Model Buy Now Pay Later (BNPL) rewolucjonizuje europejski handel detaliczny, oferując konsumentom możliwość odroczonej płatności przy kasie. Jednak dla sprzedawców i dostawców usług BNPL model ten rodzi istotne pytania dotyczące zgodności PCI DSS: kto przetwarza dane kart płatniczych, kto ponosi odpowiedzialność za ochronę tych danych i jak tokenizacja upraszcza te złożone relacje?
Jak działa BNPL a dane kart płatniczych
W modelu BNPL klient dokonuje zakupu bez natychmiastowej płatności – dostawca BNPL finalizuje transakcję u sprzedawcy, a klient spłaca kwotę w ratach bezpośrednio dostawcy BNPL. W zależności od implementacji technicznej dane kart mogą trafiać do systemu sprzedawcy, dostawcy BNPL lub obu. To rozróżnienie jest kluczowe dla określenia zakresu PCI DSS każdej ze stron.
Łańcuch odpowiedzialności PCI DSS w BNPL
Typowy łańcuch BNPL obejmuje: sprzedawcę, dostawcę BNPL (np. Klarna, Afterpay, Scalapay) oraz bank lub instytucję finansową. Każde ogniwo, które przechowuje, przetwarza lub przesyła dane kart, wchodzi w zakres PCI DSS. Dostawcy BNPL są zazwyczaj certyfikowani jako Service Provider PCI DSS Level 1, co oznacza, że mogą oferować sprzedawcom rozwiązania ograniczające ich własny zakres – ale tylko wtedy, gdy integracja jest prawidłowo skonfigurowana.
Tokenizacja jako klucz do bezpiecznego BNPL
Implementacja tokenizacji w przepływie BNPL pozwala na eliminację numerów PAN z systemów sprzedawcy od pierwszego punktu kontaktu. Klient wprowadza dane karty bezpośrednio w zabezpieczonym środowisku dostawcy BNPL lub PCI Proxy – sprzedawca nigdy nie ma dostępu do rzeczywistych numerów kart. Zamiast tego operuje na tokenach, które mogą być bezpiecznie przechowywane do kolejnych transakcji ratalnych.
Obowiązki sprzedawcy przy integracji BNPL
Nawet przy integracji z certyfikowanym dostawcą BNPL, sprzedawca zachowuje pewne obowiązki PCI DSS. Musi zapewnić, że strona płatności nie zawiera złośliwych skryptów (Wymaganie 6.4.3 PCI DSS v4.0), że połączenie z dostawcą BNPL jest szyfrowane TLS 1.2+ oraz że umowa z dostawcą BNPL wyraźnie określa zakresy odpowiedzialności i obowiązki compliance. Dokumentacja relacji z dostawcą BNPL jako Service Provider jest niezbędna.
Jak PCI Proxy EU upraszcza ekosystem BNPL
PCI Proxy EU może działać jako warstwa tokenizacji między interfejsem sprzedawcy a dostawcą BNPL: klient wprowadza dane karty do vault PCI Proxy, który generuje token i przekazuje go zarówno do systemu sprzedawcy, jak i dostawcy BNPL. Ten model zapewnia maksymalną redukcję zakresu PCI DSS sprzedawcy (możliwość SAQ A) przy zachowaniu pełnej funkcjonalności BNPL. Vault PCI Proxy EU przechowuje dane kart w certyfikowanej infrastrukturze zlokalizowanej w Unii Europejskiej.
Bezpieczne płatności BNPL z pełną zgodnością PCI DSS
Skontaktuj się z naszymi ekspertami, aby zrozumieć, jak zintegrować BNPL z tokenizacją PCI Proxy EU.
Porozmawiaj z ekspertem