Information à l'intention des fournisseurs de services externes et des entreprises de stockage de données

Renseignez-vous sur le rôle que vous devez jouer pour vous conformer aux normes de la PCI

Comment évaluer le niveau d’un fournisseur de services et les exigences en matière de conformité

Tous les fournisseurs de services externes (TPP, third-party processors) sont considérés comme des fournisseurs de services de niveau 1. Les entreprises de stockage de données (DSE, Data Storage Entity) sont classées comme des fournisseurs de services de niveau 1 ou de niveau 2, en fonction du volume annuel de transactions Mastercard.

Mastercard exige que tous les fournisseurs de services se conforment aux normes de la PCI

  • En fonction du niveau, évaluez les exigences de validation d’un fournisseur de services avant de choisir un fournisseur approuvé de service de balayage (ASV, Approved Scanning Vendor) ou un évaluateur qualifié en matière de sécurité (QSA, Qualified Security Assessor) au besoin.

  • Dès que vous êtes conformes aux normes, transmettez une attestation de conformité (AOC, Attestation of Compliance). Pour les fournisseurs admissibles utilisant le formulaire d’autoévaluation (SAQ, Self-Assessment Questionnaire), veuillez transmettre à Mastercard une copie de l’attestation de conformité signée SAQ D, accompagnée des résultats du plus récent balayage de système.

Remarque : Mastercard ajoute à sa liste uniquement les fournisseurs de services qui sont également inscrits et approuvés comme fournisseurs de services membres (MSP, Member Service Provider) du programme d’inscription de Mastercard (MRP, Mastercard Registration Program) et qui ont également réussi avec succès une évaluation annuelle sur place.

Niveaux des fournisseurs de services de protection des données

Catégorie Critères Exigences
Niveau 1
  • Tous les fournisseurs de services externes (TPP)
  • Toutes les entreprises de stockage de données (DES) traitant annuellement plus de 300 000 transactions Mastercard et Maestro (combinées).
  • Analyse annuelle sur place effectuée par un évaluateur qualifié en matière de sécurité (QSA)1
  • Analyse trimestrielle du réseau effectuée par un fournisseur approuvé de service de balayage (ASV)2
Niveau 2
  • Toutes les DES traitant annuellement jusqu’à 300 000 transactions Mastercard et Maestro (combinées)
  • Autoévaluation annuelle
  • Analyse trimestrielle du réseau effectuée par un fournisseur approuvé de service de balayage (ASV)2
  1. Tous les fournisseurs de services de niveau 1 doivent s’assurer de faire compléter une évaluation annuelle sur place par un évaluateur qualifié en matière de sécurité (QSA) du PCI SSC (Payment Card Industry Security Standards Council).
  2. Les balayages trimestriels du réseau doivent être effectués par un fournisseur approuvé de service de balayage (ASV) par le PCI.

Comment s’inscrire comme fournisseur de services

Mastercard exige que toutes les principales banques et institutions financières membres transmettent en leur nom et en celui de leurs affiliés une demande d’inscription pour devenir un fournisseur de services inscrit dans la base de données du programme d’inscription de Mastercard (MRP). Cette exigence n’est pas nécessaire si le membre principal ne fournit des services qu’à lui-même ou à ses affiliés. Lorsqu’un fournisseur de services entretient une relation directe avec une ou plusieurs banques ou institutions financières, il doit communiquer avec chacune d’elles pour transmettre une demande en leur nom.

Pour faire une demande d’accès à l’outil de gestion des affaires (BA, Business Administration)

  1. Envoyez un courriel à customer_support@mastercard.com
  2. Faites une demande d’accès à l’outil (BA).
  3. Notre service à la clientèle confirmera l’accès à l’outil BA via le service Mastercard ConnectMC, notre portail sécuritaire.

Processus d’inscription

  1. Ouvrez une session Mastercard ConnectMC et choisissez « Business Administration Tool ».
  2. Accédez à « Business Administration/Register & Provision a Company ».
  3. Choisissez « Provision a Company ».
  4. Cliquez sur « Provision & Manage Your Service Provider ».
  5. Cliquez sur « Create new registration » si vous ne trouvez pas l’entreprise parmi les entreprises inscrites.
  6. Ajoutez le nom et l’adresse du fournisseur de services « Service Provider ».
  7. Cliquez sur « Next » et inscrivez toutes les coordonnées.
  8. Indiquez les coordonnées de l’entreprise « Principal » (la banque ou l’institution financière) et celles de l’entreprise « Primary » (le fournisseur de services, SP).
  9. Choisissez « Program Services » dans « Services » et « Store » (choisissez les services que le SP offrira au client).
  10. Pendant le processus de demande, veuillez ne pas cliquer sur « Save as draft ».
  11. Choisissez « Data » puis un numéro ICA spécifique à l’inscription et un « Program » (vous devez répéter cette action pour chaque service choisi).
  12. Cliquez sur « Next ».
  13. Cliquez sur « Accept » dans la section « Customer Certification ».
  14. Le processus de transmission de demande devrait être terminé; un numéro d’inscription de fournisseur de services (SPR registration number) sera assigné.
  15. Le numéro d’inscription figurera avec le statut de « Pending-Approval ».

Remarque: La banque ou l’institution financière du client doit fournir le numéro SPR afin de permettre la révision et la confirmation de l’inscription. Lorsque l’inscription aura été transmise, nous l’évaluerons et finaliserons l’approbation si tous les renseignements obligatoires ont été fournis. Il faut de cinq à sept jours ouvrables avant que l’approbation soit confirmée. 

Veuillez prendre note que le processus d’inscription est distinct du processus de soumission de documents faisant état de la conformité aux normes de la PCI et que l’inscription doit être effectuée par une banque ou une institution financière membre avant que l’inscription du fournisseur de services soit approuvée. Tous les documents concernant la conformité aux normes de la PCI doivent être transmis à MasterCard

Afin de faire partie de la liste des fournisseurs de services conformes aux normes de l’industrie, les fournisseurs de services doivent être dûment inscrits et confirmés comme fournisseurs de services membres (MSP), en plus d’avoir passé une évaluation annuelle sur place avec succès, laquelle aura été effectuée par un évaluateur qualifié en matière de sécurité (QSA, Qualified Security Assessor).

Si vous avez des questions, veuillez communiquer avec l’équipe des fournisseurs de services (Service Provider team) au member_service_provider@mastercard.com.