Prima che un acquirer attivi un merchant per l'accettazione di carte, richiede la documentazione di conformita PCI DSS. Il processo di pci dss onboarding merchant varia per complessita in base al livello di transazioni previsto e alla tipologia di integrazione tecnica. Conoscere in anticipo cosa viene richiesto permette di preparare la documentazione in tempi brevi e di evitare ritardi nell'attivazione.
Cosa ti chiede l'acquirer durante l'onboarding PCI
Il primo passo dell'onboarding PCI e la classificazione del merchant in base ai pci dss merchant levels. I livelli vanno da Level 1 (oltre 6 milioni di transazioni annue) a Level 4 (meno di 20.000 transazioni e-commerce annue o meno di 1 milione di transazioni totali). Il livello determina i requisiti documentali: i merchant Level 1 devono completare un Report on Compliance (ROC) redatto da un QSA, mentre i merchant Level 2, 3 e 4 possono solitamente completare un Self-Assessment Questionnaire (SAQ).
L'acquirer tipicamente richiede: il SAQ compilato e firmato (o il ROC per i Level 1), l'Attestation of Compliance (AOC) che certifica il completamento del processo, i risultati di un vulnerability scan trimestrale effettuato da un Approved Scanning Vendor (ASV) per i merchant che gestiscono componenti di rete accessibili da internet, e la documentazione delle politiche di sicurezza interne. Alcuni acquirer richiedono anche un penetration test annuale per i merchant di livello piu alto.
I documenti e il SAQ: quanto tempo ci vuole
Il tempo necessario per completare l'onboarding PCI dipende principalmente dal tipo di SAQ applicabile. Il SAQ A, che si applica ai merchant che non toccano mai dati carta (perche usano un provider certificato per la raccolta e il trattamento), ha 22 requisiti ed e compilabile in poche ore. Il SAQ D, che si applica ai merchant che gestiscono il CDE internamente, ha oltre 300 requisiti e richiede settimane di lavoro con il supporto di un consulente.
I documenti di identita e registro imprese, le informazioni sull'architettura tecnica e il diagramma del flusso dei dati carta sono richiesti da quasi tutti gli acquirer indipendentemente dal livello. La preparazione del diagramma del flusso dei dati, che deve mostrare come il PAN entra, transita ed esce dai sistemi del merchant, e spesso il passaggio che richiede piu tempo se non e stato documentato in precedenza.
Come accelerare l'onboarding con un perimetro ridotto
L'elemento che piu influenza la velocita dell'onboarding PCI e la complessita del perimetro da dichiarare. Un merchant che usa PCI Proxy EU per la raccolta e il trattamento dei dati carta puo dichiarare un CDE ridotto al minimo: i propri sistemi non trattano PAN in chiaro e quindi non rientrano nel perimetro. Questo si traduce nella possibilita di compilare un SAQ A invece di un SAQ D, con un risparmio di settimane sul processo di onboarding.
Presentare all'acquirer un diagramma del flusso dei dati che mostra il proxy come unico punto di trattamento del PAN e un AOC di PCI Proxy EU come service provider certificato accelera significativamente il processo di approvazione. Molti acquirer hanno procedure semplificate per i merchant che usano service provider certificati per il trattamento dei dati carta, riconoscendo che il rischio e gestito da un'infrastruttura gia controllata.
Domande frequenti
L'acquirer può bloccare i pagamenti se non fornisco il SAQ?
Si. L'acquirer ha sia il diritto contrattuale che l'obbligo verso i circuiti di verificare la conformita PCI dei propri merchant. In caso di mancata presentazione della documentazione nei termini previsti, l'acquirer puo applicare commissioni aggiuntive, limitare le funzionalita di pagamento o, nei casi piu gravi, sospendere l'accordo di accettazione. I termini e le conseguenze specifiche sono indicati nel contratto di merchant agreement.
Ogni quanto l'acquirer richiede il rinnovo della conformità PCI?
Il ciclo di conformita PCI e annuale. Il SAQ o il ROC deve essere rinnovato ogni anno, e gli scan ASV (per i merchant in scope) devono essere eseguiti ogni trimestre. Alcuni acquirer inviano un promemoria automatico con 60-90 giorni di anticipo rispetto alla scadenza dell'AOC corrente, ma e responsabilita del merchant avviare il processo di rinnovo in tempo utile.
Devo inviare l'attestazione PCI anche al circuito (Visa/MC)?
Per i merchant Level 1, l'AOC deve essere trasmessa direttamente ai circuiti (Visa, Mastercard) oltre che all'acquirer. Per i merchant Level 2, 3 e 4, la documentazione viene di solito gestita dall'acquirer, che la raccoglie e la trasmette ai circuiti in base agli accordi interni. In entrambi i casi, e l'acquirer il punto di contatto principale per il merchant durante il processo di compliance.
Vuoi accelerare l'onboarding PCI con il tuo acquirer presentando un CDE ridotto? Scopri come PCI Proxy EU semplifica il processo. Scopri PCI Proxy EU.