Onboarding nowego sprzedawcy u agenta rozliczeniowego lub PSP obejmuje weryfikację zgodności PCI DSS jako obowiązkowy element procesu. Sprzedawcy, którzy nie mogą wykazać zgodności, doświadczają opóźnień w aktywacji lub dodatkowych wymagań. Zrozumienie, co sprawdza agent rozliczeniowy, pozwala na przygotowanie się z wyprzedzeniem i przyspieszenie time-to-live.
Standardowy proces weryfikacji PCI DSS przy onboardingu
Typowy agent rozliczeniowy weryfikuje przy onboardingu: status SAQ lub ROC (aktualny, podpisany przez uprawnioną osobę), raporty z kwartalnych skanów ASV (jeśli wymagane dla danego poziomu), informację o każdym wcześniejszym naruszeniu danych kart, listę dostawców usług płatniczych używanych przez sprzedawcę z ich statusem PCI DSS. Weryfikacja może odbywać się przez portal compliance agenta (np. ControlScan, SecurityMetrics) lub bezpośrednio przez przesłanie dokumentów.
SAQ vs. ROC: co przygotować
Level 1: ROC (Report on Compliance) wystawiony przez akredytowanego QSA, podpisany przez przedstawiciela sprzedawcy. Level 2: SAQ podpisany przez dyrektora lub inną upoważnioną osobę, opcjonalnie zatwierdzony przez ISA lub QSA. Level 3 i 4: SAQ podpisany przez upoważnioną osobę – typ SAQ zależy od architektury systemu. Dla nowych sprzedawców bez historii compliance, agent rozliczeniowy może zaakceptować wstępne SAQ z zobowiązaniem do uzupełnienia pełnej dokumentacji w ciągu 90-180 dni od aktywacji.
Jak tokenizacja przyspiesza onboarding PCI DSS
Sprzedawca, który wdrożył tokenizację PCI Proxy EU przed onboardingiem, może wypełnić SAQ A – najkrótszy i najprostszy kwestionariusz. SAQ A wymaga 22 odpowiedzi zamiast 329 dla SAQ D. Przy wsparciu dokumentacyjnym PCI Proxy EU, sprzedawca może uzupełnić SAQ A w ciągu 2-5 dni roboczych. Agent rozliczeniowy, widząc SAQ A od sprzedawcy korzystającego z certyfikowanego service providera, ma wysoką pewność compliance – co przyspiesza akceptację wniosku.
Wstępna ocena zakresu: o co pyta agent rozliczeniowy
Agent rozliczeniowy może zadać szczegółowe pytania o architekturę: jak zbierane są dane kart (własny formularz, hosted fields, terminal POS), gdzie przechowywane są dane kart (własna baza, PSP, certyfikowany vault), jak transmitowane są dane do PSP (bezpośrednio, przez Twój serwer, przez PCI Proxy), jaki był ostatni wynik skanu ASV, kiedy przeprowadzono ostatni test penetracyjny. Odpowiedzi na te pytania determinują wymagany SAQ i dodatkowe warunki onboardingu.
Dokumenty do przygotowania przed onboardingiem
Przed złożeniem wniosku o aktywację u agenta rozliczeniowego, przygotuj: uzupełniony i podpisany SAQ odpowiedniego typu, raport z ostatniego skanu ASV (jeśli wymagany), listę dostawców usług z ich AOC (w tym PCI Proxy EU), krótki opis architektury systemu płatności (przepływ danych karty od klienta do PSP), politykę bezpieczeństwa informacji (wymaganą przez PCI DSS Wymaganie 12). Kompletna dokumentacja od pierwszego dnia znacząco przyspiesza proces onboardingu.
Przygotuj dokumentację PCI DSS dla onboardingu
PCI Proxy EU dostarcza kompletną dokumentację SAQ A dla sprzedawców korzystających z tokenizacji. Skontaktuj się z nami.
Porozmawiaj z ekspertem