PCI DSS (Payment Card Industry Data Security Standard) to międzynarodowy standard bezpieczeństwa, który określa, jak firmy mają chronić dane kart płatniczych. Mówiąc najprościej: to zbiór zasad, które sprawiają, że gdy klient płaci u Ciebie kartą, numer jego karty nie wycieknie ani nie trafi w niepowołane ręce. Standard obowiązuje każdą firmę, która przyjmuje, przetwarza lub przechowuje dane kart — od wielkiej sieci po jednoosobowy sklep z terminalem.
W tym wpisie tłumaczymy bez żargonu, kto ustala PCI DSS, co z niego wynika dla małego sprzedawcy i czy musisz się nim martwić.
Kto stworzył PCI DSS i po co
Standard opracowała organizacja PCI Security Standards Council, założona w 2006 roku przez pięć głównych organizacji kartowych: Visa, Mastercard, American Express, Discover i JCB. Powód był prosty — zamiast pięciu różnych zestawów wymogów bezpieczeństwa stworzono jeden wspólny standard dla całej branży.
Aktualnie obowiązuje wersja PCI DSS 4.0 (opublikowana w marcu 2022 roku, z aktualizacją 4.0.1 z 2024 roku). Zastąpiła ona wcześniejszą wersję 3.2.1. Kolejne wydania zaostrzają wymogi w odpowiedzi na nowe zagrożenia, np. ataki na strony płatności w sieci.
Co obejmuje standard — 12 wymagań w skrócie
PCI DSS to 12 wymagań pogrupowanych w 6 celów. Nie musisz znać ich na pamięć, ale warto wiedzieć, czego dotyczą:
- Bezpieczna sieć — firewall i brak fabrycznych haseł na urządzeniach.
- Ochrona danych karty — szyfrowanie numerów kart w spoczynku i podczas przesyłania.
- Zarządzanie podatnościami — aktualne oprogramowanie i ochrona antywirusowa.
- Kontrola dostępu — do danych kart ma dostęp tylko ten, kto musi.
- Monitorowanie — rejestrowanie i testowanie dostępu do danych.
- Polityka bezpieczeństwa — spisane zasady, których przestrzega zespół.
Im więcej danych kart firma przechowuje, tym więcej wymagań musi spełnić samodzielnie.
Co PCI DSS oznacza dla małego sprzedawcy z terminalem
To najważniejsza część tego wpisu — i dobra wiadomość. Jeśli przyjmujesz płatności wyłącznie przez terminal od agenta rozliczeniowego (klasyczny terminal, SoftPOS albo kasoterminal) i nie przechowujesz numerów kart, to większość ciężaru zgodności bierze na siebie Twój operator i producent terminala.
Dlaczego? Bo certyfikowany terminal nigdy nie udostępnia Ci pełnego numeru karty — szyfruje dane od momentu przyłożenia karty aż po rozliczenie. Ty widzisz tylko cztery ostatnie cyfry na potwierdzeniu. W praktyce dla mikrofirmy z jednym terminalem zgodność z PCI DSS najczęściej sprowadza się do:
- używania certyfikowanego terminala od licencjonowanego agenta,
- niezapisywania nigdzie pełnych numerów kart (na kartce, w mailu, w arkuszu),
- niepodawania PIN-u i nieproszenia o niego klientów,
- aktualizowania oprogramowania terminala, gdy operator je udostępnia.
Jeśli natomiast prowadzisz sklep internetowy i sam obsługujesz formularz płatności, wymogi są poważniejsze — dlatego większość małych e-sklepów korzysta z gotowych bramek płatności (jak Przelewy24 czy operatorzy kart), które przejmują obsługę danych karty i zgodność z PCI DSS.
PCI DSS a inne zabezpieczenia płatności
PCI DSS to standard organizacyjny — opisuje, jak chronić dane. Działa razem z technicznymi zabezpieczeniami pojedynczej transakcji, takimi jak: wymóg PIN-u powyżej 100 zł (przy płatnościach zbliżeniowych NFC), tokenizacja (zastąpienie numeru karty jednorazowym kodem w Apple Pay / Google Pay) oraz mechanizm chargeback, który pozwala klientowi odzyskać pieniądze przy oszustwie. PCI DSS to fundament, na którym te zabezpieczenia się opierają.
Często zadawane pytania
Czy jako mały sprzedawca muszę robić certyfikację PCI DSS?
W większości przypadków nie samodzielnie. Jeśli przyjmujesz płatności tylko przez certyfikowany terminal i nie przechowujesz numerów kart, ciężar zgodności spoczywa głównie na agencie rozliczeniowym i producencie terminala. Twoim obowiązkiem jest używać legalnego, certyfikowanego sprzętu i nie zapisywać danych kart.
Czy terminal sam zapewnia zgodność z PCI DSS?
Certyfikowany terminal spełnia wymogi techniczne standardu (szyfruje dane karty, nie udostępnia pełnego numeru), ale zgodność to także Twoje zachowanie: nieprzechowywanie numerów kart, brak fabrycznych haseł, aktualizacje oprogramowania. Sprzęt załatwia większość, ale nie całość.
Co grozi za brak zgodności z PCI DSS?
Wobec firm, które przechowują dane kart i je naruszą, organizacje kartowe i agenci mogą nałożyć kary umowne, podnieść prowizje lub odebrać prawo przyjmowania kart. Dla mikrofirmy z certyfikowanym terminalem ryzyko jest niskie, dopóki nie zapisuje numerów kart na własną rękę.
Czy PCI DSS dotyczy też płatności BLIK i przelewów?
PCI DSS dotyczy danych kart płatniczych (Visa, Mastercard). BLIK i zwykłe przelewy działają w innym systemie i nie podlegają temu standardowi, choć mają własne wymogi bezpieczeństwa. W praktyce dla sprzedawcy z terminalem najważniejsze pozostają zasady ochrony danych kart.