Bezpieczeństwo płatności UK po polsku: PCI DSS, chargeback, 3D Secure 2
Ta strona dotyczy wyłącznie firm zarejestrowanych w UK. Nie porównujemy operatorów polskich (Polcard, NETOPIA, eService itp.). Wszyscy wymienieni dostawcy działają na licencji UK (FCA, UK Financial Conduct Authority, lub w ramach członkostwa w sieci Visa/Mastercard).
Trzy obszary bezpieczeństwa płatności dotyczą każdego sprzedawcy w UK, niezależnie od narodowości: zgodność z PCI DSS (coroczna samoocena dotycząca przechowywania danych karty), proces obciążenia zwrotnego (chargeback) oraz silne uwierzytelnianie SCA / 3D Secure 2 wymagane przy płatnościach online. Zaniedbanie któregokolwiek z nich skutkuje konkretnymi karami finansowymi. Poniżej znajdziesz praktyczne wyjaśnienie każdego z nich.
Zgodność z PCI DSS
PCI DSS (Payment Card Industry Data Security Standard) to obowiązkowy standard bezpieczeństwa dla każdego, kto przyjmuje płatności kartą w UK. Nie jest to przepis prawa, lecz warunek umowy z operatorem płatności. Niespełnienie go oznacza dodatkowe opłaty i ryzyko zablokowania konta rozliczeniowego.
Cztery poziomy PCI DSS
Standard dzieli sprzedawców na cztery poziomy według rocznego wolumenu transakcji kartą.
| Poziom | Roczny wolumen kartą | Kto zwykle tu wpada |
|---|---|---|
| Level 1 | powyżej 6 mln transakcji | Worldpay, Stripe, Adyen jako procesory |
| Level 2 | 1 mln – 6 mln transakcji | duże sieci handlowe |
| Level 3 | 50 000 – 1 mln transakcji | średnie firmy e-commerce |
| Level 4 | do 50 000 transakcji | prawie wszystkie polskie SME w UK |
Jeśli prowadzisz restaurację, sklep, salon fryzjerski lub firmę usługową i przyjmujesz karty, prawie na pewno jesteś na poziomie Level 4.
Co faktycznie musisz zrobić (Level 4)
Wymagania dla małych sprzedawców są rozbudowane na papierze, ale w praktyce sprowadzają się do czterech czynności.
- Wypełnij roczny formularz SAQ (Self-Assessment Questionnaire) przez portal swojego operatora. Formularz zawiera pytania jednokrotnego wyboru i zajmuje około 15 minut.
- Potwierdź, że nie przechowujesz pełnych numerów kart na swoich komputerach, w arkuszach Excel ani w żadnym innym miejscu.
- Potwierdź, że router Wi-Fi ma silne hasło i aktualny firmware. Domyślne hasła routerów (np. „admin123”) są przyczyną wielu włamań.
- Potwierdź, że pracownicy nie zapisują danych karty na papierze. Dotyczy to również zamówień telefonicznych.
Ile to kosztuje?
Większość operatorów pobiera opłatę PCI jako osobną pozycję na fakturze miesięcznej.
| Sytuacja | Typowa opłata miesięczna |
|---|---|
| SAQ wypełniony na czas | £5 – £15 (opłata za zgodność) |
| SAQ niewypełniony | £5 – £15 (opłata za brak zgodności) |
Wniosek jest prosty: i tak płacisz około £10 miesięcznie. Różnica polega na tym, że przy niespełnieniu wymagań nie masz żadnej ochrony. Wypełnij formularz.
Obciążenie zwrotne (chargeback)
Obciążenie zwrotne (chargeback) to sytuacja, w której klient kwestionuje transakcję bezpośrednio w swoim banku, z pominięciem sprzedawcy. Bank klienta wycofuje środki od operatora płatności, a operator wycofuje je od Ciebie. Dzieje się tak nawet wtedy, gdy sprzedaż była w pełni zasadna.
Cztery etapy procesu
Etap 1. Zapytanie o szczegóły transakcji (retrieval request) Bank klienta prosi operatora o dokumentację transakcji. Przygotuj paragon i potwierdzenie dostawy.
Etap 2. Pierwsze obciążenie zwrotne (first chargeback) Bank odwraca transakcję. Masz od 7 do 30 dni na odpowiedź, w zależności od schematu kartowego (Visa lub Mastercard). Termin jest twardy.
Etap 3. Reprezentacja (representment) Składasz dowody: podpisany paragon, nagranie z CCTV, potwierdzenie dostawy z podpisem, korespondencję z klientem. Dobrze przygotowana reprezentacja kończy się sukcesem w około 60% przypadków.
Etap 4. Arbitraż (arbitration) Rzadki etap. Ostateczną decyzję podejmuje schemat kartowy (Visa lub Mastercard), nie operator. Koszty arbitrażu wynoszą £400 – £800, niezależnie od wyniku.
Najczęstsze powody obciążeń zwrotnych u polskich firm w UK
| Powód | Typowe sytuacje | Jak się bronić |
|---|---|---|
| „Towar nie dotarł” | e-commerce, dostawa | Przesyłka śledzona z potwierdzeniem odbioru |
| „Usługa niezgodna z opisem” | restauracje, kosmetyka, taxi | Podpis klienta i zdjęcia wykonanej usługi |
| „Transakcja fraudowa” | skradziona karta | Rekord uwierzytelnienia 3D Secure |
| „Podwójne obciążenie” | przypadkowe podwójne dotknięcie | Logi terminala płatniczego z odrębnymi autoryzacjami |
Opłata za obciążenie zwrotne
Większość operatorów w UK pobiera £15 – £25 za każde obciążenie zwrotne, niezależnie od wyniku. Nawet jeśli wygrasz spór, opłata pozostaje. Warto o tym pamiętać: samo podjęcie obrony nie jest bezkosztowe.
3D Secure 2 i silne uwierzytelnianie (SCA)
SCA (Strong Customer Authentication) to regulacja obowiązująca w UK i UE. Wymaga dwuskładnikowego uwierzytelniania przy płatnościach online. W praktyce klient zatwierdza transakcję w aplikacji bankowej: odciskiem palca, Face ID lub kodem PIN.
Jak to działa w praktyce?
Klient wpisuje dane karty w sklepie internetowym. Bank wysyła powiadomienie do aplikacji bankowej klienta. Klient uwierzytelnia się i transakcja dochodzi do skutku. Cały proces trwa kilka sekund.
Dlaczego to ma znaczenie finansowe dla Twojej firmy?
Jeśli transakcja przeszła przez 3D Secure 2, odpowiedzialność za ewentualny chargeback fraudowy przenosi się z Ciebie na bank wydający kartę. Innymi słowy: jeśli karta była skradziona, ale transakcja została uwierzytelniona przez 3DS, bank klienta pokrywa stratę, nie Ty.
Bez 3D Secure całe ryzyko spoczywa na sprzedawcy.
Kiedy 3DS nie jest wymagany (zwolnienia SCA)
| Sytuacja | Warunek |
|---|---|
| Transakcje poniżej £30 | Automatycznie, bez dodatkowych kroków |
| Sprzedawcy z bardzo niskim wskaźnikiem fraudu | Poniżej 0,13% w ciągu 90 dni: negocjuj z operatorem |
| Whitelisted merchants | Duże, ustabilizowane platformy e-commerce |
| Subskrypcje cykliczne | Po pierwszej transakcji uwierzytelnionej 3DS |
Lista kontrolna dla polskich firm e-commerce w UK
- Sprawdź, czy Twoja bramka płatnicza obsługuje 3DS2. Stripe, Worldpay Gateway i SumUp Online mają 3DS2 włączone domyślnie. Jeśli korzystasz z innej bramki, potwierdź to z dostawcą.
- Nie wyłączaj 3DS „dla lepszej konwersji”. Wzrost konwersji o 1 – 2% nie rekompensuje dodatkowych obciążeń zwrotnych i utraty ochrony.
- Monitoruj wskaźnik fraudu. Jeśli utrzymuje się poniżej 0,13% przez 90 dni, zapytaj operatora o zwolnienie SCA. Jest ono legalne i dostępne.
Często zadawane pytania
Czy PCI DSS dotyczy mnie, jeśli używam terminala płatniczego dostarczonego przez operatora?
Tak, ale obowiązki są węższe. Jeśli korzystasz z terminala płatniczego dostarczonego przez Dojo, SumUp, Square lub Zettle i nie przechowujesz żadnych danych karty na własnych urządzeniach, wypełniasz uproszczony formularz SAQ-P2PE lub SAQ-B. Formularz i tak jest wymagany.
Co zrobić, gdy dostanę powiadomienie o chargeback?
Zareaguj natychmiast. Sprawdź termin odpowiedzi (zwykle 7 – 30 dni) i zbierz dokumentację: paragon, dowód dostawy, korespondencję z klientem oraz nagrania CCTV, jeśli są dostępne. Brak odpowiedzi w terminie oznacza automatyczną przegraną.
Czy mam obowiązek stosować 3D Secure przy transakcjach poniżej £30?
Transakcje poniżej £30 są formalnie zwolnione z obowiązku SCA. Jednak skumulowane transakcje bez 3DS od tego samego klienta mogą podlegać wymaganiom po przekroczeniu łącznej kwoty lub po pięciu kolejnych transakcjach bez uwierzytelnienia. Warto skonsultować szczegóły z operatorem.
Czy jako sprzedawca-pośrednik (ISO) lub płatniczy facilitator (PayFac) moje obowiązki PCI są inne?
Tak. Jeśli przyjmujesz płatności przez agregatora (np. SumUp lub Square w trybie podkonta), część odpowiedzialności PCI spoczywa na agregatorze. Nadal jednak musisz wypełnić SAQ i przestrzegać zasad przechowywania danych. Zapytaj swojego dostawcę o dokładny podział odpowiedzialności.
Potrzebujesz indywidualnej pomocy w zakresie bezpieczeństwa płatności dla swojej firmy w UK? Skontaktuj się z nami przez stronę kontaktową po polsku lub sprawdź porównanie operatorów płatności w UK z oceną bezpieczeństwa.
Ostatnia aktualizacja: czerwiec 2025. Wersja angielska: Payment security for UK merchants (AcceptCard).