード処理権限の停止、クレジットカード加盟店に課される罰金、大学の評判への損害につながる可能性があります。
誰が遵守しなければならないか
カード会員情報を保存、処理、転送する職員がいる大学のすべての部門。 これは、ペイメントカード情報の処理を第三者のベンダーに委託する部門にも適用されます。
概要
PCI DSS 自己評価質問票(SAQ)は、加盟店とサービスプロバイダが PCI DSS への準拠を自己評価するのを支援することを目的とした検証用ツールです。 フロリダ大学内のすべての加盟店は、毎年SAQを完了することが義務付けられています。 SAQ には、さまざまなシナリオに対応するために複数のバージョンがあります。
| SAQ | 説明 |
|---|---|
| A | Card-not-present (e-commerce or mail/telephone-order) merchants.これは、カードが存在しない(電子商取引または通信販売)加盟店です。 すべてのカード会員データ機能をPCI DSS準拠の第三者サービスプロバイダに完全にアウトソーシングし、加盟店のシステムまたは敷地内にカード会員データの電子的な保管、処理、伝送を一切行っていないもの。 対面チャネルには適用されません |
| A-EP | すべての支払処理をPCI DSS検証済みの第三者にアウトソースし、カード会員データを直接受信しないが支払取引のセキュリティに影響を与える可能性のあるWebサイトを持つ電子商取引加盟店。 加盟店のシステムまたは敷地内でカード会員データの電子データの保存、処理、または伝送を行わない。 電子商取引チャネル |
| B | のみを使用する加盟店にのみ適用される。
電子商取引チャネルには該当しない |
| B-IP | 電子カード会員データストレージなしで支払プロセッサにIP接続したPTS認可の独立型支払端末だけを使用するマーチャント。 電子商取引チャネルには適用されません |
| C-VT | PCI DSS検証済みの第三者サービスプロバイダが提供およびホストするインターネットベースの仮想支払端末ソリューションにキーボードから一度に1件の取引を手動で入力するマーチャント。 電子カード会員データ保存なし 電子商取引チャネルには適用されません |
| C | インターネットに接続された支払アプリケーションシステムを持つ加盟店 – 電子カード会員データ保存なし 電子商取引チャネルには適用できません |
| D | |
| P2PE | 有効なPCI SSCリスト入りポイントツーポイント暗号化(PP2E)ソリューションに含まれそれを介して管理されるハードウェア支払端末のみを使用し、電子カード会員データを保存しない加盟店 Eコマースのチャネルには適用されません。 |
PCIセキュリティ基準評議会は、年次SAQの完了を支援するSAQインストラクションガイドを提供しています。
定義
Payment Card Industry Data Security Standards (PCI DSS)
カード会員のセキュリティデータのセキュリティを奨励および強化し、グローバルに一貫したデータセキュリティ対策を幅広く採用できるよう開発されたのがPCIデータセキュリティ基準(PCI DSS)です。 PCI DSSは、加盟店、プロセッサー、取得者、発行者、サービスプロバイダーなど、ペイメントカード処理に関わるすべての事業者に適用されます。 また、PCI DSSは、カード会員データを保存、処理、または送信するその他のすべての事業体にも適用されます。
最終更新日
2021/01/31:見直し内容