Przygotowanie do Certyfikacji PCI DSS

Czym jest Przygotowanie do certyfikacji PCI DSS?

Przygotowanie do certyfikacji PCI DSS to kompleksowe wsparcie w spełnieniu wymagań Payment Card Industry Data Security Standard, obejmujące gap analysis, wdrożenie kontroli, dokumentację i przygotowanie do audytu QSA.

Atrybut	Wartość
Standard	PCI DSS v4.0
Wymagania	12 obszarów, ~300 kontroli
Dla kogo	Przetwarzający dane kart płatniczych
Czas wdrożenia	3-9 miesięcy
Cena	od 80 000 PLN (stan na 2026)

nFlo oferuje przygotowanie do certyfikacji pci dss dla firm w Polsce, zapewniając profesjonalne wsparcie i zgodność z najlepszymi praktykami branżowymi.

Problem

250 000 zł kary miesięcznie - historia sklepu online

Polski sklep internetowy z obrotem 10 mln zł rocznie został ukarany przez acquirera kwotą 250 000 zł za brak zgodności z PCI DSS. Po 3 miesiącach bez działań naprawczych - utrata możliwości przyjmowania płatności kartami. Firma zbankrutowała w ciągu 6 miesięcy.

Bez zgodności z PCI DSS:

• Kary od 5 000 do 100 000 USD miesięcznie od organizacji kart
• Podwyższone opłaty transakcyjne (nawet o 0.5%)
• Ryzyko utraty możliwości przyjmowania płatności kartami
• Odpowiedzialność za wyciek danych kart - koszty wymiany kart mogą sięgać milionów

Nasze rozwiązanie

Od scopingu CDE do Attestation of Compliance

Nie zostawiamy Cię z długą listą wymagań do spełnienia. Prowadzimy przez cały proces - od określenia zakresu środowiska kart płatniczych po uzyskanie AOC (Attestation of Compliance).

Co dostajesz:

• Scoping CDE - dokładne określenie które systemy przetwarzają dane kart
• Ocenę zgodności ze wszystkimi 12 wymaganiami PCI DSS 4.0
• Plan implementacji brakujących kontroli z priorytetami
• Wdrożenie zabezpieczeń technicznych (segmentacja, szyfrowanie, monitoring)
• Przygotowanie polityk i procedur bezpieczeństwa
• Self-Assessment Questionnaire (SAQ) odpowiedni dla Twojego typu biznesu
• Koordynację testów penetracyjnych i skanowania ASV
• Wsparcie podczas audytu QSA (dla Merchant Level 1 i 2)
• Attestation of Compliance (AOC) do przedłożenia bankowi

Dla kogo?

Ta usługa jest dla Ciebie, jeśli:

• Przyjmujesz płatności kartami (e-commerce, POS, call center)
• Jesteś zobowiązany przez bank/acquirera do uzyskania PCI DSS
• Przetwarzasz, przechowujesz lub przesyłasz dane kart płatniczych
• Jesteś payment service provider lub procesorem płatności
• Chcesz obniżyć opłaty transakcyjne i uniknąć kar

PCI DSS - wymagania

12 wymagań Payment Card Industry Data Security Standard

PCI DSS 4.0 definiuje 12 podstawowych wymagań w 6 celach:

Build and Maintain Secure Network:

1. Firewall configuration dla ochrony danych kart
2. Zmiana domyślnych haseł i parametrów

Protect Cardholder Data: 3. Ochrona przechowywanych danych kart 4. Szyfrowanie transmisji przez sieci publiczne

Maintain Vulnerability Management: 5. Ochrona przed malware 6. Bezpieczne systemy i aplikacje

Implement Strong Access Control: 7. Ograniczenie dostępu do danych według need-to-know 8. Uwierzytelnianie dostępu do systemów 9. Ograniczenie fizycznego dostępu

Monitor and Test Networks: 10. Logowanie i monitoring dostępu do danych 11. Regularne testowanie zabezpieczeń

Maintain Information Security Policy: 12. Polityka bezpieczeństwa informacji

Często zadawane pytania

Który SAQ jest odpowiedni dla mojej firmy?

To zależy jak przetwarzasz karty. SAQ A (płatności przekierowywane) to najprostszy. SAQ D (własne przetwarzanie) to pełny zakres. Pomożemy określić właściwy typ.

Ile trwa proces certyfikacji?

Dla małego e-commerce (SAQ A) typowo 4-6 tygodni. Dla firm z własnym przetwarzaniem (SAQ D) od 3 do 6 miesięcy zależnie od luk do zamknięcia.

Czy muszę przejść audyt QSA?

Zależy od wolumenu transakcji. Merchant Level 1 (>6M transakcji rocznie) wymaga audytu QSA. Dla mniejszych firm często wystarcza SAQ (self-assessment).

Co to jest ASV scanning?

Approved Scanning Vendor - skanowanie zewnętrzne podatności wymagane przez PCI DSS. Musi być wykonywane kwartalnie przez certyfikowanego dostawcę.

Ile kosztuje certyfikacja PCI DSS?

Przygotowanie SAQ A: od 30 000 PLN. Pełne wdrożenie SAQ D: 80 000-150 000 PLN. Audyt QSA (jeśli wymagany): 50 000-200 000 PLN. Przygotujemy szczegółową wycenę.