Od 1 kwietnia 2024 r., a następnie 2025 r. zmienią się wymogi bezpieczeństwa wobec sprzedawców udostępniających w swoich e-commerce płatności kartowe. Jak dostosować sklep internetowy do zmian PCI DSS 4.0?
PCI DSS, czyli Payment Card Industry Data Security Standard to międzynarodowy standard bezpieczeństwa opracowany przez Radę Standardów Bezpieczeństwa w Branży Kart Płatniczych (Payment Card Industry Security Standards Council - PCI SSC). Powołało ją 5 organizacji kartowych: Visa, Mastercard, American Express, mniej popularne w Polsce JCB i Dinners, a od 2023 r. także UnionPay International.
PCI DSS to 12 wymogów obejmujących zarówno bezpieczeństwo IT (sieci, systemy i aplikacje oraz procesy zarządzania), jak i elementy związane ze szkoleniem pracowników czy kontrolą dostawców.
Ideą standardu PCI DSS jest wprowadzenie norm bezpieczeństwa dla sprzedawców internetowych i organizacji, które przetwarzają, przechowują lub przesyłają pełen numer karty płatniczej (PAN, Primary Account Number) lub mogą wpłynąć na jego bezpieczeństwo.
Nie tylko w PCI DSS zachodzą zmiany w 2024 r.! Sprawdź artykuł na temat DSA - konstytucji internetu, która wprowadza nowe obowiązki dla e-commerce lub posłuchaj rozmowy z prawnikiem:
PCI DSS - kogo dotyczy?
Standard PCI DSS dotyczy każdego, kto akceptuje płatności kartą za swoje usługi lub produkty, a także świadczy usługi na rzecz sprzedawców internetowych.
Wymogi, którymi objęta jest dana organizacja zależy od tego, w jaki sposób przetwarza, przesyła lub przechowuje ona dane kartowe albo jakie usługi świadczy.
Sposób oceny zgodności ze standardem PCI DSS zależy od wolumenu realizowanych transakcji kartowych i jest szczegółowo określony przez każdą organizację kartową (np. Visa, Mastercard):
- Najwięksi sprzedawcy, tj. tacy, którzy mają ponad 6 milionów transakcji kartowych rocznie, muszą przechodzić audyt przeprowadzany przez zewnętrzne podmioty - wykwalifikowanych audytorów bezpieczeństwa (tzw. QSAC, Qualified Security Assessor Company).
- Sprzedawcy procesujący od 1 do 6 milionów transakcji rocznie mogą samodzielnie wypełnić kwestionariusz samooceny (tzw. SAQ, Self Assessment Questionnaires), ale następnie muszą uzyskać podpis QSAC.
- Pozostali sprzedawcy mogą przeprowadzić samoocenę we własnym zakresie, a wypełniony formularz dostarczyć do swojego agenta rozliczeniowego. Korzystanie ze wsparcia QSAC nie jest konieczne.
PCI DSS 4.0 - co się zmieni?
Pierwszą wersję standardu PCI DSS wydano w grudniu 2004 r. i od tego czasu zmienia się ona zgodnie z trendami oraz zagrożeniami.
- Ostatnia wersja standardu, czyli PCI DSS 3.0 funkcjonuje od ponad 4 lat i zmieni się 31 marca 2024 r.
- Nową wersję, czyli PCI DSS 4.0 opublikowano w marcu 2022 r. Zawiera ona nowe wymogi obowiązujące od 1 kwietnia 2024 r., a także tzw. future dated, które są zaleceniami do wprowadzenia do 31 marca 2025 r. i formalnie będą obowiązywać po 1 kwietnia 2025 r. Dzięki temu organizacje mają czas na przygotowanie się do zmian i wdrożenie nowych zaleceń.
PCI DSS 4.0 a sklepy internetowe
Nowa wersja standardu nie tylko wprowadza nowe formularze samooceny (wspomniane SAQs), lecz także znacząco zwiększa liczbę wymogów, które muszą spełniać akceptanci.
Ważne: Nowe wersje formularzy są dostępne na stronie PCI SSC i obowiązujące dla każdej oceny, która zakończy się po 1 kwietnia 2024 r.
PCI DSS 4.0 - formularz SAQ A
W Polsce najpopularniejszym rozwiązaniem płatniczym dla kart jest iframe osadzony na stronie sklepu internetowego albo re-direct kierujący do bramki płatniczej. Sprzedawcy korzystający z tych rozwiązań powinni wypełnić formularz SAQ A.
Największe zmiany, jakie pojawią się w nim wraz z wejściem PCI DSS 4.0 to wprowadzenie następujących obowiązków:
- Przeprowadzanie kwartalnych zewnętrznych skanów ASV dla wszystkich zewnętrznych adresów IP środowiska akceptanta. Dotyczy to także wymogu re-skanowania w przypadku znalezionych podatności.
- Posiadanie rozwiązania, które monitoruje zmiany w nagłówkach komunikatów HTTP na serwerach WWW i informuje administratorów IT o zmianach (szczególnie nie autoryzowanych)*,
- Aktualizowanie zarówno systemów operacyjnych, jak i aplikacji zainstalowanych na serwerach przekierowujących na stronę bramki płatniczej,
- Zarządzanie i kontrolowanie zewnętrznych skryptów uruchamianych w przeglądarce użytkownika, ich aktualizowanie oraz blokowanie niedozwolonych skryptów*.
- Posiadanie rozszerzonych wymogów dotyczących polityki haseł dla kont zarówno na serwerach, jak i w aplikacjach (takich jak np. Wordpress).
Zinterpretować powyższe obowiązki pomagają audytorzy QSAC, natomiast wdrożenie ich jest po stronie sprzedawców - zatrudnionych lub współpracujących ze sklepem specjalistów IT.
*Wymogi oznaczone gwiazdką należą to tzw. future dated, czyli zaczną obowiązywać od 1 kwietnia 2025 r.
Jakie są konsekwencje niedostosowania się do PCI DSS 4.0?
W przypadku niedostosowania się do PCI DSS 4.0 należy liczyć się z karami, w tym grzywną i ograniczeniami nakładanymi przez dostawcę płatności kartowych (w Tpay jest to Elavon i Bank Pekao S.A.). W najgorszym wypadku sprzedawca powinien brać pod uwagę utratę możliwości przyjmowania płatności kartowych, co - biorąc pod uwagę popularność płatności kartowych - jest bardzo dotkliwe.
Zgodność z PCI DSS 4.0 chroni klientów sklepu i zapobiega oszustwom, a bezpieczeństwo jest aktualnie jednym z kluczowych czynników zakupowych w e-commerce!
Kto zajmuje się kontrolowaniem, czy sklepy korzystające z płatności kartowych spełniają wymogi PCI DSS 4.0?
Kontrolowaniem sklepów pod kątem PCI DSS 4.0 zajmują się dostawcy płatności kartowych - w Tpay to Elavon i Bank Pekao S.A.