Start of menu
Close Menu

概覽

概覽

何謂資料安全標準?

任何商戶在處理、儲存或傳送美國運通卡會員資料時,也應盡力作出所有預防措施以保障其顧客及商戶本身。透過遵守資料安全操作政策(DSOP)的「Payment Card Industry Data Security Standard-支付卡行業資料安全標準」(PCI 安全資料標準),您便可令顧客及自身的業務也更有信心。

檢視美國運通資料安全操作政策(PDF)

美國運通是支付卡行業(PCI)安全標準委員會的成員,一直協助支付卡行業資料安全標準(PCI 資料安全標準)的持續發展,這亦定下了處理美國運通卡會員資料安全的守則。

要深入了解PCI資料安全標準,請瀏覽支付卡行業(PCI)安全標準委員會網頁,以細看支付卡行業資料安全標準

若不幸出現資料洩漏事故

洩漏資料的應變管理責任

如您相信美國運通卡會員的個人資料已被洩露,請即與您的客戶服務經理聯絡或致電客戶服務隊伍 2277 2277

您亦可填寫初步通知表格 並電郵至EIRP@aexp.com,以通知美國運通企業事故應對計劃(EIRP)。

如欲深入了解有關洩漏資料事故的應變管理責任,請參閱資料安全操作政策第2部份。

安全要求

安全要求

有關遵守資料安全要求

所有商戶也必須遵守美國運通資料安全操作政策,其中包括支付卡行業資料安全標準。此外,一些商戶亦可能需要採取額外措施以確保資料安全。

第1步是要確定您所屬的商戶級別及所需文件。請點按上述「你屬於哪個商戶級別?」標籤以細閱有關資料。而視乎您的級別,您可能需要提供下列其中一項或以上文件:

1. 年度實地安全評估確認文件

年度實地安全評估是對商戶處理、儲存或傳送美國運通卡會員資料的技術及操作系統,以及設備與網絡(及其部件)的詳細實地檢查。該評估需要由合格安全性評估者(Quality Security Assessors - QSA)或商戶負責進行,而兩者均必須由商戶的行政總裁、首席財務總監或主席認可。請按此查閱有關評估商的清單

https://www.pcisecuritystandards.org/approved_companies_providers/qualified_security_assessors.php

評估者需完成一份報告(Report of Compliance - ROC),內容會提供詳盡的環境評估,以及該評估的結果。此報告包括有關證明(Attestation of Compliance - AOC)表格,需要由商戶或合格安全性評估商填寫。美國運通接受有關ROC或AOC的報告摘要作為認可文件。

2. 季度網絡評估報告摘要

季度網絡評估是對商戶互聯網基礎建設的測試程序,其中包括網絡伺服器及網絡裝置的潛在缺點及漏洞等。此測試必須由授權評估者(Approved Scanning Vendor - ASV)遙距進行,請按此查閱有關授權評估供應商的清單

https://www.pcisecuritystandards.org/approved_companies_providers/approved_scanning_vendors.php

美國運通接受通過漏洞評估的報告摘要,或就漏洞評估作出的評估證明(Attestation of Scan Compliance - AOSC)。

第2步當您完成所需的確認文件後,請使用我們安全的網站把文件上載到Trustwave。如欲了解有關登入及使用此網站的指引,歡迎電郵至

americanexpresscompliance@trustwave.com或致電免付費熱線001-800 9000 1140 與Trustwave聯絡。

若不幸出現資料洩漏事故

洩漏資料的應變管理責任

如您相信美國運通卡會員的個人資料已被洩露,請即與您的客戶服務經理聯絡或致電客戶服務隊伍 2277 2277

您亦可填寫初步通知表格 並電郵至EIRP@aexp.com,以通知美國運通企業事故應對計劃(EIRP)。

如欲深入了解有關洩漏資料事故的應變管理責任,請參閱資料安全操作政策第2部份。

您屬於哪個商戶級別?

您屬於哪個商戶級別?


由於所有商戶也需要遵守資料安全操作政策,美國運通特此則根據交易量制定三個級別,以決定所需的確認文件及遞交次數。

以下的「商戶級別圖」可助您確定所屬級別,並列出需要遵守的美國運通資料安全操作政策要求。


* 第3級商戶並不需要遞交確認文件,但仍必須遵守資料安全操作政策的其他所有條款,詳情請參閱美國運通資料安全操作政策

若不幸出現資料洩漏事故

洩漏資料的應變管理責任

如您相信美國運通卡會員的個人資料已被洩露,請即與您的客戶服務經理聯絡或致電客戶服務隊伍 2277 2277

您亦可填寫初步通知表格 並電郵至EIRP@aexp.com,以通知美國運通企業事故應對計劃(EIRP)。

如欲深入了解有關洩漏資料事故的應變管理責任,請參閱資料安全操作政策第2部份。