Od 1 kwietnia 2024 r., a następnie 2025 r. zmienią się wymogi bezpieczeństwa wobec sprzedawców udostępniających w swoich e-commerce płatności kartowe. Jak dostosować sklep internetowy do zmian PCI DSS 4.0?

PCI DSS, czyli Payment Card Industry Data Security Standard to międzynarodowy standard bezpieczeństwa opracowany przez Radę Standardów Bezpieczeństwa w Branży Kart Płatniczych (Payment Card Industry Security Standards Council - PCI SSC). Powołało ją 5 organizacji kartowych: Visa, Mastercard, American Express, mniej popularne w Polsce JCB i Dinners, a od 2023 r. także UnionPay International. 

PCI DSS to 12 wymogów obejmujących zarówno bezpieczeństwo IT (sieci, systemy i aplikacje oraz procesy zarządzania), jak i elementy związane ze szkoleniem pracowników czy kontrolą dostawców. 

Ideą standardu PCI DSS jest wprowadzenie norm bezpieczeństwa dla sprzedawców internetowych i organizacji, które przetwarzają, przechowują lub przesyłają pełen numer karty płatniczej (PAN, Primary Account Number) lub mogą wpłynąć na jego bezpieczeństwo. 

Nie tylko w PCI DSS zachodzą zmiany w 2024 r.! Sprawdź artykuł na temat DSA - konstytucji internetu, która wprowadza nowe obowiązki dla e-commerce lub posłuchaj rozmowy z prawnikiem:

PCI DSS - kogo dotyczy?

Standard PCI DSS dotyczy każdego, kto akceptuje płatności kartą za swoje usługi lub produkty, a także świadczy usługi na rzecz sprzedawców internetowych.

Wymogi, którymi objęta jest dana organizacja zależy od tego, w jaki sposób przetwarza, przesyła lub przechowuje ona dane kartowe albo jakie usługi świadczy. 

Sposób oceny zgodności ze standardem PCI DSS zależy od wolumenu realizowanych transakcji kartowych i jest szczegółowo określony przez każdą organizację kartową (np. Visa, Mastercard):

  • Najwięksi sprzedawcy, tj. tacy, którzy mają ponad 6 milionów transakcji kartowych rocznie, muszą przechodzić audyt przeprowadzany przez zewnętrzne podmioty - wykwalifikowanych audytorów bezpieczeństwa (tzw. QSAC, Qualified Security Assessor Company). 
  • Sprzedawcy procesujący od 1 do 6 milionów transakcji rocznie mogą samodzielnie wypełnić kwestionariusz samooceny (tzw. SAQ, Self Assessment Questionnaires), ale następnie muszą uzyskać podpis QSAC.
  • Pozostali sprzedawcy mogą przeprowadzić samoocenę we własnym zakresie, a wypełniony formularz dostarczyć do swojego agenta rozliczeniowego. Korzystanie ze wsparcia QSAC nie jest konieczne.

PCI DSS 4.0 - co się zmieni?

Pierwszą wersję standardu PCI DSS wydano w grudniu 2004 r. i od tego czasu zmienia się ona zgodnie z trendami oraz zagrożeniami. 

  • Ostatnia wersja standardu, czyli PCI DSS 3.0 funkcjonuje od ponad 4 lat i zmieni się 31 marca 2024 r.
  • Nową wersję, czyli PCI DSS 4.0 opublikowano w marcu 2022 r. Zawiera ona nowe wymogi obowiązujące od 1 kwietnia 2024 r., a także tzw. future dated, które są zaleceniami do wprowadzenia do 31 marca 2025 r. i formalnie będą obowiązywać po 1 kwietnia 2025 r. Dzięki temu organizacje mają czas na przygotowanie się do zmian i wdrożenie nowych zaleceń. 

 

PCI DSS 4.0 a sklepy internetowe

Nowa wersja standardu nie tylko wprowadza nowe formularze samooceny (wspomniane SAQs), lecz także znacząco zwiększa liczbę wymogów, które muszą spełniać akceptanci. 

Ważne: Nowe wersje formularzy są dostępne na stronie PCI SSC i obowiązujące dla każdej oceny, która zakończy się po 1 kwietnia 2024 r.

PCI DSS 4.0 - formularz SAQ A

W Polsce najpopularniejszym rozwiązaniem płatniczym dla kart jest iframe osadzony na stronie sklepu internetowego albo re-direct kierujący do bramki płatniczej. Sprzedawcy korzystający z tych rozwiązań powinni wypełnić formularz SAQ A. 

Największe zmiany, jakie pojawią się w nim wraz z wejściem PCI DSS 4.0 to wprowadzenie następujących obowiązków:

  • Przeprowadzanie kwartalnych zewnętrznych skanów ASV dla wszystkich zewnętrznych adresów IP środowiska akceptanta. Dotyczy to także wymogu re-skanowania w przypadku znalezionych podatności. 
  • Posiadanie rozwiązania, które monitoruje zmiany w nagłówkach komunikatów HTTP na serwerach WWW i informuje administratorów IT o zmianach (szczególnie nie autoryzowanych)*,
  • Aktualizowanie zarówno systemów operacyjnych, jak i aplikacji zainstalowanych na serwerach przekierowujących na stronę bramki płatniczej,
  • Zarządzanie i kontrolowanie zewnętrznych skryptów uruchamianych w przeglądarce użytkownika, ich aktualizowanie oraz blokowanie niedozwolonych skryptów*.
  • Posiadanie rozszerzonych wymogów dotyczących polityki haseł dla kont zarówno na serwerach, jak i w aplikacjach (takich jak np. Wordpress).

Zinterpretować powyższe obowiązki pomagają audytorzy QSAC, natomiast wdrożenie ich jest po stronie sprzedawców - zatrudnionych lub współpracujących ze sklepem specjalistów IT.

*Wymogi oznaczone gwiazdką należą to tzw. future dated, czyli zaczną obowiązywać od 1 kwietnia 2025 r.

Jakie są konsekwencje niedostosowania się do PCI DSS 4.0?  

W przypadku niedostosowania się do PCI DSS 4.0 należy liczyć się z karami, w tym grzywną i ograniczeniami nakładanymi przez dostawcę płatności kartowych (w Tpay jest to Elavon i Bank Pekao S.A.). W najgorszym wypadku sprzedawca powinien brać pod uwagę utratę możliwości przyjmowania płatności kartowych, co - biorąc pod uwagę popularność płatności kartowych - jest bardzo dotkliwe. 

Zgodność z PCI DSS 4.0 chroni klientów sklepu i zapobiega oszustwom, a bezpieczeństwo jest aktualnie jednym z kluczowych czynników zakupowych w e-commerce!

Kto zajmuje się kontrolowaniem, czy sklepy korzystające z płatności kartowych spełniają wymogi PCI DSS 4.0? 

Kontrolowaniem sklepów pod kątem PCI DSS 4.0 zajmują się dostawcy płatności kartowych - w Tpay to Elavon i Bank Pekao S.A.