A PCI DSS-megfelelőség Európában különösen összetett feladat, mivel a globális kártyaipar-szabvány a GDPR, a PSD2 és a tagállami adatvédelmi követelményekkel együtt érvényesül. Ez az átfogó útmutató segít megérteni a kereskedők tényleges kötelezettségeit, a valós auditköltségeket, a PCI DSS v4 kulcsborderidőit és az EU-s adatrezidencia fontosságát.
Ki köteles PCI DSS-megfelelőségre Európában?
A PCI DSS-megfelelőség kötelező minden olyan szervezet számára, amely Visa, Mastercard, American Express, Discover vagy UnionPay kártyás fizetéseket fogad el – ideértve az online, telefonos és fizikai bolti tranzakciókat. Az európai kereskedők esetén az acquirer bankok általában szerződéses feltételként írják elő a PCI DSS-megfelelőséget. A nem megfelelőség a kártyaelfogadási lehetőség megvonásához, havi bírsághoz (5 000–100 000 USD/hó) és adatbetörés esetén jelentős kárfelelősséghez vezethet.
A kereskedői szintek és SAQ-típusok Európában
A PCI DSS négy kereskedői szintet különít el a tranzakciós volumen alapján: Level 1 – több mint 6 millió tranzakció/év; Level 2 – 1–6 millió tranzakció/év; Level 3 – 20 000–1 millió online tranzakció/év; Level 4 – kevesebb mint 20 000 online tranzakció/év, vagy kevesebb mint 1 millió összesen. A Level 4 kereskedők (az európai kereskedők túlnyomó többsége) SAQ (Self-Assessment Questionnaire) kitöltésével igazolják megfelelőségüket. Az SAQ típusa az integrációs architektúrától függ.
PCI DSS v4 határidők és európai következmények
A kulcsfontosságú határidők, amelyeket az európai kereskedőknek figyelembe kell venniük: 2024. március 31. – a PCI DSS v3.2.1 lejárt, a v4.0 az egyetlen érvényes verzió; 2025. március 31. – az összes v4.0 "legjobb gyakorlat" követelmény kötelezővé vált (64 új követelmény). Az európai acquirerek egyre inkább ellenőrzik a v4.0-megfelelőséget a kereskedői szerződések megújításakor.
Miért számít az EU-s adatrezidencia?
Az európai kereskedők GDPR-kötelezettségeire figyelemmel az EU-s adatrezidencia kritikus szempont: a kártyabirtokos-adatok (PAN, kártyabirtokos neve) személyes adatnak minősülnek a GDPR alapján; EU-n kívüli adatátvitel csak megfelelő jogi alap esetén lehetséges (pl. SCCs, binding corporate rules); a Schrems II ítélet megnehezítette az EU–USA adatátvitelt. Az EU-n belüli adatközpontokban működő PCI Proxy EU garantálja a GDPR-megfelelő adatrezidenciát.
Értékelje PCI DSS-megfelelőségi helyzetét Európában
Szakértőink segítenek meghatározni kereskedői szintjét, SAQ-típusát és a megfelelőségi út egyszerűsítésének lehetőségeit.
Konzultáljon szakértőnkkel