Poziomy zgodności PCI, a bezpieczeństwo płatności kartowych

Jeśli, jako sprzedawca akceptujesz karty płatnicze kredytowe lub debetowe, które mają logo jednego z głównych członków PCI SSC (PCI Security Standards Council), a więc karty Visa, Mastercard, American Express, Discover i JCB, musisz przestrzegać określonych poziomów zgodności ustalonych przez PCI SSC, aby zapewnić bezpieczeństwo wszelkich płatności oraz danych klientów, które przesyłasz, przetwarzasz lub przechowujesz. Jeśli nie spełnisz wymagań, możesz zostać ukarany karami, grzywnami i niemożnością dalszego przetwarzania płatności kartą. Uznając, że istnieją różne typy akceptantów, którzy obsługują różne wielkości transakcji, PCI SSC stworzył szereg poziomów zgodności PCI, które zaspokajałyby potrzeby tych handlowców. Twoja firma znajdzie się na jednym z czterech poziomów w zależności od liczby transakcji przetwarzanych każdego roku.

Zgodność z poziomem 1
Aby spełnić ten poziom zgodności ze standardem PCI, musisz generować ponad sześć milionów transakcji rocznie. Kluczowe wymagania dla poziomu 1 obejmują:
- wykonanie rocznego sprawozdania na temat zgodności (ROC) przez wykwalifikowanego audytora oceniającego bezpieczeństwo transakcji kartowych,
- kwartalne skanowanie sieci,
- wykonanie wewnętrznego skanu i poświadczenia formularza zgodności.

Zgodność z poziomem 2
Ten poziom zgodności ze standardem PCI dotyczy sprzedawców, którzy rocznie realizują od jednego do sześciu milionów transakcji. Oto wymagania dla poziomu 2:
- Jeśli posiadasz certyfikowanego analityka bezpieczeństwa wewnętrznego w swoim zespole, poproś go o sporządzenie rocznego kwestionariusza samooceny (SAQ),
- uzyskaj ocenę na miejscu u zatwierdzonego przez PCI SSC wykwalifikowanego audytora bezpieczeństwa,
- wykonaj kwartalne skanowanie sieci i zaświadczenie o zgodności.

Zgodność z poziomem 3
Sprzedawcy, którzy przetwarzają od 20 000 do 1 miliona transakcji rocznie, pasują do tego poziomu zgodności z PCI. Jeśli wpisujesz się w ten poziom, musisz wykonać następujące czynności, aby zapewnić zgodność ze standardem PCI:
- przeprowadź roczne SAQ i kwartalne skanowanie sieci 
- wypełnij zaświadczenie o formularzu zgodności.

Zgodność z poziomem 4
Każdego sprzedawcę, który wykonuje mniej niż 20 000 transakcji rocznie, obejmuje poziom 4. Wymagania dotyczące zgodności z poziomem 4 są bardzo podobne do zgodności na poziomie 3 w oparciu o ustalone wytyczne.

Aby upewnić się, że spełniasz wszystkie wymagania dotyczące zgodności, musisz zweryfikować wielkość transakcji z ostatnich 52 tygodni z pomocą swojego banku przejmującego. Gdy już wiesz, na jakim poziomie jesteś, musisz upewnić się, że przestrzegasz wszystkich wymagań PCI dla tego konkretnego poziomu. W celu przeprowadzenia walidacji może być konieczne skorzystanie z pomocy zatwierdzonego dostawcy lub partnera obsługującego płatności. Po zakończeniu sprawdzania i przesłaniu danych do banku przejmującego, bank ten następnie przekazuje swój status zgodności różnym markom kart, z którymi współpracujesz. 

Autor

Jan Walcewicz

Studiowałem Finanse na Uniwersytecie Ekonomicznym w Krakowie. Później dostałem pracę w dużej firmie, gdzie zajmuję się finansami. Wszelkiego rodzaju płatności są mi bardzo dobrze znane. Jeżeli potrzebujesz porady-pisz.

Zobacz również