Efter 1 feb kommer Service providers bedömas lite annorlunda. Även om man hanterar auktorisation i och settlenet kommer man kunna bli bedömd utifrån transaktionsvolym istället för som innan att kvalificeras till extern revision baserad på vilken roll man agerar som.
Nytt är att payment providers som har över 300.000 transaktioner per år kategoriseras som level 1. Under 300.000 trasaktioner per år blir kategoriserade som level 2.
Även vad man som QSA ska skicka till Visa har ändrats. För Level 1 vill Visa endast ha in "Attestation of Compliance Form" (finns i ett Appendix i PCI DSS Security Audit Procedures) och "Executive Summary" av ROCen (Report on Compliance).
Level 2 service providers behöver endast skicka in version D av "Self-Assessment Questionnaire" (SAQ). Skillnaden är att utgivare och inlösare kommer bli ansvariga för att SAQn är korrekt och riktig. Skillnaden vidare är att Visa inte längre kommer gå igenom hela rappoten, utan det bli utgivarna och inlösarnas ansvar att gå igenom den fullständiga rapporten. Det här var helt väntat eftersom man kan tänka att Visa har haft en hel del att göra när hela världens ROCar kommit in till dem. Läs mer
Inga kommentarer:
Skicka en kommentar