Zgodność PCI DSS jest często postrzegana jako ciężkie zobowiązanie techniczne i administracyjne, zarezerwowane dla dużych organizacji dysponujących dedykowanymi zespołami ds. bezpieczeństwa. Tymczasem większość europejskich sprzedawców i dostawców usług płatniczych może drastycznie ograniczyć swoje obowiązki zgodności dzięki sprawdzonemu podejściu: PCI Proxy. Ten przewodnik wyjaśnia, czym konkretnie jest PCI Proxy, jak działa i jak ocenić, czy Twoja organizacja go potrzebuje.
Definicja: czym jest PCI Proxy?
PCI Proxy to certyfikowana usługa pośrednicząca PCI DSS, która przechwytuje wrażliwe dane karty (numer PAN, datę ważności, CVV) zanim wejdą do Twojego środowiska informatycznego, bezpiecznie przechowuje je w certyfikowanym vault i zwraca Twojej aplikacji token – identyfikator bez wewnętrznej wartości, który może być używany do inicjowania kolejnych transakcji.
W praktyce, gdy klient wprowadza dane karty na Twojej stronie lub w aplikacji, dane te trafiają bezpośrednio do vault PCI Proxy, nie dotykając Twoich serwerów. Twoja aplikacja otrzymuje wyłącznie token, który może swobodnie przechowywać w bazie danych bez żadnych szczególnych wymogów bezpieczeństwa. To certyfikowany vault przechowuje rzeczywiste dane i przekazuje je PSP we właściwym momencie w sposób bezpieczny i zgodny z przepisami.
Ta architektura podstawiania jest uznawana przez cztery główne sieci kart (Visa, Mastercard, American Express, Discover) jako prawidłowa metoda ograniczania zakresu CDE (środowiska danych posiadaczy kart). Jest również wyraźnie uregulowana przez wytyczne PCI DSS v4 dotyczące certyfikowanych rozwiązań tokenizacji stron trzecich.
Jak PCI Proxy ogranicza Twoje CDE
CDE (środowisko danych posiadaczy kart) oznacza ogół systemów, sieci i procesów, które przechowują, przetwarzają lub przesyłają dane posiadaczy kart. Im szerszy Twój CDE, tym większy zakres oceny PCI DSS, więcej kontroli do wdrożenia i wyższy koszt zgodności.
Bez PCI Proxy typowa integracja z PSP oznacza, że Twoje serwery internetowe odbierają dane kart wprowadzane do formularza płatności, przekazują je do backendu, który następnie przesyła je do PSP przez API. Ten przepływ danych włącza całą infrastrukturę serwisową i backendową do CDE, ze wszystkimi wynikającymi z tego wymaganiami: szyfrowanie danych w tranzycie i w spoczynku, ścisłe kontrole dostępu, rejestrowanie zdarzeń bezpieczeństwa, regularne testy penetracyjne.
Dzięki PCI Proxy formularz wprowadzania danych karty jest hostowany bezpośrednio przez vault (lub używa bezpiecznego JavaScriptu wskazującego na vault), całkowicie omijając Twoje serwery. Twoje środowisko nigdy nie widzi danych karty w postaci jawnej – operuje wyłącznie na tokenach. Ta redukcja przepływu danych może zakwalifikować Twoją organizację do SAQ A lub SAQ A-EP – najprostszych kwestionariuszy samooceny PCI DSS.
Różne typy PCI Proxy i ich zastosowania
Istnieje kilka architektur PCI Proxy w zależności od potrzeb biznesowych. Model iframe lub pól hostowanych jest najpowszechniejszy w integracjach e-commerce: formularz płatności jest dostarczany bezpośrednio przez usługę PCI Proxy, hostowany na jej certyfikowanej domenie i zintegrowany wizualnie z Twoim interfejsem przez iframe. Klient doświadcza płynnego procesu na Twojej stronie, ale dane karty są wprowadzane bezpośrednio w certyfikowanym środowisku vault.
Dla call centerów i płatności MOTO (Mail Order / Telephone Order), PCI Proxy może działać przez integrację telefoniczną wykorzystującą technologię DTMF (Dual-Tone Multi-Frequency). Gdy klient podaje dane karty agentowi, system telefonii przechwytuje tony klawiszy i przesyła je bezpośrednio do vault PCI Proxy, bez wiedzy agenta o danych. To podejście pozwala call centerom obsługiwać płatności telefoniczne bez włączania infrastruktury telekomunikacyjnej do zakresu PCI DSS.
Model API Proxy jest przeznaczony dla integracji technicznych, w których dane kart pochodzą z różnych kanałów (aplikacje mobilne, terminale fizyczne, API partnerów). W tym przypadku PCI Proxy działa jako przezroczysta brama API: wywołania API są przechwytywane, wrażliwe dane ekstrahowane i tokenizowane, a zmodyfikowane żądanie jest przekazywane do docelowego PSP z rzeczywistymi danymi.
Czy potrzebujesz PCI Proxy? Kryteria oceny
Odpowiedź jest prawie na pewno twierdząca, jeśli Twoja organizacja akceptuje płatności kartą i chce zminimalizować obciążenia związane ze zgodnością PCI DSS. W szczególności PCI Proxy jest wskazany, jeśli zarządzasz płatnościami cyklicznymi lub subskrypcjami wymagającymi przechowywania danych card-on-file; jeśli prowadzisz call center obsługujący płatności telefoniczne; lub jeśli jesteś wydawcą oprogramowania lub platformą SaaS oferującą funkcje płatności klientom.
Dla startupów i MŚP w Europie PCI Proxy często reprezentuje najbardziej ekonomiczne rozwiązanie, aby rozpocząć akceptację płatności w zgodności z PCI DSS. Zamiast inwestować we własną bezpieczną infrastrukturę lub rekrutować ekspertów ds. bezpieczeństwa informatycznego, outsourcing najbardziej wrażliwej części przetwarzania płatności do wyspecjalizowanego i certyfikowanego dostawcy pozwala skoncentrować zasoby na podstawowej działalności.
PCI Proxy vs. inne rozwiązania zgodności PCI DSS
Należy odróżnić PCI Proxy od innych rozwiązań, z którymi jest często mylony. PSP, taki jak Stripe lub Adyen, oferuje hostowane strony płatności, które również ograniczają zakres CDE, ale rozwiązania te wiążą Cię z jednym dostawcą i nie pozwalają na przenoszalność danych kart do innych PSP. PCI Proxy jest agnostyczny względem PSP i pozwala na równoczesne lub sekwencyjne korzystanie z kilku agentów rozliczeniowych.
Tokenizacja sieciowa oferowana przez Visa Token Service (VTS) lub Mastercard Digital Enablement Service (MDES) działa na innym poziomie: zabezpiecza transakcje w sieciach kart, zastępując PAN tokenem specyficznym dla urządzenia i sprzedawcy dla każdej indywidualnej transakcji. Nie zarządza przechowywaniem danych card-on-file na poziomie sprzedawcy ani przenoszalnością multi-PSP. PCI Proxy na poziomie sprzedawcy i tokenizacja sieciowa uzupełniają się i nie zastępują wzajemnie.
Wybieranie PCI Proxy: co sprawdzić
Certyfikat PCI DSS Level 1 dostawcy jest kryterium sine qua non. Gwarantuje on, że vault przeszedł audyt przez akredytowanego QSA i spełnia 300+ kontroli normy w jej najbardziej wymagającej wersji. Systematycznie proś o Attestation of Compliance (AOC) dostawcy, która szczegółowo określa usługi i komponenty objęte certyfikacją.
Rezydencja danych jest imperatywem regulacyjnym dla europejskich sprzedawców podlegających RODO. Dane kart Twoich europejskich klientów powinny być przechowywane w centrach danych zlokalizowanych w Unii Europejskiej. Vault hostowany poza UE naraża Cię na komplikacje związane z transgranicznym transferem danych osobowych, szczególnie po orzeczeniu Schrems II Trybunału Sprawiedliwości UE. PCI Proxy EU gwarantuje 99,9% dostępność z redundantną infrastrukturą w Europie.
Gotowy, aby ograniczyć zakres PCI DSS?
Nasi eksperci pomogą ocenić Twoją obecną architekturę i wdrożyć PCI Proxy dostosowany do Twoich potrzeb i wolumenu transakcji.
Porozmawiaj z ekspertem