Bazat e PCI-DSS për Restorante: Çfarë Kërkojnë Vërtet Pagesat me Kartë në 2026

PCI-DSS është Standardi i Sigurisë së të Dhënave të Industrisë së Kartave të Pagesave — rregullorja që çdo biznes që pranon karta duhet të ndjekë për të mbrojtur të dhënat e mbajtësit të kartës.

Nëse pranoni Visa, Mastercard ose Amex në restorantin tuaj, PCI-DSS vlen për ju. Lajmi i mirë: në 2026 shumica e restoranteve të vogla nuk i prekin kurrë numrat e papërpunuar të kartave, kështu që përputhshmëria është kryesisht një vetëvlerësim i shkurtër, jo një auditim me gjashtë shifra.

Çfarë është PCI-DSS dhe kush duhet të përputhet?

Çdo tregtar që ruan, përpunon ose transmeton të dhëna të mbajtësit të kartës duhet të përputhet. Ka katër nivele tregtarësh bazuar në volumin vjetor të kartave. Pothuajse çdo restorant i pavarur është Niveli 4 (nën 20,000 transaksione e-commerce ose nën 1 milion gjithsej në vit), që është niveli më i lehtë.

Mospërputhja nuk është një rrezik i paqartë. Pas një shkeljeje, rrjetet e kartave mund të gjobisin bankën tuaj $5,000 deri $100,000 në muaj, dhe ai kosto rrjedh drejt e tek ju. Një terminal i vetëm i shkelur mund të shkaktojë gjithashtu tarifa auditimi forenzik prej $10,000 ose më shumë.

Cilat janë tipet SAQ dhe cilin më duhet?

Një Pyetësor Vetëvlerësimi (SAQ) është mënyra se si një tregtar i Nivelit 4 dëshmon përputhshmërinë. Tipi varet nga mënyra se si rrjedhin të dhënat e kartës nëpër sistemin tuaj:

• SAQ A — ju e jashtëkontraktoni plotësisht trajtimin e kartës tek një ofrues i përputhshëm me PCI; asnjë e dhënë karte nuk prek kurrë sistemet tuaja. ~22 pyetje. Ky është synimi.
• SAQ A-EP — e-commerce ku faqja juaj ndikon në pagesë por nuk merr të dhëna karte. ~190 pyetje.
• SAQ B / B-IP — terminale të pavarura dial-out ose IP.
• SAQ C / C-VT — aplikacione pagese të lidhura me internetin ose terminale virtuale.
• SAQ D — ju ruani ose përpunoni të dhëna karte drejtpërdrejt. ~330 pyetje, dhe shumë më të shtrenjta për t'u mirëmbajtur.

Dallimi mes SAQ A dhe SAQ D është dallimi mes një pasditeje dhe një projekti shumëjavor. Arkitektura vendos cilin plotësoni.

Pse nuk duhet të ruani kurrë të dhënat e kartës

Të dhënat më të lira të kartës për t'u mbrojtur janë ato që nuk i mbani kurrë. Ruajtja e PAN-it të plotë (numrit të kartës), dhe veçanërisht e CVV-së pas autorizimit, është mënyra më e shpejtë për të rënë në SAQ D dhe për t'u bërë cak shkeljeje. PCI-DSS ndalon rreptësisht ruajtjen e CVV-së fare sapo një transaksion është autorizuar.

Shembull praktik: një restorant që shkruan numrat e kartave në fatura letre ose i ruan në një tabelë për t'i faturuar më vonë po përpunon dhe ruan të dhëna të mbajtësit të kartës manualisht. Kjo është fushë e SAQ D, është një makth përgjegjësie, dhe një laptop i vetëm i vjedhur bëhet një shkelje e raportueshme.

Si ju mban jashtë fushës checkout-i i strehuar

Me Direct Dine, pagesat online me kartë përdorin checkout të strehuar: klienti dorëzohet tek faqja e sigurt e vetë ofruesit të pagesës (ose një fushë e ngulitur Stripe), fut kartën e tij atje, dhe serverët tuaj marrin gjithmonë vetëm një token dhe një rezultat sukses/dështim. Numri i papërpunuar i kartës nuk arrin kurrë te Direct Dine, kështu që ju qëndroni në rrugën SAQ A — versioni me 22 pyetje.

Meqë Direct Dine është pa komision, ju gjithashtu nuk po i jepni një tregu shpërndarjeje 25–30% thjesht për të përpunuar një pagesë që mund ta zotëronit plotësisht. Ju mbani marzhin dhe gjurmën më të thjeshtë të mundshme të përputhshmërisë.

Kur rruga e lehtë NUK vlen

• Ju futni numra kartash në një sistem back-office me dorë → po përpunoni të dhëna karte dhe humbni të drejtën për SAQ A.
• Ju ruani karta për të faturuar klientët e rregullt më vonë pa përdorur vault/tokenization-in e ofruesit → SAQ D.
• Ju përdorni një terminal të vjetër që nuk është i validuar P2PE → SAQ më i madh, më shumë detyrime.

Ky është informacion i përgjithshëm, jo këshillë ligjore ose përputhshmërie — konfirmoni SAQ-në tuaj të saktë me bankën tuaj ose një QSA.

Për shumicën e restoranteve përfundimi është i thjeshtë: mos mbani kurrë numrin e kartës, përdorni checkout të strehuar, dhe puna juaj vjetore PCI tkurret në një pyetësor të shkurtër.