Platformy marketplace – od Amazon-like megaplatform do niszowych platform B2B – stają przed złożoną kwestią odpowiedzialności PCI DSS. Gdy tysiące sprzedawców akceptują płatności przez Twoją platformę, zakres PCI DSS może być rozległy i trudny do zarządzania. Zrozumienie modeli odpowiedzialności i strategii scentralizowania zgodności jest kluczowe dla operatora marketplace.
Modele odpowiedzialności PCI DSS w marketplace
W marketplace istnieją dwa podstawowe modele transakcji: model pośredni (płatność przez platformę) i model bezpośredni (płatność bezpośrednio do sprzedawcy). W modelu pośrednim platforma przetwarza płatność – wchodzi w zakres PCI DSS jako merchant lub service provider. W modelu bezpośrednim platforma przekierowuje klienta do systemu sprzedawcy – zakres PCI DSS zależy od sposobu integracji.
Scentralizowana tokenizacja jako standard dla marketplace
Operator marketplace, który centralnie tokenizuje dane kart przez PCI Proxy EU, może oferować unikalną propozycję wartości sprzedawcom: 'Twoje dane kart są zarządzane przez certyfikowany vault – nie musisz budować własnej infrastruktury PCI DSS.' W tym modelu platforma jest service provider PCI DSS – sprzedawcy korzystający z tokenizacji platformy mogą kwalifikować się do prostszych SAQ.
Monitorowanie zgodności portfela sprzedawców
Operator marketplace ponosi odpowiedzialność za monitorowanie statusu zgodności PCI DSS sprzedawców korzystających z platformy. Wymagania obejmują: coroczne zbieranie SAQ lub AOC od sprzedawców, weryfikację, że sprzedawcy używający tokenizacji platformy nie implementują własnych mechanizmów przetwarzania kart, reagowanie na naruszenia bezpieczeństwa u sprzedawców i raportowanie do agenta rozliczeniowego.
Izolacja danych kart między sprzedawcami
Krytycznym aspektem bezpieczeństwa marketplace jest izolacja danych kart między sprzedawcami. PCI Proxy EU zapewnia izolację na poziomie vault: tokeny generowane w kontekście sprzedawcy A nie mogą być użyte przez sprzedawcę B, nawet jeśli obaj korzystają z tego samego vault. Ta izolacja jest kluczowa zarówno dla bezpieczeństwa (naruszenie jednego sprzedawcy nie kompromituje innych), jak i dla zgodności (każdy sprzedawca ma swój zakres PCI DSS).
Onboarding sprzedawców z minimalnym tarciem PCI DSS
Model vault-as-a-service PCI Proxy EU pozwala operatorowi marketplace na szybki onboarding nowych sprzedawców. Sprzedawca integruje się z API marketplace – które wewnętrznie korzysta z PCI Proxy EU. Sprzedawca nie musi zarządzać własną certyfikacją PCI DSS dla warstwy przechowywania kart. Redukcja tarcia onboardingowego przyspiesza time-to-market dla nowych sprzedawców i zwiększa atrakcyjność platformy.
PCI DSS-as-a-service dla Twojego marketplace
Scentralizuj tokenizację kart dla wszystkich sprzedawców na Twojej platformie. Skontaktuj się z ekspertami PCI Proxy EU.
Porozmawiaj z ekspertem