2025-ben az európai digitális fizetések szabályozási keretrendszere három fő pillérből áll: PCI DSS, GDPR és PSD2. Ezek a keretrendszerek nem helyettesítik, hanem kiegészítik egymást – és egy kereskedő vagy fizetési szolgáltató egyszerre mindhárom hatálya alá eshet. Ez a cikk áttekinti, ki mit köteles betartani, mik a kritikus határidők, és hogyan kezelhetők a kumulatív kötelezettségek.
PCI DSS: ki köteles betartani?
A PCI DSS (Payment Card Industry Data Security Standard) minden olyan szervezetre vonatkozik, amely kártyabirtokos-adatokat tárol, dolgoz fel vagy továbbít – ideértve a kereskedőket, a fizetési szolgáltatókat, az acquirereket és a technológiai partnereket. Nincs méretküszöb: egy 100 tranzakciót/év feldolgozó kis webshop ugyanúgy a PCI DSS hatálya alá esik, mint egy multinacionális e-kereskedelmi platform. A v4.0 2024. március 31-én vált az egyetlen érvényes verzióvá.
GDPR: adatvédelmi kötelezettségek kártyaadatokhoz
A GDPR (Általános Adatvédelmi Rendelet) az EU-s ügyfelek személyes adatait – beleértve a fizetési adatokat – védi. A kártyabirtokos neve, e-mail-címe és kártyaadatai (részben) személyes adatnak minősülnek. A GDPR kötelezi a szervezeteket az adatkezelés jogalapjának meghatározására, az adatminimalizálásra és az érintetti jogok tiszteletben tartására. Az adatvédelmi incidenseket 72 órán belül be kell jelenteni a felügyeleti hatóságnak. A bírságok elérhik a 20 millió eurót vagy a globális éves forgalom 4%-át.
PSD2 és az Erős Ügyfél-hitelesítés (SCA)
A PSD2 (Fizetési Szolgáltatásokról szóló Irányelv 2) kötelezővé teszi az Erős Ügyfél-hitelesítést (SCA) az online kártyatranzakcióknál. Az SCA két különböző hitelesítési faktort igényel a következő kategóriákból: valami, amit az ügyfél tud (PIN, jelszó); valami, amivel az ügyfél rendelkezik (telefon, token); valami, ami az ügyfél (biometria). A card-on-file tranzakcióknál kivételek alkalmazhatók, de a kereskedőknek dokumentálniuk kell ezeket.
Hol fedik egymást a keretrendszerek?
A PCI DSS, GDPR és PSD2 átfedő területei: kártyaadatok titkosítása (PCI DSS és GDPR egyaránt megköveteli); incidensbejelentés (GDPR 72 óra, PCI DSS egyedi eljárásokkal); adatmegőrzés korlátai (GDPR minimalizálás vs. PCI DSS tárolási tilalmak); hozzáférés-ellenőrzés (mindhárom keretrendszer megköveteli). Egy adatvédelmi incidens esetén a szervezet egyszerre kaphat GDPR-bírságot a felügyeleti hatóságtól és PCI DSS-büntetést a kártyahálózattól.
Hogyan csökkenthetők egyszerre a kötelezettségek?
A PCI Proxy EU tokenizációja egyszerre csökkenti mindhárom keretrendszer terheit: a PAN eliminálásával a kereskedő rendszeréből csökken a PCI DSS hatóköre; a kártyaadatok EU-s vaultban való tárolásával teljesülnek a GDPR adatrezidencia-elvárásai; a tokenek PSD2 SCA-folyamatokkal való kompatibilitása biztosítja a megfelelőséget az erős hitelesítési követelményekkel. Ez az integrált megközelítés jelentősen csökkenti a megfelelőségi adminisztratív terhet.
Navigáljon az európai szabályozási keretrendszerben
Szakértőink segítenek felmérni PCI DSS, GDPR és PSD2 kötelezettségeit, és javaslatot tesznek az integrált megfelelőségi stratégiára.
Konzultáljon szakértőnkkel