PCI DSS kereskedői szintek: Level 1–4 kötelezettségek

A PCI DSS-ben a kereskedők négy szintre (Level) osztályozódnak, amelyek az éves kártyás tranzakcióvolumen alapján kerülnek meghatározásra. A szint határozza meg a kötelező megfelelőségi dokumentáció típusát és az auditi kötelezettségek mértékét.

Level 1: a legnagyobb kereskedők

A Level 1 kereskedőkre vonatkozó kritériumok (Visa és Mastercard szerint): évi több mint 6 millió Visa VAGY Mastercard tranzakció; vagy bármely kereskedő, akinek adatsértése volt; vagy bármely kereskedő, akit a kártyahálózat Level 1-nek minősít. Level 1 kötelezettségek: kötelező éves QSA helyszíni audit; ROC (Report on Compliance) benyújtása; negyedéves hálózati szkennelés (ASV); éves penetrációteszt. Ez a legterjesebb megfelelőségi folyamat.

Level 2: közepes tranzakcióvolumen

Level 2 kritériumok: évi 1–6 millió Visa VAGY Mastercard tranzakció. Level 2 kötelezettségek: éves SAQ kitöltése (QSA opcionálisan bevonható); negyedéves ASV hálózati szkennelés; éves penetrációteszt; Compliance Status Report benyújtása acquirernek.

Level 3 és Level 4: kisebb kereskedők

Level 3: évi 20 000–1 millió online Visa/Mastercard tranzakció. Kötelezettségek: éves SAQ; negyedéves ASV (bizonyos esetekben). Level 4: évi kevesebb mint 20 000 online Visa/Mastercard tranzakció, ill. évi 1 millión aluli összes tranzakció. Kötelezettségek: éves SAQ (erősen ajánlott, az acquirer követelheti); negyedéves ASV (az acquirer követelheti). Level 4 kereskedők számára a SAQ A (22 kérdés) tokenizációval a legkönnyebb megfelelőségi út.

Szint meghatározása: Visa vs. Mastercard vs. Amex

Fontos: Visa és Mastercard a tranzakcióvolumenjüket külön számolják, de az alacsonyabb szintű kártya határozza meg az alacsonyabb Level-t. Az Amex külön szintrendszert használ. Az acquirer banktól szükséges pontosan tisztázni a szintet, mert az acquirereknek van mozgásterük a szintbesorolásban (pl. kockázatosabb iparágakban magasabb szintre sorolhatják a kereskedőket).

---