Europejski sektor płatności cyfrowych w 2025 roku podlega jednoczesnemu oddziaływaniu trzech odrębnych reżimów regulacyjnych: PCI DSS, RODO i PSD2/PSD3. Każdy posiada własne wymagania, organy nadzorcze i sankcje. Ich nakładanie się oznacza, że naruszenie jednego może pociągnąć za sobą konsekwencje ze strony pozostałych.
PCI DSS v4.0: nowy standard od 2025 roku
PCI DSS v4.0 stała się jedyną obowiązującą wersją standardu od 31 marca 2024 roku, gdy oficjalnie wygasła wersja 3.2.1. Jednak do 31 marca 2025 roku obowiązywało okno dostosowania dla nowych wymagań oznaczonych jako „najlepsze praktyki". Po tej dacie wszystkie 64 nowe wymagania stały się w pełni obowiązkowe.
Kluczowe zmiany w v4.0 obejmują: wymóg uwierzytelniania wieloskładnikowego (MFA) dla wszystkich kont w CDE, nowe wymagania dotyczące skryptów po stronie płatności e-commerce (Wymaganie 6.4.3), wzmocnione procedury zarządzania podatnościami oraz obowiązek systematycznego monitorowania systemów płatności pod kątem zagrożeń.
RODO i dane kart płatniczych: kwestia klasyfikacji
Dane kart płatniczych – w szczególności numery PAN w połączeniu z imieniem i nazwiskiem posiadacza karty – stanowią dane osobowe w rozumieniu RODO. Oznacza to, że wszelkie operacje na tych danych muszą spełniać jednocześnie wymagania PCI DSS i RODO. Artykuł 83 RODO przewiduje kary do 4% rocznego globalnego obrotu lub 20 milionów euro.
W przypadku naruszenia danych kart płatniczych organ ochrony danych może nałożyć sankcje RODO niezależnie od kar PCI DSS. Skumulowane sankcje mogą być wyjątkowo dotkliwe. Europejska Rada Ochrony Danych potwierdziła, że dane kart są danymi osobowymi nawet po tokenizacji, jeśli token umożliwia re-identyfikację.
PSD2/PSD3 i SCA: uwierzytelnianie w centrum uwagi
Dyrektywa PSD2 zrewolucjonizowała europejski ekosystem płatności, wprowadzając obowiązek Silnego Uwierzytelniania Klienta (SCA) dla transakcji internetowych. PSD3, oczekiwana w 2025-2026 roku, rozszerzy te wymagania i wprowadzi nowe zasady dotyczące open banking, ochrony przed oszustwami i odpowiedzialności dostawców usług płatniczych.
Interakcja PSD2 z PCI DSS jest złożona: SCA wymaga dodatkowego czynnika uwierzytelniania przy inicjowaniu transakcji, co wpływa na projektowanie przepływów płatności. Tokenizacja kart może upraszczać wdrożenie SCA, gdy tokeny są połączone z analizatorami ryzyka i narzędziami do obsługi transakcji zwolnionych z SCA.
Kumulatywny wpływ regulacji na e-commerce europejski
Sprzedawca e-commerce działający w Europie musi jednocześnie: spełniać wymagania PCI DSS odpowiedniego poziomu, przestrzegać RODO przy zbieraniu i przetwarzaniu danych kart oraz implementować SCA zgodnie z PSD2. Żadne z tych zobowiązań nie zwalnia z pozostałych, a harmonogram ich realizacji musi być skoordynowany.
Tokenizacja poprzez certyfikowanego dostawcę PCI Proxy EU znacząco upraszcza ten krajobraz regulacyjny: dane karty wychodzą z środowiska sprzedawcy natychmiast po wprowadzeniu przez klienta, co radykalnie ogranicza ekspozycję zarówno na ryzyko PCI DSS, jak i RODO. Sprzedawca operuje wyłącznie na tokenach, które – przy braku klucza do detokenizacji – nie stanowią danych osobowych umożliwiających bezpośrednią identyfikację posiadacza karty.
Priorytety na 2025 rok dla europejskich organizacji
Dla organizacji planujących harmonogram zgodności na 2025 rok priorytety powinny obejmować: weryfikację pełnej zgodności z PCI DSS v4.0, przeprowadzenie oceny wpływu RODO na przepływy danych kart, audyt wdrożenia SCA pod kątem zgodności z EBA i krajowymi organami nadzoru oraz przygotowanie architektury na wymagania PSD3.
Organizacje, które nie dokonały jeszcze mapowania przepływów danych kart w kontekście wszystkich trzech regulacji, powinny uczynić to priorytetem absolutnym. Mapa przepływów danych (DFD) jest fundamentem zarówno analizy zakresu PCI DSS, jak i rejestru czynności przetwarzania wymaganego przez RODO. Spójny dokument może służyć obu celom i znacząco zmniejszyć koszty compliance.
Warto również zwrócić uwagę na rosnące wymagania dotyczące zarządzania ryzykiem podmiotów trzecich. Zarówno PCI DSS v4.0 (Wymaganie 12.8), jak i RODO (art. 28, umowy powierzenia) wymagają formalnego zarządzania relacjami z dostawcami przetwarzającymi dane kart lub dane osobowe. Regularne przeglądy umów z PSP, dostawcami bramek płatności i dostawcami chmury są niezbędnym elementem programu compliance.
Uprość wieloregulacyjną zgodność
PCI Proxy EU pomaga ograniczyć zakres PCI DSS i RODO jednocześnie, dzięki tokenizacji z rezydencją danych w UE.
Porozmawiaj z ekspertem