Przejdź do głównej zawartości

PCI DSS i dane kart

Standard PCI DSS (Payment Card Industry Data Security Standard) obowiązuje każdy podmiot, który przyjmuje, przetwarza, przesyła lub przechowuje dane kart płatniczych — w tym każdy sklep internetowy akceptujący płatności kartą, nawet jeśli dane kart nigdy nie pojawiają się bezpośrednio na jego serwerze. Pytanie nie brzmi "czy PCI DSS mnie dotyczy", tylko "w jakim zakresie" — a zakres zależy od tego, jak zaprojektowana jest integracja.

Poziomy merchantów w PCI DSS

Merchanci (sklepy akceptujące karty) są klasyfikowani na cztery poziomy według rocznej liczby transakcji kartowych dla danej sieci (Visa, Mastercard). Próg brany pod uwagę to zwykle największa z sieci, z którymi współpracujesz. Klasyfikacja określa formę, w jakiej musisz wykazać compliance — nie sam zestaw wymagań technicznych, które są wspólne dla wszystkich poziomów.

PoziomRoczna liczba transakcji kartowychForma walidacji
Level 1Ponad 6 mlnCoroczny audyt zewnętrzny (Report on Compliance) przez akredytowanego QSA + kwartalne skany ASV
Level 21–6 mlnCoroczna samoocena (SAQ) + kwartalne skany ASV; niektóre sieci wymagają podpisu QSA
Level 320 tys. – 1 mln transakcji e-commerceCoroczna samoocena (SAQ) + kwartalne skany ASV
Level 4Poniżej 20 tys. transakcji e-commerce lub do 1 mln łącznieCoroczna samoocena (SAQ); skany ASV zwykle wymagane, ale zakres określa acquirer

Dla większości sklepów integrujących się z Paymentic właściwą formą samooceny będzie SAQ A — najkrótszy wariant kwestionariusza, przeznaczony dla merchantów, którzy całkowicie outsourcują obsługę danych kartowych do zewnętrznego, certyfikowanego dostawcy (czyli do nas). Poziom 1 nie eliminuje prawa do SAQ A — jeśli merchant Level 1 spełnia warunki SAQ A, raport roczny również dotyczy tego zakresu, po prostu jest walidowany przez QSA zamiast samodzielnie.

notatka

Ostateczną decyzję o Twoim poziomie i formie raportowania podejmuje acquirer (bank rozliczający) — to on komunikuje się z organizacjami kartowymi i odbiera od Ciebie dokumenty compliance. Jeśli nie masz pewności, na którym poziomie jesteś i jaki SAQ Cię obowiązuje, zacznij od kontaktu z nami.

Zasada: Twój serwer nigdy nie powinien widzieć numeru karty

Integracja z Paymentic została zaprojektowana tak, aby sklep nigdy nie przetwarzał ani nie przechowywał pełnych danych karty. Konsument wprowadza PAN, CVV i datę ważności wyłącznie na infrastrukturze Paymentic — przez hosted payment page albo bezpośrednie przekierowanie na stronę płatności. Twój backend operuje wyłącznie na identyfikatorach transakcji i tokenach.

Dzięki temu Twój sklep — choć formalnie nadal podlega PCI DSS — kwalifikuje się do najprostszej formy samooceny, SAQ A (Self-Assessment Questionnaire A). W wersji PCI DSS 4.0 SAQ A zawiera ok. 20 pytań kontrolnych skupionych wokół zabezpieczenia domeny, integracji z dostawcą i polityk organizacyjnych — zamiast kilkuset pytań SAQ D obowiązującego przy pełnej integracji server-to-server, w której merchant sam obsługuje dane kart.

Czego unikać

Wprowadzenie nawet niewielkiego fragmentu przepływu kart na własną infrastrukturę natychmiast podnosi scope compliance. Konkretnie:

  • Nie buduj własnego formularza kartowego w swoim domain scope, który następnie przesyła dane do Paymentic — to eskaluje Twój SAQ z A do A-EP, ze znacząco większym zakresem wymagań.
  • Nie loguj pełnego PAN-u (16 cyfr) w logach aplikacji, systemach APM, narzędziach debug, nawet "tylko w DEV-ie". Maskuj do formatu 411111******1111 już na poziomie middleware.
  • Nie przekazuj CVV przez żaden własny system — CVV nie może być przechowywany przez nikogo po autoryzacji, zgodnie z PCI DSS req. 3.3.2.
  • Nie przechowuj PAN-u w ogóle po swojej stronie, nawet "do celów analitycznych" czy "dla raportowania". Do rozpoznawania kart powracających klientów służą tokeny kartowe, które Paymentic udostępnia w odpowiedzi transakcyjnej.

Co jest bezpieczne do przechowywania

Po stronie sklepu możesz bez ograniczeń PCI przechowywać:

  • Token karty udostępniony przez Paymentic (nieodwracalny identyfikator, bezużyteczny poza naszym systemem)
  • Ostatnie 4 cyfry PAN-u — do wyświetlania na ekranie jako "Karta ···· 1234"
  • Markę karty (Visa, Mastercard, itd.)
  • Miesiąc i rok ważności karty — w kontekście UX, nie autoryzacji

Są to informacje sklasyfikowane poza scope PCI DSS i mogą trafić do zwykłej bazy danych, logów analitycznych, systemu CRM.

informacja

Niniejszy dokument jest skrótem dla integratorów i nie zastępuje konsultacji z QSA ani wewnętrznego audytu. Zakres PCI DSS zależy od konkretnej implementacji; jeśli masz wątpliwości co do swojego SAQ, zacznij od pytania do acquirera, a w kwestiach technicznych po stronie integracji napisz do nas na [email protected].