常见问题｜万事达卡

什么是万事达卡站点数据保护（SDP）项目？

SDP项目是万事达卡支持PCI安全标准的项目，旨在鼓励客户、商户和服务提供商防范账户信息泄露（ADC）事件。SDP项目促进了对安全流程、程序和网站配置中漏洞的识别和纠正。

谁需要遵守PCI DSS？

所有发卡机构、收单机构、商户、服务提供商以及其他任何存储、处理或传输Mastercard和Maestro账户数据的实体都必须遵守PCI DSS。

谁需要验证/向万事达卡报告其PCI DSS合规性？

SDP项目只要求商户和服务提供商验证其合规性。

我是收单机构或发卡机构。我是否需要向万事达卡验证/报告合规情况？

收单机构和发卡机构必须达到PCI DSS合规性，但是收单机构或发卡机构不需要向万事达卡报告其PCI DSS合规性。

我是一个商户。我需要做些什么来满足SDP项目的要求？

万事达卡建议您联系您的收单银行，以寻求帮助：

· 根据Mastercard和Maestro的年度交易量确定您的商户级别（L1、L2、L3或L4）。

· 确认PCI DSS合规性验证要求

您的收单机构将管理您的PCI DSS合规性并直接向万事达卡报告您的状态。万事达卡不接受商户发送的PCI DSS验证文件。

存储、处理或传输持卡人数据的商户必须符合PCI DSS，使用第三方提供的支付应用程序的商户必须只使用符合支付卡行业支付应用数据安全标准（PA-DSS）的支付应用程序。

我是一个收单机构。我需要做什么来满足SDP计划的要求？

收单机构负责为其L1、L2、L3和L4商户实施PCI DSS合规项目。为了确保符合SDP项目，您需要：

· 根据Mastercard和Maestro的年度交易总数，帮助确定商户等级。

· 审查并传达您每个L1、L2、L3和L4商户的商户合规验证要求

· 设定商户提交PCI DSS验证文件的截止日期

· 提交一份完整的SDP收单机构提交和合规状态表 sdp@mastercard.com 报告您商户的PCI DSS合规状态。(只有L1、L2和L3商户需要通过SDP表格进行报告。L4商户向万事达卡报告是可选的）。

我是一个服务提供商。我需要做些什么来满足SDP项目的要求？

万事达卡建议您查看SDP项目要求，以帮助您：

· 根据类型和每年的Mastercard和Maestro交易量，确定您的服务提供商级别（L1或L2）。

· 确认PCI DSS合规性验证要求

· 一旦符合要求，提交签署的合规证明（AOC）；或者对于那些符合SAQ的人，提交SAQ D AOC和最新的合格扫描至 pcireports@mastercard.com。

· 如果尚未合规，应完成服务提供商的PCI行动计划，并提交到 pcireports@mastercard.com。

存储、处理或传输持卡人数据的服务提供商必须符合PCI DSS标准，使用第三方提供的支付应用程序的服务提供商必须只使用符合PA-DSS的支付应用程序。

要想被列入SDP网站上每月更新的万事达SDP合规注册服务提供商名单，服务提供商必须向 pcireports@mastercard.com提交一份由QSA出具的AOC副本，反映该公司符合PCI DSS的验证，并被一个或多个万事达客户注册为服务提供商。 

我是一个SDP 1级服务提供商。我的PCI合规性验证要求是什么？

为了验证合规性，L1级服务提供商必须成功完成：

· 由PCI SSC批准的合格安全评估员（QSA）进行年度现场评估

· 由PCI SSC批准的扫描供应商（ASV）每季度进行一次网络扫描

我是一个SDP 2级服务供应商。我的PCI合规性验证要求是什么？

为了验证合规性，二级服务提供商必须成功完成：

· 每年一次的自我评估

· 由PCI SSC批准的扫描供应商（ASV）每季度进行一次网络扫描

我是一个SDP 1级商户。我的PCI合规性验证要求是什么？

为了验证合规性，L1级商户必须成功完成：

· 由PCI SSC批准的合格安全评估员（QSA）或内部审计师进行的年度现场评估

· 每季度由PCI SSC批准的扫描供应商（ASV）进行网络扫描

使用内部审计师进行合规性验证的L1商户必须确保参与验证PCI DSS合规性的主要内部审计师员工参加PCI SSC提供的内部安全评估师（ISA）计划，并且每年通过PCI SSC相关的认证考试，以便继续使用内部审计师。

我是一个SDP 2级商户。我的PCI合规性验证要求是什么？

为了验证合规性，二级商户必须成功完成：

· 由内部安全评估员（ISA）进行的年度自我评估，或者也可以自行决定聘请PCI SSC批准的QSA进行现场评估。

· 由PCI SSC批准的扫描供应商（ASV）每季度进行一次网络扫描

L2商户必须确保参与自我评估商户是否符合PCI DSS的工作人员参加PCI SSC提供的内部安全评估员（ISA）计划，并且每年通过PCI SSC的相关认证考试，以便继续选择自我评估进行合规验证。

我是一个SDP 3级商户。我的PCI合规性验证要求是什么？

为了验证合规性，L3商户必须成功完成：

· 每年一次的自我评估

· 由PCI SSC批准的扫描供应商（ASV）每季度进行一次网络扫描

注意：完成自我评估问卷（SAQ）的L3商户应咨询其收单机构，以确定哪种SAQ适合其环境。

我是一个SDP 4级商户。我的PCI合规性验证要求是什么？

不被认为是L1、L2或L3商户的商户是L4商户。虽然L4商户不需要向万事达卡验证/报告其PCI DSS合规性，但L4商户仍然需要符合PCI DSS，并且必须成功完成：

· 每年一次的自我评估

· 由PCI SSC批准的扫描供应商（ASV）每季度进行一次网络扫描

注意：完成自我评估问卷（SAQ）的L4商户应咨询其收单机构，以确定哪种SAQ适合其环境。

如果我使用EMV或P2PE等安全技术，是否有其他方法可以向万事达卡验证PCI合规性？

万事达卡为采用EMV或P2PE等安全技术的商户提供了验证其PCI DSS合规性的其他方式。符合条件的商户可以通过万事达基于风险的方法（仅适用于符合条件的非美国商户）或万事达PCI合规性验证豁免计划（"豁免计划"）（适用于所有地区的合格商户）来验证合规性。

基于风险的方法和PCI合规性验证豁免计划都为商户提供了一些验证/报告方面的帮助。万事达卡鼓励您查看《安全规则和手续--商户版》手册中的2.2.4万事达卡网络安全激励计划中万事达卡PCI DSS风险为本的方法和万事达卡PCI DSS合规验证豁免项目，了解