MVP DevelopmentMVP Development
Powrót do zasobów

Checklist zgodności PCI DSS dla startupów fintech

9 min minimalny czas czytania
A Founder's Guide to the PCI DSS Compliance Checklist

Każdy założyciel fintechu prędzej czy później zadaje sobie pytanie: czy naprawdę musimy martwić się o PCI DSS, czy to problem kogoś innego, skoro korzystamy ze Stripe? Uczciwa odpowiedź leży pośrodku. Jeśli twoja aplikacja w jakikolwiek sposób dotyka danych karty, nawet przez bramkę zwalidowaną pod kątem PCI, PCI DSS cię dotyczy. Ignorowanie tego do momentu, aż zapyta o to partner bankowy, to prosta droga do gorączkowych poprawek na kilka tygodni przed startem. Ten przewodnik prowadzi przez praktyczną checklistę zgodności PCI DSS: kogo dotyczy, co oznacza 12 wymagań, jak działają typy SAQ i co zmieniło się w PCI DSS 4.0. Nic z tego nie zastąpi formalnej walidacji przeprowadzonej przez certyfikowanego audytora (Qualified Security Assessor, QSA), ale powinno dać ci więcej niż strona marketingowa dostawcy.

Czym jest PCI DSS

PCI DSS to skrót od Payment Card Industry Data Security Standard, czyli zbioru wymagań stworzonych do ochrony danych posiadaczy kart, utrzymywanych przez PCI Security Standards Council (założoną w 2006 roku przez Visa, Mastercard, American Express, Discover i JCB). To, co zaskakuje większość założycieli: PCI DSS wynika z umowy, a nie z przepisów prawa, i jest zapisane w umowach, które podpisujesz z bankiem, procesorem płatności lub bramką płatniczą. Jeśli go nie dopilnujesz, konsekwencją są kary finansowe nakładane przez organizacje kartowe, wyższe stawki za przetwarzanie transakcji, a w najgorszym razie utrata możliwości przyjmowania kart w ogóle. Standard obejmuje twoje środowisko danych posiadaczy kart, czyli CDE: ludzi, procesy i technologię, które przechowują, przetwarzają lub przesyłają dane posiadaczy kart, a także wszystko, co jest z nimi na tyle blisko powiązane, że może wpłynąć na ich bezpieczeństwo.

Kogo dotyczy PCI DSS

PCI DSS dotyczy każdej organizacji, która przechowuje, przetwarza lub przesyła dane posiadaczy kart, albo może wpłynąć na bezpieczeństwo środowiska danych posiadaczy kart. To celowo szeroko zakrojona definicja: obejmuje sprzedawców, procesorów płatności, bramki płatnicze i dostawców oprogramowania, których produkt w jakimkolwiek momencie dotyka danych karty. Wielkość firmy cię nie zwalnia: dwuosobowy startup przetwarzający swoje pierwsze sto transakcji przez Stripe wchodzi w zakres regulacji w momencie, gdy przez jego system przepłynie prawdziwy numer karty. Wielkość i wolumen wpływają na to, jak dowodzisz zgodności, o czym więcej za chwilę. Jeśli już analizujesz wymagania KYC i AML dla swojego MVP w fintechu, PCI DSS to równoległy tor dotyczący danych karty. Oba tematy zwykle pojawiają się w tej samej rozmowie z partnerem bankowym albo w szerszym planowaniu rozwoju oprogramowania fintech.

Poziomy zgodności i typy SAQ

Sieci kartowe dzielą sprzedawców na cztery poziomy zgodności, głównie na podstawie rocznego wolumenu transakcji (progi nieznacznie różnią się w zależności od marki karty): Poziom 1 to ponad sześć milionów transakcji rocznie albo dowolny sprzedawca, który miał wcześniej wyciek danych, Poziom 2 to od jednego do sześciu milionów, Poziom 3 to od dwudziestu tysięcy do miliona transakcji e-commerce, Poziom 4 to wszystko poniżej tego progu. Niemal każdy startup zaczyna na Poziomie 4. To, co musisz zrobić, by udowodnić zgodność, zależy od twojego poziomu. Sprzedawcy z Poziomu 1 zwykle potrzebują corocznej oceny na miejscu przeprowadzanej przez certyfikowanego audytora (Qualified Security Assessor, QSA). Wszyscy pozostali zazwyczaj przeprowadzają samoocenę za pomocą kwestionariusza samooceny (Self-Assessment Questionnaire, SAQ): pytań typu tak/nie dopasowanych do wymagań pasujących do twojej konfiguracji. To, który SAQ wypełniasz, zależy od tego, jak dane karty do ciebie docierają, a nie od twojej branży czy liczby pracowników. Istnieje też kilka węższych typów (B, B-IP, C, P2PE), a poniższa tabela pokazuje te, z którymi styka się większość startupów.

Typ SAQDla kogoCo to dla ciebie oznacza
SAQ AW pełni zewnętrzny, hostowany proces płatności; dane karty nigdy nie trafiają na twoje serweryNajkrótszy kwestionariusz; cel większości startupów
SAQ A-EPProces płatności częściowo hostowany, ale twój kod nadal ma kontakt ze stroną płatnościWięcej wymagań kontrolnych oraz zabezpieczenia przed manipulacją
SAQ C-VTTransakcje wpisywane ręcznie przez wirtualny terminal, bez przechowywania danychCzęste przy zwrotach realizowanych telefonicznie
SAQ D (Sprzedawca)Nie pasuje do żadnej węższej kategorii albo przechowuje dane karty bezpośrednioNajdłuższy kwestionariusz; wszystkie 12 kategorii w pełnym zakresie

Szybki test: jeśli numer karty klienta nigdy nie trafił nigdzie poza hostowane pole bramki płatniczej, najprawdopodobniej jesteś w obszarze SAQ A. W chwili gdy twój własny kod zaczyna dotykać lub przechowywać surowy numer karty, twój zakres rośnie. Potwierdź, który SAQ faktycznie pasuje, nie zakładaj z góry, że to ten najprostszy.

Checklist zgodności PCI DSS (12 wymagań w prostych słowach)

Jeśli odrzucić prawniczy język, checklist zgodności PCI DSS sprowadza się do dwunastu wymagań ułożonych wokół sześciu celów. Nie wdrożysz osobiście wszystkich dwunastu; spora część leży po stronie twojej bramki płatniczej, dostawcy chmury albo partnera BaaS. Mimo to warto wiedzieć, czego dotyczy każde z nich. „Nasz dostawca się tym zajmuje” jest prawdą tylko do momentu, aż ktoś poprosi cię o dowód.

#WymaganieCo to oznacza w praktyce
1Wdróż i utrzymuj zabezpieczenia sieciFirewalle lub równoważne mechanizmy między systemami a niezaufanymi sieciami
2Stosuj bezpieczne konfiguracjeŻadnych domyślnych haseł ani pozostawionych ustawień producenta
3Chroń przechowywane dane kontNie przechowuj danych, których nie potrzebujesz; nigdy nie przechowuj CVV po autoryzacji
4Chroń dane posiadaczy kart podczas przesyłaniaSilne szyfrowanie danych karty przesyłanych przez sieci publiczne
5Chroń się przed złośliwym oprogramowaniemNarzędzia antymalware na systemach, które mogłyby zostać zainfekowane
6Twórz i utrzymuj bezpieczne systemy oraz oprogramowanieŁatanie, bezpieczne kodowanie i kontrola zmian w obrębie CDE
7Ogranicz dostęp do niezbędnego minimumDostęp ograniczony do tego, czego dana rola faktycznie wymaga
8Identyfikuj użytkowników i uwierzytelniaj dostępUnikalne loginy i uwierzytelnianie wieloskładnikowe przy dostępie do CDE
9Ogranicz dostęp fizycznyFizyczne zabezpieczenia wokół sprzętu obsługującego dane karty
10Rejestruj i monitoruj dostępDzienniki audytowe obejmujące dostęp do danych karty, przechowywane i regularnie przeglądane
11Regularnie testuj bezpieczeństwoSkany podatności oraz, tam gdzie to wymagane, kwartalne skany ASV
12Wesprzyj to politykami organizacyjnymiUdokumentowana polityka bezpieczeństwa i formalna ocena ryzyka

Redukcja zakresu PCI (tokenizacja, hosted fields)

Najszybszy sposób na zmniejszenie zakresu PCI: nigdy nie pozwól, by surowe dane karty dotarły do twoich własnych serwerów. Hosted fields (iframe lub przekierowanie kontrolowane przez bramkę płatniczą) oraz tokenizacja robią dokładnie to. Numer karty klienta trafia bezpośrednio do bramki; twój backend widzi tylko token, bezużyteczny dla kogokolwiek, kto go wykradnie. Zrobione dobrze, to przenosi cię z najcięższego kwestionariusza, SAQ D, do najkrótszego, SAQ A. Sposób, w jaki to działa, wraz z tokenizacją, opisujemy w naszym przewodniku po integracji bramki płatniczej. Redukcja zakresu ma swoje granice. Segmentacja sieci nadal ma znaczenie nawet przy hostowanym procesie płatności; słabo zsegmentowana sieć może wciągnąć z powrotem do zakresu systemy, które nie mają z tym nic wspólnego. Outsourcing procesu płatności nie oznacza outsourcingu wszystkiego: narzędzie do zwrotów albo arkusz kalkulacyjny z wklejonym numerem karty potrafi po cichu zniweczyć tę korzyść.

Otrzymaj wycenę o stałym zakresie dla swojego MVP gotowego pod PCI

Podaj nam docelową bramkę płatniczą, wymagania zgodności i datę startu. W odpowiedzi dostaniesz jedną kwotę, jeden harmonogram i jasną granicę między tym, co zbudujemy my, a tym, co podłączysz sam.

Odbierz wycenę

Co zmieniło się w PCI DSS 4.0

PCI DSS 3.2.1 zostało wycofane w marcu 2024 roku. Jeśli dostawca albo stary wpis na blogu wciąż mówi o wersji 3.2.1, to znak, że ta porada jest nieaktualna. Obowiązującą wersją jest 4.0.1, czyli wydanie doprecyzowujące 4.0, a każde wymaganie jest teraz obowiązkowe, łącznie z tymi, które początkowo były jedynie „najlepszą praktyką” (ten okres przejściowy zakończył się 31 marca 2025 roku). Kilka zmian ma dla startupu większe znaczenie niż reszta. Uwierzytelnianie wieloskładnikowe obejmuje teraz cały dostęp do środowiska danych posiadaczy kart, a nie tylko dostęp zdalny czy administracyjny, a minimalna długość hasła wzrosła z siedmiu do dwunastu znaków. Prowadzisz płatności e-commerce? Nowe wymagania dotyczące zarządzania skryptami po stronie klienta i ochrony strony płatności przed manipulacją, wymierzone w ataki typu JavaScript skimming, warto sprawdzić nawet przy hostowanej bramce. Standard wprowadził też „podejście dostosowane” (customized approach), pozwalające spełnić wymagania w inny sposób, poparte udokumentowaną analizą ryzyka. Elastyczne na papierze; większość startupów na etapie MVP nadal lepiej wychodzi na standardowym, zdefiniowanym podejściu.

Oprogramowanie do zgodności nie wypełni za ciebie SAQ, ale narzędzia takie jak Vanta, Drata i Secureframe realnie skracają czas potrzebny na zbieranie dowodów: przeglądy dostępów i dokumenty polityk są śledzone automatycznie zamiast ręcznie wyszukiwane. Niektóre oferują teraz wspomagany przez AI przegląd dowodów, który szybciej wyłapuje luki. Przydatne przy żmudnej pracy, ale nie zastąpi oceny QSA.

Najczęstsze błędy startupów w PCI DSS

Garść błędów powtarza się raz za razem, gdy analizujemy stos płatniczy MVP w fintechu. Na czele listy jest przechowywanie CVV po autoryzacji, zwykle wewnątrz narzędzia wsparcia zbudowanego, by przyspieszyć zwroty. Przechowywanie CVV po autoryzacji nie jest dozwolone nigdy, zaszyfrowane czy nie, kropka. Tuż za tym plasują się numery kart wklejone do logów, narzędzi do śledzenia błędów albo współdzielonego arkusza kalkulacyjnego, rzadko celowo: stack trace przechwytuje surową treść zapytania, albo agent wsparcia wkleja numer do wątku czatu, by rozwiązać problem z nieudaną transakcją. Kolejnym częstym błędem jest założenie, że bramka zwalidowana pod kątem PCI automatycznie czyni cię zgodnym. To realna korzyść, znacząco zmniejsza zakres, ale wciąż musisz wypełnić odpowiedni SAQ i go zaatestować. Jest też pełzający wzrost zakresu: CDE, które zaczyna się czysto, a po kilku miesiącach dzieli sieć z połową narzędzi firmy, bo nikt nie wyznaczył granicy. Szersze praktyki bezpieczeństwa wokół tego wszystkiego opisujemy w naszym przewodniku po bezpieczeństwie i skalowalności MVP.

Błąd, który widzimy często: zespół zakłada, że do SAQ trzeba wracać tylko raz w roku, przy odnowieniu. W rzeczywistości to żywy dokument. Wystarczy dodać narzędzie do zwrotów, zmienić bramkę płatniczą albo pozwolić kontraktorowi dotknąć CDE bez aktualizacji odpowiedzialności, a środowisko już odbiega od tego, co zostało zaatestowane.

Priorytety PCI na etapie MVP

Nie każde wymaganie zasługuje na tyle samo uwagi pierwszego dnia. Jeśli planujesz płatności dla MVP w fintechu, oto z grubsza gdzie najpierw zainwestować swój ograniczony czas:

  • Od pierwszego dnia kieruj wszystkie dane karty przez hosted fields albo przekierowanie. Dorabianie tego później, gdy twój własny kod już dotykał surowych numerów, kosztuje znacznie więcej niż zrobienie tego dobrze od razu.
  • Potwierdź, który SAQ cię dotyczy, zanim zapyta o to partner bankowy.
  • Ustaw ogólnofirmowy standard MFA i haseł już teraz, nawet przy zespole liczącym trzy osoby. Tanie na wczesnym etapie, kosztowne do doklejenia później.
  • Trzymaj dane karty z dala od logów, narzędzi wsparcia i arkuszy kalkulacyjnych jako twardą zasadę od pierwszej linijki kodu płatności.
  • Udokumentuj granicę swojego CDE, nawet jeśli to tylko pojedynczy diagram.
  • Wracaj do oceny zakresu za każdym razem, gdy nowa funkcja inaczej dotyka płatności: subskrypcje, wypłaty czy ręczne zwroty potrafią po cichu poszerzyć zakres.
  • Zbuduj relację z QSA, zanim będziesz jej potrzebować, zwłaszcza jeśli wzrost może pchnąć cię w stronę Poziomu 1.

Dopilnuj pierwszych trzech punktów, a reszta stanie się zauważalnie prostsza.

Tags

Powiązane artykuły

Zapoznaj się z innymi artykułami na podobne tematy, aby pogłębić swoją wiedzę.

Często zadawane pytania

Znajdź odpowiedzi na często zadawane pytania dotyczące tego tematu.