PCI DSS - informacje dla merchantów
PCI DSS (Payment Card Industry Data Security Standard) to standard bezpieczeństwa obowiązujący wszystkie podmioty, które przetwarzają, przechowują lub przesyłają dane kart płatniczych.
Czym jest PCI DSS
PCI DSS to zbiór wymagań bezpieczeństwa opracowany przez PCI Security Standards Council (PCI SSC) - organizację założoną przez Visa, Mastercard, American Express, Discover i JCB. Standard określa minimalne wymagania techniczne i operacyjne dotyczące ochrony danych posiadaczy kart.
Aktualna wersja standardu to PCI DSS v4.0.
Poziomy zgodności PCI DSS
Poziom zgodności zależy od rocznej liczby transakcji kartowych przetwarzanych przez merchanta:
| Poziom | Liczba transakcji rocznie | Wymagania |
|---|---|---|
| Level 1 | Powyżej 6 mln | Coroczny audyt przez QSA (Qualified Security Assessor), kwartalny skan ASV |
| Level 2 | 1-6 mln | Coroczny SAQ, kwartalny skan ASV |
| Level 3 | 20 tys. - 1 mln (e-commerce) | Coroczny SAQ, kwartalny skan ASV |
| Level 4 | Poniżej 20 tys. (e-commerce) lub poniżej 1 mln (inne kanały) | Coroczny SAQ, kwartalny skan ASV (zalecany) |
Wymagania dla merchantów
Zgodność z PCI DSS jest wymagana, gdy Twoja infrastruktura w jakikolwiek sposób przetwarza, przechowuje lub przesyła dane kart płatniczych. Dotyczy to m.in.:
- Numeru karty (PAN)
- Kodu CVV/CVC
- Daty ważności
- Imienia i nazwiska posiadacza karty
Jeśli korzystasz wyłącznie ze standardowej integracji dpay (przekierowanie na stronę płatności), dane kart nie trafiają do Twojej infrastruktury i nie musisz posiadać certyfikacji PCI DSS.
SAQ - Self-Assessment Questionnaire
SAQ to kwestionariusz samooceny, który merchant wypełnia w celu potwierdzenia zgodności z PCI DSS. Typ kwestionariusza zależy od modelu integracji:
| Typ SAQ | Dotyczy | Opis |
|---|---|---|
| SAQ A | Merchant przekierowujący na stronę płatności | Najprostszy kwestionariusz - dane kart nie trafiają do infrastruktury merchanta |
| SAQ A-EP | Merchant z formularzem na swojej stronie, ale dane wysyłane bezpośrednio do PSP | Strona merchanta wpływa na bezpieczeństwo transakcji, choć dane nie przechodzą przez jego serwer |
| SAQ D | Merchant przetwarzający dane kart na swoim serwerze | Najobszerniejszy kwestionariusz - pełna zgodność z PCI DSS |
Kiedy PCI DSS dotyczy Ciebie
Integracja standardowa (redirect)
Przy standardowej integracji z dpay klient jest przekierowywany na stronę płatności dpay, gdzie wprowadza dane karty. Twoja infrastruktura nie przetwarza danych kart - wystarczy SAQ A.
Integracja Server-to-Server (S2S)
Przy integracji S2S dane karty są szyfrowane na Twojej stronie i przesyłane przez Twoją infrastrukturę. Ten model wymaga:
- Certyfikacji PCI DSS (minimum SAQ D)
- Zgody dpay na uruchomienie trybu S2S
- Regularnych audytów i skanów bezpieczeństwa
Aby uzyskać zgodę na integrację S2S, skontaktuj się z zespołem dpay. Pomożemy w określeniu wymaganego poziomu zgodności PCI DSS.
Oficjalne zasoby
- PCI Security Standards Council - oficjalna strona PCI SSC
- PCI DSS v4.0 - dokumentacja - pełna treść standardu
- Lista SAQ - kwestionariusze samooceny do pobrania