Zgodność PCI DSS nie jest opcją dla organizacji akceptujących płatności kartą w Europie – jest wymagana przez sieci kart, agentów rozliczeniowych i staje się coraz bardziej powiązana z regulacjami europejskimi, w tym RODO. Ten kompleksowy przewodnik wyjaśnia, czego konkretnie wymaga się od europejskich sprzedawców, jakie są realne koszty i jak efektywnie zarządzać programem compliance.
Kto jest zobowiązany do zgodności PCI DSS w Europie
PCI DSS ma zastosowanie do każdej organizacji, która przechowuje, przetwarza lub przesyła dane kart płatniczych Visa, Mastercard, American Express lub innych sieci kart. Obejmuje to: sprzedawców e-commerce, sklepy stacjonarne przyjmujące karty, call centery obsługujące płatności telefoniczne (MOTO), platformy SaaS obsługujące płatności w imieniu klientów oraz dostawców usług płatniczych. Nawet jeśli korzystasz wyłącznie z usług zewnętrznego PSP, musisz udowodnić, że Twoja integracja jest bezpieczna.
Cztery poziomy sprzedawców PCI DSS i wymagania każdego z nich
PCI DSS klasyfikuje sprzedawców na cztery poziomy na podstawie rocznego wolumenu transakcji. Level 1 (ponad 6 milionów transakcji rocznie) wymaga corocznego audytu przez QSA i kwartalnych skanów ASV. Level 2 (1-6 milionów transakcji) wymaga corocznego SAQ i kwartalnych skanów ASV. Level 3 (20 tys. do 1 miliona transakcji e-commerce) wymaga rocznego SAQ. Level 4 (poniżej 20 tys. transakcji e-commerce lub poniżej 1 miliona transakcji łącznie) wymaga rocznego SAQ zgodnie z wymaganiami agenta rozliczeniowego.
Rzeczywiste koszty zgodności PCI DSS
Koszty zgodności PCI DSS są znaczące i często niedoceniane. Dla Level 1: audyt QSA kosztuje 30-80 tys. euro rocznie, kwartalne skany ASV 2-10 tys. euro, infrastruktura bezpieczeństwa 100-500 tys. euro rocznie. Dla Level 4 korzystającego z SAQ A dzięki tokenizacji: całkowity koszt roczny może być 10-50 razy niższy. Tokenizacja poprzez PCI Proxy EU jest najskuteczniejszą metodą redukcji tych kosztów.
PCI DSS v4.0: co zmienia się dla europejskich sprzedawców
PCI DSS v4.0 wprowadza 64 nowe wymagania, w tym: obowiązkowe MFA dla wszystkich kont w CDE, nowe kontrole skryptów po stronie płatności (Wymaganie 6.4.3), wzmocnione wymagania dotyczące zarządzania podatnościami i testów penetracyjnych. Dla europejskich sprzedawców szczególnie istotne są wymagania dotyczące ciągłego monitorowania i zarządzania ryzykiem podmiotów trzecich, które nakładają się z obowiązkami RODO.
Rezydencja danych w UE: dlaczego to ważne
Dla europejskich sprzedawców podlegających RODO, lokalizacja przechowywania danych kart ma znaczenie prawne. Przechowywanie danych klientów europejskich poza UE może naruszać RODO – szczególnie po orzeczeniu Schrems II Trybunału Sprawiedliwości UE. PCI Proxy EU przechowuje vault tokenów wyłącznie w centrach danych zlokalizowanych w Unii Europejskiej, eliminując ryzyko prawne transferu danych i upraszczając rejestr czynności przetwarzania wymagany przez RODO.
Bezpłatna ocena programu zgodności PCI DSS
Nasi eksperci przeanalizują Twoje obecne przepływy danych kart i zaproponują optymalną strategię redukcji zakresu.
Porozmawiaj z ekspertem