Kire vonatkozik?
Mindenkire, aki kártyaadatokat fogad, dolgoz fel vagy tárol: webáruházak, platformok, call centerek, PSP-k. Azokra is, akik mások nevében kezelik a fizetéseket.
PCI DSS megfelelőség
PCI DSS megfelelőség, kevesebb munkával
Ha kártyás fizetéseket fogad, teljesítenie kell a PCI DSS követelményeit. A kártyaadatokat vault-ban tároljuk az Ön nevében: Ön tokenekkel dolgozik, és az kérdőív kitöltése lényegesen egyszerűbbé válik.
Az Ön PCI terhe −95% hatókör
Ön csak tokeneket tárol
Amit a partnerségbe hozunk
Az Ön tanúsítványunkat veszi át: a kártyaadatok a mi vault-unknkban maradnak, nem az Ön szerverein.
PCI DSS 1. szint
A legmagasabb szint. Független auditorok évente ellenőrzik a vault-unkat.
Kizárólag EU adatközpontok
A kártyaadatok soha nem hagyják el Európát. Ez egyszerűsíti a GDPR megfelelőséget is.
Titkosítás és HSM
Az adatok nyugalmi állapotban és átvitel közben titkosítva. A kulcsok tanúsított hardverben védve.
Röviden
Mi a PCI DSS?
Biztonsági szabvány mindenki számára, aki kártyás fizetéseket fogad (Visa, Mastercard és más hálózatok). Védi a kártyaadatokat mindenhol, ahol gyűjtik, tárolják vagy továbbítják azokat.
12
Követelmény
4
Szint
1
Cél
Védje a kártyaadatokat – mindig.
12 fő követelmény
Tűzfalak, titkosítás, hozzáférés-ellenőrzés, monitorozás és irányelvek. Minél kevesebb rendszer érintkezik kártyaadatokkal, annál kevesebb munkája van.
Nem megfelelőség következményei
Pénzbírságok, magasabb díjak vagy a kártyás fizetések elfogadásának elvesztése. Egy adatvédelmi incidens sokkal többe kerül, mint a megfelelőség megszerzése.
Megfelelőségi szintek
A PCI DSS 4 szintje
Az elvégzendő munka köre az évi kártyás tranzakciók számától függ. Több tranzakció – több követelmény (nagy volumen esetén helyszíni audittal).
| Szint | Évi tranzakciók | Hitelesítési követelmények | Jellemző szervezetek |
|---|---|---|---|
| 1. szint | >6 millió tranzakció/év | Évi helyszíni audit + negyedéves vizsgálatok | Nagy kereskedelmi láncok, légitársaságok, nagyobb PSP-k |
| 2. szint | 1–6 millió tranzakció/év | Évi SAQ, negyedéves ASV vizsgálatok | Közepes e-commerce, szállodaláncok |
| 3. szint | 20 000–1 millió e-commerce tranzakció/év | Évi SAQ, negyedéves ASV vizsgálatok | Növekvő online boltok, SaaS platformok |
| 4. szint | <20 000 e-commerce vagy <1 millió egyéb/év | Évi SAQ (ajánlott), negyedéves ASV vizsgálatok (ha alkalmazható) | Kis boltok, helyi vállalkozások, startupok |
Fontos tudni: adatvédelmi incidens után alacsony volumen esetén is kerülhet 1. szintre. A számlavezető bank is előírhat további követelményeket.
Kisebb hatókör az Ön számára
Hogyan csökkentjük a terheit
A PCI-hatókör csökkentésének legegyszerűbb módja a kártyaadatok eltávolítása a saját szerverekről. Elküldi nekünk a kártyaadatokat, mi tokenizáljuk azokat: csak a tokent tárolja.
300+
Követelmény · SAQ D
Ha mindent önállóan kezel
~30
Követelmény · SAQ A-EP
Az API-nkkal
22
Követelmény · SAQ A
Hosted Fields megoldással
Nélkülünk
Teljes hatókörAzok az oldalak, alkalmazások, adatbázisok és hálózatok, amelyek kártyaadatokkal érintkeznek, több száz követelménynek kell megfelelniük – SAQ D esetén 300-nál is több.
A PCI Proxy-val
Minimális hatókörA kártyaadatok soha nem kerülnek az Ön szervereire. PCI DSS 1. szinten vagyunk tanúsítva, és a kártyaszámokat vault-ban tároljuk. Ön kizárólag tokenekkel dolgozik.
Akár 95%-kal kevesebb
Átállás SAQ D-ről (300+ követelmény) SAQ A-ra vagy A-EP-re (kevesebb mint 30). Kevesebb audit, kevesebb dedikált mérnök, kisebb kockázat.
Hány követelménynek kell megfelelni
PCI Proxy nélkül (SAQ D) 300+ követelmény
API-val (SAQ A-EP) ~30 követelmény
Hosted Fields megoldással (SAQ A) 22 követelmény
PCI DSS 1. szinten vagyunk tanúsítva
Önértékelés
Melyik SAQ vonatkozik Önre?
Az SAQ egy kérdőív, amelyet kitölt a megfelelőség igazolásához. Típusa attól függ, hogyan áramlik a kártyaadatok az Ön rendszerein. Velünk ez az út lényegesen egyszerűbbé válik.
⭐ Ajánlott
Önértékelés
SAQ A
22 követelmény
SAQ D hatókör 7%-a
Azon vállalkozások számára, amelyek a mi hosztolt iFrame mezőinket használják: a kártyaadatok soha nem haladnak át az Ön weboldalán. Ez a legegyszerűbb út.
Ideális Hosted Fields megoldással
Bővített önértékelés
SAQ A-EP
~30 követelmény
SAQ D hatókör 10%-a
Ha a fizetési oldal az Ön weboldalán van, de a kártyaadatok közvetlenül hozzánk kerülnek API-n vagy JavaScripten keresztül. Valamivel több követelmény, mint SAQ A esetén.
API vagy SDK integrációval
Teljes kérdőív
SAQ D
300+ követelmény
Teljes hatókör – minden rendszer
A leghosszabb kérdőív. Szükséges, ha a kártyaadatok áthaladnak az Ön szerverein. Nélkülünk sok e-commerce vállalkozás ide kerül.
PCI Proxy nélkül
Európában
PCI DSS és GDPR egyszerre
Az EU-ban mindkét szabványnak egyszerre kell megfelelni. A kártyaadatok személyes adatnak minősülnek. A tokenek révén mind a PCI, mind az adatvédelem egyszerűbbé válik.
Ahol átfednek
Azonos prioritások
Kártyaadatok = személyes adatok
A kártyatulajdonos neve, kártyaszáma és lejárati dátuma a GDPR hatálya alá esik. Érzékeny adatként kell kezelni.
Kevesebb adat, kisebb kockázat
A GDPR csak a szükséges adatok tárolását írja elő. Eltávolítjuk a kártyaszámot az Ön rendszereiből, és csak a tokent hagyja meg.
Incidensek és értesítések
Ha nem tárolja a kártyaadatokat, egy incidens a saját szerverein lényegesen kevésbé súlyos. Kevesebb stressz az Ön és ügyfelei számára.
Egyeztetendő kérdések
Figyelmet igényel
Törlés és megőrzés
A GDPR törlési jogot biztosít. A PCI tranzakciós naplók megőrzését írja elő. Tokenekkel törölheti a leképezést, és az adatok visszafejthetetlen állapotba kerülnek.
Adatok kizárólag az EU-ban
Sok európai vállalkozásnak az EU-ban kell tárolni az adatokat. Kizárólag európai adatközpontokból működünk: a kártyaadatok soha nem hagyják el az Uniót.
Megállapodás velünk (DPA)
A GDPR alapján adatfeldolgozónak minősülünk, amikor kártyaadatokat tárolunk az Ön nevében. Írásos megállapodás szükséges a célról és a biztonsági intézkedésekről.
Röviden: Ön tokenekkel dolgozik. Mi a kártyaadatokat vault-ban tároljuk. A PCI DSS és a GDPR kezelhetőbbé válik.
Költségelemzés
Önállóan vs. velünk – a PCI költségei
A teljes PCI-kezelés házon belül sokkal többe kerül, mint a kártyaadatok rábízása ránk. Becsült példa egy tipikus európai kereskedő esetén.
| Költségkategória | Önállóan (SAQ D) Magas költség · Magas kockázat | A PCI Proxy-val (SAQ A) AJÁNLOTT |
|---|---|---|
| Évi audit | 30 000–150 000 EUR | 3 000–8 000 EUR |
| Infrastrukturális biztonság | 50 000–200 000 EUR/év | 0 EUR (mi kezeljük) |
| Adatvédelmi incidens kockázata | 500 000–4 000 000+ EUR | Közel nulla |
| Kibervédelem-biztosítás | 15 000–60 000 EUR/év | 5 000–15 000 EUR/év |
| Dedikált csapat | 1–3 mérnök | Könnyű felügyelet |
| Nem megfelelőség bírságai | 5 000–100 000 EUR/hó | 0 EUR (beépített megfelelőség) |
Becsült értékek az EU-ban évi 1–6 millió tranzakciót feldolgozó kereskedők számára. A tényleges költségek a vállalkozás méretétől és ágazatától függnek.
GYIK
Gyakori kérdések
01 Melyik PCI DSS szint vonatkozik a vállalkozásomra?
Ez az évi kártyás tranzakciók számától függ. 6 millió felett 1. szint szükséges (helyszíni audit). Ez alatt általában elegendő egy SAQ kérdőív. A legtöbb európai KKV a 3. vagy 4. szinten van. Velünk átállhat a legegyszerűbb SAQ-ra.
02 Hogyan segítenek csökkenteni a PCI-kötelezettségeket?
Elküldi nekünk a kártyaadatokat, mi tokenizáljuk és tároljuk azokat. A kártyaszámok soha nem kerülnek az Ön szervereire – kizárólag tokenekkel dolgozik. Kilép a legnehezebb PCI területről, és SAQ D-ről (300+ követelmény) átvált SAQ A-ra vagy A-EP-re (kevesebb mint 30).
03 A GDPR érinti a PCI DSS megfelelőséget Európában?
Igen. Európában egyszerre kell megfelelni a PCI DSS és a GDPR követelményeinek. A kártyaadatok személyes adatnak minősülnek. A GDPR további jogokat ír elő (törlés, EU-beli adatrezidencia, incidensjelzés). Ha a rendszerei csak tokeneket tartalmaznak, a kártyaadatok pedig a mi vault-unknkban vannak, mindkét kötelezettség egyszerűbbé válik.
Szeretné tudni, melyik SAQ vonatkozik Önre?
Vegye fel velünk a kapcsolatot: segítünk meghatározni a PCI szintjét, és megmutatjuk, mennyit egyszerűsíthet a PCI Proxy segítségével.