TigerTeam - suomalainen tietoturvablogi

MasterCard on uudistanut kauppiasluokitteluaan ja määritellyt aikarajat, jolloin PCI-vaatimuksenmukaisuus pitää saavuttaa. Tasorajat noudattavat VISA:n rajoja, mutta vaatimuksissa on eroa.

Suurin uudistus lienee se, että nykyisin myös tason 2 kauppiaat, eli yli miljoona mutta alle kuusi miljoonaa MasterCard-transaktiota vuodessa käsittelevät kauppiaat, joutuvat teettämään auditoinnin virallisella auditorilla (QSA). Kauppiaan itse tekemä auditointi ei siis enää kelpaa.

Aikaraja vaatimuksenmukaisuuden saavuttamiseksi tason 1 ja 2 kauppiaille on 31.12.2010.

Myös pienempien kauppiaiden osoittamisvelvollisuudet ovat kiristyneet. Itsearviointilomakkeen täyttäminen ja hyväksytyn toimijan (ASV) tekemät neljännesvuosittaiset skannaukset ovat pakollisia kaikille kauppiaille, joskin tason 4 kauppiaiden suhteen maksuliikennetoimija (ns. acquirer) voinee lieventää vaatimuksia.

MasterCardin luokitukseen vaikuttaa myös muiden korttiyhtiöiden tekemä luokitus. Mikäli toinen korttiyhtiö, esim. VISA, määrittelee kauppiaan olevan tason 1 kauppias, nousee MasterCardin luokitus myös ensimmäiseen luokkaan riippumatta MasterCard-transaktioiden määrästä.

Mielenkiintoiseksi asian tekee se, että alan toimijoista JCB:llä on vain kaksiportainen luokittelu. Mikäli kauppias siis hyväksyy yhdenkin JCB-tapahtuman, on kauppias tason 2 JCB -kauppias ja samalla tason 2 MasterCard-kauppias, ja siten velvollinen teettämään onsite-auditoinnin. Näin siis teoriassa, käytännössä tulkinta tullee olemaan erilainen.

MasterCardin luokittelu löytyy täältä.