Handel detaliczny – sklepy stacjonarne, restauracje, sklepy franczyzowe – ma specyficzne wymagania PCI DSS związane z terminalami POS (Point of Sale), sieciami sklepowymi i pracownikami obsługującymi karty klientów. W przeciwieństwie do e-commerce, gdzie hosted fields mogą wyeliminować CDE, w środowiskach fizycznych PAN przepływa przez terminale POS i sieci sklepowe, co tworzy nieodzowny CDE.
Środowisko POS i zakres PCI DSS
Terminal POS w sklepie stacjonarnym przetwarza dane karty w kilku punktach: odczyt karty (chip EMV, pasek magnetyczny, contactless), szyfrowanie PIN (dla transakcji z PINem), transmisja autoryzacji do systemu backoffice lub bezpośrednio do PSP. W nowoczesnym środowisku POS, dane karty są szyfrowane bezpośrednio w terminalu (P2PE – Point-to-Point Encryption) przed transmisją. P2PE certified terminale znacząco ograniczają zakres CDE – ale wymagają certyfikacji P2PE od dostawcy terminala.
P2PE: szyfrowanie punkt-do-punktu jako redukcja zakresu
P2PE (Point-to-Point Encryption) to technologia, w której karta jest szyfrowana bezpośrednio w certyfikowanym terminalu POS. Zaszyfrowane dane przechodzą przez infrastrukturę sklepu (sieci, systemy POS) bez możliwości odszyfrowania – dopiero u certyfikowanego procesora płatności. Dla sprzedawców używających certyfikowanych rozwiązań P2PE (z listy PCI SSC), zakres CDE może być drastycznie zredukowany do samego terminala – pozostała infrastruktura sklepu jest poza zakresem.
SAQ dla środowisk handlu detalicznego
SAQ dla sklepów stacjonarnych zależy od używanej technologii: SAQ B: sklepy używające wyłącznie imprinterów lub standalone terminal POS bez połączenia sieciowego. SAQ B-IP: sklepy z terminalami PCI-PTS połączonymi z internetem, bez transmisji przez serwer sprzedawcy. SAQ C: sklepy z systemem POS połączonym z internetem, z własną siecią sklepową. SAQ D (merchants): wszystkie inne środowiska. Wybór certyfikowanego terminala P2PE może pozwolić na przejście z SAQ C lub D do SAQ B-IP.
Skimming terminali POS: fizyczne ryzyko bezpieczeństwa
Sklepy stacjonarne stoją przed unikalnym ryzykiem fizycznego skimmingu terminali. Skimmer to urządzenie montowane na terminalu POS, które przechwytuje dane z paska magnetycznego karty. PCI DSS Wymaganie 9.9 wymaga: regularnych inspekcji terminali POS pod kątem skimmerów, szkolenia personelu w rozpoznawaniu podejrzanych urządzeń, prowadzenia inwentarza terminali z numerami seryjnymi, procedur reagowania na wykrycie skimmera. Skimming terminali jest odpowiedzialny za znaczący procent naruszeń danych kart w handlu detalicznym.
Multi-channel retailers: e-commerce + sklepy stacjonarne
Sprzedawcy działający jednocześnie w handlu stacjonarnym i online (omnichannel) muszą zarządzać dwoma różnymi środowiskami PCI DSS: e-commerce – hosted fields PCI Proxy EU z SAQ A, sklepy stacjonarne – terminale POS z SAQ B lub B-IP. Ideałem jest scentralizowany vault tokenów: token wygenerowany przy transakcji online może być używany do identyfikacji klienta w sklepie (i vice versa), tworząc spójny profil klienta bez cross-channel storage PAN.
Rozwiązania PCI DSS dla handlu detalicznego i omnichannel
PCI Proxy EU obsługuje zarówno scenariusze e-commerce, jak i integracje z systemami POS. Skontaktuj się z nami.
Porozmawiaj z ekspertem