PCI DSS megfelelő fizetési átjáró: mit jelent ez a vállalkozásod számára
A PCI DSS (Payment Card Industry Data Security Standard) az a globális biztonsági keretrendszer, amely szabályozza, hogyan kell kezelni a kártyaadatokat bármely entitás által, amely fizetési kártya információkat dolgoz fel, tárol vagy továbbít. A fizetési átjárót kiválasztó kereskedők számára a PCI DSS tanúsítási szint az egyik legfontosabb technikai és kereskedelmi kiválasztási kritérium.
Mit jelent a PCI DSS megfelelés egy fizetési átjárónál
A PCI DSS a főbb kártyasémák (Visa, Mastercard, Amex, Discover, JCB) által a PCI Security Standards Council-on keresztül kidolgozott biztonsági követelmények összessége. A szabvány vonatkozik minden entitásra, amely kártyabirtokosi adatokat dolgoz fel, tárol vagy továbbít.
Egy fizetési átjáró számára a PCI DSS megfelelés azt jelenti, hogy az átjáró teljes infrastruktúrája megfelel az aktuális PCI DSS szabványban meghatározott biztonsági követelményeknek. Ezek a követelmények tizenkét széleskörű területet fednek le: hálózatbiztonság, konfiguráció-menedzsment, kártyabirtokosi adatvédelem, sebezhetőség-kezelés, hozzáférés-vezérlés, fizikai biztonság, monitorozás és tesztelés, és biztonsági politika.
Miért fontos a kereskedők számára: A PCI DSS-nek nem megfelelő átjáró felelősségi kitettséget teremt minden azt használó kereskedő számára. Ha az átjárón keresztül feldolgozott kártyabirtokosi adatokat kompromittálják, a kártyasémák bírságokat szabhatnak ki.
Folyamatos tanúsítás: A PCI DSS megfelelés nem egyszeri tanúsítás. A Level 1 átjárók éves helyszíni biztonsági értékelésen esnek át egy Qualified Security Assessor (QSA) által.
A speciális magas kockázatú fizetési átjárót használó kereskedők számára a PCI DSS Level 1 tanúsítás az átjáró szintjén különösen fontos, mivel a magas kockázatú kereskedői kategóriák fokozott figyelmet vonzanak.
PCI DSS szintek: Level 1 vs Level 2 vs Level 3 vs Level 4
A PCI DSS tanúsítás tranzakciós volumen szerint van szintekre bontva, különböző megfelelési validálási követelményekkel minden szinthez.
Szolgáltatói szintek:
Level 1 szolgáltatók évente több mint 300 000 kártyatranzakciót dolgoznak fel vagy tárolnak vagy továbbítanak. Éves Compliance Jelentést (RoC) kell átesniük egy Qualified Security Assessor által, plusz negyedéves hálózati szkennelések. Ez a legszigorúbb értékelési szint és amelyen az RoxPay tanúsított.
Level 2 szolgáltatók évente kevesebb mint 300 000 kártyatranzakciót dolgoznak fel. Éves Self-Assessment Questionnaire-t (SAQ) tölthetnek ki plusz negyedéves szkenneléseket, teljes QSA audit helyett.
Kereskedői szintek (kontextusért):
Kereskedői Level 1: Évi hat millió Visa vagy Mastercard tranzakció felett. Éves QSA helyszíni értékelést igényel.
Kereskedői Level 2: Egy-hat millió tranzakció évente.
Kereskedői Level 3: 20 000-tol egy millió e-kereskedelmi tranzakcióig.
Kereskedői Level 4: Kevesebb mint 20 000 e-kereskedelmi tranzakció vagy kevesebb mint egy millió egyéb tranzakció.
Mit jelez a Level 1 tanúsítás: A PCI DSS Level 1 tanúsítvánnyal rendelkező átjáró a legszigorúbb lehetséges harmadik feles biztonsági értékelésen esett át.
Hogyan csökkenti a PCI DSS Level 1 átjáró használata a megfelelési terhedet
A PCI DSS Level 1 átjáró használata szignifikánsan csökkenti a saját PCI DSS megfelelési programod hatókörét, de a csökkentés mértéke az integrációs módszertől függ.
Hosted page integráció (teljes hatókörcsökkentés): Ha az átjáró hosted fizetési oldalát használod, az ügyfelet az átjáró domainjére irányítják át a kártyaadatok megadásához. Az infrastruktúrád soha nem látja a kártyaadatokat. E modell alapján az SAQ A-ra kvalifikálsz, a legegyszerubb öneértékelési kérdőívre. Az SAQ A-nak körülbelül 22 követelménye van, szemben az SAQ D 300 követelményével.
Drop-in UI vagy iFrame integráció (közel-teljes hatókörcsökkentés): Amikor az átjáró JavaScript-injektált iFrame elemeket biztosít a kártyaadatok megadásához a pénztároldalad ellenében belül, a kártyaadatokat az átjáró biztonságos iFrame-jén belül kezelik.
REST API tokenizálással (mérsékelt hatókörcsökkentés): Ha a frontend kártyaadatokat gyujt és elküldi a szervernek, amely ezután meghívja az átjáró API-ját, a szervered a PCI DSS hatókörén belül van.
Mit jelent a hatókörcsökkentés a gyakorlatban: Az SAQ A megfelelés a legtöbb kis- és középvállalkozás számára elérhető dedikált biztonsági személyzet vagy költséges külső értékelések nélkül.
Mit kell még tenni a kereskedőknek megfelelő átjáró esetén is
A PCI DSS Level 1 tanúsítvánnyal rendelkező átjáró használata csökkenti a megfelelési terhedet, de nem szünteti meg az összes PCI kötelezettséget.
Töltsd ki az SAQ-t: Még az SAQ A alatt is (hosted/iFrame integrációkhoz legegyszerubb forma) a kereskedőknek ki kell tölteniük és meg kell tartaniuk az öneértékelési kérdőívet.
Biztosítsd az alkalmazás rétegét: A webhelyed és az alkalmazásod a PCI DSS hatókörén belül vannak még hosted átjáró használatakor is, különösen a web skimming támadások megelőzése tekintetében.
Védd az API hitelesítő adataidat: Az API-kulcsaidat és a webhook aláíró titkaidat biztonságosan kell tárolni, rendszeresen forgatni, és soha nem szabad kliens oldali kódban vagy verziókontrollban elhelyezni.
Tartsd fenn a rendszerhigiéniádat: A fizetési környezeted részét képező szervereket, alkalmazásokat és infrastruktúrát foltozva és biztonságban kell tartani.
Ne tárolj tiltott adatokat: Még hosted átjáró használatakor is tilos teljes kártyaszámokat, CVV-ket vagy mágnescsík adatokat megőrizni bármely általad kontrollált rendszerben.
Az RoxPay PCI DSS Level 1 tanúsítása és mit fed le
Az RoxPay PCI DSS Level 1 tanúsítvánnyal rendelkezik QS83A47X629 tanúsítványszámmal. Ezt a tanúsítást éves helyszíni értékeléseken tartják fenn egy Qualified Security Assessor által és negyedéves hálózati szkennelések által.
Mit fed le a tanúsítás: Az RoxPay teljes fizetésfeldolgozási infrastruktúrája, beleértve a kártyaadat-tárolókat, tranzakciófeldolgozó szervereket, hálózati infrastruktúrát, API végpontokat és muaodési eljárásokat.
Mit jelent ez a kereskedők számára: Az RoxPay hosted checkout vagy drop-in UI integrációját használó kereskedők az SAQ A-ra kvalifikálhatnak, a minimális megfelelési validálási követelményre a kereskedők számára, akik nem kezelik közvetlenül a kártyaadatokat.
ISO 27001 tanúsítás: A PCI DSS Level 1 mellett az RoxPay ISO 27001 tanúsítvánnyal rendelkezik, amely széles körben lefedi az információbiztonsági irányítási rendszert.
OAM regisztráció: Az RoxPay regisztrált az olasz OAM-nál (Organismo Agenti e Mediatori), megerősítve státuszát mint szabályozott fizetési operátor Olaszországban.
Az RoxPay regisztrációhoz és a sandbox környezet eléréséhez PCI-kompatibilis integrációs teszteléshez töltsd ki a digitális onboarding urlap. A sandbox hitelesítő adatok azonnal elérhetők a regisztrációt követően. A teljes API dokumentáció a app.roxpay.eu/api/v4/docs oldalon érhető el.
Az RoxPay 500 millió euró feletti éves volument dolgoz fel 120 fizetési rendszeren keresztül 99,9%-os rendelkezésre állási SLA-val. IC++ árazás 0,45%-tól, elszámolás bármely SEPA bankba 24-48 órán belül.
Gyakran ismételt kérdések
Mi a különbség a PCI DSS Level 1 és Level 2 között?
Szolgáltatók (fizetési átjárók) számára a Level 1 éves helyszíni értékelést igényel egy Qualified Security Assessor által, formális Compliance Jelentést eredményezve. A Level 2 lehetővé teszi a Self-Assessment Questionnaire öntöltését. A Level 1 szigorúbb és nagyobb biztonságot nyújt a kereskedőknek, mert egy független biztonsági szakértő fizikailag átvizsgálta és tanúsította a teljes feldolgozási környezetet.
PCI DSS-megfelelőnek kell lennem, ha az RoxPay hosted checkoutját használom?
Igen, de a megfelelési kötelezettséged minimális. Az RoxPay hosted checkout vagy drop-in UI használata azt jelenti, hogy az SAQ A-ra kvalifikálsz, amely körülbelül 22 követelményból álló rövid öneértékelési kérdőív kitöltését foglalja magában, plusz negyedéves hálózati szkennelések. Nincs szükséged QSA auditra vagy teljes SAQ D értékelésre.
Mi a PCI DSS 4.0 és érinti-e a hosted checkoutokat használó kereskedőket?
A PCI DSS 4.0-s verzió 2022-ben jelent meg és 2024-ben lépett hatályba. A hosted checkoutokat használó kereskedők számára a v4.0 legrelevánasabb új követelménye a szkript-leltár és az integritásmonitorozás fenntartásának szükségessége minden szkripthez, amely a fizetési oldalaidon fut (a web skimming megelőzésére). Ez az SAQ A alatt is vonatkozik rád.
Ezt is érdemes megnézni
Magas kockázatú fizetési gateway
Biztonságos fizetésfeldolgozás magas kockázatú iparágak számára, többszörös acquirer routinggal és chargeback védelemmel.
Kisvállalkozások fizetési megoldásai
Átlátható IC++ árazás, ingyenes Smart POS terminál és 24 órás aktiválás kisvállalkozások számára.
E-kereskedelmi fizetési integrációk
Egykattintásos bővítmények Shopify-hoz, WooCommerce-hez, Magento-hoz és PrestaShop-hoz teljes API-hozzáféréssel.
Optimalizálja fizetéseit még ma
Az RoxPay PCI DSS Level 1 tanúsítvánnyal (QS83A47X629) és ISO 27001 tanúsítvánnyal rendelkezik. A hosted checkoutot használó kereskedők SAQ A megfelelésre kvalifikálnak. IC++ 0,45%-tól, elszámolás bármely SEPA bankba 24-48 órán belül.
✓ Nincsenek fix havi költségek · ✓ Aktiválás 24 órán belül · ✓ Dedikált technikai támogatás
