Chi deve adeguarsi?
Chiunque accetti, elabori o conservi dati carta: negozi online, piattaforme, call center, PSP. Anche chi gestisce pagamenti per conto di altri.
Se accetti pagamenti con carta, devi rispettare il PCI DSS. Noi custodiamo i dati carta al posto tuo: tu lavori con i token e compilare il questionario diventa molto più semplice.
Tu tieni solo i token
Tu erediti la nostra certificazione: i dati carta restano nel nostro vault, non sui tuoi server.
Il livello più alto. Ogni anno auditor indipendenti controllano il nostro vault.
I dati carta non escono dall'Europa. Utile anche per il GDPR.
Dati cifrati a riposo e in transito. Chiavi protette in hardware certificato.
È lo standard di sicurezza per chi accetta pagamenti con carta (Visa, Mastercard e gli altri circuiti). Serve a proteggere i dati carta ovunque vengano raccolti, salvati o inviati.
12
Regole
4
Livelli
1
Obiettivo
Proteggere i dati carta, sempre.
Chiunque accetti, elabori o conservi dati carta: negozi online, piattaforme, call center, PSP. Anche chi gestisce pagamenti per conto di altri.
Firewall, cifratura, accessi, monitoraggio e policy. Tante regole: meno sistemi toccano i dati carta, meno lavoro per te.
Multe, commissioni più alte o stop ai pagamenti con carta. Una violazione dati costa molto di più del conformarsi.
Quanto lavoro devi fare dipende da quante transazioni con carta fai ogni anno. Più transazioni, più controlli (fino all'audit in sede per i grandi volumi).
| Livello | Transazioni Annuali | Requisiti di Validazione | Entità Tipiche |
|---|---|---|---|
| Livello 1 | >6 milioni di transazioni/anno | Audit in sede ogni anno + scansioni trimestrali | Grandi retailer, compagnie aeree, PSP principali |
| Livello 2 | 1-6 milioni di transazioni/anno | SAQ annuale, scansioni ASV trimestrali | E-commerce mid-market, catene alberghiere |
| Livello 3 | 20.000-1 milione e-commerce/anno | SAQ annuale, scansioni ASV trimestrali | Business online in crescita, piattaforme SaaS |
| Livello 4 | <20.000 e-commerce o <1 milione di altre/anno | SAQ annuale (raccomandato), scansioni ASV trimestrali (se applicabili) | Piccoli merchant, attività locali, startup |
Da sapere: dopo una violazione dei dati puoi essere spostato al Livello 1 anche se vendi poco. L'acquirer può chiederti controlli extra.
Il modo più semplice per fare meno PCI è tenere i dati carta lontani dai tuoi server. Tu ci mandi i dati carta, noi li tokenizziamo: tu salvi solo il token.
300+
Controlli · SAQ D
Se gestisci tutto da solo
~30
Controlli · SAQ A-EP
Con la nostra API
22
Controlli · SAQ A
Con i campi hosted
Siti, app, database e reti che toccano i dati carta devono rispettare centinaia di controlli. Spesso oltre 300 nel questionario SAQ D.
I dati carta non entrano nei tuoi server. Noi siamo certificati PCI DSS Livello 1 e custodiamo il numero di carta. Tu gestisci solo token.
Passi dal SAQ D (300+ controlli) al SAQ A o A-EP (meno di 30). Meno audit, meno ingegneri dedicati, meno rischio.
Il SAQ è il questionario che compili per dimostrare la conformità. Dipende da come passano i dati carta nei tuoi sistemi. Con noi, il percorso si semplifica.
Self-Assessment
7% dell'ambito SAQ D
Per chi usa i nostri campi hosted in iFrame: i dati carta non passano dal tuo sito. È il percorso più leggero.
Self-Assessment Esteso
10% dell'ambito SAQ D
Se la pagina di pagamento è sul tuo sito ma i dati carta vanno direttamente a noi via API o JavaScript. Pochi controlli in più rispetto al SAQ A.
Questionario Completo
Ambito completo - tutti i sistemi
Il questionario più lungo. Serve quando i dati carta passano dai tuoi server. Senza di noi, molti e-commerce finiscono qui.
In UE devi rispettare entrambi. I dati carta sono anche dati personali. Con i token semplifichi PCI e privacy.
Stesse priorità
Dati carta = dati personali
Nome, numero di carta e scadenza rientrano nel GDPR. Devi proteggerli come dati sensibili.
Menù dati, meno rischio
Il GDPR chiede di tenere solo il necessario. Noi togliamo il numero di carta dai tuoi sistemi e lasci solo il token.
Violazioni e notifiche
Se non conservi dati carta, una violazione sui tuoi server è molto meno grave. Meno stress per te e per i clienti.
Serve attenzione
Cancellazione vs conservazione
Il GDPR dà diritto alla cancellazione. Il PCI chiede log delle transazioni. Con i token puoi cancellare la mappatura e rendere i dati irrecuperabili.
Dati solo in UE
Molte aziende europee devono tenere i dati in UE. Noi operiamo solo da data center europei: i dati carta non escono dall'Unione.
Contratto con noi (DPA)
Per il GDPR siamo responsabili del trattamento quando custodiamo i dati carta per te. Serve un accordo scritto su finalità e sicurezza.
In sintesi: tu lavori con i token. Noi custodiamo i dati carta. PCI e GDPR diventano più gestibili.
Gestire tutto il PCI internamente costa molto di più che affidarci i dati carta. Esempio indicativo per un merchant europeo medio.
| Categoria di Costo | Gestione Interna (SAQ D) Costo alto · Rischio alto | Con PCI Proxy (SAQ A) CONSIGLIATO |
|---|---|---|
| Audit annuale | €30.000 a €150.000 | €3.000 a €8.000 |
| Sicurezza infrastruttura | €50.000 a €200.000/anno | €0 (lo gestiamo noi) |
| Rischio violazione dati | €500.000 a €4.000.000+ | Quasi zero |
| Assicurazione cyber | €15.000 a €60.000/anno | €5.000 a €15.000/anno |
| Team dedicato | 1-3 ingegneri | Supervisione leggera |
| Multe per non conformità | €5.000 a €100.000/mese | €0 (conforme by design) |
Cifre indicative per merchant europei con 1-6 milioni di transazioni all'anno. I costi reali dipendono da dimensione e settore.
Dipende da quante transazioni con carta fai ogni anno. Oltre 6 milioni sei al Livello 1 (audit in sede). Sotto quella soglia di solito basta il questionario SAQ. La maggior parte delle PMI europee è al Livello 3 o 4. Con noi puoi scendere al SAQ più semplice.
Tu ci mandi i dati carta, noi li tokenizziamo e li custodiamo. Nei tuoi server non finisce il numero di carta: lavori solo con i token. Così esci dal perimetro PCI più pesante e passi dal SAQ D (300+ controlli) al SAQ A o A-EP (meno di 30).
Sì. In Europa devi rispettare PCI DSS e GDPR insieme. I dati carta sono dati personali. Il GDPR aggiunge diritti (cancellazione, residenza in UE, notifica violazioni). Con i token sui tuoi sistemi e i dati carta nel nostro vault, entrambi gli obblighi diventano più semplici.
Scrivici: ti aiutiamo a capire il tuo livello PCI e quanto puoi semplificare con PCI Proxy.