Poradnik

PCI DSS dla małej firmy: co to jest i kogo dotyczy (2026)

Spis treści
  1. PCI DSS dla małej firmy: co to jest i kogo dotyczy
  2. Czym jest standard PCI DSS
  3. Czy mała firma z terminalem podlega PCI DSS?
  4. PCI DSS a obowiązek przyjmowania płatności bezgotówkowych
  5. Kto odpowiada za zgodność z PCI DSS
  6. Co PCI DSS oznacza w praktyce dla małej firmy
  7. Jak zachować zgodność z PCI DSS
  8. Najczęściej zadawane pytania o PCI DSS w małej firmie

Skrót PCI DSS budzi niepokój u wielu właścicieli małych firm, którzy słyszą o certyfikacji i karach. W praktyce dla firmy z terminalem od operatora temat jest prostszy, niż się wydaje. Poniżej tłumaczymy, czym jest PCI DSS, czy mała firma musi go spełniać, kto odpowiada za zgodność i co to oznacza na co dzień (stan na 2026).

PCI DSS dla małej firmy: co to jest i kogo dotyczy

PCI DSS dla małej firmy to zestaw zasad bezpieczeństwa, które dotyczą każdej firmy przyjmującej płatności kartą. PCI DSS to międzynarodowy standard ochrony danych kart płatniczych. Podlega mu każdy akceptant kart, ale dla małej firmy z terminalem, która nie przechowuje numerów kart, zgodność oznacza zwykle prostą ankietę samooceny. Większość wymogów technicznych zapewnia operator.

Standard dotyczy firm niezależnie od wielkości, od jednoosobowej działalności gospodarczej po duże sieci. Każda działalność gospodarcza, która przyjmuje karty i płatności mobilne, podlega tym samym zasadom bezpieczeństwa. Różni się jedynie zakres obowiązków, który zależy od tego, ile transakcji firma rozlicza i jak przyjmuje płatność kartą. Mała firma z jednym terminalem znajduje się na najprostszej ścieżce zgodności, o czym piszemy niżej.

Czym jest standard PCI DSS

PCI DSS, czyli Payment Card Industry Data Security Standard, to standard bezpieczeństwa danych kart płatniczych. Tworzy go i rozwija organizacja PCI Security Standards Council (PCI SSC), założona przez Visa, Mastercard i inne organizacje kartowe. Celem standardu jest ochrona danych karty przed kradzieżą i nadużyciem na każdym etapie płatności.

Co istotne, PCI DSS to standard branżowy, a nie polska ustawa. Obowiązek jego przestrzegania wynika z umowy akceptanta z agentem rozliczeniowym oraz z zasad organizacji kartowych, a nie z prawa krajowego. Standard obejmuje między innymi szyfrowanie danych, kontrolę dostępu i zabezpieczenie urządzeń, które przetwarzają płatność kartą. Klasyczny terminal POS oraz czytnik kart przechodzą certyfikację po stronie producenta i operatora, dlatego pojedyncza transakcja jest chroniona. Sam terminal płatniczy nie wymaga od firmy budowania własnych zabezpieczeń od zera.

Czy mała firma z terminalem podlega PCI DSS?

Mała firma z terminalem podlega PCI DSS, ponieważ przyjmuje płatności kartą. Zgodność jest częścią umowy z agentem rozliczeniowym, który udostępnia terminal i rozlicza transakcje. To jednak nie oznacza skomplikowanej i kosztownej certyfikacji dla każdego sklepu czy salonu.

Zakres obowiązków zależy od tego, jak firma przyjmuje płatność. Jeśli mała firma korzysta z terminala od operatora i nie przechowuje numerów kart, jej rola w PCI DSS jest niewielka. Ogranicza się zwykle do wypełnienia ankiety samooceny oraz przestrzegania podstawowych zasad bezpieczeństwa danych. Pełna, audytowana certyfikacja dotyczy głównie dużych akceptantów o wysokim wolumenie transakcji.

PCI DSS a obowiązek przyjmowania płatności bezgotówkowych

PCI DSS i obowiązek przyjmowania płatności bezgotówkowych to dwie różne sprawy, które łatwo pomylić. PCI DSS to branżowy standard bezpieczeństwa danych kart. Obowiązek przyjmowania płatności bezgotówkowych to z kolei kwestia regulowana w polskim prawie, która mówi, kiedy przedsiębiorca ma zapewnić klientowi możliwość zapłaty bezgotówkowej.

Innymi słowy, zgodność z PCI dotyczy bezpieczeństwa danych, a obowiązek bezgotówkowy dotyczy samego faktu udostępnienia płatności kartą. Kiedy i kogo dotyczy obowiązek udostępnienia płatności bezgotówkowej, wyjaśniamy w osobnym tekście o tym, czy terminal płatniczy jest obowiązkowy. W tym artykule skupiamy się wyłącznie na bezpieczeństwie danych, czyli na PCI DSS.

Kto odpowiada za zgodność z PCI DSS

Za zgodność z PCI DSS odpowiada kilka stron, a nie wyłącznie przedsiębiorca. Operator, czyli agent rozliczeniowy, oraz producent terminala biorą na siebie większość wymogów technicznych. To oni dbają o szyfrowanie transmisji, certyfikację urządzenia i bezpieczne przetwarzanie danych karty w trakcie transakcji.

Przedsiębiorca odpowiada za swoją część, czyli za właściwe obchodzenie się z danymi karty. Nie zapisuje numerów kart, nie przechowuje ich w zeszycie ani w mailu i dba o fizyczne bezpieczeństwo terminala. Taki podział sprawia, że mała firma korzystająca z terminala w telefonie lub klasycznego urządzenia od operatora nie buduje własnej infrastruktury bezpieczeństwa od zera.

Co PCI DSS oznacza w praktyce dla małej firmy

W praktyce PCI DSS dla małej firmy oznacza kilka prostych obowiązków, a nie kosztowny audyt. Taka zgodność, nazywana też compliance, najczęściej sprowadza się do wypełnienia ankiety samooceny, czyli dokumentu SAQ dopasowanego do sposobu przyjmowania płatności. Ankieta samooceny to krótki kwestionariusz, który udostępnia zwykle agent rozliczeniowy, a firma potwierdza w nim, że stosuje podstawowe zasady bezpieczeństwa. Taką samoocenę firma powtarza zazwyczaj co roku, zgodnie z zasadami swojego operatora.

PCI DSS nie dotyczy też kasy fiskalnej, która rejestruje sprzedaż, lecz wyłącznie danych karty płatniczej. Organizacje kartowe, takie jak Visa i Mastercard, dzielą akceptantów na cztery poziomy zależne od rocznego wolumenu transakcji kartą, a poziom przypisuje zwykle agent rozliczeniowy. Mała firma mieści się zwykle w poziomie czwartym, który ma najprostszą ścieżkę zgodności. Wraca tu częsta wątpliwość przedsiębiorców: skoro terminal łączy się z bankiem przez internet i nie przechowujemy danych kart, po co nam PCI DSS? Odpowiedź jest taka, że standard porządkuje te właśnie zasady i potwierdza, że dane karty są bezpieczne, nawet jeśli wymogi po stronie firmy są minimalne. Bezpieczeństwo płatności zbliżeniowych opisujemy szerzej w tekście o tym, jak działa NFC.

Jak zachować zgodność z PCI DSS

Aby zachować zgodność z PCI DSS, zacznij od wyboru terminala i operatora, którzy deklarują zgodność ze standardem. Poproś agenta rozliczeniowego o właściwą ankietę samooceny i wypełnij ją zgodnie ze stanem faktycznym. Pomoc w doborze takiego operatora znajdziesz w poradniku o tym, jak wybrać terminal płatniczy.

Operatorzy udostępniający terminale w Programie Polska Bezgotówkowa również deklarują zgodność ze standardem, więc zapytaj o nią przy podpisywaniu umowy. Pamiętaj przy tym, że PCI DSS chroni dane kart płatniczych, a płatność BLIK rozlicza się przez aplikację banku według własnych zasad.

Na co dzień stosuj kilka prostych zasad. Nie zapisuj numerów kart klientów i nie przesyłaj ich mailem ani komunikatorem. Aktualizuj oprogramowanie terminala i aplikacji płatniczej. Zabezpiecz urządzenie przed dostępem osób niepowołanych i zgłaszaj operatorowi każdą awarię lub podejrzaną sytuację. Gdy chcesz porównać oferty operatorów deklarujących zgodność z PCI DSS, skorzystaj z bezpłatnego doboru terminala i wyceny.

Najczęściej zadawane pytania o PCI DSS w małej firmie

Co to jest PCI DSS?

PCI DSS to międzynarodowy standard bezpieczeństwa danych kart płatniczych, prowadzony przez organizację PCI SSC. Określa zasady, dzięki którym dane karty są chronione podczas płatności kartą w firmie przyjmującej takie transakcje.

Czy mała firma podlega PCI DSS?

Mała firma przyjmująca płatności kartą podlega PCI DSS na mocy umowy z agentem rozliczeniowym. Dla firmy z terminalem, która nie przechowuje numerów kart, obowiązki ograniczają się zwykle do ankiety samooceny i podstawowych zasad bezpieczeństwa.

Nie przechowujemy danych kart, po co nam PCI DSS?

PCI DSS obejmuje każdą firmę przyjmującą karty, nawet jeśli nie przechowuje ich numerów. W takim przypadku firma potwierdza tylko, że stosuje bezpieczne praktyki, a większość wymogów technicznych spełnia operator i sam terminal.

Kto odpowiada za zgodność z PCI DSS?

Za zgodność odpowiadają wspólnie agent rozliczeniowy, producent terminala i przedsiębiorca. Operator i terminal zapewniają wymogi techniczne, a firma dba o to, by nie zapisywać danych kart i chronić urządzenie przed dostępem osób niepowołanych.

Czy PCI DSS to obowiązek prawny w Polsce?

PCI DSS to standard branżowy, a nie polska ustawa. Wymóg jego przestrzegania wynika z umowy z agentem rozliczeniowym oraz z zasad organizacji kartowych. To inny temat niż ustawowy obowiązek udostępnienia klientom płatności bezgotówkowych.

Poznaj najlepszą ofertę dla Twojej firmy

Bezpłatnie i bez zobowiązań. Oddzwonimy z dopasowaną ofertą w 1 dzień roboczy.

Zostaw e-mail lub telefon — wystarczy jedno. Oddzwonimy albo napiszemy.

Zaznaczenie zgody jest wymagane. Kontakt: e-mail lub telefon.

Ustawienia plików cookie

Zarządzaj zgodami na poszczególne cele. Pliki niezbędne są zawsze aktywne. Więcej w Polityce prywatności.

Lista plików cookie
NazwaCelCzasKategoria
_ga, _ga_*Google Analytics 4 — rozróżnianie użytkowników i sesji2 lataAnalityka
jtp_consentZapamiętanie Twojego wyboru zgód (localStorage)do 13 mies. / do usunięciaNiezbędne
__cf_bm i pokrewneCloudflare — ochrona i wydajność~30 minNiezbędne
Google Ads / MetaRemarketing — gdy włączony marketingdo 13 mies.Marketing