PCI-DSS 4.0 pentru e-commerce: ce s-a schimbat și de unde începeți în 2026
PCI-DSS 4.0 e standardul obligatoriu pentru orice firmă care procesează carduri. Ediția 4.0 (full enforcement 2025) introduce 64 cerințe noi. Vedem ce trebuie făcut concret.
Pe scurt
PCI-DSS (Payment Card Industry Data Security Standard) e standardul obligatoriu pentru orice organizație care procesează, transmite sau stochează date de card. Versiunea 4.0/4.0.1 a fost publicată în 2022 și a intrat în full enforcement în martie 2025 — toate organizațiile sub PCI-DSS sunt acum obligate să respecte cerințele 4.0.
În România, PCI-DSS 4.0 afectează direct:
- Comercianți online care acceptă plată cu card pe site
- Procesatori plăți (Stripe Connect partners, Netopia, EuPlătesc, Mobilpay)
- Bănci + fintech-uri
- Service provideri care intermediază tranzacții
Non-conformitatea = amenzi MasterCard / Visa (2.000-100.000 USD/lună) + responsabilitate financiară pentru breach.
Niveluri PCI-DSS în funcție de volum
| Nivel | Volum tranzacții/an | Cerințe |
|---|---|---|
| Level 1 | >6 milioane carduri (Visa/MC) | Audit anual de QSA (Qualified Security Assessor) certificat + penetration test trimestrial |
| Level 2 | 1-6 milioane | Self-Assessment Questionnaire (SAQ) D + scan trimestrial ASV |
| Level 3 | 20.000 - 1 milion | SAQ + scan trimestrial ASV |
| Level 4 | <20.000 | SAQ — depinde de procesator |
Pentru comerțul online RO mediu: Level 3 sau 4. Pentru e-commerce mari (eMAG, OLX): Level 1 sau 2.
Cerințele cheie PCI-DSS 4.0 (12 categorii)
1. Build și Maintain Secure Network (Req. 1-2)
- Req. 1 — Firewall configurat strict, segmentare cardholder data environment (CDE)
- Req. 2 — Default-uri schimbate (parole, configs); inventar componente
2. Protect Account Data (Req. 3-4)
- Req. 3 — Stocare minimă — nu salvați PAN, CVV, track data dacă nu e necesar; encryption at rest pentru orice
- Req. 4 — Strong cryptography in transit. HSTS obligatoriu pe toate paginile cu plată (4.0 nou).
3. Maintain Vulnerability Management (Req. 5-6)
- Req. 5 — Antivirus + EDR pe toate sistemele
- Req. 6 — Secure development: SAST + DAST + code review pentru aplicații custom
4. Strong Access Control (Req. 7-9)
- Req. 7 — Need-to-know access (RBAC)
- Req. 8 — MFA universal pentru acces remote la CDE (4.0 nou) + MFA admin universal
- Req. 9 — Securitate fizică datacentre
5. Monitor și Test (Req. 10-11)
- Req. 10 — Log all access la cardholder data; review zilnic; retain 1 an minim
- Req. 11 — Vulnerability scan trimestrial ASV externă + penetration test anual. Authenticated scan introdus în 4.0 ca cerință.
6. Information Security Policy (Req. 12)
- Req. 12 — Policy documentat, aprobat top management, training anual, incident response plan
Ce s-a schimbat în 4.0 vs 3.2.1 (relevant pentru voi)
| Cerință | 3.2.1 → 4.0 |
|---|---|
| MFA | Doar pentru admin → Universal pentru orice acces remote la CDE |
| HSTS | Recomandat → Obligatoriu pe pagini cu plată |
| Authenticated vulnerability scan | Optional → Obligatoriu în plus la unauthenticated scan |
| Phishing-resistant MFA | — → Recomandat puternic (FIDO2/WebAuthn) |
| Targeted Risk Analysis | Generic → Documented per fiecare cerință |
| Customized Approach | — → Permis dacă alternative oferă echivalent (necesită justificare) |
| Software security 3.0 | — → Cerințe noi pentru SDLC, secrets management, container security |
64 cerințe noi sau modificate față de 3.2.1.
Roadmap implementare pentru e-commerce RO
Faza 1 — Reducere scope CDE (recomandat universal)
Tokenizare prin procesator = nu vedeți niciodată numerele de card. Stripe / Netopia / EuPlătesc oferă iframe redirect care:
- Pagina vouastră deleagă form-ul de card la iframe procesator
- Numărul card nu trece prin server-ul vostru
- Voi primiți doar token (refer pentru viitoare tranzacții)
Asta reduce drastic scope-ul PCI — multe cerințe nu se aplică sau aplica doar parțial. SAQ A (cel mai simplu) în loc de SAQ D.
Faza 2 — Self-Assessment Questionnaire (SAQ)
SAQ A: pentru merchants care folosesc tokenizare cu procesator + nu salvează niciodată date de card. SAQ A-EP: similar dar cu pagină de redirect proprie. SAQ D: full PCI-DSS — pentru cei care salvează / procesează direct.
Folosiți Lexnomia pentru SAQ ghidat + raport oficial către procesator.
Faza 3 — Vulnerability scan ASV (Approved Scanning Vendor)
PCI-DSS Req. 11.3.2 cere scan extern trimestrial de la un ASV pe lista oficială PCI Council. Costuri: 200-1.000 EUR/trimestru per IP/domeniu.
ARTEMIS NU este ASV-certificat (e tier diferit), dar audit-ul ARTEMIS detectează majoritatea vulnerabilităților ASV-relevante înainte de scan-ul oficial — economisiți timp/cost.
Faza 4 — Penetration test anual
Cerință Req. 11.4. Pentest manual cu Statement of Work, raport profesional. Cost: 8.000-30.000 EUR/an în funcție de scope.
CAI Technology oferă tier-ul Penetration Test Manual prin ARTEMIS Pro.
Faza 5 — Logging + monitoring
SIEM (Splunk, Wazuh, Graylog) cu retention ≥ 1 an pentru toate access log-uri la CDE. Review zilnic + alerting automat.
Faza 6 — Training + policy
Anual, toți angajații cu acces la CDE. Documentat. Policy aprobat board.
Faza 7 — Audit anual de QSA (doar Level 1)
Pentru e-commerce sub Level 1, doar SAQ. Pentru Level 1 (>6M tranzacții), QSA on-site audit anual obligatoriu (15.000-50.000 EUR).
Confuzii frecvente
“Stripe ne acoperă PCI.” — Doar parțial. Stripe e PCI-DSS Level 1 ca procesator. Voi tot trebuie să fiți compliant pe partea voastră (SAQ A minim). Stripe NU vă scutește de obligații proprii — doar reduce scope-ul.
“Salvăm doar last 4 digits.” — Considerat “stocare PAN truncat” — sub PCI-DSS, last 4 digits sunt OK fără restricții. Dar dacă salvați și BIN (primele 6) → expandă scope.
“Avem doar plată prin redirect — nu suntem PCI.” — Greșit. Sunteți merchant — aveți obligații, mai puține (SAQ A) dar nu zero. Niciun e-commerce nu e “exempt complet”.
“PCI-DSS 4.0 încă nu e mandatoriu.” — Greșit din martie 2025. Full enforcement activ. Brands Visa / MC pot impune amenzi.
Verificați acum
ARTEMIS detectează automat:
- HSTS pe toate paginile cu plată (Req. 4.2.1 din 4.0)
- TLS strong cryptography (Req. 4.2)
- WAF prezență (Req. 6.6)
- Headers de securitate (Req. 6.4)
- 30+ verificări tehnice direct mappable la PCI-DSS 4.0
🔗 Soluții complementare CAI Technology
- ARTEMIS — Audit tehnic mappable PCI-DSS 4.0 (Req. 4, 6, 11). Plus tier Penetration Test Manual pentru Req. 11.4.
- Lexnomia — CRITERIUL PRINCIPAL — evaluare auditor-grade PCI-DSS / GDPR / NIS2 / ISO 27001. SAQ ghidat + raport oficial pentru procesator.
- BeLegal — Verificare gratuită compliance UE 5 minute (PCI nu inclus, dar GDPR + NIS2 da).
- Auditope — Audit holistic web (Performance + UX + Conversion). Reduce abandon coș la pagina de plată = mai mulți bani.
- AriaUnited — Consultanță fonduri europene PNRR pentru investiții PCI-DSS (WAF dedicat, SIEM, hardware HSM).