Kogo dotyczy?
Każdego, kto akceptuje, przetwarza lub przechowuje dane kart: sklepy internetowe, platformy, call center, PSP. Również tych, którzy obsługują płatności w imieniu innych.
Zgodność PCI DSS
Zgodność PCI DSS, mniej pracy dla Ciebie
Jeśli akceptujesz płatności kartą, musisz spełniać wymogi PCI DSS. Przechowujemy dane kart w vault w Twoim imieniu: operujesz tokenami, a wypełnienie kwestionariusza staje się znacznie prostsze.
Twoje obciążenie PCI −95% zakresu
Ty zachowujesz tylko tokeny
Co wnosimy do współpracy
Przejmujesz nasz certyfikat: dane kart pozostają w naszym vault, nie na Twoich serwerach.
PCI DSS Level 1
Najwyższy poziom. Niezależni audytorzy weryfikują nasz vault co roku.
Wyłącznie centra danych UE
Dane kart nigdy nie opuszczają Europy. Ułatwia to również spełnienie wymogów RODO.
Szyfrowanie i HSM
Dane szyfrowane w spoczynku i podczas transmisji. Klucze chronione w certyfikowanym sprzęcie.
W skrócie
Czym jest PCI DSS?
To standard bezpieczeństwa dla każdego, kto akceptuje płatności kartą (Visa, Mastercard i inne sieci). Chroni dane kart wszędzie, gdzie są zbierane, przechowywane lub przesyłane.
12
Wymogów
4
Poziomy
1
Cel
Chronić dane kart – zawsze.
12 głównych wymogów
Zapory sieciowe, szyfrowanie, kontrola dostępu, monitorowanie i polityki. Im mniej systemów styka się z danymi kart, tym mniej pracy dla Ciebie.
Konsekwencje braku zgodności
Kary finansowe, wyższe opłaty lub utrata możliwości przyjmowania płatności kartą. Naruszenie bezpieczeństwa danych kosztuje znacznie więcej niż uzyskanie zgodności.
Poziomy zgodności
4 poziomy PCI DSS
Zakres wymaganej pracy zależy od liczby transakcji kartowych rocznie. Więcej transakcji – więcej wymogów (aż po audyt na miejscu przy dużych wolumenach).
| Poziom | Roczne transakcje | Wymagania walidacyjne | Typowe podmioty |
|---|---|---|---|
| Level 1 | >6 mln transakcji/rok | Coroczny audyt na miejscu + kwartalne skany | Duże sieci handlowe, linie lotnicze, więksi PSP |
| Level 2 | 1–6 mln transakcji/rok | Roczny SAQ, kwartalne skany ASV | Średni e-commerce, sieci hotelowe |
| Level 3 | 20 000–1 mln transakcji e-commerce/rok | Roczny SAQ, kwartalne skany ASV | Rozwijające się sklepy online, platformy SaaS |
| Level 4 | <20 000 e-commerce lub <1 mln pozostałych/rok | Roczny SAQ (zalecany), kwartalne skany ASV (jeśli dotyczy) | Małe sklepy, lokalne firmy, startupy |
Warto wiedzieć: po naruszeniu bezpieczeństwa danych możesz zostać przeniesiony do Level 1, nawet przy niskich wolumenach. Twój agent rozliczeniowy może również wymagać dodatkowych wymogów.
Mniejszy zakres dla Ciebie
Jak redukujemy Twoje obciążenia
Najprostszy sposób na ograniczenie PCI to usunięcie danych kart ze swoich serwerów. Przesyłasz nam dane kart, my je tokenizujemy: przechowujesz tylko token.
300+
Wymogów · SAQ D
Jeśli zarządzasz wszystkim samodzielnie
~30
Wymogów · SAQ A-EP
Z naszym API
22
Wymogów · SAQ A
Z polami hostowanymi
Bez nas
Pełny zakresStrony, aplikacje, bazy danych i sieci stykające się z danymi kart muszą spełniać setki wymogów. Często ponad 300 w kwestionariuszu SAQ D.
Z PCI Proxy
Minimalny zakresDane kart nigdy nie trafiają na Twoje serwery. Jesteśmy certyfikowani na poziomie PCI DSS Level 1 i przechowujemy numery kart w vault. Ty operujesz wyłącznie tokenami.
Do 95% mniej
Przejście z SAQ D (300+ wymogów) do SAQ A lub A-EP (mniej niż 30). Mniej audytów, mniej dedykowanych inżynierów, mniejsze ryzyko.
Ile wymogów musisz spełnić
Bez PCI Proxy (SAQ D) 300+ wymogów
Z API (SAQ A-EP) ~30 wymogów
Z polami hostowanymi (SAQ A) 22 wymogi
Jesteśmy certyfikowani na poziomie PCI DSS Level 1
Samoocena
Który kwestionariusz SAQ Cię dotyczy?
SAQ to kwestionariusz, który wypełniasz, aby potwierdzić zgodność. Jego typ zależy od sposobu przepływu danych kart przez Twoje systemy. Z nami ta ścieżka staje się znacznie prostsza.
⭐ Zalecany
Samoocena
SAQ A
22 wymogi
7% zakresu SAQ D
Dla firm korzystających z naszych hostowanych pól iFrame: dane kart nigdy nie przechodzą przez Twoją witrynę. To najlżejsza ścieżka.
Idealne z polami hostowanymi
Rozszerzona samoocena
SAQ A-EP
~30 wymogów
10% zakresu SAQ D
Gdy strona płatności jest na Twojej witrynie, ale dane kart trafiają bezpośrednio do nas przez API lub JavaScript. Nieco więcej wymogów niż SAQ A.
Z integracją API lub SDK
Pełny kwestionariusz
SAQ D
300+ wymogów
Pełny zakres – wszystkie systemy
Najdłuższy kwestionariusz. Wymagany, gdy dane kart przechodzą przez Twoje serwery. Bez nas wiele firm e-commerce trafia właśnie tutaj.
Bez PCI Proxy
W Europie
PCI DSS i RODO łącznie
W UE musisz spełniać oba standardy jednocześnie. Dane kart to również dane osobowe. Dzięki tokenom upraszczasz zarówno PCI, jak i ochronę prywatności.
Gdzie się pokrywają
Te same priorytety
Dane kart = dane osobowe
Imię, numer karty i data ważności podlegają RODO. Musisz chronić je jako dane wrażliwe.
Mniej danych, mniejsze ryzyko
RODO wymaga przechowywania tylko tego, co konieczne. Usuwamy numer karty z Twoich systemów i zostawiamy wyłącznie token.
Naruszenia i powiadomienia
Jeśli nie przechowujesz danych kart, naruszenie na Twoich serwerach jest znacznie mniej poważne. Mniej stresu dla Ciebie i Twoich klientów.
Kwestie do uzgodnienia
Wymaga uwagi
Usunięcie a retencja
RODO przyznaje prawo do usunięcia danych. PCI wymaga przechowywania logów transakcyjnych. Dzięki tokenom możesz usunąć mapowanie i uczynić dane nieodwracalnymi.
Dane wyłącznie w UE
Wiele europejskich firm musi przechowywać dane w UE. Działamy wyłącznie z europejskich centrów danych: dane kart nigdy nie opuszczają Unii.
Umowa z nami (DPA)
Na podstawie RODO jesteśmy podmiotem przetwarzającym dane, gdy przechowujemy dane kart w Twoim imieniu. Wymagana jest pisemna umowa określająca cel i środki bezpieczeństwa.
Krótko mówiąc: Ty operujesz tokenami. My przechowujemy dane kart w vault. PCI DSS i RODO stają się bardziej zarządzalne.
Analiza kosztów
Koszt PCI samodzielnie a z nami
Zarządzanie całym PCI wewnętrznie kosztuje znacznie więcej niż powierzenie nam danych kart. Szacunkowy przykład dla typowego europejskiego sprzedawcy.
| Kategoria kosztów | Samodzielnie (SAQ D) Wysokie koszty · Wysokie ryzyko | Z PCI Proxy (SAQ A) ZALECANE |
|---|---|---|
| Coroczny audyt | 30 000–150 000 EUR | 3 000–8 000 EUR |
| Bezpieczeństwo infrastruktury | 50 000–200 000 EUR/rok | 0 EUR (obsługujemy to my) |
| Ryzyko naruszenia danych | 500 000–4 000 000+ EUR | Bliskie zeru |
| Ubezpieczenie cybernetyczne | 15 000–60 000 EUR/rok | 5 000–15 000 EUR/rok |
| Dedykowany zespół | 1–3 inżynierów | Lekki nadzór |
| Kary za brak zgodności | 5 000–100 000 EUR/mies. | 0 EUR (zgodność z założenia) |
Wartości szacunkowe dla europejskich sprzedawców przetwarzających 1–6 mln transakcji rocznie. Rzeczywiste koszty zależą od wielkości firmy i branży.
FAQ
Często zadawane pytania
01 Który poziom PCI DSS dotyczy mojej firmy?
Zależy od liczby transakcji kartowych rocznie. Powyżej 6 milionów oznacza Level 1 (audyt na miejscu). Poniżej tego progu zazwyczaj wystarczy kwestionariusz SAQ. Większość europejskich MŚP to Level 3 lub 4. Z nami możesz przejść do najprostszego SAQ.
02 Jak pomagacie ograniczyć obowiązki PCI?
Przesyłasz nam dane kart, my je tokenizujemy i przechowujemy. Numery kart nigdy nie trafiają na Twoje serwery – operujesz wyłącznie tokenami. Wychodzisz z najcięższego obszaru PCI i przechodzisz z SAQ D (300+ wymogów) do SAQ A lub A-EP (mniej niż 30).
03 Czy RODO wpływa na zgodność PCI DSS w Europie?
Tak. W Europie musisz jednocześnie spełniać wymogi PCI DSS i RODO. Dane kart to dane osobowe. RODO dodaje prawa (usunięcie, rezydencja danych w UE, powiadomienie o naruszeniu). Gdy Twoje systemy zawierają tylko tokeny, a dane kart są w naszym vault, oba obowiązki stają się prostsze.
Chcesz wiedzieć, który SAQ Cię dotyczy?
Skontaktuj się z nami: pomożemy Ci określić Twój poziom PCI i pokazać, ile możesz uprościć dzięki PCI Proxy.