Tous les commerçants qui stockent, traitent ou transmettent des données sur les titulaires de carte doivent respecter les normes de sécurité de l’industrie des cartes de paiement (PCI). Chaque commerçant classé de niveau 1, de niveau 2 ou de niveau 3 doit déclarer son statut de conformité directement à l’acquéreur.

Le classement du niveau d’un commerçant soulève souvent des questions. Mastercard recommande aux commerçants de communiquer avec leur acquéreur et, en collaboration avec celui-ci, ils pourront ensuite suivre les étapes suivantes :

• Déterminer le niveau du commerçant en utilisant le volume de transactions Mastercard des 52 dernières semaines
• Confirmer les exigences nécessaires pour respecter les normes PCI
• Obtenir les services d’un fournisseur agréé, au besoin, et suivre les procédures de validation

Lorsqu’un commerçant est confirmé comme étant conforme aux normes PCI, il doit transmettre les exigences de validation à son acquéreur, qui transmettra par la suite le statut de conformité du commerçant à Mastercard.

1. À compter du 30 juin 2012, les commerçants de niveau 1 qui choisissent d’utiliser leur service de vérification interne pour effectuer une évaluation annuelle sur place doivent s’assurer que le personnel chargé de la validation d’une complète conformité des normes PCI DSS ait suivi la formation d’évaluateur de la sécurité interne (en anglais, Internal Security Assessor ou ISA) de l’industrie des cartes de paiement (en anglais, Payment Card Industry Security Standards Council ou PCI SSC) et qu’il a obtenu l’accréditation annuelle associée au programme, et ce, afin de pouvoir continuer d’utiliser leur service de vérification interne.

2. Les balayages de sécurité trimestriels doivent être effectués par un fournisseur approuvé de service de balayage (Approved Scanning Vendor - ASV) par l'industrie des cartes de paiement (PCI).

3. La date initiale de conformité de juin 2005 pour les commerçants du niveau 1 est désormais passée. La date butoir du 30 juin 2012 concerne uniquement la formation et la certification et elle ne touche que les commerçants qui choisissent d’utiliser leur service de vérification interne pour effectuer une évaluation annuelle sur place.

4. À compter du 30 juin 2012, les commerçants de niveau 2 qui choisissent de remplir le questionnaire d’autoévaluation annuelle doivent s’assurer que le personnel chargé de l’autoévaluation ait suivi la formation d’évaluateur de la sécurité interne (Internal Security Assessor ou ISA) de l’industrie des cartes de paiement (PCI SSC) et qu’il a obtenu l’accréditation annuelle associée au programme, et ce, afin de pouvoir continuer d’utiliser l’option du questionnaire d’autoévaluation annuelle. 
Autrement, les commerçants de niveau 2 peuvent, à leur propre discrétion, effectuer une évaluation annuelle sur site menée par un évaluateur de sécurité qualifié (QSA) approuvé par PCI SSC.

5. Les commerçants de niveau 4 doivent se conformer aux exigences des normes de sécurité des données (Data Security Standard ou DSS) de l’industrie des cartes de paiement. Les commerçants de niveau 4 sont invités à consulter leur acquéreur pour déterminer si la validation de la conformité est également nécessaire.