PCI Security Standards Council

Pro obchodníky

Pravidla kartových společností definují 4 úrovně, do kterých jsou obchodníci zařazeni podle typu a počtu transakcí provedených za rok. (Pro poskytovatele služeb v oblasti zpracování kartových transakcí jsou definovány 2 úrovně.)
Pro každou úroveň jsou stanovena kriteria hodnocení dle PCI DSS (ověřování shody plnění požadavků PCI DSS), která musí Obchodník (poskytovatel služeb) k  validaci splnit. Kriteria jsou definována kartovými společnostmi.

Informaci o dosažení validace dokládá Obchodník své bance, která mu provádí zpracování kartových transakcí (zpracovatelská banka), jednou ročně prostřednictvím zprávy o výsledku auditu, která má podobu Zprávy o shodě – ROC, pokud shodu vyhodnocuje externí či interní auditor nebo Dotazníku vlastního hodnocení – SAQ, jehož součástí je dokument Osvědčení o shodě – AOC (vyplňuje Obchodník).

Validace shody obchodníka s PCI DSS (dle úrovně) může být zajištěna následujícími subjekty:
QSA (Qualified Security Assessor) - externí certifikovaný auditor, který provede audit přímo na místě. Obchodník předkládá své zpracovatelské bance od auditora Zprávu o shodě (ROC). Seznam auditorů je k dispozici na oficiálních stránkách PCI standardů.
ISA (Internal Security Auditor) - vlastní zaměstnanec obchodníka, který úspěšně absolvoval certifikační program PCI DSS. Provede sebehodnotící audit a vyplnění příslušného Dotazníku vlastního hodnocení (SAQ) včetně Osvědčení o shodě (AOC), příp. sestaví Zprávu o shodě (ROC). Jednotlivé typy Dotazníků vlastního hodnocení jsou uvedeny v části Informace k dotazníkům.
Odborný zaměstnanec obchodníka, který nemusí být certifikovaný jako ISA, v případě zařazení obchodníka do úrovně 3 a 4, který provede sebehodnotící audit a vyplní příslušný Dotazník vlastního hodnocení odpovídajícího typu (SAQ) včetně Osvědčení o shodě (AOC).

Požadavky validace:
Následující tabulka uvádí požadavky validace shody s PCI DSS. Do jaké úrovně Obchodník akceptující Platební karty spadá, sdělí jeho příslušná zpracovatelská banka (banka, provádějící zúčtování kartových transakcí) včetně případného upřesnění o výběru typu Dotazníku vlastního hodnocení či informace o nutnosti provádění scanů zranitelnosti.

  
Úroveň obchodníka Validační požadavky vyžadované bankou

1.

Provedení auditu prostřednictvím externího auditora (QSA) nebo certifikovaného interního auditora (ISA) s výstupní Zprávou o shodě (ROC)

+ Čtvrtletní scan od ASV (pokud lze aplikovat)

2.

Provedení auditu prostřednictvím externího auditora (QSA) se Zprávou o shodě (ROC) nebo vyplnění SAQ dotazníku včetně Osvědčení o shodě (AOC) prostřednictvím interního certifikovaného auditora (ISA)

+ Čtvrtletní scan od ASV (pokud lze aplikovat)

3.

Vyplnění SAQ dotazníku vč. Osvědčení o shodě (AOC)

+ Čtvrtletní scan od ASV (pokud lze aplikovat)

4.

E- commerce obchodníci:

Použití PCI DSS validovaného 3D secure poskytovatele služeb (service providera)

NEBO

 Vyplnění SAQ dotazníku vč. Osvědčení o shodě (AOC)

+ Čtvrtletní scan od ASV (pokud lze aplikovat)

Non e-commerce obchodníci:

Vyplnění SAQ dotazníku vč. Osvědčení o shodě (AOC)

+ Čtvrtletní scan od ASV (pokud lze aplikovat) 

 
Obchodník se dozví kategorii, do které spadá od své akceptační banky. Svoje povinnosti (prokazování shody s PCI DSS) si plní vůči své bance, které zajistí další povinnosti včetně reportování vůči kartovým společnostem / asociacím.