Strona główna Standardy Branże ✦ Ocena AI Zapytaj o ofertę →
Strona głównaStandardy → PCI DSS

PCI DSS — Standard bezpieczeństwa danych branży kart płatniczych

Obowiązkowy standard bezpieczeństwa dla wszystkich organizacji, które przechowują, przetwarzają lub przesyłają dane kart płatniczych. BALTUM wspiera sprzedawców, podmioty przetwarzające płatności i dostawców usług w zakresie zgodności z PCI DSS v4.0 — od samooceny SAQ po pełne zaangażowanie w raport zgodności (ROC).

PCI DSS v4.0Bezpieczeństwo płatnościSAQROCDane posiadaczy kart

Czym jest PCI DSS?

Standard bezpieczeństwa danych branży kart płatniczych (PCI DSS) to zbiór wymagań bezpieczeństwa ustanowionych przez Radę Standardów Bezpieczeństwa PCI (PCI SSC) — założoną przez American Express, Discover, JCB, Mastercard i Visa. PCI DSS v4.0, opublikowany w marcu 2022 roku, jest aktualnie obowiązującym standardem (wersja 3.2.1 wycofana w marcu 2024).

Zgodność jest obowiązkowa dla każdej organizacji, która przechowuje, przetwarza lub przesyła dane posiadaczy kart — niezależnie od wolumenu transakcji. Brak zgodności może skutkować karami finansowymi, zwiększonymi opłatami transakcyjnymi oraz utratą prawa do akceptacji kart.

Poziomy zgodności PCI DSS

  • Poziom 1 — Sprzedawcy przetwarzający ponad 6 milionów transakcji rocznie; wymagany coroczny ROC od QSA oraz kwartalne skanowanie sieci.
  • Poziom 2 — 1–6 milionów transakcji rocznie; coroczna samoocena SAQ i kwartalne skanowanie.
  • Poziom 3 — 20 000–1 milion transakcji e-commerce; coroczna samoocena SAQ i kwartalne skanowanie.
  • Poziom 4 — Poniżej 20 000 transakcji e-commerce lub do 1 miliona innych transakcji; zalecana coroczna samoocena SAQ.

Kluczowe zmiany w PCI DSS v4.0

  • Opcja podejścia indywidualnego dla organizacji z dojrzałymi mechanizmami kontroli
  • Nowe wymagania dotyczące MFA odpornego na phishing
  • Rozszerzone wymagania dotyczące bezpieczeństwa e-commerce i stron płatności (Wymaganie 6.4)
  • Nowe wymagania dotyczące celowej analizy ryzyka
  • 64 nowe wymagania przyszłościowe (obowiązkowe od marca 2025)

Zaangażowanie BALTUM w PCI DSS

  • Definiowanie zakresu i mapowanie środowiska danych posiadaczy kart (CDE)
  • Analiza luk względem wymagań PCI DSS v4.0
  • Plan naprawczy i wsparcie we wdrażaniu mechanizmów kontroli
  • Wsparcie w wypełnianiu SAQ (SAQ A, A-EP, B, C, D stosownie do sytuacji)
  • Przygotowanie ROC i koordynacja z QSA dla sprzedawców poziomu 1
  • Koordynacja kwartalnego skanowania podatności ASV

Integracja z ISO 27001

PCI DSS i ISO 27001 mają znaczne pokrywanie się mechanizmów kontroli w zakresie kontroli dostępu, zarządzania podatnościami, rejestrowania i monitorowania oraz reagowania na incydenty. Zintegrowany program BALTUM mapuje oba zestawy wymagań do jednolitych ram kontroli — minimalizując duplikację i obniżając całkowite koszty zgodności.