W ekosystemie płatności kartą banki i agenci rozliczeniowi zajmują kluczową pozycję jako pośrednicy między sieciami kart a sprzedawcami. Ta pozycja wiąże się z rozbudowanymi obowiązkami PCI DSS – zarówno dla własnych systemów, jak i w zakresie monitorowania i egzekwowania zgodności sprzedawców. Zrozumienie tego łańcucha odpowiedzialności jest kluczowe dla efektywnego zarządzania ryzykiem PCI DSS.
Pozycja agentów rozliczeniowych w łańcuchu PCI DSS
Agenci rozliczeniowi (acquirerzy) są umownie odpowiedzialni wobec sieci kart za zgodność PCI DSS całej sieci sprzedawców, którym świadczą usługi. Oznacza to, że jeśli sprzedawca korzystający z usług agenta rozliczeniowego doświadczy naruszenia danych kart, agent może zostać obciążony karami przez sieć kart – nawet jeśli własna infrastruktura agenta jest w pełni zgodna. Ten mechanizm tworzy silną motywację do aktywnego zarządzania zgodnością sprzedawców.
Obowiązki agentów rozliczeniowych wobec sprzedawców
Agenci rozliczeniowi są zobowiązani do: monitorowania statusu zgodności PCI DSS sprzedawców, pobierania i weryfikowania rocznych SAQ lub raportów QSA, egzekwowania corocznych skanów ASV u sprzedawców Level 1 i 2, informowania sprzedawców o zmianach w standardzie PCI DSS oraz raportowania do sieci kart o statusie zgodności portfela sprzedawców. W przypadku naruszenia, agent rozliczeniowy musi uczestniczyć w procesie forensic i zarządzaniu incydentem.
PCI DSS dla instytucji bankowych jako emitentów kart
Banki działające jako emitenci kart (issuerzy) podlegają PCI DSS dla własnych systemów autoryzacji transakcji, zarządzania danymi kart i obsługi kont klientów. Wymaganie PCI DSS Level 1 dotyczy dużych issuerów – coroczny audyt QSA jest obowiązkowy. Banki muszą również zapewnić, że ich dostawcy technologiczni i podwykonawcy przetwarzający dane kart posiadają własne certyfikacje PCI DSS.
Tokenizacja jako narzędzie zarządzania ryzykiem dla agentów rozliczeniowych
Agenci rozliczeniowi oferujący sprzedawcom rozwiązania tokenizacji, takie jak PCI Proxy EU, uzyskują dwojaką korzyść: ograniczają ekspozycję własnej platformy na dane kart sprzedawców (mniejszy CDE) i zmniejszają ryzyko naruszenia danych kart w całym portfelu sprzedawców. Sprzedawcy korzystający z tokenizacji kwalifikują się do prostszych SAQ, co obniża koszty monitorowania zgodności po stronie agenta.
Nowe wymagania PCI DSS v4.0 dla instytucji finansowych
PCI DSS v4.0 wprowadza szczególnie istotne zmiany dla instytucji finansowych: wzmocnione wymagania dotyczące zarządzania ryzykiem podmiotów trzecich (Wymaganie 12.8), nowe kontrole dla środowisk chmurowych i wirtualnych, rozszerzone wymagania dla zarządzania konfiguracją systemów i skanowania podatności. Instytucje finansowe powinny przeprowadzić gap analysis między swoim obecnym programem PCI DSS a nowymi wymaganiami v4.0.
Zarządzanie zgodnością PCI DSS w portfelu sprzedawców
PCI Proxy EU pomaga agentom rozliczeniowym oferować sprzedawcom bezpieczną tokenizację i ograniczać ryzyko PCI DSS w portfelu.
Porozmawiaj z ekspertem