Cztery poziomy PCI DSS
• Level 4: < 20 000 transakcji e-commerce rocznie. SAQ (self-assessment), brak audytu.
• Level 3: 20k–1M. SAQ + skan ASV kwartalnie.
• Level 2: 1M–6M. SAQ + ASV + często pentest.
• Level 1: >6M transakcji rocznie. Full Report on Compliance (RoC) od QSA, pentest, dedykowany zespół security.
Co oznacza Level 1 u Payment Gateway
Audyt co 12 miesięcy od certyfikowanego QSA (Qualified Security Assessor) — Deloitte, PwC lub inny z listy PCI SSC.
W naszym przypadku: ostatni RoC — marzec 2025, 287 stron, 12 obszarów kontroli (w tym segmentacja CDE, HSM dla kluczy, procedury incident response).
Kwartalne skany ASV (Approved Scanning Vendor): 0 krytycznych, 0 wysokich w ostatnich 4 kwartałach.
Roczny pentest — zewnętrzny, z raportem remediacji w 30 dni.
Dlaczego to ważne dla merchanta
Jeśli integrujesz się z Payment Gateway przez hosted checkout / iframe, Twój SAQ spada do SAQ A (najprostszy — 22 pytania vs. 329 w SAQ D).
Dane karty nigdy nie trafiają na Twój serwer. Twój scope PCI = zero. Wystarczy roczna ankieta.
Ryzyko przy direct integration
Jeśli przyjmujesz PAN na swoim formularzu i przekazujesz API do gatewaya, Twój scope to SAQ D (~329 pytań) + kwartalny ASV + często pentest.
Koszt compliance: 30–80k PLN rocznie. Oszczędź sobie — użyj hosted checkout lub tokenized fields (Payment Gateway Elements).