Zgodność z przepisami dotyczącymi płatności: kluczowe przepisy i najlepsze praktyki
Każda firma, która obraca pieniędzmi, ma problem z przestrzeganiem przepisów. Transakcje kartami, kasy e-commerce, płatności kryptowalutami – nie ma znaczenia, którym kanałem. Obowiązują przepisy, kary są realne, a ich ignorowanie rzadko kończy się po cichu.
Przestrzeganie przepisów dotyczących płatności nie jest trudne, ponieważ nie wiadomo, czy istnieją. Chodzi o zrozumienie, które przepisy mają zastosowanie do Twojej firmy, jak się ze sobą wiążą i co tak naprawdę musisz zrobić. Właśnie o tym traktuje ten poradnik.
Czym jest zgodność z przepisami dotyczącymi płatności i dlaczego jest ważna
Zapytaj pięciu różnych operatorów płatności, co oznacza „zgodność z przepisami dotyczącymi płatności”, a prawdopodobnie otrzymasz pięć różnych odpowiedzi. W praktyce obejmuje ona pełen zestaw zasad regulujących sposób gromadzenia, przechowywania, przesyłania i przetwarzania danych płatniczych przez firmy. Zasady te istnieją, ponieważ gdy systemy płatności zawodzą – w wyniku oszustwa, prania pieniędzy lub ujawnienia danych – szkody rozprzestrzeniają się szybko i szeroko.
Firmy podlegające tym obowiązkom to zasadniczo wszystkie podmioty, które przetwarzają pieniądze cyfrowo. Sklepy internetowe, platformy SaaS, platformy handlowe, firmy fintech, firmy handlujące kryptowalutami. Przepisy nie przewidują wyjątku od wielkości firmy. Dziesięcioosobowy startup podlega tym samym podstawowym wymogom, co duże przedsiębiorstwo.
Liczby, które ukazują skalę problemu: straty z tytułu oszustw płatniczych i handlu elektronicznego szacuje się na 343 miliardy dolarów w latach 2023-2027 . Raport Verizon Payment Security Report z 2023 roku wykazał, że 64% firm nadal nie spełnia w pełni wymogów PCI DSS. Pojedyncze naruszenie danych może skutkować pozwami sądowymi, przymusowymi audytami i sankcjami wobec sieci kart płatniczych, których rozwiązanie zajmuje lata.
Przestrzeganie zasad zapewnia otwarty dostęp do sieci płatniczej. Jego utrata – w wyniku naruszenia lub włamania – może zamknąć te drzwi na zawsze.
Kto globalnie reguluje zgodność płatności
Żaden pojedynczy organ nie odpowiada za zgodność płatności na całym świecie. Wiele organów ustala standardy i egzekwuje przepisy w różnych jurysdykcjach, a większość firm musi odpowiadać przed więcej niż jednym.
| Regulator | Jurysdykcja | Zakres |
|---|---|---|
| PCI SSC (Rada ds. Standardów Bezpieczeństwa Branży Kart Płatniczych) | Światowy | Ustanawia PCI DSS — podstawowy standard bezpieczeństwa danych dla płatności kartami |
| FATF (Grupa Specjalna ds. Przeciwdziałania Praniu Pieniędzy) | Globalny (ponad 40 krajów członkowskich) | Ustanawia standardy przeciwdziałania praniu pieniędzy i finansowaniu terroryzmu |
| EBA / EBC | Unia Europejska | Wdraża PSD2, udziela licencji dostawcom usług płatniczych |
| FinCEN (Sieć ds. Egzekwowania Przepisów dotyczących Przestępstw Finansowych) | Stany Zjednoczone | Egzekwowanie przepisów AML, ustawa o tajemnicy bankowej, wytyczne dotyczące kryptowalut |
| FTC (Federalna Komisja Handlu) | Stany Zjednoczone | Ochrona danych konsumentów, nieuczciwe praktyki płatnicze |
| ICO / Organy ochrony danych | UE i Wielka Brytania | Wdrażanie RODO |
| Banki centralne | Każdy kraj | Udzielanie licencji i nadzorowanie lokalnych dostawców usług płatniczych |
Na przykład sprzedawca z siedzibą w UE akceptujący amerykańskie karty od klientów zagranicznych musi jednocześnie spełniać wymogi PCI DSS, RODO i potencjalnie wytyczne FinCEN. Zarządzanie tym nakładaniem się obowiązków to sposób, w jaki Twoja firma działa poza granicami kraju, dbając o zgodność z przepisami dotyczącymi płatności i zgodności z przepisami.
Wyjaśnienie kluczowych przepisów dotyczących zgodności płatności
Pięć przepisów określa większość obowiązków, jakie musi spełnić większość firm. Każdy z nich dotyczy innego obszaru ryzyka i wiąże się z własną strukturą kar.
- PCI DSS — Standard Bezpieczeństwa Danych Branży Kart Płatniczych (Payment Card Industry Data Security Standard) ma zastosowanie do każdego podmiotu, który przechowuje, przetwarza lub przesyła dane posiadaczy kart. Określa on 12 wymogów technicznych i operacyjnych. Kary za nieprzestrzeganie przepisów wynoszą od 5000 do 100 000 dolarów miesięcznie, w zależności od wagi naruszenia.
- PSD2 — Dyrektywa UE w sprawie usług płatniczych 2 reguluje działalność dostawców usług płatniczych w całym Europejskim Obszarze Gospodarczym. Głównym wymogiem jest silne uwierzytelnianie klienta (SCA) w transakcjach elektronicznych. Kary mogą sięgać 5 milionów euro lub 3% globalnych rocznych przychodów.
- AML/KYC — Przepisy dotyczące przeciwdziałania praniu pieniędzy nakładają na firmy obowiązek weryfikacji tożsamości klientów (Know Your Customer), monitorowania transakcji pod kątem podejrzanych działań oraz zgłaszania podejrzanych działań. Zasady te wynikają z przepisów krajowych opracowanych na podstawie rekomendacji FATF.
- RODO / CCPA — Unijne ogólne rozporządzenie o ochronie danych (RODO) i kalifornijska ustawa o ochronie prywatności konsumentów (CPI) określają zasady ochrony danych w płatnościach, regulując sposób gromadzenia, przechowywania i przetwarzania danych osobowych i informacji o płatnościach. Kary za naruszenie RODO sięgają 20 milionów euro, czyli 4% globalnego rocznego obrotu. Kara w wysokości 405 milionów euro nałożona na Meta w 2022 roku potwierdziła, że organy regulacyjne będą egzekwować przepisy na dużą skalę.
- Przepisy BSA/FinCEN — amerykańska ustawa o tajemnicy bankowej (Bank Secrecy Act) nakłada na instytucje finansowe i firmy świadczące usługi finansowe obowiązek prowadzenia programów przeciwdziałania praniu pieniędzy (AML), zgłaszania transakcji gotówkowych powyżej 10 000 USD oraz składania raportów SAR. FinCEN rozszerzył te obowiązki na firmy kryptowalutowe działające w USA.
PCI DSS 4.0: Podstawy bezpieczeństwa danych płatniczych
Większość firm internetowych spełnia wymogi PCI DSS przed jakimikolwiek innymi regulacjami. Wersja 4.0 została sfinalizowana w 2022 roku i w pełni obowiązuje od kwietnia 2025 roku, wprowadzając istotne zmiany, o których muszą wiedzieć sprzedawcy i dostawcy płatności.
Poziom zgodności zależy od rocznej wielkości transakcji kartą:
- Poziom 1 : Ponad 6 milionów transakcji rocznie — coroczny audyt na miejscu przeprowadzany przez Kwalifikowanego Asesora Bezpieczeństwa (QSA)
- Poziom 2 : 1–6 milionów transakcji/rok — coroczny Kwestionariusz samooceny (SAQ) plus kwartalne skany sieci
- Poziom 3 : 20 000–1 milion transakcji e-commerce/rok — SAQ plus kwartalne skany
- Poziom 4 : Poniżej 20 000 transakcji e-commerce rocznie — zalecany przez SAQ
Co zmieniło się w wersji 4.0 w porównaniu do wersji 3.2.1:
- Dostosowane podejście : firmy mogą teraz wdrażać alternatywne kontrole, które spełniają intencję danego wymogu, zamiast ściśle przestrzegać narzuconych specyfikacji technicznych
- Obowiązkowe uwierzytelnianie wieloskładnikowe : uwierzytelnianie wieloskładnikowe jest teraz wymagane dla każdego dostępu do środowiska danych posiadacza karty, a nie tylko dla sesji zdalnych
- Szkolenie w zakresie phishingu i inżynierii społecznej : ukierunkowane szkolenie w zakresie świadomości jest formalnym wymogiem, a nie zaleceniem
- Silniejsze hasła : minimum 12 znaków (wcześniej 8), z automatyczną rotacją co 90 dni w przypadku kont o wysokich uprawnieniach
Koszt ignorowania PCI DSS jest dotkliwy. Kiedy w 2008 roku doszło do naruszenia bezpieczeństwa w Heartland Payment Systems, łączne straty przekroczyły 200 milionów dolarów. Akcje spadły o 50% w ciągu kilku dni i straciły 77% wartości, zanim nastąpiło jakiekolwiek odrobienie strat. Małe firmy zazwyczaj nie są w stanie tego przetrwać.
AML i KYC: wykrywanie przestępstw finansowych u źródła
Zgodność z AML oznacza tworzenie systemów, które wykrywają przestępstwa finansowe, zanim przepłyną przez Twoją platformę. KYC — warstwa weryfikacji tożsamości — to właśnie ona umożliwia ten monitoring.
Czego tak naprawdę wymaga zgodność z AML:
- Monitorowanie transakcji : automatyczne systemy sygnalizujące nietypowe wzorce — duże przelewy, szybkie przepływy środków, strukturyzacja (rozbijanie transakcji w celu utrzymania ich poniżej progów raportowania)
- Złożenie raportu SAR : gdy pojawi się podejrzana aktywność, należy w określonym czasie przesłać raport o podejrzanej aktywności do właściwego organu
- Kontrola sankcji : każdy klient i kontrahent sprawdzany w czasie rzeczywistym na listach sankcji OFAC, ONZ i UE
- Należyta staranność wobec klienta (CDD) : stały przegląd profilu ryzyka, a nie tylko jednorazowa kontrola wstępna
- Wzmocniona należyta staranność (EDD) : głębsza kontrola klientów wysokiego ryzyka — osób zajmujących eksponowane stanowiska polityczne (PEP) i wszystkich osób z jurysdykcji wysokiego ryzyka
Proces KYC w procesie onboardingu zazwyczaj obejmuje weryfikację dokumentów (dowód tożsamości, potwierdzenie adresu) oraz sprawdzenie aktualności. Rozwiązania eKYC radzą sobie z tym w ciągu kilku sekund, wykorzystując sztuczną inteligencję. W przypadku onboardingu każdej firmy na dużą skalę stało się to standardem.
Przepisy FATF dotyczące podróży dodają warstwę specyficzną dla kryptowalut: dostawcy usług związanych z aktywami wirtualnymi muszą gromadzić i przekazywać informacje o nadawcy i odbiorcy w przypadku przelewów powyżej 1000 USD. Dokładny próg różni się nieznacznie w zależności od jurysdykcji, ale obowiązek ten obowiązuje niezależnie od tego, czy przelew dotyczy Bitcoina, stablecoinów, czy jakiegokolwiek innego aktywa cyfrowego.
Wymagania PSD2, SCA i otwartej bankowości
Dyrektywa PSD2 zmieniła sposób uwierzytelniania dla dostawców usług płatniczych w całej UE. Jej główny cel, silne uwierzytelnianie klienta, jest obecnie standardem dla każdej usługi płatniczej działającej w Europejskim Obszarze Gospodarczym.
SCA wymaga uwierzytelniania przy użyciu co najmniej dwóch z trzech niezależnych czynników:
- Coś, co wiesz : hasło, PIN, pytanie bezpieczeństwa
- Coś, co posiadasz : telefon komórkowy, token sprzętowy, karta inteligentna
- Coś, kim jesteś : odcisk palca, rozpoznawanie twarzy, wzór głosu
3D Secure 2.0 to główny standard techniczny wdrażania silnego uwierzytelniania (SCA) w transakcjach bez obecności karty. Przekazuje on sygnały ryzyka między sprzedawcą, siecią kart a bankiem-wydawcą, umożliwiając bezproblemowe przeprowadzanie transakcji o niskim ryzyku.
Wyjątki od SCA mają na celu ograniczenie niepotrzebnych tarć:
| Zwolnienie | Stan |
|---|---|
| Transakcje o niskiej wartości | Poniżej 30 € (do 5 kolejnych transakcji lub łącznie 100 €) |
| Zaufani beneficjenci | Klient dokonał wstępnej autoryzacji odbiorcy płatności |
| Cykliczne płatności o stałej kwocie | Ta sama kwota dla tego samego odbiorcy w każdym okresie |
| Narzędzia płatności korporacyjnych | Dedykowane protokoły płatności biznesowych |
| Analiza ryzyka transakcyjnego | Wynik oszustwa w czasie rzeczywistym poniżej określonego progu |
Dyrektywa PSD2 nakłada również obowiązek otwartej bankowości. Banki muszą udostępniać licencjonowanym zewnętrznym dostawcom usług dostęp do danych kont klientów za pośrednictwem interfejsów API, za zgodą klienta. Przestrzeganie tych zasad dostępu jest warunkiem uzyskania licencji — nie jest opcjonalne.
Zgodność z przepisami dotyczącymi płatności w sektorze kryptowalut i aktywów cyfrowych
Większość wytycznych dotyczących zgodności płatności ogranicza się do płatności kartami i przelewów bankowych. To realna luka. Sprzedawcy kryptowalut, bramki płatnicze i firmy zajmujące się aktywami cyfrowymi ponoszą pełną odpowiedzialność za regulacje AML/KYC, a dodatkowo nakładają coraz więcej przepisów dotyczących kryptowalut.
Dostawcy usług aktywów wirtualnych (VASP) – giełdy kryptowalut, portfele, bramki płatnicze – są traktowani jako instytucje finansowe na potrzeby przeciwdziałania praniu pieniędzy zgodnie z wytycznymi FATF. W praktyce oznacza to:
- Pełne KYC podczas wdrażania, bieżące monitorowanie transakcji i obowiązki związane ze składaniem dokumentów SAR
- Zasada FATF dotycząca podróży : przelewy powyżej 1000 USD wymagają, aby imię i nazwisko nadawcy, numer konta zleceniodawcy i dane odbiorcy podróżowały wraz z transakcją
- Rejestracja w FinCEN jako przedsiębiorstwa świadczącego usługi finansowe dla firm kryptowalutowych z siedzibą w USA
- Licencjonowanie zgodnie z unijnym rozporządzeniem MiCA (Markets in Crypto-Assets Regulation), obowiązującym od 2024 r., obejmującym wymogi dotyczące rezerw, zasady ochrony konsumentów i obowiązki informacyjne dla emitentów stablecoinów i dostawców usług kryptowalutowych
Praktycznym wyzwaniem jest to, że zgodność musi funkcjonować w setkach aktywów i blockchainów, z których każdy charakteryzuje się inną ostatecznością rozliczeń i identyfikowalnością. Budowanie tego od podstaw jest kosztowne i czasochłonne.
Plisio zapewnia zgodność na poziomie bramki płatniczej, obsługując ponad 200 kryptowalut, a jednocześnie zapewniając monitorowanie transakcji zgodne z AML i wdrażanie sprzedawców zgodne z procedurami KYC. Dla firm e-commerce, które chcą akceptować kryptowaluty bez konieczności samodzielnego budowania infrastruktury zgodności, wybór bramki płatniczej, która absorbuje tę złożoność regulacyjną, jest praktycznym rozwiązaniem.
Jak zbudować przepływ pracy zgodności płatności
Zgodność to nie narzędzie, które można włączyć. To proces, który działa nieprzerwanie i który załamuje się, gdy traktuje się go jako jednorazowy projekt.
- Określ zakres swojego środowiska — zmapuj każdy system, który ma kontakt z danymi płatniczymi: strony płatności, procesory, bazy danych, integracje z systemami zewnętrznymi. PCI DSS obejmuje tylko to, co jest w zakresie, a większość naruszeń ma miejsce w obszarach, które nigdy nie zostały objęte zakresem.
- Przeprowadź analizę luk w zgodności — porównaj obecne mechanizmy kontroli z wymogami PCI DSS, AML/KYC i RODO (lub CCPA). Wypisz, czego brakuje, a nie tylko to, co jest wdrożone.
- Wdrożenie kontroli technicznych — tokenizacja zamienia numery kart na niewrażliwe tokeny; szyfrowanie obejmuje dane w tranzycie i w spoczynku. Te dwa kroki eliminują większość zakresu PCI DSS.
- Skonfiguruj monitorowanie transakcji — Zautomatyzowane systemy muszą sygnalizować podejrzane transakcje w czasie rzeczywistym. Zdefiniuj reguły alertów, przejrzyj kolejki i ścieżki eskalacji przed uruchomieniem, a nie po.
- Przeszkol personel — socjotechnika i phishing powodują więcej naruszeń niż awarie techniczne. PCI DSS 4.0 wymaga teraz ukierunkowanego szkolenia w zakresie świadomości bezpieczeństwa; traktuj to jako rzeczywistą kontrolę.
- Dokumentuj wszystko – polityki, procedury, ścieżki audytu, plany reagowania na incydenty. Organy regulacyjne oczekują dokumentacji jako dowodu na to, że masz intencje i możliwości, a nie tylko funkcjonujące systemy.
- Zaplanuj regularne audyty — coroczne oceny PCI DSS, kwartalne skany sieci i bieżące przeglądy programu AML. Brak aktywnej konserwacji może prowadzić do spadku zgodności.
- Wybierz zgodnych partnerów płatności — Twoi partnerzy w zakresie przetwarzania płatności, bramki płatniczej i bankowości ponoszą wspólną odpowiedzialność. Partner, który obsługuje PCI DSS na poziomie infrastruktury, znacząco ogranicza Twoje możliwości.
Najlepsze praktyki dotyczące zgodności płatności w handlu elektronicznym
Gdy Twój program zgodności płatności zacznie działać, poniższe praktyki zapobiegną jego cichemu rozpadowi:
- Użyj bramki z certyfikatem PCI DSS poziomu 1 — przerzuca ona obsługę danych posiadaczy kart na dostawcę, co zazwyczaj ogranicza zakres PCI DSS do SAQ A
- Włącz 3D Secure 2.0 — zmniejsza odpowiedzialność za oszustwa w przypadku transakcji bez użycia karty i spełnia wymogi UE dotyczące silnego uwierzytelniania (SCA)
- Tokenizuj wszystko — zastąp numery kart tokenami w punkcie wejścia; surowe dane posiadaczy kart nigdy nie powinny znajdować się w Twoich systemach
- Wdrażaj odciski palców urządzeń i geolokalizację IP — buduj sygnały zapobiegające oszustwom na podstawie danych behawioralnych bez zwiększania trudności przy kasie
- Zastosuj minimalizację danych — zgodnie z RODO zbieraj tylko te dane, których potrzebujesz, przechowuj je tylko tak długo, jak to konieczne, usuwaj je zgodnie z harmonogramem
- Zweryfikuj sprzedawców przed włączeniem płatności — na rynku lub platformie zgodność z przepisami obejmuje również sprzedawców podrzędnych
- Utrzymuj plan reagowania na incydenty – RODO wymaga powiadomienia organów regulacyjnych o naruszeniu w ciągu 72 godzin; większość stanów USA wymaga 30 dni. Nieprzetestowany plan to tylko dokument.
