PCI DSS — standard pro práci s platebními kartami
Závazný standard pro každého, kdo přijímá nebo zpracovává platby kartou.
Co to je
PCI DSS (Payment Card Industry Data Security Standard) je standard vytvořený PCI Security Standards Council (Visa, Mastercard, Amex, Discover, JCB). Definuje 12 požadavků v 6 cílech: secure network, protect cardholder data, vulnerability management, access control, monitor & test networks, information security policy. Aktuální verze 4.0 (březen 2024). Čtyři úrovně merchant compliance podle ročního objemu transakcí: Level 1 (6M+) vyžaduje plný external audit (QSA), Level 4 (<20k e-commerce / <1M total) stačí self-assessment (SAQ).
Proč to záleží
Pokud tvůj e-shop nebo aplikace přijímá platby kartou, PCI DSS se tě přímo dotýká. Klíčový tip: outsourcováním platebního flow na PCI-compliant gateway (Stripe, Adyen, PayU, GoPay) výrazně zužuješ svůj scope — pokud karta neprochází tvými servery, většina PCI požadavků na tebe nedopadá. Self-assessment (SAQ A) pro plně outsourced merchanty je řád hodin práce, ne týdny. Naopak vlastní handling platebních údajů znamená plný compliance — drahé, složité, riskantní. Pro 99 % e-shopů je outsourcing jediná rozumná cesta.
Podobná témata
- Apple Pay a Google Pay — platba mobilemPlatba kartou v mobilu, kde číslo karty nikdy nevidí obchodník.
- ISO 27001 — standard pro správu informační bezpečnostiMezinárodní standard pro systém řízení informační bezpečnosti (ISMS). Často požadovaný v B2B.
- Bezpečnostní audit — co to je a jaké typy existujíKontrola bezpečnostního stavu organizace třetí stranou. Různé typy podle hloubky a cíle.
Souvisí s kategoriemi v testu: Mobilní platby (Apple/Google Pay), Bezpečnost bankovnictví
Najdeš chybu nebo máš dotaz? Napiš nám.