top of page
Szukaj

Platformy e-commerce i SOC2 – kiedy PCI DSS to za mało

  • Zdjęcie autora: The SOC 2
    The SOC 2
  • 1 mar
  • 5 minut(y) czytania
Platformy e-commerce i SOC2 – kiedy PCI DSS to za mało
Platformy e-commerce i SOC2 – kiedy PCI DSS to za mało

Dla platform e-commerce PCI DSS jest obowiązkiem, ale nie jest kompletnym dowodem bezpieczeństwa. Standard ten koncentruje się wyłącznie na ochronie danych kart płatniczych oraz środowiska, które je przetwarza. Tymczasem nowoczesny sklep internetowy to znacznie więcej niż sam checkout. To rozbudowany system operacyjny, który przetwarza dane klientów, integruje się z dziesiątkami usług zewnętrznych, działa w chmurze i musi być dostępny bez przerw. Właśnie dlatego coraz częściej pojawia się pytanie, czy sama zgodność z PCI DSS rzeczywiście wystarcza.


Odpowiedź w praktyce brzmi: nie zawsze. PCI DSS zabezpiecza wąski, choć krytyczny fragment działalności. Jednak partnerzy biznesowi, duzi klienci oraz zespoły procurement coraz częściej oczekują potwierdzenia, że cała platforma e-commerce jest zarządzana w sposób bezpieczny i przewidywalny. W tym miejscu naturalnym uzupełnieniem staje się SOC 2.


Dlaczego temat jest kluczowy właśnie teraz?


Z dniem 31 marca 2025 r. zaczynają obowiązywać wymagania future-dated w PCI DSS v4.x. Zmiana ta nie polega wyłącznie na dodaniu kolejnych punktów kontrolnych. Standard wyraźnie przesuwa akcent w stronę ciągłego zarządzania bezpieczeństwem, a nie jednorazowego „zaliczenia audytu”. Szczególnie widoczne jest to w środowiskach chmurowych, gdzie infrastruktura zmienia się dynamicznie.


PCI DSS v4.0.1 opublikowano 11 czerwca 2024 r. jako ograniczoną rewizję doprecyzowującą intencję i guidance – bez dodawania ani usuwania wymagań. Zamiast sztywnej listy technicznych środków pojawiło się podejście bardziej oparte na analizie ryzyka. Dla wielu firm był to sygnał, że odpowiedzialność za bezpieczeństwo checkoutu nie znika, lecz zmienia formę i wymaga większej dojrzałości procesowej.


Czym naprawdę jest PCI DSS w e-commerce?


PCI DSS to globalny standard bezpieczeństwa, który dotyczy organizacji przechowujących, przetwarzających lub transmitujących dane kart płatniczych. Nie jest to regulacja prawna, lecz wymóg kontraktowy narzucany przez organizacje kartowe i operatorów płatności. Brak zgodności może skutkować karami finansowymi, podwyższonymi opłatami transakcyjnymi, a w skrajnych przypadkach utratą możliwości przyjmowania płatności kartą.


Kluczowym pojęciem w PCI DSS jest CDE (Cardholder Data Environment). Obejmuje ono wszystkie systemy, procesy i osoby, które mają bezpośredni lub pośredni wpływ na bezpieczeństwo danych kartowych. Im większe CDE, tym większy zakres audytu, wyższe koszty oraz większe ryzyko niezgodności. Z tego powodu redukcja zakresu CDE jest jednym z najważniejszych celów projektowych w e-commerce.


Skrypty płatności i przełom w podejściu PCI DSS 4.0.1


Jednym z najbardziej problematycznych obszarów w e-commerce są skrypty działające na stronach płatności. Ataki typu digital skimming, często określane jako Magecart, polegają na wstrzyknięciu złośliwego kodu JavaScript, który przechwytuje dane klienta bezpośrednio w przeglądarce.


Pierwotna wersja PCI DSS 4.0 wprowadziła bardzo konkretne wymagania dotyczące zabezpieczania takich skryptów. Dla merchantów e-commerce w modelu SAQ A PCI SSC wprowadziło zaktualizowane kryterium kwalifikacji w SAQ A r1 (obowiązujące od 1 kwietnia 2025 r.): merchant musi potwierdzić, że strona nie jest podatna na ataki oparte o skrypty wpływające na system(y) e-commerce merchanta. FAQ 1588 doprecyzowuje, że potwierdzenie można oprzeć albo o wdrożenie zabezpieczeń zgodnych z wymaganiami 6.4.3 i 11.6.1, albo o potwierdzenie od zgodnego z PCI DSS TPSP/processor’a, że osadzona forma płatności zawiera mechanizmy ochrony przed atakami skryptowymi – przy wdrożeniu zgodnie z instrukcją dostawcy. Zamiast narzucać konkretne mechanizmy techniczne, standard wymaga dziś potwierdzenia, że strona płatności nie jest podatna na ataki skryptowe, które mogłyby zagrozić bezpieczeństwu transakcji.


Nie oznacza to jednak zmniejszenia odpowiedzialności. Wręcz przeciwnie. Odpowiedzialność została przesunięta z poziomu checklisty na poziom świadomego zarządzania ryzykiem. W praktyce odpowiedzialność przesuwa się z „odhaczania” listy wymagań na wykazanie (i udokumentowanie), że ścieżki ataku oparte o skrypty są realnie zmitigowane – przez kontrole wdrożone przez merchanta albo przez mechanizmy TPSP, które są potwierdzone i poprawnie zaimplementowane.


Model płatności a zakres odpowiedzialności


To, za co odpowiada merchant, zależy bezpośrednio od sposobu implementacji płatności:


  • W przypadku iframe odpowiedzialność za skrypty na stronie głównej checkoutu spoczywa na właścicielu sklepu, natomiast dostawca płatności odpowiada za zawartość samego iframe.

  • Te kryteria kwalifikacji SAQ A nie dotyczą merchantów, którzy przekierowują klienta ze strony merchanta do TPSP/processor’a (w tym HTTP 30x, meta redirect lub JavaScript redirect), ani merchantów, którzy w pełni outsourcingują funkcję płatności do TPSP/processor’a.

  • W modelu w pełni outsourcowanym odpowiedzialność za stronę płatności przejmuje dostawca.


W praktyce oznacza to, że samo korzystanie z zewnętrznej bramki płatniczej nie zawsze wystarcza, aby wyłączyć sklep z odpowiedzialności. Każdy dodatkowy skrypt marketingowy, analityczny czy testowy uruchamiany na stronie checkoutu ma znaczenie.


SAQ A a SAQ A-EP. Różnica, która zmienia wszystko


Błędna klasyfikacja środowiska płatności może mieć poważne konsekwencje. Przejście z SAQ A do SAQ A-EP oznacza wzrost liczby wymaganych kontroli z 27 do 131. To nie jest kosmetyczna zmiana. To pełna przebudowa podejścia do bezpieczeństwa, testów i dokumentacji.


Właśnie w tym momencie wiele firm zaczyna dostrzegać, że inwestycje w procesy, monitoring i zarządzanie ryzykiem wykraczają poza ramy PCI DSS. Pojawia się potrzeba standardu, który pokaże dojrzałość całej organizacji, a nie tylko fragmentu związanego z kartami płatniczymi.


Chmura i fałszywe poczucie zgodności


Większość nowoczesnych platform e-commerce działa dziś w chmurze publicznej. To prowadzi do częstego i bardzo kosztownego błędu myślowego: jeśli dostawca chmury jest zgodny z PCI DSS, to my również.


Model współdzielonej odpowiedzialności jasno rozdziela role. Dostawca chmury odpowiada za bezpieczeństwo infrastruktury fizycznej i bazowej warstwy usług. Natomiast konfiguracja, zarządzanie dostępami, ochrona danych, bezpieczeństwo aplikacji i integracji leżą po stronie klienta. W praktyce to właśnie błędy konfiguracyjne po stronie e-commerce są najczęstszą przyczyną incydentów.


Co PCI DSS 4.0 realnie zmienia dla e-commerce?


Nowa wersja standardu wprowadziła kilka zmian, które szczególnie mocno wpływają na sklepy internetowe:


  • Obowiązkowe MFA dla całego dostępu do CDE, nie tylko zdalnego.

  • Minimalna długość haseł 12 znaków, co wymusza zmiany w politykach dostępu.

  • Uwierzytelnione skany podatności wewnętrznych systemów.

  • Wyraźny nacisk na ciągłość kontroli, a nie jednorazową ocenę zgodności.


Każdy z tych elementów wymaga procesów, narzędzi i dowodów działania. I właśnie tutaj PCI DSS zaczyna stykać się z obszarami, które naturalnie pokrywa SOC 2.


Dlaczego PCI DSS nie wystarcza jako dowód zaufania?


PCI DSS odpowiada na pytanie, czy dane kartowe są odpowiednio chronione. Nie odpowiada jednak na pytania, które zadają partnerzy biznesowi:


  • Czy platforma działa stabilnie i ma plany ciągłości działania?

  • Czy zamówienia są przetwarzane poprawnie i integralnie?

  • Czy dostęp do systemów jest kontrolowany w sposób systemowy?

  • Czy dostawcy i integracje są zarządzane w sposób bezpieczny?


Te obszary wykraczają poza zakres PCI DSS, ale są kluczowe dla oceny ryzyka biznesowego.


SOC 2 jako naturalne uzupełnienie PCI DSS


SOC 2 opiera się na kryteriach zaufania: bezpieczeństwie, dostępności, integralności przetwarzania, poufności i prywatności. Nie narzuca jednej listy technicznych rozwiązań, lecz wymaga wykazania, że organizacja posiada skuteczne i działające kontrole.


Dla e-commerce oznacza to możliwość pokazania, że bezpieczeństwo nie kończy się na checkoutcie. Obejmuje cały cykl życia zamówienia, zarządzanie dostępami, reagowanie na incydenty oraz współpracę z dostawcami.


Jak sensownie połączyć PCI DSS i SOC 2?


Najlepsze podejście zaczyna się od rzetelnego scoping’u. Trzeba dokładnie wiedzieć, które systemy dotykają danych kartowych, a które nie. Następnie warto agresywnie redukować zakres CDE poprzez tokenizację i segmentację środowisk.


Równolegle należy traktować bezpieczeństwo skryptów checkoutu jako obszar wysokiego ryzyka, niezależnie od uproszczeń formalnych w SAQ. Uporządkowane testy, monitoring i dowody działania służą zarówno PCI DSS, jak i SOC 2.


Podsumowanie


PCI DSS pozostaje niezbędnym standardem dla e-commerce, który przetwarza płatności kartowe. Jednak sam w sobie nie wystarcza, aby udowodnić bezpieczeństwo całej platformy. W miarę wzrostu skali, liczby integracji i oczekiwań biznesowych, SOC 2 staje się logicznym i coraz częściej wymaganym uzupełnieniem.


Dla dojrzałych platform e-commerce pytanie nie brzmi już, czy PCI DSS wystarczy. Pytanie brzmi, jak szybko bezpieczeństwo przestaje być tylko obowiązkiem, a zaczyna być elementem przewagi biznesowej.


 
 
 

Komentarze

Kontakt

e-mail: kontakt@itgrc.pl
tel. +48 604 559 818

BW Advisory sp. z o.o.

ul.  Boczańska 25

03-156 Warszawa 

NIP: 5252818352

Polityka prywatności

  • Facebook
  • Twitter
  • LinkedIn
  • Instagram
bottom of page