La marketplace PCI compliance è uno degli scenari più complessi dello standard perché la responsabilità non ricade su una singola entità ma si distribuisce tra il platform owner e i vendor che operano sulla piattaforma. Chi costruisce un marketplace deve rispondere a una domanda fondamentale prima ancora di sviluppare il modello di pagamento: la piattaforma tocca i dati carta dei clienti, o li passa direttamente ai vendor? La risposta determina chi entra nel perimetro PCI e con quale livello di responsabilità.
La catena di responsabilità PCI nei marketplace multi-vendor
Nel modello marketplace, il flusso di pagamento può seguire due schemi principali. Nel primo, il cliente paga la piattaforma che poi regola i fondi ai vendor: in questo caso il platform owner è il merchant principale, tratta i dati carta e risponde degli obblighi PCI per l'intera transazione. Nel secondo, il pagamento avviene direttamente tra cliente e vendor (con la piattaforma come facilitatore), e ogni vendor è responsabile della propria compliance.
Nella pratica, la maggior parte dei marketplace moderni opera con un modello ibrido che rende la catena di responsabilità ambigua. Se la piattaforma raccoglie i dati carta e li passa ai vendor per l'elaborazione, è un service provider PCI rispetto ai vendor. Se la piattaforma semplicemente instrada il pagamento tramite un PSP integrato senza vedere i dati carta, il suo scope dipende dalla configurazione tecnica specifica. Un avvocato di diritto dei pagamenti e un QSA insieme sono spesso necessari per mappare correttamente chi risponde di cosa.
Il platform owner risponde per i vendor?
Il platform owner non è automaticamente responsabile della compliance PCI dei vendor che operano sulla sua piattaforma, ma ha obblighi specifici se fornisce strumenti di pagamento ai vendor o se i dati carta transitano per la sua infrastruttura prima di arrivare ai vendor. Il PCI DSS richiede che i service provider documentino la responsabilità per ogni requisito nel proprio SAQ o RoC, specificando quali controlli sono in capo al provider e quali al cliente (vendor).
In pratica, i marketplace che vogliono proteggere la propria posizione contrattuale e reputazionale spesso richiedono ai vendor una propria attestazione di compliance (AOC o SAQ compilato) come condizione di onboarding. Questo non trasferisce la responsabilità, ma crea un framework documentabile per dimostrare la diligenza del platform owner. L'acquirer del marketplace può richiedere evidenze specifiche su come vengono selezionati e monitorati i vendor per la compliance.
Come PCI Proxy EU centralizza la compliance del marketplace
La soluzione più efficiente per un marketplace è centralizzare la raccolta e l'archiviazione dei dati carta in un vault comune, invece di distribuire la responsabilità su ogni vendor. Con PCI Proxy EU, la piattaforma raccoglie i dati carta una sola volta tramite la payment page certificata e li tokenizza. I vendor ricevono token che possono usare per autorizzare pagamenti senza mai toccare il PAN. Il vault è condiviso ma i token sono segmentati per vendor: ogni vendor vede solo i propri clienti.
Questo approccio semplifica radicalmente la compliance: il platform owner gestisce un unico CDE certificato, i vendor non entrano nel perimetro PCI per la parte di archiviazione dati e l'onboarding di nuovi vendor non richiede la verifica della loro compliance individuale per questa componente. Il perimetro PCI rimane stabile indipendentemente dalla crescita del numero di vendor sulla piattaforma, eliminando il rischio di una superficie di attacco che cresce proporzionalmente al business.
Domande frequenti
Devo chiedere ai miei vendor la certificazione PCI DSS?
Dipende dal modello di pagamento. Se i vendor trattano dati carta in modo autonomo (ad esempio con propri POS o account PSP separati), ognuno risponde per sé e il marketplace ha interesse a documentare la richiesta di attestazione. Se invece la piattaforma centralizza i pagamenti e i vendor vedono solo token, i vendor non sono in scope per l'archiviazione dati e non è necessario richiedere loro una certificazione specifica per questo aspetto.
Un marketplace che usa Stripe Connect ha ancora obblighi PCI?
Sì. Stripe Connect riduce il perimetro PCI se la piattaforma usa Stripe Elements o Stripe.js per la raccolta dei dati carta direttamente sul frontend di Stripe, senza che i dati transitino nel backend del marketplace. Se invece il backend della piattaforma tocca i dati carta (anche solo per inoltrarli), il perimetro si espande. L'AOC di Stripe copre la sua infrastruttura, non automaticamente il codice del marketplace che la integra.
Come funziona la responsabilità condivisa in un modello SaaS con pagamenti?
Un SaaS che processa pagamenti per conto dei clienti è classificato come service provider. Deve documentare formalmente, per ogni requisito PCI, se la responsabilità è del provider, del cliente o condivisa. Questo documento si chiama Responsibility Matrix e deve essere allegato all'AOC del provider. I clienti del SaaS usano questa matrice per compilare il proprio SAQ e capire quali requisiti ricadono su di loro.
Un vault centrale per tutto il marketplace: un CDE, tutti i vendor coperti. Scopri PCI Proxy EU.