La acquirer pci compliance non riguarda solo la banca: riguarda ogni merchant che ha un contratto di accettazione. I circuiti internazionali (Visa, Mastercard) impongono il PCI DSS agli acquirer, che a loro volta lo impongono ai merchant tramite il merchant agreement. Capire questa catena di responsabilita aiuta il merchant a sapere chi lo controlla, cosa rischia e come ridurre la propria esposizione.
La catena di responsabilità PCI: circuiti, acquirer e merchant
Al vertice della catena si trovano i circuiti internazionali, Visa e Mastercard in primis, che hanno definito il PCI DSS come requisito contrattuale per tutti i partecipanti al loro network. I circuiti non hanno un rapporto diretto con la maggior parte dei merchant: il loro canale di enforcement sono gli acquirer (banche o istituti di pagamento che permettono ai merchant di accettare carte).
L'acquirer firma un accordo diretto con il circuito in cui si impegna a garantire che i propri merchant rispettino il PCI DSS. Se un merchant sotto la gestione dell'acquirer subisce un breach o viene trovato non conforme, il circuito applica le sanzioni all'acquirer, non al merchant direttamente. E l'acquirer che poi riversa le sanzioni e i costi sul merchant tramite il merchant agreement. Questo meccanismo rende l'acquirer il principale guardiano della compliance PCI per i propri merchant.
Gli obblighi dell'acquirer verso il merchant
Il pci dss acquirer obblighi verso i merchant includono: informare il merchant dei requisiti PCI DSS applicabili al proprio livello di transazioni, raccogliere e verificare la documentazione di compliance (SAQ, AOC, risultati degli scan ASV), applicare commissioni o penali per la non conformita, e segnalare ai circuiti i merchant che non presentano la documentazione nei termini previsti.
In caso di breach confermato, l'acquirer e obbligato a notificare immediatamente i circuiti e a coordinare l'indagine forense. Le spese forensi e le sanzioni applicate dai circuiti sono inizialmente a carico dell'acquirer, che le recupera poi dal merchant tramite le clausole contrattuali. In alcuni casi, l'acquirer puo imporre al merchant un aumento del tasso di reserve (una percentuale delle transazioni trattenuta come garanzia) o la revoca del merchant ID.
Come la tokenizzazione cambia il rapporto con la tua banca
Un merchant che usa PCI Proxy EU per la gestione dei dati carta si presenta all'acquirer con un profilo di rischio significativamente diverso rispetto a un merchant che conserva internamente i PAN. Il perimetro da dichiarare e ridotto al minimo: il merchant puo presentare un SAQ A (22 requisiti) invece di un SAQ D (oltre 300 requisiti), e il diagramma del flusso dei dati mostra che il PAN non transita mai nei propri sistemi.
Questo si traduce in vantaggi concreti nel rapporto con l'acquirer: onboarding piu rapido, minore attenzione durante i cicli di verifica annuale, e in alcuni casi condizioni contrattuali migliori perche il merchant dimostra una gestione del rischio matura. In caso di breach su altri sistemi del merchant, l'assenza di PAN nei sistemi interni significa che il breach non diventa automaticamente un breach PCI, con un impatto drasticamente ridotto sulle obbligazioni verso l'acquirer.
Domande frequenti
L'acquirer è responsabile se il merchant non è conforme?
Si, verso i circuiti. Se un merchant gestito da un acquirer non e conforme al PCI DSS e subisce un breach, il circuito applica le sanzioni all'acquirer, che le trasferisce poi al merchant tramite le clausole del merchant agreement. Questo meccanismo incentiva fortemente l'acquirer a monitorare la compliance dei propri merchant e a prendere provvedimenti in caso di non conformita.
Posso scegliere l'acquirer in base alla sua politica PCI?
Le politiche PCI degli acquirer variano in termini di frequenza dei controlli, severita delle penali per non conformita e supporto offerto ai merchant nel processo di compliance. E legittimo considerare questi aspetti nella scelta dell'acquirer, soprattutto se si e alle fasi iniziali di onboarding. Alcuni acquirer offrono strumenti di self-assessment integrati nel portale merchant, riducendo il lavoro amministrativo del processo annuale.
Chi mi sanziona in caso di non conformità: l'acquirer o Visa/MC?
I circuiti sanzionano direttamente l'acquirer, non il merchant. E l'acquirer che poi applica le sanzioni al merchant tramite le clausole del merchant agreement. Le sanzioni dei circuiti verso l'acquirer possono essere mensili e accumularsi fino alla risoluzione della non conformita. In casi gravi, i circuiti possono revocare all'acquirer la licenza di accettazione per uno specifico merchant o per categorie di merchant.
Vuoi semplificare il rapporto PCI con il tuo acquirer presentando un perimetro ridotto? PCI Proxy EU ti aiuta a costruire la documentazione giusta. Scopri PCI Proxy EU.