Zgodność PCI DSS może wydawać się przytłaczająca – standard v4.0 zawiera setki wymagań technicznych i organizacyjnych. Ale dla większości sprzedawców e-commerce i MŚP europejskich, właściwe podejście architektoniczne redukuje listę obowiązków do kilku kluczowych działań. Ta lista kontrolna koncentruje się na praktycznych krokach, które mają największy wpływ na Twój status compliance.
Krok 1: Zidentyfikuj wszystkie przepływy danych kart
Zanim podejmiesz jakiekolwiek działania techniczne, musisz wiedzieć, gdzie przepływają dane kart w Twoim środowisku. Sporządź mapę: wszystkich punktów wejścia danych kart (formularze płatności, API, terminale, telefon), wszystkich systemów przetwarzających lub przechowujących dane kart, wszystkich połączeń sieciowych między tymi systemami, wszystkich podmiotów trzecich mających dostęp do danych kart. Ta mapa stanowi fundament zarówno analizy PCI DSS, jak i rejestru RODO.
Krok 2: Wybierz model integracji minimalizujący CDE
Na podstawie mapy przepływów, wybierz model integracji płatności minimalizujący CDE. Opcja z najniższym CDE: hosted payment page (pełne przekierowanie do PSP lub PCI Proxy EU) – SAQ A. Opcja pośrednia: hosted fields w iFrame – SAQ A jeśli prawidłowo wdrożone. Opcja wymagająca unikania: direct API z danymi karty przez Twój serwer – SAQ D, najwyższy koszt compliance. Każda decyzja architektoniczna tutaj bezpośrednio wpływa na koszt i złożoność całego programu PCI DSS.
Krok 3: Wdróż tokenizację dla card-on-file
Jeśli Twoja platforma przechowuje dane kart do przyszłych transakcji (subskrypcje, card-on-file), wdróż tokenizację PCI Proxy EU. Migracja istniejących kart: wszystkie PAN przechowywane w bazie danych muszą być zastąpione tokenami. Nowe karty: od momentu wdrożenia, formularze płatności używają hosted fields generujących tokeny. Baza danych: tabele klientów przechowują tokeny, nie PAN. Cel: zero rekordów z PAN w Twojej bazie po migracji.
Krok 4: Uzupełnij wymaganą dokumentację SAQ
Po wdrożeniu tokenizacji, określ odpowiedni SAQ i uzupełnij go. SAQ A: 22 pytania dla sprzedawców z pełnym outsourcingiem przetwarzania kart. SAQ A-EP: dla sprzedawców e-commerce z częściowym outsourcingiem. Każde pytanie SAQ wymaga odpowiedzi 'Tak' (z dowodem) lub wyjaśnienia kompensującego. Dokumentacja jest kluczowa: polityki bezpieczeństwa, procedury, logi dostępu. PCI Proxy EU dostarcza gotowe szablony dokumentacji.
Kroki 5-8: Skanowanie, testy, szkolenia i monitoring
Krok 5: Przeprowadź kwartalny skan ASV środowiska zewnętrznego (wymagany dla Level 1 i 2). Krok 6: Wykonaj coroczny test penetracyjny (wymagany dla Level 1, zalecany dla pozostałych). Krok 7: Przeszkól personel w zakresie ochrony danych kart i reagowania na incydenty (roczne szkolenia są wymagane przez PCI DSS). Krok 8: Wdróż ciągły monitoring bezpieczeństwa – logi, alerty anomalii, procedury reagowania na incydenty. Każdy z tych kroków jest prostszy przy ograniczonym CDE dzięki tokenizacji.
Uprość swoją listę kontrolną z tokenizacją PCI Proxy EU
Wdróż hosted fields i tokenizację card-on-file, aby zredukować swoją listę kontrolną PCI DSS do minimum.
Porozmawiaj z ekspertem