19.11.2021
Większość małych firm, takich jak kawiarnie, biura podróży, serwisy samochodowe i sklepy, używa 1–2 terminali POS do otrzymywania płatności od klientów. Zwykle za pośrednictwem tych terminali dokonywana jest niewielka liczba płatności.
Nawet w przypadku, gdy zakres płatności jest mały, partner przyjmujący płatności (zwykle takim partnerem jest bank) wymaga zgodności ze standardem PCI DSS.
Oprócz tego partnera zapewnienia zgodności ze standardem PCI DSS może także wymagać zewnętrzny regulator. Przykładowo w branży turystycznej takim zewnętrznym regulatorem jest Międzynarodowe Zrzeszenie Przewoźników Powietrznych IATA.
W 2016 roku wprowadzono nowy wymóg wobec wszystkich firm z branży turystycznej wykorzystujących internetowy system rezerwacji stowarzyszenia IATA. Wymóg ten był bardzo prosty: do 01.03.2018 roku wszyscy uczestnicy systemu IATA musieli uzyskać obowiązkowy certyfikat zgodności ze standardem PCI DSS.
Właściciel lub kierownik małej firmy powinien rozumieć, że zgodność ze standardem PCI DSS jest koniecznością, ponieważ jest to wymóg partnerów lub organów regulacyjnych, w zależności od rodzaju i specyfiki działalności. Przy tym nie ma żadnego znaczenia, że przez terminal przechodzi bardzo niewiele płatności. Nawet jeśli jest to tylko jedna płatność, takiej działalności i tak dotyczą wymagania standardu PCI DSS.
Często od właścicieli firm słyszymy: w naszej firmie terminal płatniczy nie jest podłączony do sieci firmowej, łączy się z bankiem przez Internet 4G, nie przechowujemy żadnych danych kart płatniczych, więc dlaczego mamy przechodzić certyfikację na zgodność ze standardem PCI DSS?
Zrozumiałe jest, że zakres płatności jest niewielki, a ryzyko wycieku danych kartowych — minimalne, dlatego kierownicy firm mają podobne pytania i najczęściej są też zdziwieni.
Nawet jeśli procesy biznesowe są zorganizowane w taki sposób, nadal konieczne jest zachowanie zgodności ze standardem PCI DSS, ponieważ takie są wymagania systemów płatności. A jeśli do prowadzenia działalności potrzebne jest przyjmowanie płatności kartami, niezbędne będzie spełnienie wszystkich wymagań.
Niewielki zakres płatności jest brany pod uwagę przy wyborze procedury certyfikacji i wpływa na poziom odpowiedzialności za niespełnienie wymagań standardu PCI DSS.
W przypadku opisanych powyżej i podobnych rodzajów działalności certyfikacja jest przeprowadzana w trybie uproszczonym. Omówmy dokładniej ten proces.
Jeśli firma przyjmuje płatności tylko za pośrednictwem terminala POS, a liczba transakcji nie przekracza 20 tysięcy rocznie, oznacza to, że w systemie płatności firma ta należy do kategorii akceptantów poziomu 4.
Pomyślna certyfikacja na zgodność ze standardem PCI DSS wymaga wykonania trzech prostych kroków:1. Ważne jest, by upewnić się, że zainstalowany terminal ma certyfikat zgodności ze standardem PIN Transaction Security. Można to sprawdzić na stronie standardu PCI DSS.2. Konieczne jest pobranie i wypełnienie dwóch dokumentów: ankiety samooceny SAQ B-IP oraz odpowiedniego dla tej ankiety zaświadczenia AOC SAQ B-IP. Dla wygody udostępnimy łącze do pobrania tych dwóch dokumentów.3. Zapraszamy do kontaktu z naszą firmą w celu sprawdzenia poprawności wypełnienia dokumentów oraz uzyskania podpisu audytora QSA. Jeżeli audytor nie będzie mieć żadnych pytań ani uwag, firma otrzyma certyfikat zgodności ze standardem PCI DSS.
Te trzy proste kroki wskazują ścieżkę do uzyskania certyfikatu PCI DSS dla małej firmy korzystającej z 1–2 terminali POS.Każda firma jest inna, dlatego podczas realizacji tych trzech kroków mogą się pojawić wątpliwości. Udzielimy odpowiedzi na wszelkie pytania i zapewnimy uzyskanie certyfikatu zgodności ze standardem PCI DSS.
Potrzebujesz uzyskać certyfikat PCI DSS w Polsce (Kraków, Warszawa, Poznań, Gdańsk, Wrocław, Łódź, Lublin, Katowice, Szczecin, Bydgoszcz, Białystok, Katowice, Gdynia, Częstochowa, Radom, Toruń, Rzeszów, Kielce, Gliwice, Olsztyn, Opole)? Nasi specjaliści skontaktują się z Tobą tak szybko, jak to możliwe!
Zapraszamy do kontaktu z naszymi konsultantami za pomocą formularza.