Az open banking és a PCI DSS kérdésköre egyre fontosabbá válik a hibrid fizetési ökoszisztémában, ahol a vállalkozások egyszerre fogadnak el kártyás és számlaalapú (A2A – Account-to-Account) fizetéseket. A kérdés egyszerűnek tűnik: ha nem kártyás fizetést dolgoz fel, szükséges-e a PCI DSS-megfelelőség? A válasz árnyaltabb, mint gondolnánk.
Mi az open banking és hogyan különbözik a kártyás fizetéstől?
Az open banking PSD2-n alapuló rendszer, amely lehetővé teszi harmadik fél fizetési kezdeményező szolgáltatók (PISP – Payment Initiation Service Provider) számára, hogy közvetlenül az ügyfél bankszámlájáról indítsanak tranzakciókat. Az A2A fizetések nem érintenek kártyahálózatot, ezért technikailag nem esnek a PCI DSS hatálya alá – a PCI DSS kizárólag a kártyabirtokos-adatokra vonatkozik.
Mikor alkalmazandó mégis a PCI DSS az open banking melletti fizetéseknél?
A PCI DSS akkor válik relevánssá, ha a szervezet párhuzamosan kártyás fizetéseket is elfogad. Egy e-kereskedelmi platform, amely open banking és kártyás fizetési opciót is kínál, a kártyás tranzakciók miatt a PCI DSS hatálya alá esik. Emellett egyes open banking megvalósítások kártya-alapú elemeket is tartalmaznak (pl. kártyás tartalék-fizetés A2A-sikertelenség esetén) – ezek PCI DSS-hatóköri kiterjesztést jelentenek.
Hibrid fizetési stack: A2A + kártya együtt
A leggyakoribb valós helyzet: a kereskedő open banking fizetési opciót vezet be a kártyák mellé. Ebben az esetben a PCI DSS-kötelezettségek a kártyás fizetési ágra vonatkoznak, az A2A ágra nem. A megfelelő architektúra: a kártyás ágon PCI Proxy EU tokenizáció, az A2A ágon open banking integráció (PSD2 PIS API). A két ág elkülöníthető úgy, hogy a PCI DSS hatókör ne terjedjen ki az A2A komponensekre.
PSD2 és PCI DSS: hol fedik egymást?
A PSD2 és a PCI DSS átfedési területei: Erős Ügyfél-hitelesítés (SCA) – mindkét keretrendszer szigorú hitelesítést követel meg; adatvédelem – a PSD2 korlátozza a fizetési adatok felhasználását (minimalizálás, titoktartás), a GDPR és a PCI DSS szintén; biztonsági incidens bejelentése – a PSD2 4 órás bejelentési kötelezettséget ír elő a Nemzeti Bank felé súlyos incidenseknél, a GDPR 72 órát, a PCI DSS saját eljárásokat. A három keretrendszer együttes kezelése komplex, de integrált stratégiával kezelhető.
Navigáljon a hibrid fizetési megfelelőségben
Szakértőink segítenek meghatározni PCI DSS-hatókörét hibrid A2A és kártyás fizetési stack esetén.
Konzultáljon szakértőnkkel