Zgodność z PCI DSS dla Partnerów Autopay

Pracujesz nad sklepem internetowym i już niebawem planujesz wystartować ze sprzedażą online?

Przygotowaliśmy dla Ciebie poradni, który pozwoli zrozumieć Ci wymogi zgodności ze standardem PCI DSS.

Czym jest PCI DSS?

PCI DSS (Payment Card Industry Data Security Standard) to międzynarodowy standard bezpieczeństwa, którego celem jest ochrona danych posiadaczy kart płatniczych. Obowiązuje wszystkie podmioty, które przechowują, przetwarzają lub transmitują dane kart, niezależnie od skali działalności.

Dlaczego PCI DSS jest ważne?

  • zapobiega wyciekom danych i oszustwom,
  • chroni reputację i finanse firmy,
  • wzmacnia zaufanie Klientów,
  • spełnia wymagania Międzynarodowych Organizacji Płatniczych oraz instytucji finansowych.

Co obejmuje PCI DSS?

Wymagania są pogrupowane w sześć obszarów, m.in.:

  • zabezpieczanie sieci i systemów,
  • ochrona danych posiadaczy kart,
  • kontrola dostępu,
  • monitorowanie i testowanie systemów,
  • aktualizacje i zarządzanie podatnościami,
  • polityka bezpieczeństwa.

Poziomy zgodności PCI DSS dla Partnerów

Według zasad PCI DSS, Partnerów dzieli się na cztery poziomy, zależnie od liczby przetwarzanych rocznie transakcji kartowych. Poziom określa, jakie formalności trzeba spełnić:

  • Poziom 1 – powyżej 6 milionów transakcji rocznie lub po incydencie naruszenia danych; wymagany pełny audyt QSA – Qualified Security Assessor (Certyfikowany Audytor Zgodności PCI) lub PCI SSC- Certified Internal Security Assessor (ISA) oraz coroczna ocena zgodności.
  • Poziom 2 – od 1 do 6 milionów transakcji; najczęściej coroczne SAQ – Self-Assessment Questionnaire (Kwestionariusz Samooceny Zgodności) i czasem skanowanie ASV – Approved Scanning Vendor (Zatwierdzony Dostawca Skanów Podatności)
  • Poziom 3 – od 20 000 do 1 miliona transakcji rocznie; zwykle SAQ oraz ewentualne skanowania.
  • Poziom 4 – poniżej 20 000 transakcji e-commerce rocznie; SAQ lub inne potwierdzenie określone przez operatora płatności.

Autopay jako operator płatności monitoruje wolumen transakcji swoich Partnerów i w przypadku konieczności spełnienia dodatkowych formalności związanych z przejściem na inny poziom zgodności PCI, skontaktuje się z Partnerem aby przeprowadzić go przez kolejne kroki.

Jak wygląda proces zgodności?

  • Określenie modelu akceptacji płatności, tj. e-commerce, oraz liczby realizowanych transakcji.
  • Pisemne potwierdzenie zgodności. Proces ten odbywa się poprzez Wwybór właściwego SAQ (Self-Assessment Questionnaire) – formularza samooceny dopasowanego do sposobu przetwarzania płatności lub wypełnienie innej pisemnej deklaracji, przygotowanej przez Autopay. O konieczności wypełnienia odpowiedniej deklaracji poinformujemy Cię mailowo.
  • Wdrożenie działań technicznych i organizacyjnych – od aktualizacji systemów po procedury bezpieczeństwa.
  • Monitorowanie zgodności i coroczne potwierdzanie spełnienia wymagań.

Formularze SAQ (Self-Assessment Questionnaire) dla branży e-commerce

W branży e-commerce partner najczęściej korzysta z jednego z trzech formularzy SAQ, zależnie od sposobu integracji płatności:

  • SAQ A – najprostszy wariant, stosowany gdy sklep nie ma kontaktu z danymi kart i korzysta wyłącznie z przekierowania lub w pełni hostowanych formularzy płatniczych.
  • SAQ A-EP – dla sklepów, których strona ma techniczny wpływ na proces płatności (np. własny front-end lub skrypty), mimo że dane kart nadal nie są u nich przetwarzane.
  • SAQ D – najbardziej rozbudowana opcja, dotycząca podmiotów, które samodzielnie obsługują formularze płatności, przechowują dane lub mają bardziej złożoną architekturę systemową.

PCI DSS definiuje SAQ jako podstawowy formularz samooceny zgodności, jednak dostawca usług płatniczych, jak Autopay, może zebrać od Partnerów potwierdzenie spełnienia wymagań również w formie innej pisemnej deklaracji.

Konsekwencje braku zgodności

Pamiętaj, że nieprzestrzeganie standardu może prowadzić do:

  • naliczenia opłat lub kar przez Międzynarodowe Organizacje Płatnicze i instytucje finansowe.
  • zwiększonego ryzyka ataku, oszustwa, utraty danych Klientów.
  • utraty zaufania Klientów, co może przełożyć się na mniejsze obroty.

Obowiązki dostawców usług płatniczych

Autopay jest zobowiązany do upewnienia się, że Partnerzy korzystający z jego usług spełniają wymagania PCI DSS. Standard ten dotyczy wszystkich podmiotów, które przyjmują płatności kartą, dlatego weryfikacja zgodności jest częścią obowiązków wynikających z przepisów branżowych.

Jak wygląda to w praktyce?

Autopay, jako dostawca usług płatniczych ma obowiązek:

  • zebrać od Partnerów potwierdzenie zgodności (SAQ – Self-Assessment Questionnaire) lub inne pisemne potwierdzenie,
  • poinformować Partnerów o wymaganiach,
  • cyklicznie raportować do Międzynarodowych Organizacji Płatniczych zgodność Partnerów z wymaganiami określonymi w ramach standardu PCI DSS.

Zgodnie ze standardem PCI Data Security Standard (PCI DSS), Partnerzy akceptujący płatności kartą odpowiadają za zapewnienie bezpieczeństwa danych. W praktyce jednak, Autopay jako dostawca usług płatniczych przejmuje na siebie większość odpowiedzialności związanej z ochroną danych kartowych i wspiera Partnerów na każdym etapie spełnienia wymagań.

Autopay oferuje rozwiązania, które znacząco upraszczają proces zgodności, takie jak tokenizacja oraz pełna zgodność po swojej stronie na poziomie PCI DSS Level 1.

Dzięki temu Partnerzy nie mają kontaktu z danymi kartowymi, a ich obowiązki zwykle ograniczają się do wypełnienia odpowiednio dobranego formularza.