Beancount.io LogoBeancount.io

PCI DSS 4.0.1 v roku 2026: Sprievodca pre malých obchodníkov k SAQ A, manipulácii so skriptami a MFA

13 minúty čítaniaMike ThriftMike Thrift
PCI DSS 4.0.1 v roku 2026: Sprievodca pre malých obchodníkov k SAQ A, manipulácii so skriptami a MFA

Ak váš internetový obchod načíta na stránke s platobným formulárom čo i len jeden skript tretej strany, už nemôžete predpokladať, že sa na vás vzťahuje najjednoduchšia verzia súladu s PCI. Tento jediný riadok, skrytý v FAQ pre PCI DSS v4.0.1, potichu prekreslil mapu zhody pre státisíce malých obchodníkov v roku 2026 – a mnohí z nich si to neuvedomia, kým ich nadobúdateľ (acquirer) nepožiada o dôkazy, ktoré nedokážu predložiť.

PCI DSS v4.0.1 nie je len mierna aktualizácia. 64 nových alebo aktualizovaných požiadaviek je povinných od 31. marca 2025, každé posúdenie v roku 2026 prebieha podľa nového štandardu a pravidlá oprávnenosti pre najjednoduchší dotazník na sebahodnotenie sa sprísnili spôsobom, ktorý prekvapí väčšinu e-shopov s externe riešeným spracovaním platieb. Dobrou správou je, že v štandarde sa malý podnik s čistou hlavou a kontrolným zoznamom stále dokáže zorientovať. Zlou správou je, že veta „používame Stripe Checkout, takže sme v poriadku“ už nie je automatickou odpoveďou.

Táto príručka prechádza zmenami, vysvetľuje, ktorý dotazník vaša firma v skutočnosti potrebuje, rozoberá dve nové požiadavky (6.4.3 a 11.6.1), ktoré pohltili starý SAQ A, pravidlá autentifikácie, na ktorých zakopávajú malé tímy, a reálne náklady v prípade pochybenia.

Stav PCI DSS v roku 2026

Štandard bezpečnosti údajov v odvetví platobných kariet (Payment Card Industry Data Security Standard) je zmluvný súbor pravidiel, ktoré hlavné kartové značky – Visa, Mastercard, American Express, Discover, JCB – ukladajú každému podniku, ktorý uchováva, spracováva alebo prenáša údaje o držiteľoch kariet. Tieto údaje „neodovzdávate vláde“. Váš nadobúdateľ (banka alebo spracovateľ, ktorý vám umožňuje prijímať karty) ich vynucuje prostredníctvom vašej zmluvy o obchodnej činnosti a práve on vyberá pokuty, ak sa niečo pokazí.

PCI DSS v4.0 bol zverejnený v marci 2022. Verzia 4.0.1 – skôr vyjasňujúce vydanie než nový štandard – sa stala aktívnou verziou v polovici roka 2024. Harmonogram prechodu skončil 31. marca 2025: od tohto dátumu je v platnosti každá z 51 požiadaviek s budúcim dátumom bez odkladu a každé posúdenie vykonané v roku 2026 sa vykonáva podľa v4.0.1. Možnosť vrátiť sa k verzii 3.2.1 už neexistuje.

12 hlavných skupín požiadaviek zostáva rovnakých, usporiadaných do šiestich cieľov kontroly:

  • Vybudovanie a údržba bezpečnej siete: firewally a predvolené nastavenia dodávateľov (Požiadavky 1–2)
  • Ochrana údajov o držiteľoch kariet: uložené údaje a prenášané údaje (Požiadavky 3–4)
  • Udržiavanie programu riadenia zraniteľností: ochrana pred malvérom a bezpečný vývoj (Požiadavky 5–6)
  • Implementácia prísnej kontroly prístupu: princíp nevyhnutných znalostí, identifikácia, fyzický prístup (Požiadavky 7–9)
  • Pravidelné monitorovanie a testovanie sietí: protokolovanie a testovanie (Požiadavky 10–11)
  • Udržiavanie politiky informačnej bezpečnosti: riadenie (Požiadavka 12)

Čo sa vo verzii v4.0.1 zmenilo, je hĺbka, nie rozsah. Štandard teraz očakáva, že budete premýšľať o tom, ako sa skripty spúšťajú na platobných stránkach, ako často kontrolujete vlastné bezpečnostné prvky, ako autentifikujete administrátorov a či je heslo, ktoré si váš účtovník vybral pred piatimi rokmi, stále prijateľné.

Úrovne obchodníkov: Kde sa nachádza väčšina malých firiem

Kartové značky priraďujú každého obchodníka k jednej zo štyroch úrovní na základe ročného objemu transakcií. Úroveň určuje spôsob overovania zhody, nie to, či sa štandard uplatňuje.

  • Úroveň 1: viac ako 6 miliónov kartových transakcií ročne alebo akýkoľvek obchodník, u ktorého došlo k potvrdenému úniku údajov o účtoch. Vyžaduje ročné posúdenie na mieste certifikovaným posudzovateľom bezpečnosti (QSA) a štvrťročné skenovanie schváleným dodávateľom skenovania (ASV).
  • Úroveň 2: 1 milión až 6 miliónov transakcií ročne. Zvyčajne ročný SAQ alebo posúdenie QSA na mieste v závislosti od značky.
  • Úroveň 3: 20 000 až 1 milión e-commerce transakcií ročne. Ročný SAQ plus štvrťročné skeny ASV.
  • Úroveň 4: menej ako 20 000 e-commerce transakcií ročne alebo do 1 milióna transakcií celkovo cez všetky kanály. Ročný SAQ a pri väčšine kanálov štvrťročné skeny ASV.

Ak prevádzkujete online butik, SaaS fakturáciu, regionálnu firmu poskytujúcu služby alebo reštauráciu s jednou prevádzkou, takmer určite patríte do úrovne 4. To je drvivá väčšina obchodníkov na celom svete. Overovanie je jednoduchšie, ale základný štandard je identický – k uniknutému číslu karty od obchodníka s 200 transakciami ročne sa pristupuje rovnako ako k úniku z veľkého podniku.

Dotazníky na sebahodnotenie (SAQ): Vyberte si ten správny

Dotazník na sebahodnotenie (Self-Assessment Questionnaire) je spôsob, akým obchodníci na úrovniach 2–4 potvrdzujú súlad. Rada PCI spravuje deväť dotazníkov SAQ a ten správny závisí od presného toku vašich platobných údajov. Výber nesprávneho SAQ je najčastejšou chybou malých obchodníkov.

  • SAQ A: obchodníci v e-commerce alebo pri objednávkach poštou/telefonicky, ktorí plne outsourcujú všetky funkcie údajov o držiteľoch kariet overeným tretím stranám v súlade s PCI DSS. Kedysi to bola jednoduchá cesta pre obchodníkov na Shopify, Stripe Checkout a PayPal – ale pozrite si nasledujúcu časť, pretože pravidlá oprávnenosti sa sprísnili.
  • SAQ A-EP: e-commerce obchodníci, ktorí čiastočne outsourcujú spracovanie platieb, ale ich webová stránka stále ovplyvňuje bezpečnosť transakcie (napríklad stránky, ktoré si vytvárajú vlastnú platobnú stránku a volajú platobné API).
  • SAQ B: obchodníci používajúci iba mechanické stroje (imprint) alebo samostatné terminály s vytáčaným pripojením. Žiadne internetové pripojenie sa nedotýka kartových údajov.
  • SAQ B-IP: obchodníci používajúci samostatné platobné terminály pripojené cez IP (väčšina moderných pultových terminálov).
  • SAQ C-VT: obchodníci zadávajúci kartové údaje cez virtuálny terminál na izolovanej pracovnej stanici.
  • SAQ C: obchodníci s platobnou aplikáciou pripojenou k internetu, kde sa údaje neukladajú.
  • SAQ P2PE: obchodníci používajúci overené riešenie šifrovania typu point-to-point.
  • SAQ D-Merchant: všeobecný dotazník pre obchodníkov, ktorí nespadajú pod žiadny iný SAQ – a zďaleka najdlhší.
  • SAQ D-Service Provider: pre poskytovateľov služieb oprávnených na sebahodnotenie.

Každý SAQ sa pýta len na podmnožinu z viac ako 300 kontrol relevantných pre daný model prijímania platieb. SAQ A má menej ako 30 otázok; SAQ D-Merchant ich má viac ako 250. Rozdiel v úsilí je obrovský, a preto sa obchodníci chcú kvalifikovať pre SAQ A vždy, keď je to legitímne možné.

Pasca na oprávnenosť pre SAQ A

Najväčšia zmena, ktorú musia malí e-commerce obchodníci v roku 2026 pochopiť, je, kto skutočne spĺňa podmienky pre SAQ A. Rada pre bezpečnostné štandardy PCI (PCI Security Standards Council) zverejnila začiatkom roka 2025 FAQ 1588 a výrazne sprísnila kritériá.

Podľa verzie v4.0.1 je SAQ A k dispozícii iba vtedy, ak môžete potvrdiť, že vaše e-commerce stránky — vrátane stránky, ktorá obsahuje váš vložený platobný iframe alebo presmerovanie — nie sú náchylné na útoky skriptov, ktoré by mohli ovplyvniť vaše platobné prostredie. Ide o reakciu na vlnu útokov typu digital skimming (často nazývaných „Magecart“), pri ktorých útočníci kompromitujú knižnicu JavaScript tretej strany a extrahujú údaje o kartách aj zo stránok, ktoré si mysleli, že všetko outsourcovali.

V praxi to môžete splniť jedným z dvoch spôsobov:

  1. Sami implementujte ochrany skriptov podľa požiadaviek 6.4.3 a 11.6.1. Evidujte každý skript, ktorý sa načíta na vašej platobnej stránke, autorizujte každý z nich, odôvodnite, prečo je potrebný, a nasaďte mechanizmus na detekciu zmien a neoprávnenej manipulácie, ktorý vás upozorní, keď sa neočakávane zmení HTTP hlavička alebo obsah stránky. Mechanizmus musí vyhodnocovať platobnú stránku aspoň každých sedem dní alebo s frekvenciou, ktorú odôvodníte prostredníctvom cielenej analýzy rizík.
  2. Získajte písomné potvrdenie od vášho sprostredkovateľa platieb, že jeho vložené riešenie obsahuje vo vašom mene zabudovanú ochranu proti útokom založeným na skriptoch.

Druhá cesta je tá, ktorou sa vydá väčšina malých obchodníkov, ale nie je automatická. Potrebujete dokumentované vyhlásenie od procesora — nie marketingovú stránku. Mnohí obchodníci využívajúci Stripe, Adyen, Braintree a Square zistia, že ich procesor zverejnil atestáciu; niektoré menšie platobné brány tak neurobili. Ak vám váš procesor nemôže poskytnúť toto potvrdenie písomne, čaká vás SAQ A-EP alebo budovanie vlastných kontrolných mechanizmov.

Ak váš „outsourcovaný“ pokladničný proces (checkout) v skutočnosti načítava akýkoľvek JavaScript kontrolovaný obchodníkom, ktorý by mohol ovplyvniť platobný formulár — analytiku, A/B testovanie, chatovacie widgety, tag manažérov — konzervatívny výklad je taký, že už nespĺňate podmienky pre SAQ A bez ohľadu na to, čo hovorí váš procesor.

Autentifikácia: Dve pravidlá, ktoré zasiahnu malé tímy

Bez ohľadu na to, ktorý SAQ sa uplatňuje, dve zmeny v kontrole prístupu vo verzii v4.0.1 zaskočia takmer každý malý podnik.

Požiadavka 8.3.6: heslá musia mať aspoň 12 znakov. Ak systém podporuje iba 8 znakov, môžete zostať pri 8, ale v každom schopnejšom systéme sa dĺžka musí zvýšiť. Heslá musia obsahovať číselné aj abecedné znaky. Staré minimum 7 znakov z verzie v3.2.1 je minulosťou.

Požiadavka 8.4.2: multifaktorové overenie pre všetok prístup do prostredia s údajmi o držiteľoch kariet. Predtým sa MFA vyžadovalo len pre vzdialený prístup administrátorov. Podľa v4.0.1 potrebuje každý — administrátor, vývojár, podpora tretej strany, vy sami — MFA pri každom prístupe k akémukoľvek komponentu systému v rámci prostredia s údajmi o držiteľoch kariet, nielen pri pripájaní sa mimo siete. Samotné MFA musí byť odolné voči replay útokom (útokom opakovaním) a vyžadovať aspoň dve z nasledujúcich možností: niečo, čo viete, niečo, čo máte, niečo, čím ste.

Pre malého obchodníka je praktický preklad nasledovný: zapnite MFA vo svojom portáli procesora, v ovládacom paneli hostingu, u registrátora domény, u poskytovateľa DNS, v administrácii e-shopu, v back-office predajného miesta a na každom notebooku, ktorý prichádza do kontaktu s týmito systémami. Používajte autentifikačnú aplikáciu alebo hardvérový kľúč — MFA založené na SMS sa čoraz viac považuje za neadekvátne, hoci ho norma technicky stále povoľuje.

Cielená analýza rizík: Dokument, ktorý pravdepodobne potrebujete

PCI DSS v4.x zavádza cielenú analýzu rizík (TRA – targeted risk analysis) — krátku, dokumentovanú analýzu, ktorá vám umožňuje odôvodniť, ako často vykonávate určité kontroly. Približne tucet požiadaviek zahŕňa ako možnosť „frekvenciu definovanú v cielenej analýze rizík účtovnej jednotky“.

Požiadavka 12.3.1 uvádza, čo musí TRA obsahovať: identifikáciu chráneného aktíva, hrozbu, ktorá sa zmierňuje, faktory, ktoré ovplyvňujú pravdepodobnosť a dopad, a odôvodnenie zvolenej frekvencie. Rada PCI zverejňuje šablónu v prílohe E2 normy.

Pre obchodníka úrovne 4 (Level 4) je to zvyčajne jednostranový dokument na každú kontrolu. Chybou, ktorej sa treba vyvarovať, je úplne ju vynechať. Ak sa vás váš posudzovateľ alebo nadobúdateľ (acquirer) spýta, prečo skenujete svoju platobnú stránku na prítomnosť zmien každých 30 dní namiesto 7, odpoveď „mysleli sme si, že to stačí“ nie je prijateľná; „tu je naša TRA zo 14. januára 2026, podpísaná majiteľom“ áno.

Vyhnite sa prispôsobenému prístupu (customized approach) vo verzii v4.0. Existuje pre podniky s vyspelým riadením rizík a vyhradenými bezpečnostnými tímami; pre malých obchodníkov je definovaný prístup (defined approach) s jeho explicitným kontrolným zoznamom rýchlejší, lacnejší a ľahšie obhájiteľný.

Čo v skutočnosti stojí nesúlad s predpismi

Malí obchodníci podceňujú finančné riziko, pretože pokuty sa zdajú byť hypotetické, kým sa nestanú skutočnosťou. Čísla zhromaždené z harmonogramov nadobúdateľov a priemyselných správ sú vytriezvením.

Bežný nesúlad — neodoslanie SAQ, expirované ASV skeny — zvyčajne vyvoláva mesačné pokuty od vášho nadobúdateľa začínajúce na úrovni 5 000 až 10 000 USD mesačne. Po troch až šiestich mesiacoch nesúladu sa tieto sankcie bežne zvyšujú na 25 000 – 50 000 USD mesačne a chronické porušenia môžu dosiahnuť 50 000 – 100 000+ USD mesačne. Nadobúdateľ môže tiež zvýšiť vaše poplatky za spracovanie transakcií alebo zrušiť obchodný účet, čo je často škodlivejšie ako samotné pokuty.

Potvrdený únik dát je iná liga. Kartové spoločnosti vymeriavajú sankcie vo výške približne 50 až 90 USD za jeden kompromitovaný záznam, a to navyše k povinným nákladom na forenzné vyšetrovanie (15 000 USD a viac), poplatkom za opätovné vydanie kariet, ktoré spoločnosti prenášajú na obchodníka, a spätným platbám (chargebackom) za podvodné transakcie. Priemyselné štúdie uvádzajú, že priemerné celkové náklady na únik údajov z platobných kariet pre stredne veľkého obchodníka predstavujú 150 000 až 3 milióny USD a v prípade veľkého úniku ide o milióny. Pre obchodníka úrovne 4 (Level 4) môže ročné plnenie súladu stáť 3 000 USD ročne, zatiaľ čo jediný únik môže vymazať desaťročný zisk.

Pridávajú sa aj štátne zákony a FTC. Náklady na oznámenie, poplatky za právne zastupovanie, riziko hromadných žalôb a následné opatrenia regulačných orgánov bežne prevyšujú samotné sankcie kartových spoločností.

Praktický zoznam úloh pre súlad s predpismi v roku 2026 pre malých obchodníkov

Norma je ako celok zastrašujúca, ale zoznam úloh pre typického malého e-shopu alebo poskytovateľa služieb je konečný. Prejdite si ho v tomto poradí.

  1. Potvrďte si úroveň obchodníka (merchant level) u svojho nadobúdateľa (acquirer) písomne. Úrovne sa priraďujú podľa vzťahu s konkrétnym nadobúdateľom, nie globálne.
  2. Zmapujte tok údajov o držiteľoch kariet. Nakreslite diagram znázorňujúci, kde údaje o karte vstupujú, kam sa presúvajú a kde odchádzajú. Ak údaje o karte niekedy skončia na vašich serveroch, váš rozsah pôsobnosti sa enormne rozširuje.
  3. Vyberte správny SAQ (dotazník sebahodnotenia). Pozorne si prečítajte každú možnosť. Ak ste obchodník v elektronickom obchode a uplatňujete si SAQ A, overte si svoju oprávnenosť podľa FAQ 1588.
  4. Získajte písomné potvrdenie od svojho sprostredkovateľa platieb o ochrane proti útokom na skripty v ich integrovanom riešení. Založte si ho k dokumentácii o súlade.
  5. Urobte si inventúru každého skriptu na vašich platobných stránkach. Ak sa vám nepodarí získať potvrdenie od sprostredkovateľa, pripravte sa na implementáciu požiadavky 6.4.3 (autorizované skripty) a 11.6.1 (detekcia neoprávnenej manipulácie).
  6. Aktivujte viacfaktorové overenie (MFA) všade, kde môže správca pristupovať k platobným systémom. Použite autentifikačnú aplikáciu, nie SMS.
  7. Zvýšte dĺžku hesiel na 12 a viac znakov s kombináciou číslic a písmen.
  8. Naplánujte si štvrťročné skeny ASV, ak ich váš SAQ vyžaduje (väčšina systémov pripojených k internetu ich vyžaduje).
  9. Zdokumentujte cielenú analýzu rizík pre každú kontrolu, pri ktorej si frekvenciu nastavujete sami.
  10. Vypracujte politiku informačnej bezpečnosti (požiadavka 12). Jednoduchý jednostranový dokument pokrývajúci prípustné používanie, kontakty pre reakciu na incidenty a plán výročnej revízie spĺňa základné požiadavky pre malého obchodníka.
  11. Každoročne preškoľte každého zamestnanca, ktorý prichádza do styku s platbami. Uchovávajte prezenčné listiny alebo záznamy o e-learningu.
  12. Odošlite SAQ a potvrdenie o súlade (Attestation of Compliance) svojmu nadobúdateľovi podľa plánu. Poznačte si to do kalendára.

Dokonca aj pri tejto úrovni detailov, víkend sústredenej práce a pár stoviek dolárov za sken ASV pokryje potreby väčšiny malých obchodníkov.

Ako s tým súvisí účtovníctvo

Súlad s PCI nie je len bezpečnostné cvičenie — má priame účtovné dôsledky. Náklady na dosiahnutie súladu (nástroje SAQ, skeny ASV, hardvér pre MFA, služby detekcie manipulácie), poplatky sprostredkovateľom, ktoré sa menia podľa vášho stavu súladu, a akékoľvek pokuty alebo výdavky na nápravu, to všetko prechádza vaším účtovníctvom. Rovnako aj vplyvy úniku údajov na výnosy: chargebacky, vrátenia peňazí, poplatky za opätovné vydanie kariet prenesené vaším nadobúdateľom a stratené predaje počas reakcie na incident.

Udržiavanie prehľadného účtovníctva s rozpisom položiek pre každý výdavok súvisiaci s platbami — rozdelené podľa sprostredkovateľa, bezpečnostných nástrojov a služieb pre zabezpečenie súladu — sa vypláca tromi spôsobmi. Dokumentuje to, že investície do súladu prebiehajú (užitočné, keď sa pýta nadobúdateľ alebo poisťovňa). Odhaľuje to skutočné náklady každého akceptačného kanála, čo vám pomáha vyjednať sadzby u sprostredkovateľov. A ak dôjde k úniku údajov, poskytne to vášmu forenznému účtovníkovi jasnú stopu na vyčíslenie škôd pre poistné plnenie.

Udržiavajte svoje záznamy o súlade pripravené na audit

Či už odpovedáte na dotazník nadobúdateľa, upisovateľovi kybernetického poistenia alebo forenznému účtovníkovi po úniku údajov, obchodníci, ktorí zvládajú PCI udalosti dobre, sú tí, ktorých účtovné knihy a záznamy rozprávajú jasný príbeh. Beancount.io ponúka plain-textové účtovníctvo s verziovaním, ktoré vám poskytuje transparentnú stopu s časovými pečiatkami pre každý poplatok za spracovanie platieb, bezpečnostný nástroj a náklad na súlad — žiadne čierne skrinky, žiadna viazanosť na dodávateľa a pripravenosť na éru financií s podporou umelej inteligencie. Začnite zadarmo a spojte svoje úsilie o dosiahnutie súladu s účtovníctvom, ktoré obstojí pri každej kontrole.