Poziomy zgodności PCI DSS
PCI DSS ma cztery poziomy sprzedawców, ustalane na podstawie liczby transakcji kartowych rocznie. Oto co oznacza każdy poziom, czego wymaga — i jak tokenizacja upraszcza walidację bez względu na Twój poziom.
Twój poziom zależy od wolumenu — nie od tego, ile się starasz
Organizacje kartowe i agenci rozliczeniowi przypisują poziom na podstawie rocznego wolumenu transakcji na markę kartową. Im wyższy wolumen, tym bardziej rygorystyczna walidacja. Naruszenie danych może przenieść dowolnego sprzedawcę bezpośrednio na Level 1.
Ustalane przez wolumen
Roczna liczba transakcji na markę kartową decyduje o poziomie, przypisywanym przez agenta rozliczeniowego.
Różna walidacja
Level 1 wymaga zewnętrznego audytu; Poziomy 2–4 zazwyczaj samooceniają się za pomocą kwestionariusza.
Naruszenie eskaluje poziom
Kompromitacja może przenieść dowolnego sprzedawcę na raportowanie Level 1, niezależnie od wielkości.
Poziomy sprzedawcy PCI DSS w skrócie
| Poziom | Roczny wolumen transakcji | Typowa walidacja |
|---|---|---|
| Level 1 | Ponad ~6 mln transakcji/rok (lub dowolny sprzedawca po naruszeniu) | Coroczny Raport zgodności (QSA) + kwartalne skany ASV |
| Level 2 | ~1–6 mln transakcji/rok | Coroczny Kwestionariusz Samooceny + kwartalne skany |
| Level 3 | ~20 000–1 mln transakcji e-commerce/rok | Coroczny Kwestionariusz Samooceny + kwartalne skany |
| Level 4 | Poniżej ~20 000 e-commerce / do 1 mln innych transakcji/rok | Coroczny Kwestionariusz Samooceny (skany tam gdzie dotyczy) |
Progi orientacyjne — dokładne wartości różnią się między sieciami kartowymi. Potwierdź swój poziom z bankiem akceptującym.
Twój poziom pozostaje — nakład pracy się zmniejsza
Tokenizacja nie zmienia poziomu wyznaczonego przez wolumen, ale przekształca zakres tego, co musisz walidować. Gdy dane kart nigdy nie trafiają do Twoich systemów, większość sprzedawców kwalifikuje się do SAQ A — najkrótszego kwestionariusza — na każdym poziomie. PCI Proxy jest sam w sobie sejfem PCI DSS Level 1, więc dziedziczysz ciężką pracę od nas.
Poziomy PCI DSS — odpowiedzi
01 Jakie są poziomy zgodności PCI DSS?
PCI DSS definiuje cztery poziomy sprzedawców na podstawie rocznego wolumenu transakcji kartowych. Level 1 obejmuje największych (ogólnie ponad 6 milionów transakcji rocznie lub dowolny sprzedawca po naruszeniu bezpieczeństwa), Level 2 to około 1–6 milionów, Level 3 obejmuje mniej więcej 20 000–1 milion transakcji e-commerce, a Level 4 to wszyscy poniżej. Wyższe poziomy wymagają bardziej rygorystycznej walidacji.
02 Jak sprawdzić, który poziom PCI mnie obowiązuje?
Twój poziom jest ustalany przez agenta rozliczeniowego lub organizacje kartowe na podstawie rocznego wolumenu transakcji na markę kartową. Dokładne progi różnią się nieznacznie między sieciami kartowymi, więc potwierdź z bankiem akceptującym — ale wolumen jest głównym wyznacznikiem, a naruszenie może przenieść dowolnego sprzedawcę na Level 1.
03 Czego wymaga każdy poziom PCI?
Sprzedawcy Level 1 muszą przeprowadzić coroczny Raport zgodności przez Kwalifikowanego Rzeczoznawcę ds. Bezpieczeństwa oraz kwartalne skany. Poziomy 2–4 generalnie wypełniają Kwestionariusz Samooceny i tam, gdzie obsługiwane są dane kart, kwartalne skany. Zmniejszenie ilości dotykanych danych kart ogranicza zakres kwestionariusza, który musisz wypełnić.
04 Czy tokenizacja zmienia mój poziom PCI?
Tokenizacja nie zmienia poziomu wyznaczonego przez wolumen, ale drastycznie redukuje to, co musisz walidować. Ponieważ dane kart nigdy nie trafiają do Twoich systemów, większość sprzedawców kwalifikuje się do znacznie krótszego SAQ A — niezależnie od poziomu — co znacznie ułatwia zgodność przy dowolnym wolumenie.
Uprość PCI na każdym poziomie
Powiedz nam o swoim wolumenie i sposobie obsługi kart, a pokażemy jak tokenizacja utrzyma Twoją walidację na SAQ A.