31 marca 2025 roku był kluczową datą dla wszystkich organizacji objętych PCI DSS: wszystkie wymagania oznaczone w v4.0 jako 'najlepsze praktyki' (best practices) stały się w pełni obowiązkowe. Oznacza to, że program compliance, który był wystarczający w 2024 roku, może nie być wystarczający od 2025 roku. Ten artykuł wyjaśnia, co konkretnie zmieniło się i co musisz zrobić.
Co stało się obowiązkowe 31 marca 2025
Spośród 64 nowych wymagań PCI DSS v4.0, część stała się obowiązkowa już 31 marca 2024 (przy wygaśnięciu v3.2.1), a pozostałe – 31 marca 2025. Do najważniejszych wymagań, które stały się obowiązkowe w 2025 roku należą: Wymaganie 6.4.3 (zarządzanie skryptami na stronach płatności), Wymaganie 11.6.1 (monitoring bezpieczeństwa stron płatności), Wymaganie 12.3.4 (coroczny przegląd technologii sprzętowych i oprogramowania), Wymaganie 8.4.2 (MFA dla wszystkich kont w CDE, nie tylko uprzywilejowanych).
Wymaganie 6.4.3 w praktyce: co musisz zrobić
Wymaganie 6.4.3 jest jednym z najbardziej praktycznie istotnych nowych wymagań dla sprzedawców e-commerce. W praktyce oznacza: stworzenie i utrzymywanie listy WSZYSTKICH skryptów JavaScript i innych skryptów ładowanych na stronach płatności (nie tylko własnych, ale też bibliotek zewnętrznych jak Google Analytics, Meta Pixel, live chat), dokumentowanie celu biznesowego każdego skryptu, wdrożenie mechanizmu weryfikacji integralności skryptów (Content Security Policy, Subresource Integrity, zewnętrzny monitoring), uzyskiwanie zatwierdzenia upoważnionej osoby dla każdego nowego lub zmienionego skryptu.
Wymaganie 11.6.1 w praktyce: monitoring stron płatności
Wymaganie 11.6.1 wymaga mechanizmu wykrywania zmian na stronach płatności działającego co najmniej raz na tydzień. Dostępne rozwiązania: zewnętrzne narzędzia monitoringu stron (np. PCI Guardian, Reflectiz, Jscrambler) – skanują strony płatności pod kątem nieoczekiwanych skryptów, zmienionych nagłówków HTTP lub nowych zasobów. Content Security Policy (CSP) z reporting – przeglądarki raportują próby załadowania skryptów spoza allowlisty. Wewnętrzny monitoring – skrypty sprawdzające hash zawartości strony i porównujące z baseline. Dla sprzedawców z hosted fields PCI Proxy EU, monitoring jest prostszy – strona płatności jest w iFrame na domenenie PCI Proxy EU.
Aktualizacja programu compliance: gap analysis PCI DSS v4.0
Organizacje, które nie przeprowadziły jeszcze gap analysis PCI DSS v4.0, powinny to zrobić natychmiast. Gap analysis powinien obejmować: przegląd wszystkich 64 nowych wymagań v4.0 pod kątem aktualnego stanu implementacji, identyfikację wymagań, które nie są jeszcze w pełni spełnione, priorytetyzację wymagań do wdrożenia na podstawie ryzyka i złożoności, planowanie zasobów i timeline wdrożenia. QSA może przeprowadzić formalny gap analysis – koszt 5-20 tys. euro, ale wartość w postaci jasnego planu działania jest znacząca.
Długoterminowe implikacje PCI DSS v4.0 dla architektury systemów
PCI DSS v4.0 sygnalizuje kierunek przyszłych wersji standardu: nacisk na ciągły monitoring zamiast rocznego snapshot compliance, integracja bezpieczeństwa z cyklem życia oprogramowania (DevSecOps), zarządzanie ryzykiem łańcucha dostaw (supply chain) w kontekście dostawców płatności, przygotowanie na środowiska chmurowe i hybrydowe. Organizacje budujące architekturę płatności na nowo powinny projektować z myślą o tych trendach od początku – tokenizacja, minimalizacja CDE i zautomatyzowany monitoring bezpieczeństwa to fundament nowoczesnej architektury PCI DSS.
Zaktualizuj swój program compliance do PCI DSS v4.0
PCI Proxy EU pomaga w gap analysis i wdrożeniu wymagań v4.0. Skontaktuj się z nami.
Porozmawiaj z ekspertem