Ak prevádzkujete e-shop a zákazníci u vás platia kartou, vzťahuje sa na vás bezpečnostný štandard PCI DSS. Od jari 2025 platí v prísnejšej verzii 4.0, ktorá pridala desiatky nových povinností. Časť z nich dopadá aj na malé e-shopy, ktoré si dovtedy mysleli, že majú pokoj. Tento článok vysvetľuje, čo štandard vyžaduje, koho sa týka a aké sú dôsledky jeho nedodržania.
Čo je PCI DSS
PCI DSS je skratka pre Payment Card Industry Data Security Standard. Ide o súbor bezpečnostných pravidiel, ktorý definuje, ako sa má narábať s údajmi o platobných kartách. Nevytvorila ho EÚ ani slovenský zákonodarca. Stojí za ním rada zložená z kartových spoločností Visa, Mastercard, American Express, Discover a JCB.
Nie je to zákon v klasickom zmysle, ale zmluvná požiadavka. Podpisom zmluvy s platobnou bránou alebo s bankou na akceptáciu kariet sa prevádzkovateľ zaväzuje dodržiavať PCI DSS. Vymáhanie je preto v praxi často tvrdšie ako pri bežných zákonoch. Banka nepoženie e-shop na súd, ale zvýši poplatky, alebo v krajnom prípade odpojí možnosť prijímať karty.
Štandard sa vzťahuje na každého, kto karty uchováva, spracúva alebo prenáša. Nezáleží na počte objednávok, ale na tom, či cez daný systém prechádzajú kartové údaje.
Verzia 4.0 a kľúčový termín
Doteraz platná verzia 3.2.1 skončila. Nahradila ju verzia 4.0, respektíve jej spresnené vydanie 4.0.1. Kľúčový je dátum 31. marec 2025. Dovtedy fungovalo prechodné obdobie, počas ktorého boli mnohé nové požiadavky vedené len ako odporúčaná najlepšia prax. Od tohto dátumu sú záväzné a pri každom posudzovaní zhody sa berú do úvahy ako plnohodnotná povinnosť.
Nová verzia priniesla 64 nových požiadaviek, z toho vyše 50 bolo odložených práve na marec 2025. Nejde teda o kozmetické zmeny, ale o najväčší posun v tomto štandarde za posledných približne desať rokov.
Hlavná zmena je v prístupe. Bezpečnosť prestáva byť jednorazová položka, ktorú stačí raz ročne odškrtnúť pri audite. Štandard tlačí na priebežnú a nepretržitú ochranu.
Koho sa štandard týka
Obchodníci sa delia do štyroch úrovní podľa počtu transakcií ročne. E-shopy s menej než dvadsaťtisíc kartovými transakciami za rok zvyčajne spadajú do najnižšej, štvrtej úrovne. Pre ňu platí miernejší režim. Namiesto auditu od externého audítora postačuje ročný sebahodnotiaci dotazník, takzvaný SAQ.
Miernejší režim však neznamená žiadny. Novinky vo verzii 4.0 mieria aj na malé e-shopy, konkrétne dve požiadavky, ktoré dopadajú práve na prevádzkovateľov s najmenšími technickými kapacitami.
Zaradenie do úrovne nie je len o počte transakcií
Banka alebo kartová spoločnosť môže e-shop preradiť do vyššej úrovne nezávisle od počtu transakcií. Dôvodom býva predchádzajúci bezpečnostný incident alebo spôsob spracovania platieb. Prevádzkovateľ, ktorý v minulosti riešil únik dát, by mal automaticky predpokladať prísnejší režim a overiť si zaradenie u svojho poskytovateľa.
Dve novinky, ktoré najviac dopadajú na e-shopy
Útoky typu digital skimming, známe aj ako Magecart alebo formjacking, fungujú nenápadne. Útočník nepreniká do servera, ale podstrčí škodlivý kód do platobnej stránky, často cez tretí skript bežiaci na stránke, ako je analytika, chat alebo reklamný pixel. Zákazník zadá číslo karty, stránka funguje normálne, objednávka prejde a údaje pritom v tichosti odtekajú útočníkovi. Únik môže ostať nepovšimnutý celé mesiace.
Verzia 4.0 na to reaguje dvoma požiadavkami.
Správa skriptov na platobnej stránke (6.4.3)
Prevádzkovateľ musí mať prehľad o každom skripte, ktorý beží na stránke so zadávaním kartových údajov. Musí vedieť, prečo tam skript je, povoliť ho a strážiť jeho integritu, teda zachytiť moment, keď sa nečakane zmení.
Monitoring HTTP hlavičiek a obsahu stránky (11.6.1)
Vyžaduje sa systém, ktorý upozorní na neoprávnený zásah do platobnej stránky. Ide o priebežné sledovanie, či sa na citlivej stránke nedeje niečo neočakávané.
Obe požiadavky sú technicky náročné. Pre malý e-shop na prenajatej platforme časť z nich rieši samotná platforma alebo platobná brána. Zodpovednosť za to, či sú vyriešené, však ostáva na prevádzkovateľovi, nie na dodávateľovi.
Ďalšie sprísnené požiadavky
Okrem dvoch e-commerce noviniek verzia 4.0 sprísnila aj viacero plošných pravidiel platných pre všetkých, ktorí prichádzajú do styku s kartami.
Viacfaktorové overenie sa rozšírilo. Predtým stačilo pri vzdialenom a administrátorskom prístupe, teraz sa vyžaduje pri akomkoľvek prístupe do prostredia s kartovými dátami, nielen pre administrátorov.
Heslá sa predĺžili na minimum dvanásť znakov s patričnou zložitosťou. Staré osemznakové už nepostačujú.
Rozsah posudzovania, takzvaný scope, treba zadefinovať a zdokumentovať raz ročne. Znamená to zmapovať, kadiaľ kartové údaje v systéme prechádzajú a ktoré systémy, osoby a procesy s nimi prichádzajú do kontaktu. Pre poskytovateľov služieb platí interval každých šesť mesiacov.
Pribudli aj cielené rizikové analýzy pri viacerých kontrolách a prísnejšie pravidlá pri šifrovaní. Konkrétny rozsah závisí od spôsobu spracovania platieb.
Dôsledky nedodržania
Pokuty udeľujú kartové spoločnosti cez banku, typicky mesačne, a ich výška závisí od závažnosti a dĺžky neplnenia. Banka má zároveň právo zvýšiť transakčné poplatky. V krajnom prípade zmluvu vypovie a možnosť prijímať karty zanikne.
Najväčší dôsledok prichádza pri úniku dát. Ak útočník odcudzí kartové údaje zákazníkov a ukáže sa, že e-shop nespĺňal PCI DSS, prevádzkovateľ nesie zodpovednosť za škody, za nútený forenzný audit a za náklady na vydanie nových kariet postihnutým zákazníkom. K tomu sa pridáva strata dôvery zákazníkov, ktorá má na e-shop dlhodobý dopad.
Prepojenie s GDPR
PCI DSS a GDPR sa prekrývajú. Kartové údaje sú zároveň osobné údaje. Pri úniku tak ide o dva súbežné problémy, porušenie kartového štandardu aj porušenie ochrany osobných údajov so všetkými súvisiacimi povinnosťami.
Postup pri zavádzaní
Zistite spôsob spracovania platieb
Toto je základ a zároveň najväčšia páka na zníženie záťaže. Pri presmerovaní na platobnú bránu alebo pri vloženom poli formou iframe priamo od poskytovateľa kartové údaje neprechádzajú serverom e-shopu, ale putujú rovno k bráne. Tým sa výrazne zmenší rozsah povinností a často postačuje najjednoduchší sebahodnotiaci dotazník.
Overte si zaradenie a typ dotazníka
Zaradenie do úrovne aj príslušný typ SAQ treba overiť priamo u banky alebo platobnej brány. Je ich povinnosťou túto informáciu poskytnúť.
Spravte inventúru skriptov
Prejdite všetko, čo beží na stránkach s objednávkou a platbou, teda analytiku, chaty, pixely a externé widgety. Nepotrebné skripty odstráňte. Každý cudzí skript na platobnej stránke je potenciálnym vstupom pre útočníka.
Skontrolujte základnú bezpečnostnú hygienu
Patrí sem HTTPS na celom webe, viacfaktorové overenie všade, kde je to možné, dostatočne dlhé heslá a pravidelné aktualizácie systému aj platobného modulu. Práve na týchto základoch zlyháva väčšina e-shopov.
Pri zložitejších riešeniach využite konzultáciu
Pri vyššom objeme transakcií alebo zložitejšom technickom riešení sa oplatí konzultácia s odborníkom na PCI DSS. Náklady na konzultáciu sú nižšie ako náklady spojené s jedným incidentom.
