PCI Security Standards Council

Pro poskytovatele služeb / agenty

Pravidla kartových společností definují poskytovatele služeb jako subjekty, které v rámci zpracování kartových dat poskytují služby

  • bankám (Member Agent)
  • obchodníkům (Merchant Agent)

Všichni poskytovatelé služeb, kromě zajištění a validace shody s PCI DSS, musí být registrováni. Registraci poskytovatelů služeb typu Member Agent (poskytují služby bankám) zajistí, po předchozí vzájemné dohodě, příslušná banka, které poskytují služby zpracování kartových dat, a to u hlavních kartových společností MasterCard a VISA Europe.

Poskytovatelé služeb typu Merchant Agent (poskytují služby přímo obchodníkům) se musejí registrovat sami u VISA Europe na stránkách: www.visamerchantagents.com. Součástí registrace je prokázání shody s PCI DSS - k dispozici musí být Zpráva o shodě (ROC) nebo Osvědčení o shodě (AOC). Pokyny k registraci v českém jazyce naleznete zde, resp. jsou ke stažení v části Ke stažení / PCI-DSS (materiál Registrace MA). Po úspěšné registraci budou Merchant Agenti následně uvedeni na seznamu registrovaných poskytovatelů služeb na stránkách: www.visamerchantagentslist.com.

Společnost MasterCard zatím požadavek na registraci všech Merchant Agentů nemá.

Typickými příklady Agentů jsou:

  • Zprostředkovatelé v cestovním ruchu (Online rezervační agentury např. pro hotely, cestovní kanceláře a agentury, letecké společnosti a půjčovny aut)
  • Call Centra
  • Řešení zpracování plateb obchodníka
  • Zprostředkovatelé zúčtování a vypořádání obchodů
  • Poskytovatelé platební bran
  • Poskytovatelé platebních služeb
  • Poskytovatelé Web-hostingu
  • Služby detekce podvodů (Monitoring)
  • Služby věrnostních programů

Agentem tedy nejsou fyzické osoby – zaměstnanci. Obecně jsou poskytovatelé služeb / agenti zařazeni podle typu a počtu transakcí provedených za rok do odpovídající úrovně, přičemž jsou definovány 2 úrovně. (Pro obchodníky jsou definovány 4 úrovně.)

Pro každou úroveň jsou stanovena kriteria hodnocení dle PCI DSS (ověřování shody plnění požadavků PCI DSS), která musí poskytovatel služeb / agent k validaci splnit. Kriteria jsou definována kartovými společnostmi.

V případě vyhodnocování shody externím auditorem je informace o dosažení validace dokládána poskytovatelem služeb / agentem jeho bance nebo přímo příslušné kartové společnosti resp. asociaci jednou ročně prostřednictvím zprávy o výsledku auditu, která má podobu Zprávy o shodě (ROC). V opačném případě, pokud vytváří zprávu Poskytovatel služby / agent sám, nejdříve vyplní dotazník vlastního hodnocení SAQ D a odevzdá ho bance vyplněný společně s dokumentem Osvědčení o shodě (AOC), který je též součástí dotazníku SAQ D.

Validace shody poskytovatele služeb / agenta s PCI DSS (dle úrovně) může být zajištěna následujícími subjekty:

QSA (Qualified Security Assessor) - externí certifikovaný auditor, který provede audit přímo na místě. Poskytovatel služeb / agent předkládá své zpracovatelské bance resp. kartové společnosti od auditora Zprávu o shodě (ROC). Seznam auditorů je k dispozici na oficiálních stránkách PCI standardů. Tento typ validace je nutný v případě zařazení poskytovatele služeb / agenta do úrovně 1 (zpracování 300 a více tisíc kartových transakcí za rok).

Odborný zaměstnanec poskytovatele služeb / agenta v případě zařazení poskytovatele služeb / agenta do úrovně 2 (zpracování méně než 300 tisíc kartových transakcí za rok). Ten provede sebehodnotící audit a vyplní příslušný Dotazník vlastního hodnocení typu D (SAQ) včetně Osvědčení o shodě (AOC), příp. sestaví Zprávu o shodě (ROC). Dotazník vlastního hodnocení D je popsán v části Informace k dotazníkům a ke stažení v části SAQ dotazníky.

ASV (Approved Scanning Vendor) - provádí externí testování zranitelnosti (scan), seznam dodavatelů testování zranitelnosti je k dispozici na oficiálních stránkách PCI.