Beancount.io LogoBeancount.io

PCI DSS 4.0.1 през 2026 г.: Ръководство за малки търговци относно SAQ A, подмяна на скриптове и MFA

14 минути четенеMike ThriftMike Thrift
PCI DSS 4.0.1 през 2026 г.: Ръководство за малки търговци относно SAQ A, подмяна на скриптове и MFA

Ако вашият онлайн магазин зарежда дори само един скрипт от трета страна на страницата, която включва платежна форма, вече не можете да приемате, че най-простата версия на съответствие с PCI се отнася за вас. Този единствен ред, погребан в често задаваните въпроси за PCI DSS v4.0.1, тихо преначерта картата на съответствието за стотици хиляди малки търговци през 2026 г. — и много от тях няма да го осъзнаят, докато техният аквайър не поиска доказателства, които те не могат да представят.

PCI DSS v4.0.1 не е просто козметично обновление. 64-те нови или актуализирани изисквания са задължителни от 31 март 2025 г., всяка оценка през 2026 г. се извършва спрямо новия стандарт, а правилата за допустимост за най-лесния въпросник за самооценка са затегнати по начини, които изненадват повечето аутсорснати електронни магазини. Добрата новина е, че стандартът все още е преодолим за малък бизнес с ясна визия и списък за проверка. Лошата новина е, че „използваме Stripe Checkout, така че сме добре“ вече не е автоматичен отговор.

Това ръководство разглежда промените, кой въпросник всъщност е необходим за вашия бизнес, двете нови изисквания (6.4.3 и 11.6.1), които промениха изцяло стария SAQ A, правилата за удостоверяване, които затрудняват малките екипи, и реалистичната цена на грешките.

Състоянието на PCI DSS през 2026 г.

Стандартът за сигурност на данните в индустрията на разплащателните карти (PCI DSS) е договорният правилник, който големите картови брандове — Visa, Mastercard, American Express, Discover, JCB — налагат на всеки бизнес, който съхранява, обработва или предава данни на картодържатели. Вие не го „предавате на правителството“. Вашият аквайър (банката или операторът, който ви позволява да приемате карти) го налага чрез вашето търговско споразумение и те са тези, които събират глобите, ако нещо се обърка.

PCI DSS v4.0 беше публикуван през март 2022 г. Версия 4.0.1 — издание с пояснения, а не нов стандарт — стана активната версия в средата на 2024 г. Преходният период приключи на 31 март 2025 г.: от тази дата нататък всяко едно от 51-те изисквания с бъдеща дата е в сила без гратисен период и всяка оценка, извършена през 2026 г., се провежда спрямо v4.0.1. Вече няма опция за връщане към v3.2.1.

12-те основни семейства изисквания остават същите, организирани в шест цели за контрол:

  • Изграждане и поддържане на сигурни мрежи: защитни стени и фабрични настройки на доставчиците (Изисквания 1–2)
  • Защита на данните на картодържателите: съхранявани данни и данни в транзит (Изисквания 3–4)
  • Поддържане на програма за управление на уязвимостите: софтуер срещу зловреден код и сигурна разработка (Изисквания 5–6)
  • Внедряване на строг контрол на достъпа: необходимост да се знае, идентификация, физически достъп (Изисквания 7–9)
  • Редовно наблюдение и тестване на мрежите: регистриране (logging) и тестване (Изисквания 10–11)
  • Поддържане на политика за информационна сигурност: управление (Изискване 12)

Това, което се промени във v4.0.1, е дълбочината, а не обхватът. Стандартът вече изисква да мислите за това как се изпълняват скриптовете на страниците за плащане, колко често преглеждате собствените си контроли, как удостоверявате администраторите и дали паролата, която вашият счетоводител е избрал преди пет години, все още е приемлива.

Нива на търговците: Къде се намират повечето малки бизнеси

Картовите брандове причисляват всеки търговец към едно от четири нива въз основа на годишния обем транзакции. Нивото определя как се валидира съответствието, а не дали стандартът се прилага.

  • Ниво 1: повече от 6 милиона картови транзакции годишно или всеки търговец, който е претърпял потвърдено компрометиране на данни. Изисква годишна оценка на място от Квалифициран одитор по сигурността (QSA) и тримесечно сканиране от Одобрен доставчик за сканиране (ASV).
  • Ниво 2: от 1 милион до 6 милиона транзакции годишно. Обикновено годишен SAQ или оценка на място от QSA в зависимост от бранда.
  • Ниво 3: от 20 000 до 1 милион транзакции за електронна търговия годишно. Годишен SAQ плюс тримесечни ASV сканирания.
  • Ниво 4: по-малко от 20 000 транзакции за електронна търговия годишно или до 1 милион общо транзакции през всички канали. Годишен SAQ и, за повечето канали, тримесечни ASV сканирания.

Ако управлявате онлайн бутик, SaaS система за фактуриране, регионален сервизен бизнес или ресторант на една локация, вие почти сигурно сте Ниво 4. Това са огромната част от търговците по света. Валидирането е по-просто, но основополагащият стандарт е идентичен — изтичането на номер на карта от търговец с 200 транзакции годишно се третира по същия начин като изтичане от голяма корпорация.

Въпросници за самооценка: Изберете правилния

Въпросникът за самооценка (SAQ) е начинът, по който търговците от Нива 2–4 удостоверяват съответствието си. Съветът за PCI поддържа девет варианта на SAQ, като правилният зависи от това как точно преминават вашите данни за плащане. Изборът на грешен SAQ е най-честата грешка, която малките търговци допускат.

  • SAQ A: търговци с електронна търговия или поръчки по пощата/телефона, които напълно аутсорсват всички функции за данни на картодържатели на валидирани по PCI DSS трети страни. Преди беше „лесният избор“ за търговци в Shopify, Stripe Checkout и PayPal — но вижте следващия раздел, тъй като правилата за допустимост са затегнати.
  • SAQ A-EP: търговци в електронната търговия, които частично аутсорсват обработката на плащания, но чийто уебсайт все още влияе върху сигурността на транзакцията (например сайтове, които изграждат собствена страница за плащане и извикват платежно API).
  • SAQ B: търговци, използващи само импринт машини или самостоятелни терминали с достъп през телефонна линия. Няма интернет връзка, която да се докосва до данните на картите.
  • SAQ B-IP: търговци, използващи самостоятелни IP-свързани платежни терминали (повечето модерни настолни терминали).
  • SAQ C-VT: търговци, въвеждащи данни за карти чрез виртуален терминал на изолирана работна станция.
  • SAQ C: търговци с платежно приложение, свързано с интернет, където данните не се съхраняват.
  • SAQ P2PE: търговци, използващи валидирано решение за криптиране от точка до точка (point-to-point encryption).
  • SAQ D-Merchant: общ въпросник за търговци, които не се вписват в нито един друг SAQ — и най-дългият от всички.
  • SAQ D-Service Provider: за доставчици на услуги, отговарящи на условията за самооценка.

Всеки SAQ изисква само подмножество от над 300-те контроли, уместни за конкретния модел на приемане. SAQ A има по-малко от 30 въпроса; SAQ D-Merchant има над 250. Разликата в усилията е огромна, поради което търговците искат да се класират за SAQ A винаги, когато това е законно възможно.

Капанът при допустимостта за SAQ A

Най-голямата промяна, която малките търговци в електронната търговия трябва да разберат през 2026 г., е кой всъщност отговаря на условията за SAQ A. Съветът за стандарти за сигурност на PCI (PCI Security Standards Council) публикува FAQ 1588 в началото на 2025 г. и значително затегна критериите.

Съгласно v4.0.1, SAQ A е достъпен само ако можете да потвърдите, че вашите страници за електронна търговия — включително страницата, която съдържа вградената iframe рамка за плащане или пренасочване — не са податливи на атаки от скриптове, които биха могли да засегнат вашата платежна среда. Това е реакция на вълната от атаки за цифрово скимиране (често наричани „Magecart“), при които нападателите компрометират JavaScript библиотека на трета страна и извличат данни от карти дори от сайтове, които са смятали, че са изнесли всичко на външни изпълнители.

В практиката можете да изпълните това по един от двата начина:

  1. Внедрете сами защитите за скриптове в Изисквания 6.4.3 и 11.6.1. Инвентаризирайте всеки скрипт, който се зарежда на вашата платежна страница, оторизирайте всеки от тях, обосновете защо е необходим и внедрете механизъм за откриване на промени и подправяне, който ви предупреждава, когато HTTP заглавие или съдържание на страницата се промени неочаквано. Механизмът трябва да оценява платежната страница поне на всеки седем дни или с честота, която обосновавате чрез целеви анализ на риска.
  2. Получете писмено потвърждение от вашия платежен оператор, че тяхното вградено решение включва вградени защити срещу атаки на база скриптове от ваше име.

Вторият път е това, което повечето малки търговци ще изберат, но то не е автоматично. Нуждаете се от документирано изявление от оператора — не просто маркетингова страница. Много търговци, използващи Stripe, Adyen, Braintree и Square, ще открият, че техният оператор е публикувал атестация; някои по-малки платежни портали не са. Ако вашият оператор не може да ви даде това потвърждение писмено, ще трябва да преминете към SAQ A-EP или да изградите контролите сами.

Ако вашето плащане чрез „външен изпълнител“ всъщност зарежда управляван от търговеца JavaScript, който би могъл да повлияе на платежната форма — анализи, A/B тестване, уиджети за чат, мениджъри на тагове — консервативното тълкуване е, че вече не отговаряте на условията за SAQ A, независимо какво казва вашият оператор.

Автентикация: Двете правила, които засягат малките екипи

Който и SAQ да се прилага, две промени в контрола на достъпа във v4.0.1 изненадват почти всеки малък бизнес.

Изискване 8.3.6: паролите трябва да са поне 12 знака. Ако системата поддържа само 8 знака, можете да останете на 8, но всяка по-способна система трябва да бъде надградена. Паролите трябва да включват както цифрови, така и буквени знаци. Старият минимум от 7 знака от v3.2.1 вече е премахнат.

Изискване 8.4.2: многофакторна автентикация за всеки достъп до средата за данни на картодържателите. Преди това MFA се изискваше само за отдалечен достъп от администратори. Съгласно v4.0.1, всеки — администратор, разработчик, поддръжка от трета страна, вие самите — се нуждае от MFA всеки път, когато осъществява достъп до който и да е системен компонент в средата за данни на картодържателите, а не само при свързване извън мрежата. Самата MFA трябва да бъде устойчива на атаки чрез преиграване (replay attacks) и да изисква поне две от следните: нещо, което знаете, нещо, което имате, нещо, което сте.

За малък търговец практическото значение е: включете MFA във вашия портал на оператора, контролния панел на хостинга, регистратора на домейни, доставчика на DNS, администрацията на електронната търговия, бек-офиса на точката за продажба (POS) и всеки лаптоп, който има достъп до тези системи. Използвайте приложение за автентикация или хардуерен ключ — MFA, базирана на SMS, все по-често се счита за недостатъчна, въпреки че стандартът технически все още я позволява.

Целеви анализ на риска: Документът, от който вероятно се нуждаете

PCI DSS v4.x въвежда целевия анализ на риска (TRA) — кратък, документиран анализ, който ви позволява да обосновете колко често изпълнявате определени контроли. Около дузина изисквания включват „честота, определена в целевия анализ на риска на обекта“ като опция.

Изискване 12.3.1 уточнява какво трябва да съдържа един TRA: идентификация на актива, който се защитава, заплахата, която се смекчава, факторите, които влияят на вероятността и въздействието, и обосновка за избраната честота. Съветът на PCI публикува шаблон в Приложение E2 към стандарта.

За търговец от ниво 4 това обикновено е документ от една страница за всяка контрола. Грешката, която трябва да се избягва, е пълното му пропускане. Ако вашият оценител или банка-акцептант ви попита защо сканирате платежната си страница за подправяне на всеки 30 дни вместо на всеки 7, отговорът „мислехме, че е достатъчно“ не е приемлив; отговорът „ето нашия TRA от 14 януари 2026 г., подписан от собственика“ е.

Стойте далеч от персонализирания подход (customized approach) на v4.0. Той съществува за предприятия с висока степен на зрялост на риска и специализирани екипи за сигурност; за малките търговци дефинираният подход (defined approach) с неговия изричен списък за проверка е по-бърз, по-евтин и по-лесен за защита.

Какво всъщност струва несъответствието

Малките търговци подценяват финансовата експозиция, защото глобите изглеждат хипотетични, докато не станат реални. Цифрите, събрани от тарифите на банките-акцептанти и индустриалните доклади, са стряскащи.

Рутинното несъответствие — неподаване на SAQ, изтекли ASV сканирания — обикновено задейства месечни глоби от вашата банка-акцептант, започващи от $5,000 до $10,000 на месец. След три до шест месеца несъответствие тези неустойки обикновено ескалират до $25,000–$50,000 на месец, а хроничните нарушения могат да достигнат $50,000–$100,000+ на месец. Банката-акцептант може също така да повиши таксите за обработка на транзакция или да прекрати търговската сметка, което често е по-вредно от глобите.

Потвърденият пробив е в съвсем друга категория. Картовите брандове налагат неустойки от около $50 до $90 на компрометиран запис, в допълнение към задължителните разходи за форензично разследване ($15,000 и нагоре), такси за преиздаване на карти, които брандовете прехвърлят на търговеца, и оспорвания на плащания (chargebacks) за измамни транзакции. Индустриалните проучвания определят средната обща цена на пробив в данните на платежни карти за среден търговец между $150,000 и $3 милиона, а цифрата за голям пробив е в милиони. За търговец от ниво 4 годишното съответствие може да струва $3,000 на година, докато един единствен пробив може да заличи печалбата за десетилетие.

Законите на отделните щати и FTC също се добавят към това. Разходите за уведомяване, адвокатските хонорари, рискът от колективни искове и последващите действия от страна на регулаторите обикновено надвишават самите неустойки от картовите брандове.

Практически списък за проверка на съответствието за малки търговци за 2026 г.

Стандартът е плашещ в своята цялост, но списъкът за проверка за типичен малък търговец в сферата на електронната търговия или услугите е ограничен. Преминете през него в този ред.

  1. Потвърдете вашето ниво на търговец писмено с вашата обслужваща банка (аквайър). Нивата се определят според отношенията с конкретната банка, а не глобално.
  2. Картографирайте потока от данни на картодържателите. Начертайте диаграма, показваща къде влизат данните от карти, накъде се движат и къде излизат. Ако данните от карти някога попаднат на вашите сървъри, обхватът ви се разширява значително.
  3. Изберете правилния SAQ. Прочетете внимателно всяка опция. Ако сте търговец в електронната търговия, претендиращ за SAQ A, проверете допустимостта си спрямо FAQ 1588.
  4. Получете писмено потвърждение от вашия платежен оператор относно защитите срещу скриптови атаки в тяхното вградено решение. Архивирайте го във вашите записи за съответствие.
  5. Направете инвентаризация на всеки скрипт на вашите страници за плащане. Ако не можете да получите потвърждение от оператора, се подгответе да приложите Изискване 6.4.3 (оторизирани скриптове) и 11.6.1 (откриване на подправяне).
  6. Активирайте MFA навсякъде, където администратор може да има достъп до платежни системи. Използвайте приложение за автентикация, а не SMS.
  7. Увеличете паролите до 12+ знака със смесено цифрово и буквено съдържание.
  8. Планирайте тримесечни ASV сканирания, ако вашият SAQ ги изисква (повечето изискват такива за системи с достъп до интернет).
  9. Документирайте целеви анализ на риска за всеки контролен механизъм, чиято честота определяте сами.
  10. Напишете политика за информационна сигурност (Изискване 12). Обикновен документ от една страница, покриващ приемливата употреба, контактите за реакция при инциденти и графика за годишен преглед, удовлетворява основните изисквания за малък търговец.
  11. Обучавайте ежегодно всеки служител, който работи с плащания. Пазете присъствени списъци или записи от електронно обучение.
  12. Подайте SAQ и Удостоверението за съответствие (AoC) към вашата обслужваща банка по график. Впишете го в календара си.

Дори при това ниво на детайлност, един фокусиран уикенд работа плюс няколкостотин долара за ASV сканиране покриват нуждите на повечето малки търговци.

Как счетоводството се свързва с картината

Съответствието с PCI не е просто упражнение по сигурност — то има преки счетоводни последствия. Разходите за съответствие (SAQ инструменти, ASV сканирания, MFA хардуер, услуги за откриване на подправяне), таксите на операторите, които варират в зависимост от вашия статус на съответствие, и всякакви глоби или разходи за отстраняване преминават през вашите счетоводни книги. Същото важи и за ефектите върху приходите от пробив: оспорвания на плащания (чарджбеци), възстановяване на суми, такси за преиздаване, прехвърлени от вашата обслужваща банка, и пропуснати продажби по време на реакция на инцидент.

Поддържането на чисто, детайлно счетоводство по пера за всеки разход, свързан с плащанията — разбити по оператор, инструменти за сигурност и услуги за съответствие — се отплаща по три начина. То документира, че се правят инвестиции в съответствие (полезно, когато банката или застрахователят попитат). То разкрива реалната цена на всеки канал за приемане на плащания, което ви помага да договаряте по-добри тарифи с операторите. И ако се случи пробив, то осигурява на вашия съдебен счетоводител ясна следа за количествено определяне на щетите за възстановяване от застраховка.

Поддържайте записите си за съответствие готови за одит

Независимо дали отговаряте на въпросник от обслужваща банка, застраховател на киберрискове или съдебен счетоводител след пробив, търговците, които преминават успешно през PCI събития, са тези, чиито книги и записи разказват ясна история. Beancount.io предлага текстово базирано счетоводство с контрол на версиите, което ви дава прозрачна, времево маркирана следа за всяка такса за обработка на плащания, инструмент за сигурност и разход за съответствие — без „черни кутии“, без зависимост от конкретен доставчик и готово за ерата на финансовия изкуствен интелект. Започнете безплатно и съчетайте работата си по съответствието със счетоводство, което издържа на щателна проверка.