Conformità PCI DSS

Conformità PCI DSS, meno lavoro per te

Se accetti pagamenti con carta, devi rispettare il PCI DSS. Noi custodiamo i dati carta al posto tuo: tu lavori con i token e compilare il questionario diventa molto più semplice.

Cosa portiamo noi

Tu erediti la nostra certificazione: i dati carta restano nel nostro vault, non sui tuoi server.

PCI DSS Livello 1

Il livello più alto. Ogni anno auditor indipendenti controllano il nostro vault.

Solo data center in UE

I dati carta non escono dall'Europa. Utile anche per il GDPR.

Cifratura e HSM

Dati cifrati a riposo e in transito. Chiavi protette in hardware certificato.

In breve

Cos'è il PCI DSS?

È lo standard di sicurezza per chi accetta pagamenti con carta (Visa, Mastercard e gli altri circuiti). Serve a proteggere i dati carta ovunque vengano raccolti, salvati o inviati.

12

Regole

4

Livelli

1

Obiettivo

Proteggere i dati carta, sempre.

Chi deve adeguarsi?

Chiunque accetti, elabori o conservi dati carta: negozi online, piattaforme, call center, PSP. Anche chi gestisce pagamenti per conto di altri.

12 regole di base

Firewall, cifratura, accessi, monitoraggio e policy. Tante regole: meno sistemi toccano i dati carta, meno lavoro per te.

Se non ti adegui

Multe, commissioni più alte o stop ai pagamenti con carta. Una violazione dati costa molto di più del conformarsi.

Livelli di Conformità

I 4 livelli PCI

Quanto lavoro devi fare dipende da quante transazioni con carta fai ogni anno. Più transazioni, più controlli (fino all'audit in sede per i grandi volumi).

Livello Transazioni Annuali Requisiti di Validazione Entità Tipiche
Livello 1 >6 milioni di transazioni/anno Audit in sede ogni anno + scansioni trimestrali Grandi retailer, compagnie aeree, PSP principali
Livello 2 1-6 milioni di transazioni/anno SAQ annuale, scansioni ASV trimestrali E-commerce mid-market, catene alberghiere
Livello 3 20.000-1 milione e-commerce/anno SAQ annuale, scansioni ASV trimestrali Business online in crescita, piattaforme SaaS
Livello 4 <20.000 e-commerce o <1 milione di altre/anno SAQ annuale (raccomandato), scansioni ASV trimestrali (se applicabili) Piccoli merchant, attività locali, startup

Da sapere: dopo una violazione dei dati puoi essere spostato al Livello 1 anche se vendi poco. L'acquirer può chiederti controlli extra.

Meno ambito per te

Come noi riduciamo il tuo carico

Il modo più semplice per fare meno PCI è tenere i dati carta lontani dai tuoi server. Tu ci mandi i dati carta, noi li tokenizziamo: tu salvi solo il token.

300+

Controlli · SAQ D

Se gestisci tutto da solo

~30

Controlli · SAQ A-EP

Con la nostra API

22

Controlli · SAQ A

Con i campi hosted

Senza di noi

Ambito pieno

Siti, app, database e reti che toccano i dati carta devono rispettare centinaia di controlli. Spesso oltre 300 nel questionario SAQ D.

Con PCI Proxy

Ambito minimo

I dati carta non entrano nei tuoi server. Noi siamo certificati PCI DSS Livello 1 e custodiamo il numero di carta. Tu gestisci solo token.

Fino al 95% in meno

Passi dal SAQ D (300+ controlli) al SAQ A o A-EP (meno di 30). Meno audit, meno ingegneri dedicati, meno rischio.

Quanto devi compilare

Senza PCI Proxy (SAQ D) 300+ controlli
Con API (SAQ A-EP) ~30 controlli
Con campi hosted (SAQ A) 22 controlli
Noi siamo certificati PCI DSS Livello 1
Auto-Valutazione

Quale questionario SAQ ti serve?

Il SAQ è il questionario che compili per dimostrare la conformità. Dipende da come passano i dati carta nei tuoi sistemi. Con noi, il percorso si semplifica.

⭐ Consigliato

Self-Assessment

SAQ A

22 controlli

7% dell'ambito SAQ D

Per chi usa i nostri campi hosted in iFrame: i dati carta non passano dal tuo sito. È il percorso più leggero.

Ideale con i campi hosted

Self-Assessment Esteso

SAQ A-EP

~30 controlli

10% dell'ambito SAQ D

Se la pagina di pagamento è sul tuo sito ma i dati carta vanno direttamente a noi via API o JavaScript. Pochi controlli in più rispetto al SAQ A.

Con integrazione API o SDK

Questionario Completo

SAQ D

300+ controlli

Ambito completo - tutti i sistemi

Il questionario più lungo. Serve quando i dati carta passano dai tuoi server. Senza di noi, molti e-commerce finiscono qui.

Senza PCI Proxy
In Europa

PCI DSS e GDPR insieme

In UE devi rispettare entrambi. I dati carta sono anche dati personali. Con i token semplifichi PCI e privacy.

Dove vanno d'accordo

Stesse priorità

Dati carta = dati personali

Nome, numero di carta e scadenza rientrano nel GDPR. Devi proteggerli come dati sensibili.

Menù dati, meno rischio

Il GDPR chiede di tenere solo il necessario. Noi togliamo il numero di carta dai tuoi sistemi e lasci solo il token.

Violazioni e notifiche

Se non conservi dati carta, una violazione sui tuoi server è molto meno grave. Meno stress per te e per i clienti.

Cose da coordinare

Serve attenzione

Cancellazione vs conservazione

Il GDPR dà diritto alla cancellazione. Il PCI chiede log delle transazioni. Con i token puoi cancellare la mappatura e rendere i dati irrecuperabili.

Dati solo in UE

Molte aziende europee devono tenere i dati in UE. Noi operiamo solo da data center europei: i dati carta non escono dall'Unione.

Contratto con noi (DPA)

Per il GDPR siamo responsabili del trattamento quando custodiamo i dati carta per te. Serve un accordo scritto su finalità e sicurezza.

In sintesi: tu lavori con i token. Noi custodiamo i dati carta. PCI e GDPR diventano più gestibili.

Scopri la tokenizzazione
Analisi dei Costi

Quanto costa fare PCI da solo vs con noi

Gestire tutto il PCI internamente costa molto di più che affidarci i dati carta. Esempio indicativo per un merchant europeo medio.

Categoria di Costo Gestione Interna (SAQ D) Costo alto · Rischio alto Con PCI Proxy (SAQ A) CONSIGLIATO
Audit annuale €30.000 a €150.000 €3.000 a €8.000
Sicurezza infrastruttura €50.000 a €200.000/anno €0 (lo gestiamo noi)
Rischio violazione dati €500.000 a €4.000.000+ Quasi zero
Assicurazione cyber €15.000 a €60.000/anno €5.000 a €15.000/anno
Team dedicato 1-3 ingegneri Supervisione leggera
Multe per non conformità €5.000 a €100.000/mese €0 (conforme by design)

Cifre indicative per merchant europei con 1-6 milioni di transazioni all'anno. I costi reali dipendono da dimensione e settore.

FAQ

Domande Frequenti

01 Quale livello PCI DSS si applica alla mia azienda?

Dipende da quante transazioni con carta fai ogni anno. Oltre 6 milioni sei al Livello 1 (audit in sede). Sotto quella soglia di solito basta il questionario SAQ. La maggior parte delle PMI europee è al Livello 3 o 4. Con noi puoi scendere al SAQ più semplice.

02 Come ci aiutate a fare meno PCI?

Tu ci mandi i dati carta, noi li tokenizziamo e li custodiamo. Nei tuoi server non finisce il numero di carta: lavori solo con i token. Così esci dal perimetro PCI più pesante e passi dal SAQ D (300+ controlli) al SAQ A o A-EP (meno di 30).

03 Il GDPR influisce sulla conformità PCI DSS in Europa?

Sì. In Europa devi rispettare PCI DSS e GDPR insieme. I dati carta sono dati personali. Il GDPR aggiunge diritti (cancellazione, residenza in UE, notifica violazioni). Con i token sui tuoi sistemi e i dati carta nel nostro vault, entrambi gli obblighi diventano più semplici.

Vuoi capire quale SAQ ti serve?

Scrivici: ti aiutiamo a capire il tuo livello PCI e quanto puoi semplificare con PCI Proxy.