Fournisseurs de services Mastercard : exigences de validation, protection des données du site et PCI

Comment évaluer le niveau d’un fournisseur de services et les exigences en matière de conformité

Tous les fournisseurs de services externes (TPP, third-party processors) sont considérés comme des fournisseurs de services de niveau 1. Les entreprises de stockage de données (DSE, Data Storage Entity) sont classées comme des fournisseurs de services de niveau 1 ou de niveau 2, en fonction du volume annuel de transactions Mastercard.

Mastercard exige que tous les fournisseurs de services se conforment aux normes de la PCI

En fonction du niveau, évaluez les exigences de validation d’un fournisseur de services avant de choisir un fournisseur approuvé de service de balayage (ASV, Approved Scanning Vendor) ou un évaluateur qualifié en matière de sécurité (QSA, Qualified Security Assessor) au besoin.
Dès que vous êtes conformes aux normes, transmettez une attestation de conformité (AOC, Attestation of Compliance). Pour les fournisseurs admissibles utilisant le formulaire d’autoévaluation (SAQ, Self-Assessment Questionnaire), veuillez transmettre à Mastercard une copie de l’attestation de conformité signée SAQ D, accompagnée des résultats du plus récent balayage de système.

Remarque : Mastercard ajoute à sa liste uniquement les fournisseurs de services qui sont également inscrits et approuvés comme fournisseurs de services membres (MSP, Member Service Provider) du programme d’inscription de Mastercard (MRP, Mastercard Registration Program) et qui ont également réussi avec succès une évaluation annuelle sur place.

Tous les fournisseurs de services de niveau 1 doivent s’assurer de faire compléter une évaluation annuelle sur place par un évaluateur qualifié en matière de sécurité (QSA) du PCI SSC (Payment Card Industry Security Standards Council).
Les balayages trimestriels du réseau doivent être effectués par un fournisseur approuvé de service de balayage (ASV) par le PCI SSC.