jakiterminal.pl

Słownik

Co to jest PCI DSS? Standard bezpieczeństwa płatności 2026

Aktualizacja: 30 maja 2026

Polska Bezgotówkowa — terminal za 0 zł przez 12 miesięcy

Sprawdź czy się kwalifikujesz

PCI DSS (Payment Card Industry Data Security Standard) to międzynarodowy standard bezpieczeństwa, który określa, jak firmy mają chronić dane kart płatniczych. Mówiąc najprościej: to zbiór zasad, które sprawiają, że gdy klient płaci u Ciebie kartą, numer jego karty nie wycieknie ani nie trafi w niepowołane ręce. Standard obowiązuje każdą firmę, która przyjmuje, przetwarza lub przechowuje dane kart — od wielkiej sieci po jednoosobowy sklep z terminalem.

W tym wpisie tłumaczymy bez żargonu, kto ustala PCI DSS, co z niego wynika dla małego sprzedawcy i czy musisz się nim martwić.

Kto stworzył PCI DSS i po co

Standard opracowała organizacja PCI Security Standards Council, założona w 2006 roku przez pięć głównych organizacji kartowych: Visa, Mastercard, American Express, Discover i JCB. Powód był prosty — zamiast pięciu różnych zestawów wymogów bezpieczeństwa stworzono jeden wspólny standard dla całej branży.

Aktualnie obowiązuje wersja PCI DSS 4.0 (opublikowana w marcu 2022 roku, z aktualizacją 4.0.1 z 2024 roku). Zastąpiła ona wcześniejszą wersję 3.2.1. Kolejne wydania zaostrzają wymogi w odpowiedzi na nowe zagrożenia, np. ataki na strony płatności w sieci.

Co obejmuje standard — 12 wymagań w skrócie

PCI DSS to 12 wymagań pogrupowanych w 6 celów. Nie musisz znać ich na pamięć, ale warto wiedzieć, czego dotyczą:

  • Bezpieczna sieć — firewall i brak fabrycznych haseł na urządzeniach.
  • Ochrona danych karty — szyfrowanie numerów kart w spoczynku i podczas przesyłania.
  • Zarządzanie podatnościami — aktualne oprogramowanie i ochrona antywirusowa.
  • Kontrola dostępu — do danych kart ma dostęp tylko ten, kto musi.
  • Monitorowanie — rejestrowanie i testowanie dostępu do danych.
  • Polityka bezpieczeństwa — spisane zasady, których przestrzega zespół.

Im więcej danych kart firma przechowuje, tym więcej wymagań musi spełnić samodzielnie.

Co PCI DSS oznacza dla małego sprzedawcy z terminalem

To najważniejsza część tego wpisu — i dobra wiadomość. Jeśli przyjmujesz płatności wyłącznie przez terminal od agenta rozliczeniowego (klasyczny terminal, SoftPOS albo kasoterminal) i nie przechowujesz numerów kart, to większość ciężaru zgodności bierze na siebie Twój operator i producent terminala.

Dlaczego? Bo certyfikowany terminal nigdy nie udostępnia Ci pełnego numeru karty — szyfruje dane od momentu przyłożenia karty aż po rozliczenie. Ty widzisz tylko cztery ostatnie cyfry na potwierdzeniu. W praktyce dla mikrofirmy z jednym terminalem zgodność z PCI DSS najczęściej sprowadza się do:

  • używania certyfikowanego terminala od licencjonowanego agenta,
  • niezapisywania nigdzie pełnych numerów kart (na kartce, w mailu, w arkuszu),
  • niepodawania PIN-u i nieproszenia o niego klientów,
  • aktualizowania oprogramowania terminala, gdy operator je udostępnia.

Jeśli natomiast prowadzisz sklep internetowy i sam obsługujesz formularz płatności, wymogi są poważniejsze — dlatego większość małych e-sklepów korzysta z gotowych bramek płatności (jak Przelewy24 czy operatorzy kart), które przejmują obsługę danych karty i zgodność z PCI DSS.

PCI DSS a inne zabezpieczenia płatności

PCI DSS to standard organizacyjny — opisuje, jak chronić dane. Działa razem z technicznymi zabezpieczeniami pojedynczej transakcji, takimi jak: wymóg PIN-u powyżej 100 zł (przy płatnościach zbliżeniowych NFC), tokenizacja (zastąpienie numeru karty jednorazowym kodem w Apple Pay / Google Pay) oraz mechanizm chargeback, który pozwala klientowi odzyskać pieniądze przy oszustwie. PCI DSS to fundament, na którym te zabezpieczenia się opierają.

Często zadawane pytania