ROIS PCI DSS

SAQ 작성절차

SAQ 작성 및 제출 절차

SAQ (Self Assessment Questionnaire) 및 AoC (Attestation of Compliance)는 다음과 같은 절차로 진행됩니다.

Step1. 회원가입	Step2. 연간 카드거래량 및 준수 유형 선택	Step3. 이용료 결제	Step4. 심사원 검토 및 승인	Step5. SAQ 작성 (질의문 체크)	Step6. Appendix 작성	Step7. 심사원 검토 및 승인	Step8. 인증서 출력 및 다운로드
법인 또는 개인사업자 회원가입 사업자등록증 사본 업로드 필수	카드 거래량 Level1~4 준수 유형 Type A~D, P2PE	카드 거래량에 따른 이용료 결제 결제 완료 후 PCI DSS 심사원이 SAQ 작성을 위한 사전 정보 검토 및 승인 후 SAQ 작성이 가능함	이용자가 입력한 회사 기본정보 및 준수 유형의 적절성 검토 심사원이 담당자에게 유선 등의 연락을 취하여 확인함 소요기간: 결제 완료 후 영업일 기준 2일 이내 완료	이용자 회사의 준수 유형에 따라 제시된 질문지 체크	질문지에 ‘Yes with CCW’, ‘N/A’로 체크한 경우 Appendix 추가 작성 ※ CCW (Compensating control worksheet) - 준수기업이 비즈니스 또는 법률 등의 사유로 통제항목을 구현하기 불가능한 경우 별도의 대체 운영계획 및 방안을 작성하는 워크시트	이용자 작성한 질문지와 Appendix의 검토 후 승인 검토과정에서 심사원의 추가 확인 및 보완 요청이 있을 수 있음 영업일 기준 3~5일 이내	작성결과와 인증서 출력 영업일 기준 1일 이내 QSA 정보 기입 및 서명은 요청자의 요구사항에 따라 옵션임

등급	기준 설명(가맹점)	준수	준수문서
Level 1	연간 카드 트랜잭션 600만 건 이상 과거 카드정보 유출 사고 이력 존재 Acquirer의 요구가 있을 경우	연 1회 QSA 평가 분기 별 ASV 수행	QSA SAQ(준수보고서) AOC(준수증명서) ASV 보고서
Level 2	연간 카드 트랜잭션 100만 ~ 600만 건	연 1회 SAQ 평가 분기 별 ASV 수행	SAQ(자가 진단 질의) AOC(준수증명서) ASV 보고서
Level 3	연간 카드 트랜잭션 2만 건 ~ 100만 건
Level 4	연간 카드 트랜잭션 2만 건 이하

Type	Type 설명	준수 항목	취약점 진단
A	카드정보가 존재하지 않는 가맹점 (전자상거래, 우편/전화 주문)으로 모든 카드정보가 PCI DSS를 준수하는 third-party에게 아웃소싱. 시스템 또는 사내에 일체의 카드정보를 전자적으로 저장, 처리, 또는 전송하지 않음. 대면(face-to-face)채널에는 적용불가.	22개	-
A-EP	모든 결제 프로세스를 PCI DSS 인증받은 third-party에 아웃소싱을 하고, 웹사이트를 통해 직접적으로 일체의 카드정보를 수신하지는 않지만 그것이 결제보안에 영향을 줄 수 있는 전자상거래 가맹점. 시스템 또는 사내에 일체의 카드정보를 전자적으로 저장, 처리, 또는 전송하지 않음. 전자상거래 가맹점에게만 적용됨	193개	YES
B	전자적 카드정보저장소가 없는 인쇄장비, 또는 전자적 카드정보저장소가 없는 다이얼형식의 단일장비인 단말기를 사용하는 가맹점. 전자상거래 가맹점에게는 적용불가.	41개	-
B-IP	PTS-인가된 단일장비인 결제 단말기를 전자적 카드정보저장소 없이 결제 처리자와 IP연결을 하여 사용하는 가맹점. 전자상거래 가맹점에게는 적용불가	88개	YES
C-VT	PCI DSS 인증 받은 제3자 서비스 제공업체가 호스팅하는 인터넷 기반의 가상 결제 단말기 솔루션에 키보드를 이용하여 한번에 하나의 거래를 수동으로 입력하는 가맹점. 전자적 카드정보저장소가 없음. 전자상거래 가맹점에게는 적용불가	85개	-
C	전자적 카드정보저장소는 없이 인터넷에 연결된 결제 어플리케이션 시스템을 사용하는 가맹점. 전자상거래 가맹점에게는 적용불가	162개	YES
P2PE	전자적 카드정보저장소 없이 PCI SSC의 P2PE솔루션 리스트에 속한 하드웨어 결제 단말기만을 사용하는 가맹점. 전자상거래 가맹점에게는 적용불가	33개	-
D	SAQ D 가맹점: 위 SAQ 타입에 포함되지 않은 모든 가맹점.	331개	YES
D	SAQ D 서비스프로바이더: 결제브랜드에 의해 SAQ를 작성하기에 적격하다고 정의된 모든 서비스 제공업체.	331개	YES

서비스 이용 요금

준수 레벨	설명	연간 서비스 이용료 (VAT 포함)	이용 기간
Level 1	연간 카드 트랜잭션 600만 건 이상 또는 카드 정보 유출사고, Acquirer 의 요청시	별도 계약	결제일로부터 1년 (결제 후 1회 작성 가능)
Level 2	연간 카드 트랜잭션 100만 ~ 600만 건	880,000원
Level 3	연간 카드 트랜잭션 2만 건 ~ 100만 건	440,000원
Level 4	연간 카드 트랜잭션 2만 건 이하	220,000원

※ 위 요금표는 국내 여행업종 등 소상공인 기업에 대해 한시적으로 부과되는 기준이며 그 외 업종은 별도의 계약을 통해 진행하고 있습니다. 또한 본 요금표는 일정 기간 경과 후 변동될 수 있으며 변동이 되는 경우 사전에 고지 후 부과합니다.