Ankiety pokazują, że większość europejskich małych firm akceptujących karty płatnicze nie jest świadoma swoich obowiązków PCI DSS lub uważa, że nie mają do nich zastosowania. Błąd ten może kosztować bardzo drogo przy naruszeniu danych lub kontroli agenta rozliczeniowego. Ten przewodnik wyjaśnia w przystępny sposób, co naprawdę musisz zrobić jako mała firma w Europie.
Mit: 'PCI DSS dotyczy tylko dużych firm'
To jeden z najczęstszych i najniebezpieczniejszych mitów dotyczących PCI DSS. Rzeczywistość: PCI DSS ma zastosowanie do każdej firmy przetwarzającej dane kart płatniczych, niezależnie od rozmiaru. Małe firmy są klasyfikowane jako Level 4 i mają najprostszy zestaw wymagań – ale nadal muszą je spełniać. Agenci rozliczeniowi mogą nakładać kary na małe firmy za niezgodność. Naruszenia danych kart zdarzają się małym firmom tak samo często jak dużym – atakujący szukają najsłabszych ogniw.
Konkretne obowiązki małej firmy Level 4 w Europie
Mała firma e-commerce Level 4 musi co roku: wypełnić odpowiedni SAQ (najlepiej SAQ A przy prawidłowej architekturze), złożyć SAQ do agenta rozliczeniowego lub certyfikowanego partnera compliance, ewentualnie przeprowadzić kwartalny skan ASV (zależy od wymagań agenta rozliczeniowego). Ponadto na bieżąco: utrzymywać bezpieczną konfigurację systemów płatności, szkolić personel mający kontakt z systemami płatności, dokumentować incydenty bezpieczeństwa i reagować na nie. Część z tych obowiązków jest automatycznie spełniona przy korzystaniu z certyfikowanego dostawcy jak PCI Proxy EU.
Typowa mała firma e-commerce w Europie: jak wyglądają jej systemy
Typowa małe firma e-commerce używa: WooCommerce na WordPressie lub innej platformy open-source, bramki płatności (np. Przelewy24, PayU, Stripe, PayPal), hostingu w Polsce lub zagranicą, podstawowych narzędzi analitycznych (Google Analytics), ewentualnie CRM. Pytanie kluczowe: gdzie w tym zestawie trafiają dane kart? Jeśli płatność jest realizowana przez hosted page PSP (klient opuszcza stronę sklepu), kwalifikacja do SAQ A jest prosta. Jeśli bramka jest zintegrowana na stronie sklepu, sytuacja wymaga analizy.
Jak sprawdzić, czy Twoja aktualna integracja jest bezpieczna
Kilka pytań do weryfikacji: czy klient przy płatności jest przekierowywany na stronę Twojego PSP lub banku? Jeśli tak – dobry znak dla SAQ A. Czy dane karty są wpisywane bezpośrednio na stronie Twojego sklepu? Jeśli tak – musisz sprawdzić, czy formularz jest iFrame serwowanym przez PSP. Czy masz klientów płacących przez telefon i podających dane karty Twoim pracownikom? Jeśli tak – masz środowisko MOTO wymagające analizy. Jeśli nie jesteś pewien, odpowiedź jest prosta: skontaktuj się z agentem rozliczeniowym lub ekspertem PCI DSS.
Pierwsze kroki do compliance jako mała firma
Jeśli dopiero zaczynasz: 1. Sprawdź z agentem rozliczeniowym, jakie wymagania nakłada na Level 4 w Twoim przypadku. 2. Skontaktuj się z dostawcą platformy e-commerce (WooCommerce, PrestaShop, Shopify) i sprawdź, czy używana bramka płatności kwalifikuje do SAQ A. 3. Jeśli nie – rozważ integrację hosted fields PCI Proxy EU, która kwalifikuje do SAQ A. 4. Wypełnij SAQ A z pomocą szablonów dokumentacyjnych PCI Proxy EU. 5. Złóż SAQ do agenta rozliczeniowego. Cały proces może trwać 2-4 tygodnie.
Pomoc dla małych firm w uzyskaniu zgodności PCI DSS
PCI Proxy EU ma specjalne rozwiązania dla małych firm europejskich. Skontaktuj się z nami – odpowiemy na wszystkie pytania.
Porozmawiaj z ekspertem