Jeżeli Twoja firma – np. hotel, OTA, restauracja czy biuro podróży – przechowuje, przetwarza lub przekazuje krytyczne dane z kart płatniczych, masz obowiązek spełnić wymagania PCI DSS / PSD2 niezależnie od wielkości Twojego przedsiębiorstwa. Jeżeli z kolei nie przechowujesz danych kart płatniczych, ale używasz bramek płatniczych podmiotów trzecich, to jest bardzo prawdopodobne, że i tak musisz wdrożyć ten standard.

Czym jest PCI DSS?

Payment Card Industry Data Security Standard (PCI DSS) to globalny standard ochrony danych w branżach obsługujących debetowe i kredytowe karty płatnicze. Jego głównym celem jest zagwarantowanie, aby wszystkie przedsiębiorstwa zapewniały minimalny poziom bezpieczeństwa pozwalający chronić dane posiadaczy kart.

Danymi krytycznymi, które należy chronić, są: PAN (numer karty), imię i nazwisko posiadacza karty, data ważności, kod usługi, dane paska magnetycznego lub jego odpowiednika w postaci chipa, CAV2, CVC2, CVV2, CID, osobisty numer identyfikacyjny oraz kody PIN.

Czym jest PSD2?

Regulacje PCI DSS zostały zdefiniowane w 2006 roku i pomimo ukazania się już czwartej aktualizacji wersji (pierwszy kwartał 2022) konieczne jest ich dostosowanie do nowych systemów zabezpieczeń. Dlatego w roku 2019 weszła w życie Dyrektywa w sprawie usług płatniczych 2 (PSD2), która ma zastosowanie do każdego przedsiębiorstwa mogącego mieć styczność z klientami europejskimi.

PSD2 zawiera rozszerzone wytyczne dotyczące płatności internetowych oraz zarządzania poufnymi danymi w celu ograniczenia ryzyka kradzieży, oszustwa i naruszeń bezpieczeństwa. Główną zmianą jest wymóg silnego uwierzytelniania klientów (SCA) podczas transakcji internetowych. Zgodnie z SCA klienci muszą dostarczyć drugi czynnik uwierzytelniający przed dokonaniem płatności. Może nim być kod PIN lub kod weryfikacyjny SMS.

Co oznacza PSD2 dla Twojej działalności hotelarskiej?

Zasadniczo oznacza to, że transakcje zainicjowane przez hotel w momencie, gdy gość nie jest obecny osobiście, nie spełniają wymagań PSD2. Goście muszą być w stanie wykonać weryfikację dwuskładnikową przy każdej płatności, zarówno podczas rezerwacji, jak i podczas wymeldowania, co zmusza wielu hotelarzy do modyfikacji lub dostosowania ich procesów płatności. 

Wymagania i rozwiązania

Standard PCI DSS obejmuje ponad 290 kontroli fizycznych, logicznych i administracyjnych podzielonych na 6 celów, które z kolei dzielą się na 12 wymagań. Poniżej objaśniliśmy to dokładniej:

Poziomy wymagań

Dodatkowo istnieją cztery poziomy określonych wymagań w zależności od rocznej liczby transakcji w danym przedsiębiorstwie:

• Poziom 1: ponad sześć milionów transakcji rocznie
• Poziom 2: od jednego do sześciu milionów transakcji rocznie
• Poziom 3: od 20 000 do miliona transakcji rocznie
• Poziom 4: poniżej 20 000 transakcji rocznie

Dla poziomów 2, 3 i 4 istnieje narzędzie do samooceny: SAQ, ang. „Self-Assessment Questionnaire” (kwestionariusz samooceny), które ma na celu ocenienie, czy firmy spełniają wymagania normy PCI DSS. Natomiast w przypadku poziomu 1 poza wypełnieniem kwestionariusza SAQ wymagana jest „formalna ocena zgodności” dokumentująca w dokładniejszy sposób spełnienie każdego z warunków. GMV to Approved Scanning Vendor do przeprowadzania takich oficjalnych ocen. Jeśli potrzebujesz więcej informacji, zapraszamy do kontaktu.

Autor(ka): Joan Antoni Malonda