PCI DSS Zgodność z PCI

Blog space

Przewodnik po standardzie PCI DSS cz.1

W tym artykule znajdziesz:

  • Kto ma obowiązek certyfikacji PCI DSS
  • Jakie obowiązki ma akceptant a jakie Service Provider
  • Co oznacza level 1, 2, 3 i 4
  • Czym jest ROC i AOC
Podręcznik PCI DSS

Wstęp

W dynamicznym świecie cyberbezpieczeństwa i płatności, standard PCI DSS (Payment Card Industry Data Security Standard) odgrywa kluczową rolę w ochronie danych kart płatniczych. Jako organizacja QSA (Qualified Security Assessor) z doświadczeniem w pracy z klientami w ponad 60 krajach, dostrzegamy, że wiele firm zmaga się z niejasnymi lub niepełnymi informacjami przekazywanymi przez dostawców rozwiązań płatniczych. Dlatego stworzyliśmy pierwszy tak kompleksowy przewodnik, który nie tylko wyjaśnia wymagania PCI DSS, ale także pomaga rozwiać wątpliwości związane z certyfikacją i utrzymaniem zgodności.

Dlaczego PCI DSS jest kluczowy dla Twojej firmy?

PCI DSS to podstawowy standard bezpieczeństwa wprowadzony przez organizacje kartowe mający na celu walkę z oszustwami i wyłudzeniami. Zgodność ze standardem przynosi także liczne korzyści, nie ograniczając się jedynie do wymogów z obszaru compliance. Może również stać się istotnym elementem budowania przewagi konkurencyjnej Twojej firmy. Certyfikat pozwala między innymi na pokazanie Twoim kontrahentom i klientom:

  • Ochrona danych: PCI DSS to nie tylko wymóg prawny, ale przede wszystkim narzędzie zapewniające bezpieczeństwo wrażliwych danych kart płatniczych.
  • Zaufanie klientów: Certyfikacja PCI DSS buduje zaufanie klientów, pokazując, że Twoja firma dba o ich bezpieczeństwo.
  • Redukcja ryzyka: Zgodność z PCI DSS minimalizuje ryzyko naruszeń danych i związanych z nimi kosztów.

Kto musi być zgodny z PCI DSS?

PCI DSS dotyczy każdej organizacji, która:

  • Akceptuje płatności kartami w swoich systemach (niezależnie od tego jakie metody akceptacji płatności ma).
  • Przetwarza, przesyła lub przechowuje numery kart kredytowych i mówimy tutaj o pełnych numerach kart a nie o numerach maskowany ich albo uciętych (np. w formacie 1234-56**-****-1234)
  • Wpływa na bezpieczeństwo danych kartowych i świadczy usług na rzecz akceptantów kart (np. świadcząca usług utrzymania IT, Kolokacji etc.)

Fakt, że nie masz dostępu do danych kartowych nie oznacza, że nie jesteś w zakresie standardu PCI DSS.

Bardzo często standard PCI DSS jest także wykorzystywany do potwierdzenia bezpieczeństwa organizacji i jest wykorzystywany jako element przewagi konkurencyjnej. W przeciwieństwie do innych standardów (takich jak ISO 27001) – PCI DSS jest dużo bardziej szczegółowy i precyzyjny (co stanowi jego zarówno zaletę jak i wadę).

Twoja rola w ekosystemie kartowym

Aby zrozumieć wymogi i sposoby potwierdzania zgodności musisz wiedzieć jaka jest rola Twojej organizacji. Na szczęście, nie jest to proces skomplikowany lub trudny –  mamy tylko dwie role – akceptant lub service provider – a same metody kwalifikacji są stosunkowo proste.

  • Jesteś Akceptantem (lub inaczej merchantem) jeśli posiadasz numer MID (Merchant ID) nadany Ci przez agenta rozliczeniowego.
  • W każdym innym przypadku (czyli kiedy nie posiadasz numeru MID) jesteś Service Providerem (dostawcą uslug).

Możliwe są także sytuacje mieszane – tj organizacja jest zarówno akceptantem jak i service providerem jednocześnie – ale są to sytuacje rzadkie, dla których poniższe reguły także mają zastosowanie.

Zgodność Akceptantów z PCI DSS

Rodzaje i poziomy zgodności akceptantów z PCI DSS

Jeśli jesteś akceptantem, który sprzedaje swoim Klientom usługi lub towary i akceptujesz płatności kartą wówczas metoda oceny zgodności wybierana jest w zależności od ilości transakcji kartowych wykonanych w ciągu danego roku kalendarzowego.

I to jest tutaj bardzo ważne do wspomnienia – liczy się ilość transakcji kartowych a nie nominalna wartość transakcji (np. w PLN lub Euro).

Metoda oceny zgodności jest ustalana przez organizacje kartowe. Są to publicznie dostępne dokumenty (Visa, Mastercard, American Express ) ale przywołajmy tutaj zbiorczo te dane. Pamiętaj, że Twój poziom zawsze ocenia Agent Rozliczeniowy (nigdy dostawca rozwiązania płatniczego). Jeśli masz wątpliwości – zawsze zapytaj się Agenta Rozliczeniowego – bo to on odpowiada i raportuje twoją zgodność jako akceptanta do organizacji kartowych. Agent rozliczeniowy ma obowiązek raportowania swoich akceptantów raz na kwartał.

Poziom zgodności akceptantaIlość transakcji Metoda oceny zgodności
Poziom 1 > 6 milionów transakcji rocznie Audyt PCI QSA (ROC), skanowanie ASV
Poziom 2 od 1 do 6 milionów transakcji rocznie Formularz samooceny podpisany przez QSA (Mastercard), skanowanie ASV
Poziom 3od 20 tysięcy do 1 miliona transakcji rocznie Formularz samooceny , skanowanie ASV
Poziom 4poniżej 20 tysięcy transakcji Formularz samooceny , skanowanie ASV

Dlaczego organizacje kartowe patrzą na ilość transakcji a nie ich wartość?

Rozważmy dwa przypadki biznesów – jeden to dealer samochodowy, drugi to piekarnia. Dealer samochodowy przyjął jedną transakcję za samochód warty milion dolarów i takich transakcji ma tylko 12 w ciągu roku. Drugi przykład to piekarnia – sprzedająca pieczywo po 12 dolarów i ma milion takich transakcji w ciągu roku. Wspomniana piekarnia jest dużo bardziej monitorowana niż dealer samochodowy. Uzasadnienie jest takie, że organizacje kartowe patrzą na każdego uczestnika rynku z punktu widzenia potencjalnych nadużyć. Oczywiste jest, że z racji tego, że piekarnia przetwarza dużo więcej transakcji niż dealer samochodowy, ma dużo większe prawdopodobieństwo ewentualnego nadużycia. Stąd dużo większe zainteresowanie organizacji kartowych.

Zgodność i wymogi PCI DSS dla akceptanta

Standard PCI DSS to około 250 konkretnych punktów kontrolnych podzielonych na 12 wymogów (tutaj zobacz jak dokładnie określić zakres Twojej certyfikacji). Bardzo rzadko spotyka się organizacje, które mają wszystkie wymogi w zakresie. Zatem jakie konkretnie wymogi mają zastosowanie dla Ciebie?

Konkretne wymogi ze standardu PCI DSS zależą od metod (np. eCommerce, retail) i kanałów płatności (strona internetowa, lokalizacja fizyczna, Call Center), które posiadasz i za pomocą których akceptujesz płatności kartą (zwane to także jest czasami zakresem PCI DSS).

Jeśli jesteś akceptantem poziomu 1 wówczas masz obowiązek zatrudnienia zewnętrznej firmy audytowej (takiej jak Patronusec) (zwanej także Assessorem), która będzie przeprowadzać ocenę i określi dokładnie, które konkretne wymogi ze standardu PCI DSS mają zastosowanie dla Twojej Organizacji. Assessor na podstawie swojego doświadczenia oraz oferowanych przez Ciebie kanałów płatności podejmie ostateczną decyzję co do wymogów mających zastosowanie dla Twojej Organizacji.

Jeśli jesteś akceptantem poziomu 3 lub 4 możesz dokonać samooceny wypełniając odpowiedni formularz. W zależności od metody płatności, którą masz wdrożoną – możesz wybrać gotowe dokumenty samooceny (tak zwane SAQ – Self Assessment Questionnaires), które zawierają podzbiór wymogów ze standardu PCI DSS mający zastosowania dla danej metody akceptacji płatności. O formularzach SAQ napiszemy więcej w kolejnym artykule, ale bardzo ważne jest, aby zwrócić uwagę na kryteria kwalifikacji dostępne w każdym dokumencie. W przypadku wątpliwości – skontaktuj się z nami – oferujemy bezpłatne konsultacje i pomożemy Ci z wyborem formularza SAQ.

Pamiętaj, że formularze SAQ są dedykowane do kanału lub metody płatności. Zatem jeśli jesteś akceptantem omni-channelowym – będziesz miał obowiązek wypełnienia wielu formularzy – po jednym dla danego kanału. Oczywiście w sytuacjach mocno skomplikowanych stosuje się wyjątki, ale wówczas konieczna będzie pomoc organizacji QSA takiej jak Patronusec.

Zgodność ze standardem PCI DSS dla Service Providerów

Kto jest dostawcą usług zgodnie ze standardem PCI DSS

Dostawca usług (ang. Service Provider) to każda organizacja, która nie jest merchantem, która świadczy usługi dla merchantów lub członków organizacji kartowych lub może wpłynąć na bezpieczeństwo danych kartowych. Ta definicja jest bardzo ważna, bo np. dostawca usług hostingowych bardzo często nie ma dostępu do danych kartowych a jest w zakresie certyfikacji PCI DSS (z racji tego, że wpływa na bezpieczeństwo danych kartowych).

Podobnie jak w przypadku zgodności Akceptantów – w przypadku Service Providerów – liczy się ilość transakcji a także charakter świadczonych usług. Mastercard dla przykładu wymaga zgodności na poziomie 1 dla każdego dostawcy usług (niezależnie od ilości transakcji) świadczącego usługi z zakresu procesowania płatności . To jest bardzo ważne, bo podobnie jak w przypadku akceptantów – potwierdzenie zgodności jest opisane albo za pomocą formularza samooceny albo za pomocą raportu zgodności (ROC).

Poziomy zgodności ze standardem PCI DSS dla Service Providerów

Kryteria, kiedy dany dostawca usług kwalifikuje się do danej kategorii jest opisany w zasadach organizacji kartowych (tzw rules’y) dostępnych na stronach organizacji kartowych. Wystarczy wpisać w gogle i powinien pokazać się najbardziej aktualny dokument. Z racji tego, że dokumenty są aktualizowane mniej więcej raz na kwartał, nie będziemy linkować tutaj bo nie chcemy mieć nieaktualnych informacji.

Assessment dostawców usług ze strony proceduralnej jest dużo prostszy niż assessment akceptantów.

  • Po pierwsze – mamy tylko 2 poziomy dostawców usług – pozom 1 i poziom 2. Service provider poziomu 1 podobnie jak w przypadku akceptantów musi uzyskać raport zgodności i poddać się audytowi przeprowadzonemu przez organizajce QSA taką jak my. Service Provider poziomu 2 może wypełnić formularz samooceny
  • Po drugie – formularz samooceny dla Service Providerów jest tylko jeden . Jest to SAQ-D. Niezależnie od tego w jaki sposób procesujesz, przetwarzasz lub przechowujesz karty lub nawet jeśli nie masz dostępu do danych kartowych – wypełniasz tylko jeden formularz samooceny – SAQ D. Oczywiście, podobnie jak w przypadku akceptantów, konkretne pytania które mają zastosowanie dla Ciebie zależą od charakteru świadczonych usług. Dokładny zakres pytań możesz ocenić sam lub możesz się skonsultować z nami.

W przypadku service providerów dużo bardziej skomplikowane jest określenie zakresu, konkretnych wymogów a także wypełnienie dokumentu AOC, gdyż rodzajów usług świadczonych w obszarze zgodności ze standardem PCI DSS jest prawie, że nieskończoność.

Poziom Service ProvideraIlość transakcji Metoda oceny zgodności
Poziom 1 AML/Sanctions Service Providers, DSE (Data Storage Entity) and PF (Payment Facilitators) przetwarzający wiecej niż 300 tys transakcji rocznie lub
* All Third Party Processors (TPPs)
* All Staged Digital Wallet Operators (SDWOs)
* All Digital Activity Service Providers (DASPs)
* All Token Service Providers (TSPs)
* All 3-D Secure Service Providers (3-DSSPs)
* All Installment Service Providers (ISPs)
* All Merchant Payment Gateways (MPGs)		Audyt PCI QSA (ROC), skanowanie ASV
Poziom 2 AML/Sanctions Service Providers, DSE (Data Storage Entity) and PF (Payment Facilitators) przetwarzający mniej niż 300 tys transakcji rocznie Formularz samooceny , skanowanie ASV

Raportowanie zgodności ze standardem PCI DSS

Zgodność ze standardem PCI DSS jest potwierdzana za pomocą trzech dokumentów, stosownych dla każdego poziomu akceptanta.

Akceptanci i Service Providerzy poziomu 1

Akceptanci oraz Service Providerzy poziomu 1 po wykonaniu assessmentu PCI DSS otrzymują od Assessora dwa dokumenty

Report on Compliance (ROC)

Raport zgodności to prawie 350 stron tekstu (dla wersji 4.0.1 standardu) opisującego w jaki sposób Twoja organizacja spełnia każdy z wymogów z zakresu PCI DSS. Zawiera on informacje takie jak diagram sieciowy, adresację wewnętrzną IP, listę osób, ich stanowiska i zakresy odpowiedzialności, listę dokumentów, polityk i procedur, wykorzystywane technologie i ich wersje oraz opis funkcjonowania. Jak widać ROC zawiera bardzo poufne informacje i z reguły nie jest współdzielony z innymi firmami. W sytuacjach wyjątkowych może o niego zapytać albo Agent Rozliczeniowy albo organizacje kartowe. Do potwierdzenia Twojej zgodności zwykle nie współdzielisz dokumentu ROC, chyba, że jako Service Provider występujesz o rejestrację na stronach organizacji kartowych.

Attestation on Compliance (AOC)

Atestacja to dokument stosowany do potwierdzenia zgodności ze standardem PCI DSS. Nie zawiera on poufnych informacji a jedynie informacje o Kliencie, Asesorze QSA oraz bardzo ogólny opis środowiska będącego w zakresie certyfikacji PCI DSS. Dokument AOC musi być podpisany przez Klienta i Assessora – inaczej nie jest ważnym dokumentem. AOC jest zwyczajowo

Certyfikat marketingowy

Pracując z Patronusec zawsze na koniec assessmentu otrzymasz certyfikat marketingowy który możesz umieścić na swojej stronie internetowej. W razie potrzeby – otrzymasz także od nas wydrukowany certyfikat fizyczny. Pamiętaj, że certyfikat marketingowy nie jest formalnym dokumentem potwierdzającym zgodność ze standardem PCI DSS i będzie odrzucony przez Twojego Agenta Rozliczeniowego, organizacje kartowe lub Twojego partnera biznesowego.

Pozostali akceptanci i Service Providerzy

Akceptanci poziomu 2, 3 lub 4 oraz Service Providerzy level 2 wypełniają stosowny formularz samooceny opisując zakres certyfikacji, zaznaczając wymogi będące w zakresie i potwierdzając swoją zgodność. Bardzo możliwe, że będziesz musiał także wykonać skany ASV i uzyskać raport zgodności. Pamiętaj, że masz obowiązek wykonywania skanów cyklicznie i posiadać jeden zdany raport min raz na kwartał. Jeśli masz problem z wyborem formularza lub wypełnieniem skontaktuj się z nami. Przejmiemy ten proces na siebie i przeprowadzimy Ciebie „za rękę” przez cały proces.

Ważne rzeczy zwykle pomijane przez Klientów

Poniżej kilka ważnych elementów, zwykle pomijanych przez Klientów – generując niepotrzebne nieporozumienia lub tracąc możliwość zyskania przewag konkurencyjnych

  • Formularz samooceny musi być podpisany przez osobę reprezentującą daną firmę – bez tego podpisu dokument jest nie ważny. Osoba podpisująca dokument musi być uprawniona do reprezentowania firmy. Formularz SAQ jest dokumentem prawnym wiec musi być podpisany przez osobę mogącą reprezentować daną organizację.
  • Po wypełnieniu i podpisaniu formularza samooceny lub dokumentu AOC powinieneś go wysłać do swojego Agenta Rozliczeniowego lub organizacji kartowej, potwierdzając swoją zgodność ze standardem PCI DSS.
  • Każdy Service Provider ma możliwość bycia dodanym do listy Visy lub Mastercard. Listy są publiczne i bardzo często tworzą przewagę konkurencyjna.
  • Dokument AOC i formularz samooceny SAQ są ważne przez rok od daty raportu Masz obowiązek corocznie odnawiać swój certyfikat zgodności.
17 marca, 2025 PCI DSS

Certyfikacja PCI DSS jako przewaga konkurencyjna – jak komunikować zgodność w procesie sprzedaży?

 Czytaj dalej →
PCI DSS,PCI,diagram PCI DSS
19 marca, 2024 PCI DSS

Wszystko co musisz wiedzieć o diagramach w PCI

 Czytaj dalej →
Jak skutecznie przygotować firmę do audytu PCI DSS?
13 lutego, 2025 PCI DSS

Jak skutecznie przygotować firmę do audytu PCI DSS? 10 kroków dla początkujących. 

 Czytaj dalej →

Nie kupuj kota w worku -
umów się na bezpłatną konsultację i sprawdź, jak możemy Ci pomóc

Bezpłatna konsultacja
Formularz kontaktowy
pci dss,zgodność pci dss,audyt pci dss,akceptant,merchant,dostawca usług,service provider

Skorzystaj z formularza kontaktowego lub skontaktuj się z nami bezpośrednio.

Patronusec Sp z o. o.

Biuro:
ul. Święty Marcin 29/8
61-806 Poznań, Polska

KRS: 0001039087
REGON: 525433988
NIP: 7831881739
D-U-N-S: 989454390
LEI: 259400NAR8ZOX1O66C64

To top