Il incombe aux acquéreurs de veiller à ce que tous leurs marchands protègent l’information relative aux comptes Visa. La conformité au programme Sécurité de l’information concernant les comptes (SIC) est obligatoire. Le programme exige des marchands qu’ils valident la conformité à l’un des quatre niveaux de marchands en fonction du volume des transactions Visa.
Il incombe aux acquéreurs de déterminer ces niveaux pour les marchands. Le volume de transactions d’un marchand dépend de l’ensemble des transactions Visa traitées par celui-ci. Pour confirmer le niveau de marchand, communiquez avec votre acquéreur.
| Niveau de marchand | Description |
| 1 |
Tout marchand, sans égard au réseau d’acceptation, traitant annuellement plus de 6 000 000 de transactions Visa. Tout marchand qui, selon Visa, à son entière discrétion, doit se conformer aux exigences applicables aux marchands de niveau 1 afin de réduire le risque pour le système Visa. |
| 2 |
Tout marchand, sans égard au réseau d’acceptation, traitant annuellement entre 1 000 000 et 6 000 000 de transactions Visa. |
| 3 |
Tout marchand traitant annuellement de 20 000 à 1 000 000 de transactions Visa du commerce électronique. |
| 4 |
Tout marchand traitant annuellement moins de |
En plus du respect des 12 exigences et sous-exigences de la Norme de sécurité des données de l’industrie des cartes de paiement, la validation de la conformité est obligatoire pour les marchands des niveaux 1, 2 et 3, et est fortement recommandée pour les marchands du niveau 4.
| Niveau de marchand | Mesure de validation | Validé par | Validé au plus tard le |
| 1 | Examen sur place | ÉQS | 2010-09-30 |
| Balayages de sécurité de l’ICP | FASB | ||
| 2 | Questionnaire annuel de l’ICP | Acquéreurs | 2011-09-30 |
| Balayages de sécurité de l’ICP | FASB | ||
| 3 | Questionnaire annuel de l’ICP | Acquéreurs | 2005-12-31 |
| Balayages de sécurité de l’ICP | FASB | ||
| 4** | Questionnaire annuel de l’ICP | S/O | |
| Balayages de sécurité de l’ICP | FASB |
Le marchand doit démontrer sa conformité en soumettant les documents requis à son acquéreur. Sur demande, ces documents doivent être mis à la disposition de Visa. Il incombe au marchand de payer les frais liés à la validation de sa conformité.
Le questionnaire annuel de l’ICP doit être rempli et l’évaluation annuelle de la sécurité des données sur place de l’ICP doit être effectuée par les marchands du niveau 1 conformément aux Procédures d’évaluation de la sécurité NSD ICP, et les résultats doivent être transmis à l’acquéreur. Les procédures NSD ICP doivent être utilisées comme gabarit pour créer le rapport de conformité. Bien que les acquéreurs soient responsables de la sécurité des données des titulaires de carte Visa, peu importe où ces données résident, la portée de la validation de la conformité au programme SIC dans le cas des marchands du niveau 1 est axée sur tout système ou toute composante de système lié à l’autorisation et au règlement où des données sur les titulaires de carte Visa sont conservées, traitées ou communiquées.
Tous les deux ans, les marchands du niveau 1 (mais non les fournisseurs de service) peuvent choisir d’utiliser leur service de vérification interne pour effectuer un examen en fonction de la norme NSD ICP, à condition :
Si un marchand décide de ne pas utiliser son service de vérification interne, un évaluateur qualifié en matière de sécurité (ÉQS) doit effectuer la validation.
Le questionnaire annuel de l’ICP doit être rempli et les balayages de sécurité de données de l’ICP doivent être effectués par les marchands des niveaux 2 et 3. Le questionnaire annuel de l’ICP doit être soumis à l’acquéreur du marchand. Le questionnaire annuel de l’ICP doit porter sur tout système ou tout composante de système qui touche le traitement, le stockage ou la communication des données sur les titulaires de carte Visa.
Les marchands du niveau 4 doivent aussi se conformer aux Normes de sécurité des données de l’ICP. L’acquéreur du marchand doit choisir la méthode utilisée pour valider la conformité aux normes.