Πιστοποίηση PCI DSS: Τι είναι, πόσο κοστίζει και γιατί χρειάζεται;

Η πιστοποίηση με το πρότυπο ασφαλείας PCI DSS είναι σημαντική για τις επιχειρήσεις που δέχονται πληρωμές με κάρτα, καθώς εξασφαλίζει ότι οι συναλλαγές παραμένουν ασφαλείς. Η πιστοποίηση με το PCI προστατεύει τους πελάτες σας από την απάτη και εξασφαλίζει το κύρος σας ως επιχείρηση.

Σε αυτόν τον οδηγό, σας παρουσιάζουμε όλα όσα πρέπει να γνωρίζετε σχετικά με τη πιστοποίηση PCI DSS, συμπεριλαμβανομένων των επιπέδων πιστοποίησης, του σχετικού κόστους πιστοποίησης και των βημάτων που πρέπει να ακολουθήσετε για να πιστοποιηθείτε. 

Θα μάθετε επίσης εάν η επιχείρησή σας υποχρεούται να είναι πιστοποιημένη με το PCI και, εάν ναι, ποιες προκλήσεις θα μπορούσατε να αντιμετωπίσετε αν αποτύχετε να το κάνετε. Για να τα μάθετε όλα αυτά, απλώς διαβάστε παρακάτω.

Η διατήρηση των δεδομένων καρτών των πελατών σας με ασφάλεια, είναι άκρως απαραίτητη για την επιχείρησή σας.


Τι είναι η πιστοποίηση PCI DSS; 

Το PCI DSS προέρχεται από τον όρο (Payment Card Industry Data Security Standard). Η πιστοποίηση με το PCI απαιτείται από τις εταιρείες πιστωτικών καρτών για να βοηθήσει στην προστασία των συναλλαγών με κάρτες. Οι επιχειρήσεις έχουν ορισμένα πρότυπα και διαδικασίες που πρέπει να ακολουθήσουν για να συμμορφωθούν με το PCI και οι περισσότεροι πάροχοι πληρωμών θα αρχίσουν να ζητούν την πιστοποίηση με το PCI ανάλογα φυσικά με το μέγεθος και τη φύση της επιχείρησής σας. 

Ορισμένοι πάροχοι, θα σας ζητήσουν να ολοκληρώσετε τη διαδικασία πιστοποίησης μόνοι σας ενώ ορισμένοι θα σας βοηθήσουν για την πιστοποίηση με κάποιο επιπλέον κόστος.


Τι χρειάζεται για να πιστοποιηθώ με το πρότυπο ασφαλείας PCI DSS; 

Υπάρχουν 12 απαιτήσεις πιστοποίησης με το PCI. Αυτές είναι:

  1. Εγκατάσταση και διατήρηση τείχους προστασίας (firewall) για τα δεδομένα του κατόχου της κάρτας
  2. Να μην χρησιμοποιείτε προκαθορισμένες προεπιλογές για κωδικούς πρόσβασης συστημάτων και άλλες παραμέτρους ασφαλείας 
  3. Προστασία αποθηκευμένων δεδομένων του κατόχου της κάρτας 
  4. Κρυπτογράφηση μετάδοσης δεδομένων του κατόχου της κάρτας σε ανοιχτά, δημόσια δίκτυα
  5. Χρήση και τακτική ενημέρωση λογισμικού ή προγραμμάτων προστασίας από ιούς (antivirus)
  6. Ανάπτυξη και διατήρηση ασφαλών συστημάτων και εφαρμογών 
  7. Περιορισμός πρόσβασης στα δεδομένα του κατόχου της κάρτας με βάση τις επιχειρησιακές ανάγκες 
  8. Ανάθεση μοναδικού αναγνωριστικού username και password σε κάθε άτομο με πρόσβαση στον υπολογιστή 
  9. Περιορισμός φυσικής πρόσβασης στα δεδομένα του κατόχου της κάρτας 
  10. Καταγραφή και παρακολούθηση της πρόσβασης στους πόρους δικτύου και τα δεδομένα του κατόχου της κάρτας 
  11. Τακτικοί έλεγχοι ασφάλειας συστημάτων και διαδικασιών 
  12. Διατήρηση πολιτικής που αναφέρεται στην ασφάλεια πληροφοριών και εφαρμόζεται για όλο το προσωπικό της επιχείρησής σας

Εάν η επιχείρησή σας δέχεται οποιαδήποτε μορφή πληρωμής με κάρτα, πρέπει να συμμορφώνεται με το PCI:

  • Χρησιμοποιείτε ένα POS για να παίρνετε πληρωμές στο κατάστημά σας; 
  • Ένα εικονικό τερματικό (virtual POS) για να δεχτείτε πληρωμές μέσω τηλεφώνου; 
  • Ίσως μια πύλη διαδικτυακών πληρωμών για να δέχεστε ηλεκτρονικές πληρωμές με eshop;

Εάν απαντήσατε ‘ναι’ σε οποιαδήποτε από τις παραπάνω ερωτήσεις, η επιχείρησή σας ενδεχομένως να χρειάζεται πιστοποίηση με το PCI. Οι προδιαγραφές PCI ισχύουν επίσης για:

  • Συστήματα για παραγγελιοληψία και εντατική λιανική
  • Φυσικά αρχεία και έγγραφα που περιλαμβάνουν στοιχείων καρτών και δεδομένα κατόχου της κάρτας
  • Διαδικτυακά καλάθια αγορών 
  • Ασύρματοι δρομολογητές (routers) πρόσβασης και τοπικά δίκτυα υπολογιστών για τα καταστήματα ή γραφεία σας. 

Επίπεδα πιστοποίησης PCI 

Υπάρχουν τέσσερα επίπεδα πιστοποίησης με το PCI και η επιχείρησή σας θα πρέπει να συμμορφωθεί με ένα από αυτά. Το επίπεδο στο οποίο εμπίπτετε καθορίζεται βάσει μερικών παραγόντων, συμπεριλαμβανομένων:

  • Το μέγεθος της επιχείρησής σας 
  • Τον αριθμό των συναλλαγών με κάρτα που δέχεστε κάθε χρόνο (όγκος) 
  • Πώς πραγματοποιείτε αυτές τις πληρωμές με κάρτα (μέθοδος)
  • Εάν δέχεστε πιστωτικές ή χρεωστικές κάρτες με οποιαδήποτε από τις εταιρείες πιστωτικών καρτών PCI DSS (Visa, Mastercard, American Express, JCB και Discover), τότε πρέπει να παραμείνετε πιστοποιημένοι με το PCI.

Επίπεδο 1

Επιχειρήσεις που επεξεργάζονται περισσότερες από 6 εκατομμύρια συναλλαγές ετησίως. Επιχειρήσεις που υπέστησαν διαρροή δεδομένων που οδήγησε στην καταστροφή πληροφοριών.

Επίπεδο 2

Επιχειρήσεις που επεξεργάζονται μεταξύ 1 εκατομμυρίου και 6 εκατομμυρίων συναλλαγών ετησίως.

Επίπεδο 3

Σε ποιους εφαρμόζεται; Επιχειρήσεις που επεξεργάζονται μεταξύ 20.000 και 1 εκατομμυρίου συναλλαγών ετησίως.

Επίπεδο 4

Επιχειρήσεις που επεξεργάζονται λιγότερες από 20.000 συναλλαγές ετησίως.


Σε ποιο επίπεδο πιστοποίησης βρίσκεστε; 


Επίπεδο 1

Το Επίπεδο 1 είναι για επιχειρήσεις που επεξεργάζονται περισσότερες από 6 εκατομμύρια συναλλαγές ετησίως, επομένως αφορά κυρίως μεγάλες εταιρείες. Όπως μπορείτε να φανταστείτε, αυτό το επίπεδο πιστοποίησης με το PCI είναι το πιο ακριβό. Περιλαμβάνει επιπλέον κόστος υλικού και λογισμικού για να πληροί το πρότυπο, καθώς και τα τέλη για την εκπαίδευση ενός εσωτερικού ελεγκτή. Για να συμμορφωθούν, οι επιχειρήσεις πρέπει να ολοκληρώσουν ένα ετήσιο ερωτηματολόγιο αυτοαξιολόγησης (SAQ) και να υποβάλλονται σε τριμηνιαίους ελέγχους μέσω ενός Πιστοποιημένου Προμηθευτή (ASV) που έχει εγκριθεί από το PCI.

Απαιτήσεις επικύρωσης 

  • Ετήσια Έκθεση πιστοποίησης (ROC) από Πιστοποιημένο Αξιολογητή Ασφάλειας (QSA) ή εσωτερικό ελεγκτή
  • Τριμηνιαία σάρωση δικτύων από Πιστοποιημένο Προμηθευτή 
  • Ένταξη φόρμας πιστοποίησης 

Επίπεδο 2 

Το Επίπεδο 2 είναι για επιχειρήσεις που επεξεργάζονται μεταξύ 1 εκατομμυρίου και 6 εκατομμυρίων συναλλαγών ετησίως. Για να συμμορφωθούν, οι επιχειρήσεις πρέπει να ολοκληρώσουν μία ετήσια αυτοαξιολόγηση. Θα λάβουν επίσης τριμηνιαίο έλεγχο από ASV, συν την επίσκεψη στον χώρο.

Απαιτήσεις επικύρωσης 

  • Ετήσια SAQ 
  • Τριμηνιαία σάρωση δικτύων από Πιστοποιημένο Προμηθευτή  
  • Ένταξη φόρμας πιστοποίησης 

Επίπεδο 3 

Το Επίπεδο 3 αφορά επιχειρήσεις που λαμβάνουν μεταξύ 20.000 και 1 εκατομμυρίου συναλλαγών ετησίως. Η πιστοποίηση σε αυτό το επίπεδο περιλαμβάνει ετήσια αυτοαξιολόγηση, καθώς και τριμηνιαία ασφάλεια ASV.

Απαιτήσεις επικύρωσης 

  • Ετήσια SAQ 
  • Τριμηνιαία σάρωση δικτύων από Πιστοποιημένο Προμηθευτή  
  • Ένταξη φόρμας πιστοποίησης 

Επίπεδο 4

Το Επίπεδο 4 αφορά επιχειρήσεις που επεξεργάζονται μέχρι και 20.000 συναλλαγές ετησίως.

Απαιτήσεις επικύρωσης 

  • Ετήσια SAQ προτεινόμενη 
  • Τριμηνιαία σάρωση δικτύων από Πιστοποιημένο Προμηθευτή , εφόσον απαιτείται
  • Απαιτήσεις επικύρωσης πιστοποίησης που ορίζει ο πάροχος πληρωμών 

Πώς να παραμείνετε πιστοποιημένοι;

Η κατάκτηση (και διατήρηση) της πιστοποίησης με το PCI μπορεί να είναι μία πολύπλοκη και χρονοβόρα διαδικασία. Πόσο εύκολο είναι να το κάνετε εξαρτάται επίσης από το μέγεθος της επιχείρησής σας, τον όγκο πωλήσεων και την τρέχουσα τεχνολογία που διαθέτετε για την ασφάλεια των πληρωμών.

Μεταξύ άλλων πραγμάτων, η πιστοποίηση με το PCI μπορεί να περιλαμβάνει:

  • Ολοκλήρωση ετήσιων αυτοαξιολογήσεων ερωτηματολογίου 
  • Εφαρμογή ελέγχων ασφαλείας 
  • Πρόσληψη συμβούλων για την εγκατάσταση υλικού και λογισμικού προστασίας από ιούς 
  • Κατασκευή τείχους προστασίας για την προστασία των δεδομένων του κατόχου της κάρτας
  • Κρυπτογράφηση οποιωνδήποτε δεδομένων κατόχου κάρτας που κινούνται στα δημόσια δίκτυα
  • Περιορισμός πρόσβασης στα δεδομένα 
  • Τακτική παρακολούθηση και δοκιμή δικτύων
  • Διατήρηση μιας πολιτικής πληροφοριών ασφαλείας 

Όλα αυτά μπορεί να συνθέσουν μια μεγάλη λίστα κόστους. 

Τα καλά νέα, ωστόσο, είναι ότι πολλοί πάροχοι πληρωμών μπορούν να αναλάβουν τις απαιτήσεις πιστοποίησης με το PCI για εσάς. Αυτό συνήθως συνοδεύεται από μια χρέωση, αλλά ορισμένοι πάροχοι προσφέρουν πιστοποίηση με το PCI δωρεάν όταν επιλέγετε να εγγραφείτε μαζί τους.


Το κόστος της πιστοποίησης PCI DSS

Όσο περισσότερες συναλλαγές κάρτας παίρνετε, τόσο πιο ακριβό είναι να παραμείνετε πιστοποιημένοι. Η πιστοποίηση με το PCI είναι πολύ πιο εύκολη για τις μικρές επιχειρήσεις και μερικές φορές δεν συνεπάγεται καθόλου κόστος. Ναι, κάποιοι πάροχοι θα χειριστούν τη πιστοποίηση με το PCI για σας χωρίς χρέωση. Ένας άλλος πάροχος, το Stripe, έχει πιστοποιηθεί με το PCI και παρέχει αυτήν την ασφάλεια ήδη χωρίς επιπλέον χρέωση. Τα συστήματά του ήδη διαθέτουν χαρακτηριστικά ασφαλείας και κρυπτογράφησης, οπότε δεν χρειάζεται να κάνετε τίποτα.

Πολλοί άλλοι πάροχοι πληρωμών θα χρεώσουν μια χρέωση για τη πιστοποίηση με το PCI. Ευτυχώς, δεν είναι τεράστια, συνήθως κυμαίνεται μεταξύ 30 και 60 ευρώ ανά έτος για μικρές επιχειρήσεις. Συνιστούμε να πληρώσετε την χρέωση που συνοδεύει τη πιστοποίηση με το PCI καθώς θα σας βοηθήσει να αποφύγετε οποιεσδήποτε χρεώσεις μη πιστοποίησης.

Η μη πιστοποίηση απειλεί να σας χτυπήσει όχι μόνο στο πορτοφόλι. Η τράπεζά σας μπορεί επίσης να επιλέξει να τερματίσει τον λογαριασμό σας, και οι πελάτες σας μπορεί να χάσουν την εμπιστοσύνη στη δυνατότητά σας να διατηρήσετε ασφαλή τα δεδομένα της κάρτας τους. Επίσης, μπορείτε να αντιμετωπίσετε ένα πιθανό δικαστικό έλεγχο ή μια έρευνα στην επιχείρησή σας.


Επόμενα βήματα 

Το PCI DSS μπορεί να μην είναι το πιο εύκολο πράγμα να κατανοήσετε (ή το πιο εύκολο ακρώνυμο να θυμηθείτε), αλλά μπορεί να είναι εύκολο να πιστοποιηθείτε.

Αν προς το παρόν δέχεστε πληρωμές με κάρτα, μιλήστε με τον πάροχό σας για να βεβαιωθείτε ότι συμμορφώνεστε με το PCI. Βεβαιωθείτε επίσης ότι γνωρίζετε ακριβώς ποιες χρεώσεις πληρώνετε (αν υπάρχουν) για να παραμείνετε πιστοποιημένοι.

Αν δεν δέχεστε ακόμα πληρωμές με κάρτα, θα έπρεπε – και μπορούμε να σας βοηθήσουμε. Απλώς συμπληρώστε τη φόρμα σύγκρισης προσφορών μας για να λάβετε προσφορές σε τερματικά POS από τους καλύτερους παρόχους. Είναι δωρεάν, διαρκεί λιγότερο από ένα λεπτό και σας διευκολύνει να συγκρίνετε εξατομικευμένες προσφορές από παρόχους που αντανακλούν τις μοναδικές ανάγκες της επιχείρησής σας.


Συχνές ερωτήσεις 


Τι σημαίνει ο όρος «δεδομένα κατόχου κάρτας»; 

Τα δεδομένα κατόχου κάρτας είναι οι πληροφορίες που σχετίζονται με την πιστωτική ή χρεωστική κάρτα με την οποία πληρώνει ο πελάτης σας. Αναφέρεται ειδικότερα στο όνομα του κατόχου της κάρτας, την ημερομηνία λήξης της κάρτας και τον τριψήφιο κωδικό ασφαλείας στο πίσω μέρος.


Τι είναι ένα Ερωτηματολόγιο Αυτοαξιολόγησης πιστοποίησης με το PCI DSS (SAQ);

Το SAQ είναι μια λίστα ελέγχου που παρέχεται από το Συμβούλιο Πρότυπων Ασφάλειας του PCI. Το συμπληρώνετε μόνοι σας, για να δείτε αν συμπληρώνετε όλα τα κουτάκια – κάπως σαν μια φορολογική δήλωση, αλλά για τη πιστοποίηση με το PCI. Μετράει μεταξύ 19 και 87 σελίδων, και ο χρόνος που απαιτείται για να ολοκληρωθεί θα εξαρτηθεί από το μέγεθος της επιχείρησής σας και τον όγκο πωλήσεων.


Χρειάζεται να συμπληρώσω το ερωτηματολόγιο; 

Αυτό εξαρτάται από τον πάροχο με τον οποίο συνεργάζεστε. Αν η πιστοποίηση με το PCI διαχειρίζεται από τον πάροχό σας (είτε δωρεάν, είτε με κόστος), τότε όχι. Αλλά αν έχετε επιλέξει να διαχειρίζεστε μόνοι σας τη πιστοποίηση με το PCI, θα πρέπει να συμπληρώσετε ένα απ΄αυτά τα ερωτηματολόγια SAQ κάθε χρόνο.


Τι είναι ένας Εγκεκριμένος Προμηθευτής Σάρωσης (ASV); 

Το PCI DSS απαιτεί από μεγαλύτερες επιχειρήσεις να εκτελούν εσωτερικές και εξωτερικές σαρώσεις ευπάθειας των συστημάτων τους. Αυτές οι σαρώσεις παρέχουν σημαντικές πληροφορίες που βοηθούν στον εντοπισμό και τη βελτίωση οποιωνδήποτε αδύναμων σημείων στο δίκτυο υπολογιστών και συστημάτων μιας εταιρείας. 


Είναι υποχρεωτικό από το νόμο να έχω πιστοιποίηση PCI DSS στην επιχείρησή μου;

Η πιστοποίηση με το PCI δεν απαιτείται από το νόμο. Ωστόσο, επιβάλλεται μέσω συμβατικής συμφωνίας μεταξύ εμπόρων, τραπεζών ή εκδότες καρτών και του παρόχου πληρωμών.