• No results found

THIRD PARTY AGENT REGISTRATION PROGRAM

N/A
N/A
Info
Download
Protected

Academic year: 2021

Share "THIRD PARTY AGENT REGISTRATION PROGRAM"

Copied!
10
0
0

Loading.... (view fulltext now)

Download now ( 10 Page )

Full text

(1)

Frequently Asked Questions  

For the U.S., Canada and Latin America & Caribbean Regions  

 

General Information 

 

Q.  What is the Third Party Agent Registration Program?  A.  The Agent Registration Program is a Visa‐mandated program established to ensure that Visa members comply  with the Visa International Operating Regulations (VIOR) regarding their use of Third Party Agents (TPAs). Agent  registration is required for all entities providing solicitation activities, managed services and/or storing,  processing or transmitting Visa cardholder data for Visa clients (or on behalf of their merchants or agents). Visa  clients are required to perform due diligence reviews to ensure that they understand the agent’s business  models, financial conditions, background and Payment Card Industry Data Security Standard (PCI DSS)  compliance status.    Q.  What is a Third Party Agent (Agent or TPA)?  A.   An entity not connected to VisaNet that provides payment‐related services, directly or indirectly, to a Visa  member and/or stores, processes or transmits Visa cardholder data.    Q.  What are the different agent categories?  Agent Category  Functional Description  Independent Sales Organizations (ISOs) provide  specific services directly or indirectly to issuing and/or  acquiring clients.  •  ISO Merchant (ISO – M) —conducts merchant  solicitation, sales, customer service, merchant  transaction solicitation or merchant training  activities; acts on behalf of a client for merchant  solicitation, sales or service of Interlink capable  POS terminals.  •  ISO Cardholder (ISO – C) —conducts cardholder  solicitation, card application processing services  and/or customer service activities.   •  ISO ATM (ISO – ATM) —acts on behalf of clients  to deploy and/or service qualified ATMs.  •  ISO Prepaid (ISO – PP) —solicits other entities  (i.e., merchant, corporate clients, government  entities, other businesses etc.) to sell, activate or  load prepaid cards on behalf of an issuer.  Prepaid card sales and/or activation is a primary  function of their business. 

(2)

    Agent Category  Functional Description  •  A High Risk Independent Sales Organization     (HR ‐ ISO) is an ISO that enters into a contract  with an acquirer to provide merchant  solicitation, sales, customer service, merchant  transaction solicitation and/or customer training  to “high‐brand risk merchants.”   Encryption and Support Organizations (ESOs) perform cryptographic key management services to  support clients’ ATM programs or to deploy Point of  Sale PIN Entry Devices (POS PEDs) or PIN pads. ATM  and PIN Pad manufacturers that manage various  cryptographic key management responsibilities for  clients are also considered ESOs.  An ESO maintains a business relationship with a client  that includes loading or injecting encryption keys into  ATMS, terminals or PIN Pads or loading software into a  terminal or ATM which will accept Visa branded cards,  merchant help desk support, including re‐programming  of terminal software.  Entities using vendor supplied  Remote Key Distribution techniques must ensure that  such vendors are registered with Visa as ESOs.  Merchant Servicers (MSs) store, process, or transmit  Visa account numbers on behalf of the client’s  merchants. The MS has a contract with the client’s  merchant, not with the client. The MS Agent category  closes the transaction loop between the merchant  and the client’s processor.  An MS stores, processes, or transmits Visa account  numbers on behalf of a client's merchant. A merchant  servicer has a contract with a client’s merchant  (although not necessarily with the client) and provides  specific merchant services (e.g. online shopping carts,  payment gateways, hosting facilities, data storage, and  authorization and/or clearing and settlement  messages, aggregation). MSs are not directly connected  to VisaNet.  Third Party Servicers (TPSs) store, process, or transmit  Visa account numbers on behalf of clients. The TPS  has a contract with issuing and/or acquiring clients.  The TPS provides specific services directly to issuing  and/or acquiring clients (e.g., transaction or back‐office  related functions, payment transaction processing  (such as authorization messages, clearing messages,  batch transmissions and data capture),  chargeback/exception item processing, fraud control,  cardholder accounting, statement processing,  remittance processing, data warehousing/capture,  customer service, risk reporting/service, and/or loyalty  programs. TPSs are not directly connected to VisaNet.   

(3)

Payment Service Providers (PSPs) are entities that  contract with acquirers to provide payment services  to sponsored merchants.  A PSP accepts Visa transactions on behalf of a  sponsored merchant classified with any Merchant  Category Code (MCC), except MCC 5967 and 7995.  This merchant aggregation model covers all commerce  types, including the merchant face‐to‐face  environment. The new Payment Service Provider (PSP)  model enables merchant aggregation beyond the e‐ commerce channel, helping to increase card  acceptance for merchants who do not have a  traditional acquiring relationship. PSPs are not directly  connected to VisaNet.  High‐Risk Internet Payment Service Providers (IPSPs) are entities that contract with acquirers to provide  payment services to sponsored merchants.  A high‐risk Internet Payment Service Provider (HRIPSP)  is a PSP that enters into a contract with an acquirer to  provide payment services to sponsored merchants and  signs one or more sponsored merchants required to be  classified as high risk (Direct Marketing—Inbound  Teleservice Merchant and/or MCCs 5967 and 7995) in  its sponsored merchant portfolio. HRIPSPs are not  directly connected to VisaNet.  Dynamic Currency Conversion Servicers (DCCs)  Agents provide currency conversion services to  sponsored merchants at checkout.  A DCC agent enters into contract an Acquirer to provide  currency conversion services. DCCs are not directly  connected to VisaNet.  Corporate Franchise Servicers (CFSs) provide, manage  or control an environment/connectivity to franchisees  that may or may not host or provide payment card  payment services (payment applications, inventory  management systems, etc.).  The CFS is a corporate entity or franchisor that  provides, manages or controls a centralized or hosted  network environment irrespective of whether Visa  cardholder data is being stored, transmitted or  processed through it. Although it may or may not host  or provide card payment services, more importantly,  the insecurity of the shared network can affect an  independent location or franchisee and that of its own  cardholder data environment if accessed by  unauthorized parties. Typically, managed services are  provided to the franchisees such as property  management systems, inventory control systems,  menu distribution systems, etc. CFSs are not directly  connected to VisaNet. 

(4)

    Agent Category  Functional Description  Distribution Channel Vendors (DCVs)  provide  packing, storing and shipping of non‐personalized Visa  product (e.g. warehouses, wholesalers, logistics  companies)  For more information please contact  [email protected]    Instant Card Personalization Issuance Agents (ICPIAs)  perform instant card personalization and issuance for  the issuer that is generally a retailer or a kiosk  location.  For more information please contact  [email protected].  ** ICPIA employer or government managed programs  are excluded from the agent registration requirement  however must comply with remaining requirements  listed in the VIOR Agents section.    Registration – Agent Questions    Q.  Can I register my company directly with Visa?   A.   No. Only Visa clients can register agents. Agents cannot register themselves. Visa clients must register all  agents they work with and any agents used by their merchants. Visa clients are liable for their agents and  therefore must perform their own due diligence and weigh the operational and financial risks of using agents.    Q.  How do I identify my Visa client?   A.   Some agents contract with a Visa client directly (Visa issuer or acquirer). If the agent contracts with a  merchant, the Visa acquirer behind that merchant is required to register the merchant's agent. A list of  available acquirers is on our website: http://usa.visa.com/business/accept‐visa/find‐an‐acquirer/acquirer‐ list.html. If the agent cannot identify the Visa issuer or acquirer, send the information below to  [email protected] to facilitate the registration process:  1) What services does your organization provide?  2) Does your organization require PCI DSS compliance validation?  3) What is your current PCI DSS status?  a) Compliant / in process:  b) Validating via Attestation of Compliance (AOC) or an SAQ‐D:  c) If validating via AOC, who is the Qualified Security Assessor (QSA):  d) Has the AOC or SAQ‐D been submitted to Visa? If no, when will it be provided:  4) Does your organization have contracts with Visa clients (Financial Institutions)?  a) If yes, provide the name(s) of the Visa client(s) and a primary contact at each member:  5) Does your organization have contracts with merchants?  a) If yes, provide the name(s) of the merchant(s), a primary contact for each merchant, the merchant ID,  and the acquiring bank of each merchant:   6) Provide the following information for your organization  a) Primary contact information (name, e‐mail address, phone number, title):  b) company name:  c) company address: 

(5)

  Q.  How do I register a Third Party Agent?   A.   Submit an agent registration case via the Visa Membership Management (VMM) application. VMM is an online  tool serves as the central location where clients can register TPAs and manage their TPA relationships. Only  Visa clients can register agents.    Q.  Is there a third party agent registration form?  A.   No. There is no registration form. Visa clients use VMM to register agents.    Q.  Are there agent registration fees?   A.  Yes. Visa clients are assessed two fees for Agent Registration:   • $5,000 USD for initial registration and annual renewal for ISO, PSP, HRIPSP and DCV   • $1,000 USD for initial registration and annual renewal for MS, ESO, TPS and DCC      Each Visa client that registers a third party agent is assessed an initial registration and annual renewal fee for  that agent; based on the agent type registered.  Annual renewal fee will be assessed up to $5,000 USD per  agent per region. There is no fee for ICPIA or CFS registration.    Q.  What kind of due diligence is required?  A.  The Visa client should look into the agent’s basic background, financial and operational reviews.  Additionally,  any agent that provides managed services and/or stores, processes or transmits Visa cardholder data must be  PCI DSS compliant or in the process of validating compliance with a reasonable target completion date.   However, Visa clients are encouraged to increase the scope of review based on the agent business type,  services performed, relative program risk, Visa cardholder data held or processed and the individual Visa  client’s internal risk appetite and requirements.  Refer to the Third Party Agent Due Diligence Risk Standards,  

Global Acquirer Risk Standards Program Guide and Visa Global Brand Protection Program Guide for Acquirers,  as applicable, for more information.     Q.  Is registration required for all agents?  A.   Yes.  If a Visa member has a relationship with an agent, directly or indirectly, they must register the agent with  Visa.  The fine for an unregistered Third Party Agents starts at $10,000 per agent.    Q. What is a Visa client’s liability for a TPA?   A.  Visa clients are required to register all third party agents per the Visa International Operating Regulations. In  addition, clients are responsible for ensuring that any TPA it registers complies with Visa International  Operating Regulations and is PCI DSS compliant. Visa clients may be subject to fines and penalties for using an  unregistered agent, or an agent found to be out of compliance with the PCI DSS or found to be in violation of  the Visa International Operating Regulations. All agents must be registered and PCI DSS compliant prior to  beginning services in which they would have access to cardholder data.     

(6)

    Q.  Is registration required for Point‐of‐Sale (POS) software providers?   A.  No. POS software providers that only provide the payment application and do not store, process or transmit  Visa cardholder data are not required to register. The Payment Application Data Security Standard (PA‐DSS) is  available to ensure the secure development of these applications. Details on payment applications are  available at www.visa.com/pabp.    Q. Is registration required if a Visa client owns at least 25% of an agent?  A.  Third Party Agents, including PSPs, are exempt from the registration requirements specified in Third Party  Registration Requirements and the associated fees if it (1) only provides services on behalf of its affiliates  (including parents and subsidiaries); and (2) those affiliates are clients that own and control at least 25% of the  Third Party Agent.    Q. Is registration required for sub‐ISOs?  A. Registration is required for sub‐ISOs if the sub‐ISO is acting as themselves (marketing in their own name) on  behalf of the client. If the sub‐ISO is acting as the registered ISO of the client (marketing in the name of the  registered ISO) then registration is not required. Materials the sub‐ISO uses must only use the main ISOs name  and information.    Q. Is registration required for referral agents?  A. Registration is not required for referral agents that only provide merchants with general information about the  acquirer, forward information to the client bank for further processing and solicitation, or supply a web link to  the banks web page. Referral agents do not provide details on terms and agreements, fee and pricing  information, or application processing or solicitation.     Listing on the Registry    Q.  How do I get my company listed on the Visa's Registry of Service Providers? 

A.   To be listed on Visa’s Global Registry of Service Providers, the agent must be registered by a Visa client as an  MS, TPS, PSP, HRIPSP or CFS, and have current PCI DSS compliance validation as a Level 1 Service Provider  (AOC) approved by Visa and / or be registered by a Visa client as an ISO or ESO.    Q.  How do I get my company listed as operating in multiple regions on the Registry?  A.   The agent must be PCI DSS compliant and registered by a Visa member in the region. The submitter of the AOC,  usually the QSA, indicates the region(s) where the agent operates. Visa will validate that PCI DSS compliance is  current, and registration is in place, for the indicated region(s) prior to publishing.    Payment Service Providers    Q. Is a PSP required to validate PCI DSS compliance as a Level 1 Service Provider?  A. No. A PSP can validate PCI DSS compliance as a Level 1 or Level 2 Service Provider with the PCI DSS Attestation  of Compliance (AOC) or SAQ‐D prior to commencing operations.      Q.  Is specific information on Payment Service Providers required prior to registration approval from Visa? 

(7)

2. What is the Merchant Name description (or abbreviated name)?*  3. What BIN will the PSP use? 

* Reference the Exhibit 2L or Merchant Data Manual (MDM) for Merchant Name Description formatting  requirements for PSPs.    Q. Are all PSPs aggregators?   A. Yes. Aggregation is a fundamental component of the PSP business model and therefore if an agent is  aggregating and settling directly with merchants they are a PSP.    Q. What is the difference between a MS, TPS and PSP?  A. Payment Service Providers (PSP) contract with an acquirer to provide any of the following services:   Solicitation, onboarding, and sponsoring of merchants (directly sign Merchant Agreements for sponsored  merchant with under $100k annual Visa volume)   Store, process, or transmit Visa cardholder data, or provide other payment related services including card  acceptance, card processing, and settle funds directly with sponsored merchants.      MS entities contract with merchants directly; TPS entities contract with the acquirer directly. MS and TPS  entities do not provide solicitation activities, sponsor merchants directly or settle directly; the acquirer settles  with their merchant directly though their unique merchant IDs.   Q. Is the IPSP category obsolete?   A. Yes. The IPSP category is obsolete. The PSP model replaced the IPSP model and now includes all 

  former IPSP rules and responsibilities, and also includes face‐to‐face transactions, MOTO, m‐commerce, as well  as e‐commerce.     Q. If a PSP is also acting as a Merchant ISO for a Visa client, is the client required to register both services?  A. Yes, the client must register the agent for all service provided. If the entity is a PSP and may provide ISO services  they must be registered as both and ISO and PSP.    

Payment Card Industry Data Security Standard (PCI DSS) 

  Q. What is the PCI DSS?  A.  In 2006, Cardholder Information Security Program (CISP) requirements were incorporated and adopted into an  industry standard known as the Payment Card Industry Data Security Standard (PCI DSS). This standard is now  owned and managed by the PCI Security Standards Council (PCI SSC).         

(8)

    Q.  What is the Cardholder Information Security Program (CISP) / Account Information Security (AIS)?  A.   Mandated since June 2001 and instituted by Visa Inc., the Cardholder Information Security Program (CISP) /  Account Information Security (AIS) protects Visa cardholder data wherever it resides and ensures that Visa  members, merchants and agents adhere to accepted information security standards.    Q.  What types of agents require PCI DSS compliance?   A.  Any agent that provides managed services and/or stores, processes or transmits Visa cardholder data must  validate PCI DSS compliance at the time of registration and with Visa every 12 months thereafter. The fine  assessed to clients for using a non‐compliant agent starts at $50,000 USD per agent.       An agent that performs one or more services reviewed in the PCI DSS assessment falls into one of the following  agent types and requires PCI DSS compliance validation.   • Third Party Servicer (TPS)  • Merchant Servicer (MS)   • Corporate Franchise Servicer (CFS)   • Payment Service Provider (PSP)  • High Risk Payment Internet Service Provider (HRIPSP)    Q.  Are there different PCI DSS validation requirements for each Service Provider Level?  A.  Yes. There are different validation requirements for each level:                  Q. How are the PCI DSS levels defined?  A. TPAs are separated into two levels based on the volume of Visa transactions the service provider stores,  processes or transmits annually.    Q.  How do I submit PCI DSS documentation to Visa?  A.   Generally, the agent’s QSA will submit an executed PCI DSS AOC form to Visa via e‐mail to [email protected].  After review of the AOC, Visa will send e‐mail notification confirming acceptance of the compliance validation  or that registration is not in place and is required before acceptance.       

Level  Validation Action  Validated By 1  Annual On‐Site PCI Data Security  Assessment  Qualified Security Assessor (QSA)  Quarterly Network Scan Approved Scanning Vendor (ASV)  2  Annual PCI Self‐Assessment Questionnaire  Service Provider  Quarterly Network Scan  Approved Scanning Vendor (ASV)  Service Provider Level  Description 1  All Third Party Agents that store, process, or transmit more than 300,000  Visa transactions annually  2  All Third Party Agents that store, process, or transmit fewer than 300,000  Visa transactions annually 

(9)

[email protected] for existing agents revalidating compliance.      Q. Can the PCI DSS AOC include multiple listing names?  A.  No. Visa requires one listing name per AOC. If multiple business lines are included in one assessment, simply  provide separate forms to validate compliance for each business.    Q.  Can I register an agent before they validate PCI DSS compliance?   A.  Yes. If the Visa client registers an agent prior to the agent validating compliance, the agent must be contracted  with an approved Qualified Security Assessor (QSA), or commit to completing a Self‐Assessment Questionnaire  (SAQ‐D), and have an expected date of compliance included in the VMM registration case.  Go to  http://www.pcisecuritystandards.org for a list of approved QSAs.    Q.  How often does Visa require PCI DSS compliance validation?   A.   Any agent that stores, processes or transmits Visa cardholder data must perform the PCI DSS compliance  review every 12 months. The following actions will be taken against any TPA who fails to provide revalidation  documents:   Within 1 ‐ 60 days upon expiry of the compliance documents, the agent turns to Yellow on the Registry.   Within 61 ‐ 90 days upon expiry of the compliance documents, the agent turns to Red on the Registry.     After 90 days, the agent will be removed from the Registry.      Q.  Do TPAs that handle PIN require PCI DSS compliance?   A.  Yes. If an agent (ISO, ESO or TPS PIN) deploys ATM, POS or kiosk PIN acceptance devices that process and  accept cardholder PINs and/or manage encryption keys, the client must ensure that the on‐site review of the  agent's PIN security controls is conducted to validate compliance with the Payment Card Industry PIN Security  Requirements, and the PCI Payment Transaction Security (PTS) Points of Interaction (POI) Modular Security  Requirements and the Visa PIN Security Program Guide. These manuals contain the physical and logical security  requirements for all payment security devices. Clients must also establish policies and procedures that include  an annual review of the agent's processes and controls to ensure that the agent remains compliant with  applicable PCI PIN Security requirements and PCI PTS POI manuals and the Visa PIN Security Program Guide.      Note: If the TPA handles PIN and other payment related services, they may require PCI DSS compliance  validation in addition to PCI PIN security requirements.    Other    Q.  What is the processing timeframe for PCI DSS validation submissions?  A.  Submissions are processed within two weeks. Compliance documentation is due via email to [email protected]   by the 15th of the month prior to the next month's publication.    Q.  What is the processing timeframe for agent registration cases?  A.  Agent registration cases are processed within 5‐7 business days of receipt. 

(10)

      Q.  How do I update my company information?  A.  Registered agents are required to notify their Visa client of any changes to information such as:  • Legal Name / Business Aliases (DBAs, Alternate Names)    • Legal Address   • Company Primary Contact  • Types of services offered  • Number of Visa transactions processed annually  • Compliance status (where applicable)   • Mergers and Acquisitions  • Financial solvency    The Visa client will update agent information via the Visa Membership Management tool (VMM).    Q. How do I register a Doing Business As Name (DBA)?  A. Doing Business As Names (DBA) must be registered by the client and separate PCI DSS AOC submitted with the  DBA name in order for the name to be published on the registry. The client must confirm the following and  submit the appropriate documentation in a VMM modify case to report the DBA name to Visa. Documentation  should reflect that the registered DBA name is current (the effective period of DBA name registration varies by  state).  •  DBA name has been filed with the appropriate agency  •  DBA has the same operational management  •  DBA is not a separate legal entity    Q. What is the difference between a Doing Business As (DBA) name and Alternate Name?   A. Alternate Names are names under which companies operate professionally and are neither the personal name  of the owner of a business nor the legal name of a corporation. If the Alternate Name contains the Legal Name  attached to a name of service, application, data center location, etc. no additional documentation is needed. A  DBA name (or assumed name or trade name) is a business name that is different from the principal’s personal  name, the names of the entity partners or the officially registered name of the company. DBA or alternate  name can be included in the initial registration. To be published on the registry, the alternate name must be  registered and a separate AOC with the alternate name has been accepted by Visa.    Q. Who should I contact regarding TPA registration questions? 

References

Download now ( PDF - 10 Page - 186.41 KB )

Related documents

Prolonged antibiotic treatment does not prevent intra-abdominal abscesses in perforated appendicitis.

Unfortunately, studies that have inves- tigated antibiotic regimens and included duration of post- operative antibiotic treatment as a point of interest often included children

Classroom Games and Activities

Shipwreck Each group has a pen and paper, and one student in each group does the writing; first students are 2/3 minutes to write down all the names of foods they can think of; then

TUBO E RACCORDI MULTISTRATO UNI

ACCESSORI Prolunga per valvola ad incasso a sfera (completa di vite e prolunga asta vitone) Extension for in-wall ball valve (with screws and extended

2016 State Term Schedule Renewal Proposal Ohio State Term Schedule Pricelist

Powell, OH 43065 Web: www.armadausa.com Main: 614.431.9700 Last Updated: 1/01/2016 28 Navigating Preparedness & Protection Special Security Officer II – Associate

SENATE STANDING COMMITTEE ON LEGAL AND CONSTITUTIONAL AFFAIRS AUSTRALIAN FEDERAL POLICE. Question No. 100

cybercrime. The Crime Prevention Team has been instrumental in implementing strategies aimed at raising awareness of online risks and empowering online users to protect

Visa s Security Agenda for Southeast Asia

AIS is a global data security program that guides all stakeholders in the payment eco-system including merchants, third party agents, processors and banks, to secure payment

Bridging the Security Gap for IP Payment Networks

In this paper, we review the best practices for Payment Service Providers (PSPs) and Payment Processors to build reliable, highly secure transaction networks on an IP-based