Open banking – napędzany przez PSD2 – oferuje alternatywę dla płatności kartą: przelewy A2A (account-to-account) inicjowane bezpośrednio z rachunku bankowego klienta. Wiele organizacji błędnie zakłada, że przejście na open banking eliminuje obowiązki PCI DSS. Rzeczywistość jest bardziej złożona: jeśli Twoja platforma obsługuje zarówno karty, jak i rachunki bankowe, obowiązki PCI DSS nadal mają zastosowanie.
PCI DSS a płatności A2A: kiedy standard ma zastosowanie
PCI DSS ma zastosowanie wyłącznie do płatności inicjowanych kartą płatniczą (Visa, Mastercard, American Express, Discover i in.). Płatności A2A w ramach open banking, inicjowane bezpośrednio z rachunku bankowego, nie są objęte PCI DSS – podlegają natomiast PSD2/PSD3 i krajowym regulacjom bankowym. Dlatego organizacja działająca wyłącznie w modelu open banking nie musi spełniać PCI DSS.
Hybrydowe platformy płatnicze: scenariusz złożony
Większość europejskich platform płatniczych i sprzedawców obsługuje jednocześnie płatności kartą i A2A. W tym przypadku PCI DSS ma zastosowanie wyłącznie do komponentów obsługujących karty – przepływy A2A mogą być całkowicie wyizolowane. Kluczowe jest architektoniczne rozdzielenie ścieżek: jeśli karta i konto bankowe są obsługiwane przez odrębne systemy, każdy z nich podlega własnym wymaganiom regulacyjnym.
Dostawcy inicjowania płatności (PISP) a PCI DSS
Dostawcy inicjowania płatności (PISP) w ramach PSD2 inicjują płatności w imieniu klientów bezpośrednio z rachunków bankowych. PISP nie przetwarza danych kart płatniczych, więc nie wchodzi bezpośrednio w zakres PCI DSS. Jednak PISP oferujący również usługi obsługi kart (np. portfele cyfrowe obsługujące zarówno karty, jak i rachunki) musi spełniać PCI DSS dla komponentów obsługujących karty.
Tokenizacja jako most między open banking a kartami
PCI Proxy EU może działać jako centralna warstwa tokenizacji dla platform hybrydowych: tokeny karty są zarządzane przez vault certyfikowany PCI DSS Level 1, podczas gdy przepływy A2A są obsługiwane przez odrębne integracje PISP. Ta architektura zapewnia czystą separację między środowiskami, upraszczając zarówno zgodność PCI DSS (tylko komponenty kart wchodzą w zakres), jak i zarządzanie ryzykiem (różne systemy dla różnych typów płatności).
Perspektywa PSD3: co czeka hybrydowe platformy
PSD3, oczekiwana w 2025-2026 roku, ma wprowadzić wzmocnione wymagania dla PISP i AISP, nowe zasady odpowiedzialności za oszustwa oraz rozszerzone obowiązki SCA. Dla hybrydowych platform płatniczych oznacza to konieczność aktualizacji zarówno komponentów PSD2/PSD3, jak i PCI DSS. Wczesne wdrożenie czystej separacji architektonicznej między płatnościami kartą a A2A jest inwestycją, która uprości adaptację do PSD3.
Zarządzaj zgodnością PCI DSS dla komponentów kartowych
Nawet przy strategii open banking, Twoja platforma może obsługiwać karty. PCI Proxy EU zapewni tokenzację i zgodność dla tych przepływów.
Porozmawiaj z ekspertem