Chi deve conformarsi?
Chiunque accetti, elabori o archivi dati di carte: negozi online, piattaforme, call center, PSP. Anche chi gestisce pagamenti per conto di terzi.
Se accetti pagamenti con carta, devi rispettare il PCI DSS. Archiviamo i dati della carta per conto tuo: lavori con token e completare il questionario diventa molto piu semplice.
Tu tieni solo i token
Erediti la nostra certificazione: i dati della carta rimangono nel nostro vault, non sui tuoi server.
Il livello piu alto. Auditor indipendenti verificano il nostro vault ogni anno.
I dati della carta non lasciano mai l'Europa. Utile anche per il GDPR.
Dati crittografati a riposo e in transito. Chiavi protette in hardware certificato.
E lo standard di sicurezza per chiunque accetti pagamenti con carta (Visa, Mastercard e altri circuiti). Protegge i dati della carta ovunque vengano raccolti, archiviati o trasmessi.
12
Requisiti
4
Livelli
1
Obiettivo
Proteggere i dati della carta, sempre.
Chiunque accetti, elabori o archivi dati di carte: negozi online, piattaforme, call center, PSP. Anche chi gestisce pagamenti per conto di terzi.
Firewall, crittografia, controllo degli accessi, monitoraggio e policy. Molti requisiti: meno sistemi toccano i dati della carta, meno lavoro per te.
Sanzioni, commissioni piu alte o perdita della possibilita di accettare pagamenti con carta. Una violazione dei dati costa molto di piu che essere conformi.
La quantita di lavoro dipende dal numero di transazioni con carta che elabori ogni anno. Piu transazioni, piu controlli (fino a un audit in loco per volumi elevati).
| Livello | Transazioni Annuali | Requisiti di Validazione | Soggetti Tipici |
|---|---|---|---|
| Livello 1 | >6 milioni di transazioni/anno | Audit annuale in loco + scansioni trimestrali | Grandi retailer, compagnie aeree, principali PSP |
| Livello 2 | 1–6 milioni di transazioni/anno | SAQ annuale, scansioni ASV trimestrali | E-commerce mid-market, catene alberghiere |
| Livello 3 | 20.000–1 milione e-commerce/anno | SAQ annuale, scansioni ASV trimestrali | Aziende online in crescita, piattaforme SaaS |
| Livello 4 | <20.000 e-commerce o <1 milione altri/anno | SAQ annuale (consigliato), scansioni ASV trimestrali (se applicabile) | Piccoli commercianti, attivita locali, start-up |
Da sapere: dopo una violazione dei dati puoi essere spostato al Livello 1 anche se elabori volumi bassi. Il tuo acquirer potrebbe richiedere controlli aggiuntivi.
Il modo piu semplice per fare meno PCI e tenere i dati della carta fuori dai tuoi server. Ci invii i dati della carta, noi li tokenizziamo: archivi solo il token.
300+
Controlli · SAQ D
Se gestisci tutto da solo
~30
Controlli · SAQ A-EP
Con la nostra API
22
Controlli · SAQ A
Con hosted fields
Siti, app, database e reti che toccano i dati della carta devono soddisfare centinaia di controlli. Spesso oltre 300 nel questionario SAQ D.
I dati della carta non entrano mai nei tuoi server. Siamo certificati PCI DSS Livello 1 e archiviamo il numero di carta. Tu gestisci solo token.
Passa dal SAQ D (300+ controlli) al SAQ A o A-EP (meno di 30). Meno audit, meno ingegneri dedicati, meno rischio.
Il SAQ e il questionario che compili per dimostrare la conformita. Dipende da come i dati della carta scorrono nei tuoi sistemi. Con noi, il percorso si semplifica.
Auto-valutazione
7% dell'ambito SAQ D
Per chi usa i nostri campi iFrame hosted: i dati della carta non passano mai per il tuo sito. E il percorso piu leggero.
Auto-valutazione Estesa
10% dell'ambito SAQ D
Se la pagina di pagamento e sul tuo sito ma i dati della carta vanno direttamente a noi via API o JavaScript. Qualche controllo in piu rispetto al SAQ A.
Questionario Completo
Ambito completo - tutti i sistemi
Il questionario piu lungo. Richiesto quando i dati della carta passano per i tuoi server. Senza di noi, molte aziende e-commerce finiscono qui.
Nell'UE devi rispettare entrambi. I dati della carta sono anche dati personali. Con i token semplifichi PCI e privacy.
Stesse priorita
Dati carta = dati personali
Nome, numero di carta e scadenza rientrano nel GDPR. Devi proteggerli come dati sensibili.
Meno dati, meno rischio
Il GDPR richiede di conservare solo il necessario. Rimuoviamo il numero di carta dai tuoi sistemi e lasciamo solo il token.
Violazioni e notifiche
Se non archivi dati della carta, una violazione sui tuoi server e molto meno grave. Meno stress per te e i tuoi clienti.
Richiede attenzione
Cancellazione vs conservazione
Il GDPR garantisce il diritto all'oblio. Il PCI richiede log delle transazioni. Con i token puoi eliminare la mappatura e rendere i dati irrecuperabili.
Dati solo nell'UE
Molte aziende europee devono mantenere i dati nell'UE. Operiamo solo da data center europei: i dati della carta non lasciano mai l'Unione.
Contratto con noi (DPA)
Ai sensi del GDPR siamo un responsabile del trattamento quando archiviamo i dati della carta per te. E richiesto un accordo scritto su finalita e sicurezza.
In sintesi: lavori con token. Noi archiviamo i dati della carta. PCI e GDPR diventano piu gestibili.
Gestire tutto il PCI internamente costa molto di piu che affidarci i dati della carta. Esempio indicativo per un tipico commerciante europeo.
| Categoria di Costo | Interno (SAQ D) Costo alto · Rischio alto | Con PCI Proxy (SAQ A) CONSIGLIATO |
|---|---|---|
| Audit annuale | €30.000 – €150.000 | €3.000 – €8.000 |
| Sicurezza infrastruttura | €50.000 – €200.000/anno | €0 (ci pensiamo noi) |
| Rischio violazione dati | €500.000 – €4.000.000+ | Quasi zero |
| Assicurazione cyber | €15.000 – €60.000/anno | €5.000 – €15.000/anno |
| Team dedicato | 1–3 ingegneri | Supervisione leggera |
| Sanzioni per non conformita | €5.000 – €100.000/mese | €0 (conforme per design) |
Cifre indicative per commercianti europei con 1–6 milioni di transazioni all'anno. I costi effettivi dipendono da dimensioni e settore.
Dipende da quante transazioni con carta elabori ogni anno. Oltre 6 milioni ti colloca al Livello 1 (audit in loco). Al di sotto di questa soglia di solito basta un questionario SAQ. La maggior parte delle PMI europee sono al Livello 3 o 4. Con noi puoi passare al SAQ piu semplice.
Ci invii i dati della carta, noi li tokenizziamo e li archiviamo. I numeri di carta non arrivano mai sui tuoi server: lavori solo con token. Questo ti tira fuori dal perimetro PCI piu pesante e ti sposta dal SAQ D (300+ controlli) al SAQ A o A-EP (meno di 30).
Si. In Europa devi rispettare sia il PCI DSS che il GDPR insieme. I dati della carta sono dati personali. Il GDPR aggiunge diritti (cancellazione, residenza UE, notifica delle violazioni). Con i token nei tuoi sistemi e i dati della carta nel nostro vault, entrambi gli obblighi diventano piu semplici.
La tokenizzazione con PCI Proxy rimuove la maggior parte di questi requisiti dal tuo ambito. Scopri cosa copre ogni requisito e cosa si applica al tuo sistema.
Contattaci: ti aiutiamo a capire il tuo livello PCI e quanto puoi semplificare con PCI Proxy.
Digest mensile per merchant, fintech e PSP europei. Niente spam — disiscrizione in qualsiasi momento.