Niveaux définis des marchands

Validation de la conformité

Il incombe aux acquéreurs de veiller à ce que tous leurs marchands protègent l’information relative aux comptes Visa. La conformité au programme de la sécurité de l’information concernant les comptes (SIC) est obligatoire. Le programme exige des marchands de valider la conformité à l’un des quatre niveaux de marchands en fonction du volume de transactions.

Niveaux définis des marchands

Il incombe aux acquéreurs de déterminer les niveaux d’exigences quant à la validation de la conformité de leurs marchands. Tous les marchands sont inclus dans l’une des quatre catégories de niveau de marchands en fonction de leur volume annuel de transactions Visa. Le volume de transactions d’un marchand dépend de l’ensemble des transactions Visa traitées par un marchand. Afin de confirmer le niveau de marchands, veuillez communiquer avec votre acquéreur.
Outils et Téléchargements

Les niveaux de marchands sont définis de la façon suivante :

Niveau de marchands Description

1

Tout marchand, sans égard au réseau d’acceptation, traitant annuellement plus de 6 000 000 de transactions Visa.

Tout marchand qui a été identifié par toute autre marque de carte de paiement comme faisant partie du niveau 1.

Tout marchand qui, selon Visa, à son entière discrétion, doit se conformer aux exigences applicables aux marchands de niveau 1 afin de réduire le risque pour le système Visa.

Tout marchand qui a été identifié par toute autre marque de carte de paiement comme faisant partie du niveau 1.

2

Tout marchand, sans égard au réseau d’acceptation, traitant annuellement entre 1 000 000 et 6 000 000 de transactions Visa.

3

Tout marchand traitant annuellement de 20 000 à 1 000 000 de transactions Visa du commerce électronique.

4

Tout marchand traitant annuellement moins de 20 000 transactions Visa de commerce électronique et tous les autres marchands, sans égard au réseau d’acceptation), traitant annuellement jusqu’à 1 000 000 de transactions Visa.


Fondements de la validation de conformité au programme SIC

En plus du respect des douze exigences et sous-exigences de la Norme de sécurité des données de l’industrie des cartes de paiement (Payment Card Industry (PCI) Data Security Standard (DSS)), la validation de la conformité est obligatoire pour les marchands des niveaux 1, 2 et 3 et fortement recommandée pour les marchands du niveau 4.

Niveau de marchands Mesure de validation Validé par Validé d’ici

1

Examen sur place

QSA

9/31/2010

Balayages de sécurité de PCI

ASV

2

Questionnaire annuel de PCI

Acquéreurs

09/31/2010

Balayages de sécurité de PCI

ASV

3

Questionnaire annuel de PCI

Acquéreurs

2005-12-31

Balayages de sécurité de PCI

ASV

4**

Questionnaire annuel de PCI

QSA

N/A

Balayages de sécurité de PCI

ASV

**Les marchands de niveau 4 doit également se conformer à la Norme PIC DSS, le mode de validation de la conformité pour le marchand est toutefois déterminé par l’acquéreur de ce dernier.

Procédures et documents de validation

Le marchand doit démontrer sa conformité en soumettant les documents requis à son acquéreur. Sur demande, ces documents doivent être mis à la disposition de Visa. Il incombe au marchand de payer les frais liés à la validation de sa conformité.


Marchand du niveau 1 :
Le Questionnaire annuel de PCI doit être rempli et un audit annuel de sécurité de PCI sur place (Annual On-Site PCI Data Security Assessment) doit être effectué par les marchands du niveau 1 conformément aux Procédures d’audit de sécurité PCI DSS et les résultats doivent être transmis à l’acquéreur. Les procédures d’audit de sécurité PCI DSS doivent être utilisées comme gabarit pour créer le rapport de conformité. Bien que les acquéreurs soient responsables de la sécurité des données des titulaires de carte Visa peu importe où ces données résident, la validation de la conformité SIC se concentre sur tout système ou toute composante de système lié à l’autorisation et au règlement où les données sur les titulaires de carte Visa sont stockées, traitées ou communiquées. La portée de la validation SIC est décrite dans les Procédures d’audit de sécurité PCI DSS Procedures.

Tous les deux ans, les marchands du niveau 1 peuvent choisir d’utiliser leur service de vérification interne pour effectuer un examen en fonction de la norme PCI DSS, à condition :

  1. qu’aucune modification importante n’ait été apportée à l’infrastructure de leur environnement de traitement des cartes de crédit ainsi qu’aux contrôles de compensation, le cas échéant;
  2. que l’acquéreur approuve ce choix;
  3. que le tout premier examen (validation d’une complète conformité en fonction de la norme PCI DSS) soit effectué par un QSA;
  4. que les Procédures d’évaluation de la sécurité PCI soient suivies et que toutes les observations et résultats soient consignés sur le formulaire de vérification;
  5. que l’examen soit signé par un cadre supérieur du marchand;
  6. que le marchand soumette les éléments 4 et 5 à l’acquéreur aux fins d’examen;
  7. que les balayages sur la sécurité des données PCI continuent d’être effectués par un fournisseur approuvé de services de balayage (ASV)

This internal audit option is available to Level 1 merchants only, and does not extend to service providers.

Si un marchand décide de ne pas utiliser son service de vérification interne, un évaluateur QSA doit effectuer la validation.


Marchands des niveaux 2 et 3 :
Le questionnaire annuel de PCI doit être rempli et les balayages de sécurité de données PCI doivent être effectués par les marchands des niveaux 2 et 3. Le questionnaire annuel de PCI doit être soumis à l’acquéreur du marchand. Le questionnaire annuel de PCI doit porter sur tout système ou composante de système qui touche le traitement, le stockage ou la communication des données sur les titulaires de carte Visa.


Marchands du niveau 4 :
Les marchands du niveau 4 doivent aussi se conformer aux Normes de sécurité des données en matière d’application des paiements de PCI. L’acquéreur du marchand doit choisir la méthode utilisée pour valider la conformité aux normes.

 

haut de la page