Mimo rozsah PCI-DSS: data karty se nikdy nedotknou vašeho serveru

Provozujete restauraci s 18 stoly v Praze a chcete, aby hosté platili kartou přímo z QR menu. Jakmile se surový PAN dotkne vašeho serveru, spadáte do rozsahu PCI-DSS SAQ-D — pen-testy, ASV skeny, segmentační audity, snadno 8.000 EUR+ ročně. Se správnou architekturou jsou tyto náklady nulové.

SAQ-A vs SAQ-D

SAQ-A je nejlehčí sebehodnocení PCI-DSS — 22 otázek ano/ne pro obchodníky, kteří kompletně outsourcují data karet. Právní náklady: 0 EUR.

SAQ-D platí ve chvíli, kdy se data karet dotknou vašich systémů — paměti, logů, dočasných proměnných. Počítejte s 8.000-15.000 EUR ročního compliance.

Vzor Stripe Elements

Stripe.js Elements vykresluje pole karty uvnitř iframe obsluhovaného z js.stripe.com. PAN, CVV a expirace nikdy nesdílejí origin s vaší aplikací.

• Host zadá kartu → zůstává v Stripe iframe
• Frontend volá stripe.confirmCardPayment(secret)
• Server vidí pouze token (pi_xxx)

thMenu to dělá ve výchozím nastavení

Tarif Platinum thMenu používá Stripe Elements jako standard. Neexistuje volba "odeslat kartu na server", protože backendový kód nikdy nereferencuje PAN. 3D Secure 2.0 a PSD2 SCA jsou zpracovány na straně Stripe.

Pro českou restauraci to znamená nula dodatečných diskuzí s ÚOOÚ o retenci karet — stačí podat vyplněný SAQ-A acquirerovi.

FAQ

Vyžaduje SAQ-A roční audit? Ne, je to sebehodnocení které jednou ročně vyplníte a deklarujete acquirerovi.

Vrací mě Stripe webhooky do rozsahu? Ne. Payload obsahuje jen poslední 4 číslice, značku a expiraci.

A telefonické objednávky? Když personál zadá kartu, přejdete do SAQ-D. Použijte Stripe Terminal nebo Payment Links.

Bylo to užitečné? Sdílejte to.