1. „Program zgodności PCI-DSS Elavon”

Załącznik nr 7 do Umowy
nr ................................................ o Akceptację kart
1. „Program zgodności PCI-DSS Elavon”
1) Bezpieczeństwo danych ma pierwszorzędne znaczenie dla każdego przedsiębiorcy, który przyjmuje płatności
bezgotówkowe za towary i usługi przy użyciu kart płatniczych. Aby wspólnie działać na rzecz bezpieczeństwa
systemów płatności kartami, pięć największych międzynarodowych Sieci Płatniczych, na czele z MasterCard oraz
Visa, powołało Radę Branży Płatności Kartowych (Payment Card Industry Data Security Counsil) zajmującą się
nadzorem standardów bezpieczeństwa danych w branży kart płatniczych, czyli tzw. Payment Card Industry Data
Security Standard („PCI-DSS”). Jednym z wymogów tych standardów jest coroczne wypełnienie przez Akceptanta
Kwestionariusza Samooceny, czyli tzw. Self-Assessment Questionnaire („SAQ”), będącego narzędziem
ułatwiającym zarządzanie zgodnością z PCI-DSS Akceptantów.
2) Elavon świadczy usługę zgodności z PCI-DSS stanowiącą nowy element Usług dla Akceptanta. Oferowany przez
Elavon Program Ograniczenia Odpowiedzialności PCI-DSS obejmuje kompleksowy zbiór procedur Elavon
ukierunkowanych na dostosowanie Akceptanta do wymagań zgodności PCI-DSS. Szczegółowe zasady
funkcjonowania oraz informacje dotyczące Programu znajdują się w Klauzuli 14A – Program Ograniczenia
Odpowiedzialności PCI-DSS, zapisach Umowy w tym niniejszego załącznika i Załącznika nr 3, na stronie
internetowej: www.elavon.pl/pci oraz w ulotce instrukcyjnej „Idea bezpieczeństwa danych użytkownika karty”.
3) Aby chronić akceptację kart płatniczych i pomóc w dostosowaniu firmy Akceptanta do wymogów PCI-DSS, Elavon
współpracuje z firmą Trustwave – akredytowanym rzeczoznawcą, tzw. Qualified Security Assessor („QSA”) przez
Sieci Płatnicze Visa i MasterCard oraz firmą uprawnioną przez te organizacje do analizy sieci płatności kartowych,
tzw. Approved Scanning Vendor („ASV”).
4) Każdy Akceptant poziomu 4 jest zobowiązany do corocznej certyfikacji i zatwierdzenia używanych aplikacji
płatniczych w celu dostosowania się do standardów PCI-DSS. Pierwsza certyfikacja i zatwierdzenie musi nastąpić
w ciągu 90 dni począwszy od dnia zawarcia Umowy. Akceptant poziomu 4 będzie ponosił Opłaty PCI na rzecz
Elavon, w wysokości i zgodnie z zasadami wskazanymi poniżej oraz w Załączniku nr 3 do Umowy. Pojęcie
„Akceptant poziomu 4” na użytek niniejszej Umowy oznacza Akceptanta, który realizuje mniej niż 20 tysięcy
transakcji internetowych rocznie przy użyciu kart płatniczych jednej z Sieci Płatniczych – odpowiednio: Visa,
MasterCard, American Express, Diners Club, Discover lub JCB lub każdy Akceptant, który realizuje rocznie do
miliona transakcji rocznie przy użyciu kart płatniczych jednej z Sieci Płatniczych – odpowiednio: Visa, MasterCard,
American Express, Diners Club, Discover lub JCB.
5) Przystąpienie do Programu i wypełnienie Kwestionariusza samooceny, tzw. Self-Assessment Questionnaire
(„SAQ”) odbywa się w następujący sposób:
 Szczegółowe informacje o zasadach korzystania z Usługi zgodności z PCI–DSS znajdują się na stronie
internetowej: www.elavon.pl/pci.
 Akceptant powinien przejść do zakładki „Sprawdź zgodność”, a następnie kliknąć przycisk „Rejestracja i
zdobycie certyfikatu”.
 W efekcie wyświetlona zostanie strona programu TrustKeeper firmy Trustwave umożliwiająca rejestrację.
 Akceptant powinien uzupełnić dane Akceptanta.
 W zależności od wprowadzonych danych, zostanie wyświetlony odpowiedni Kwestionariusz samooceny (SAQ),
który należy wypełnić kierując się wskazówkami. Jeżeli Akceptant posiada już certyfikat zgodności wystawiony
przez innego QSA, wyświetlony zostanie formularz umożliwiający przekazanie stosownych dokumentów do
Elavon.
 W przypadku braku dostępu do Internetu, Akceptant powinien skontaktować się telefonicznie z Zespołem
Obsługi Klienta Elavon;
2. Opłaty PCI – DSS:
1)
Opłata za brak zgodności z PCI-DSS w wysokości 20 PLN netto płatną miesięcznie za każdą placówkę
handlowo–usługową (poszczególny MID), stosowana będzie dla Akceptanta, który nie dopełnił terminu
certyfikacji i zatwierdzenia wskazanego w podpunkcie 4) punkt 1 niniejszego załącznika – nie wypełnił
kwestionariusza samooceny (SAQ) i (jeżeli wymaga tego forma działalności) nie zeskanował zewnętrznych
adresów IP w tym samym terminie. W przypadku korzystania z zewnętrznych adresów IP stawka opłaty ulegnie
zmianie i opłata wynosić będzie 60 PLN netto miesięcznie za każdą placówkę handlowo–usługową
(poszczególny MID). W takim przypadku Elavon pobierze pozostałą do opłacenia różnicę między wymienionymi
wyżej stawkami opłaty. Opłata płatna będzie najpóźniej do ostatniego dnia każdego miesiąca kalendarzowego i
stosowana będzie do czasu dopełnienia przez Akceptanta procedury certyfikacji zgodności z PCI-DSS. Jeśli
Akceptant dopełnił procedury certyfikacji zgodności z PCI-DSS lub dopełni tej procedury za pośrednictwem
innego niż Trustwave rzeczoznawcy akredytowanego przez Sieci Płatnicze, Akceptant winien przedłożyć
stosowny certyfikat zgodności z PCI-DSS zgodnie z trybem wskazanym podpunkcie 5) punkt 1 niniejszego
załącznika oraz zgodnie ze szczegółowymi informacjami wskazanymi na stronie internetowej: www.elavon.pl/pci
2)
Akceptant może uniknąć zastosowania Opłaty za brak zgodności z PCI-DSS poprzez dopełnienie procedury
certyfikacji zgodności z PCI-DSS zgodnie z zasadami przedstawionymi w podpunkcie 1) powyżej. Począwszy
od miesiąca następującego po miesiącu, w którym Akceptant dopełnił procedury certyfikacji i zatwierdzenia
07_Załącznik nr 7 PCI_1009
Załącznik nr 7 do Umowy
nr ................................................ o Akceptację kart
zgodności z PCI-DSS Opłata za brak zgodności z PCI-DSS zostanie zastąpiona przez miesięczną Opłatę za
usługę zgodności z PCI–DSS. Opłata za usługę zgodności z PCI–DSS z tytułu usługi potwierdzenia zgodności
z PCI-DSS świadczonej przez Elavon wynosi 10 PLN netto miesięcznie za każdą placówkę handlowo–
usługową (poszczególny MID). W przypadku korzystania z zewnętrznych adresów IP stawka opłaty ulegnie
zmianie i opłata wynosić będzie 25 PLN miesięcznie za każdą placówkę handlowo–usługową (poszczególny
MID). W takim przypadku Elavon pobierze pozostałą do opłacenia różnicę między wymienionymi wyżej
stawkami opłaty. Opłata za usługę zgodności z PCI–DSS płatna będzie najpóźniej do ostatniego dnia każdego
miesiąca kalendarzowego obowiązywania opłaty. W związku z dostępem do Usługi zgodności z PCI-DSS
świadczonej w imieniu Elavon przez firmę Trustwave, jako akredytowanego rzeczoznawcy Akceptanta,
wniesienie tej opłaty zapewnia dostęp do serwisu TrustKeeper oraz potwierdzenia zgodności PCI–DSS poprzez
Internet w trybie online, a także zapewnia uprawnienia do otrzymania zrzeczeń w ramach Programu
ograniczenia odpowiedzialności PCI-DSS na warunkach określonych w klauzuli 14A – „Program ograniczenia
odpowiedzialności PCI-DSS” Załącznika nr 1 do Umowy.
3)
Opłata Administracyjna za usługę zgodności z PCI–DSS („Opłata Administracyjna PCI-DSS”) z tytułu
obowiązkowego udziału w programie PCI- DSS wynosi 35 PLN netto rocznie za każdą placówkę handlowo–
usługową (poszczególny MID). Opłata będzie stosowana wyłącznie, jeżeli Akceptant nie skorzysta z usług
Trustwave i wypełni kwestionariusz (SAQ) w terminie wskazanym w podpunkcie 4) punkt 1 niniejszego
załącznika w innym programie zgodności PCI (za pośrednictwem innego niż Trustwave rzeczoznawcy
akredytowanego przez Sieci Płatnicze), niż stosowany przez Elavon, oraz prześle kopie stosownych
dokumentów za pośrednictwem formularza na stronie www.elavon.pl/pci lub prześle kopie takich dokumentów
do Elavon. Oplata płatna będzie rocznie począwszy od ostatniego dnia miesiąca kalendarzowego
następującego po miesiącu otrzymania dokumentów, o których mowa wyżej, przy czym w każdym następnym
roku obowiązywania tej opłaty płatna będzie najpóźniej ostatniego dnia takiego samego miesiąca
kalendarzowego jak w przypadku pierwszej płatności.
4)
Korzystanie z zewnętrznych adresów IP, o którym mowa w podpunktach 1) i 2) powyżej, oznacza połączenie z
hostem Elavon za pośrednictwem łącza internetowego ze stałym adresem IP lub połączenie z hostem Elavon
za pośrednictwem łącza internetowego ze zmiennym adresem IP, gdy do tej samej sieci internetowej u
Akceptanta jest podłączone inne urządzenie (np. komputer, modem).
5)
Opłaty wskazane w podpunktach od 1) do 3) powiększone będą o należny podatek VAT zgodnie z
obowiązująca stawką. Opłaty zaliczają się do Opłat i Korekt wynikających z Umowy i pozostałe warunki
pobierania Opłat i Korekt mają pełne zastosowanie do opłaty.
3. Na podstawie § 7 ust. 5 b) Umowy, do Warunków wprowadza się po punkcie 14 nowy punkt 14A w następującym
brzmieniu „Klauzula 14 A - Program ograniczenia odpowiedzialności PCI-DSS”.
1.
Akceptant zostanie włączony do Programu ograniczenia odpowiedzialności PCI-DSS na niniejszych zasadach,
o ile zapłaci Opłatę za usługę zgodności z PCI-DSS na zasadach wskazanych w Umowie.
2.
Po włączeniu do Programu ograniczenia odpowiedzialności PCI-DSS, na warunkach wskazanych w niniejszej
Klauzuli Akceptant będzie uprawniony do uzyskania od Elavon zrzeczenia się niektórych roszczeń
odszkodowawczych przysługujących Elavon na podstawie Umowy i odnoszących się do :
a) kar pieniężnych nakładanych na Elavon przez Sieci Płatnicze z powodu powstania incydentu Naruszenia
Danych,
b) wszelkich Kosztów Audytu poniesionych przez Elavon związanych z dochodzeniem okoliczności powstania
incydentu Naruszenia Danych, w tym, jeśli Akceptant jest zobowiązany na podstawie Umowy lub
obowiązujących regulacji Sieci Płatniczych do zaangażowania osoby trzeciej uprawnionej (certyfikowanej)
do świadczenia usług związanych z przeprowadzeniem dochodzenia, o którym mowa wyżej, o ile te koszty
przypadają do zapłaty przez Elavon i pod warunkiem, że osoba trzecia, o której mowa wyżej, została
zaaprobowana przez stosowne Sieci Płatnicze do przeprowadzenia takiego Audytu,
c) wszelkich opłat, które Elavon jest zobowiązany zapłacić Wydawcy Kwalifikowanej Karty z tytułu wymiany
Kwalifikowanych Kart, które muszą zostać unieważnione z powodu wystąpienia incydentu Naruszenia
Danych, ale pod warunkiem, że Akceptant będzie korzystał z usług zaakceptowanej przez Elavon osoby
trzeciej, świadczącej usługi w zakresie zapewnienia zgodności ze Standardami PCI Data Security Standard
( „PCI-DSS”).
3.
Zrzeczenie się roszczeń przyznane przez Elavon na podstawie zapisów niniejszej Klauzuli z tytułu
poszczególnego incydentu Naruszenia danych następuje do maksymalnej górnej granicy kwot określonych
poniżej, w zależności od statusu zgodności ze Standardami PCI-DSS Akceptanta i stosownie do informacji
posiadanych przez Elavon. Górne limity kwot zrzeczeń przedstawiają się następująco:
a) do 280.000,00 PLN za każdy incydent Naruszenia Danych w przypadku Akceptanta, który został
certyfikowany, jako zgodny ze Standardami PCI-DSS przez zaakceptowaną przez Elavon osobę trzecią
świadczącą usługi zapewnienia zgodności z tymi standardami;
b) do 140.000,00 PLN za każdy incydent Naruszenia Danych w przypadku Akceptanta, który został
certyfikowany, jako zgodny ze Standardami PCI-DSS przez osobę trzecią świadczącą usługi zapewnienia
zgodności z tymi standardami, która nie była akceptowana przez Elavon;
07_Załącznik nr 7 PCI_1009
Załącznik nr 7 do Umowy
nr ................................................ o Akceptację kart
c) do 28.000,00 PLN za każdy incydent Naruszenia Danych w przypadku Akceptanta, który nie powiadomił
Elavon o swojej zgodności ze Standardami PCI DSS, uznanego przez Elavon jako niezgodny z tymi
standardami, ale który zapłacił Opłatę za usługę zgodności z PCI-DSS.
4.
W celu uzyskania uprawnienia do otrzymania zrzeczenia się roszczeń od Elavon na podstawie i na zasadach
wynikających z zapisów punktu 14A.2 i 14A.3, Akceptant jest zobowiązany do spełnienia następujących
warunków łącznie:
a) w ciągu 7 dni od dnia wykrycia przez Akceptanta powiadomić Elavon w formie pisemnej o jakimkolwiek
odstępstwie od Standardu PCI-DSS w zakresie zasad bezpieczeństwa w przedsiębiorstwie Akceptanta lub
systemie akceptacji kart Akceptanta, które to odstępstwo może powodować lub powoduje wystąpienie
incydentu Naruszenia Danych,
b) być zgodnym ze Standardami PCI-DSS w czasie wystąpienia incydentu Naruszenia Danych,
c) zachowywać dane transakcyjne, rejestry i elektroniczną ewidencję dotyczące Naruszenia Danych,
d) dostarczać kontrolne raporty z systemy informatycznego Akceptanta w celu zidentyfikowania źródła
Naruszenia Danych, albo zezwolić Elavon na przeprowadzenie stosownej kontroli w tym zakresie,
e) współpracować z Elavon i stosownymi Sieciami Płatniczymi we wszystkich procedurach dochodzeniowych
odnoszących się do powstania incydentu Naruszenia Danych.
5.
Jeśli Akceptant nie spełni warunków wskazanych w punkcie 14A.4 oraz jeśli wystąpią okoliczności wskazane w
punkcie 14A.6, zapisy punktu 14A.2 i 14A.3 dotyczące zrzeczenia się roszczeń przez Elavon nie będą miały
zastosowania a zrzeczenia wskazane w tychże zapisach uznaje się za niebyłe. W takiej sytuacji Akceptant traci
roszczenie o zrzeczenie wskazane w punktach 14A.2 i 14A.3 z mocą wsteczną. Ponadto w przypadku
wskazanym w zdaniu poprzedzającym Elavon będzie uprawniony do dochodzenia od Akceptanta bez
jakichkolwiek ograniczeń wszelkich kwot, które mieszczą się w zakresie roszczeń objętych zrzeczeniami, o
których mowa w punkcie 14A.2 i 14A.3, a także pozostałych roszczeń przysługujących Elavon na podstawie
Umowy w związku ze Standardami PCI-DSS, w tym obejmujących zwrot wszelkich kar pieniężnych nałożonych
przez Sieci Płatnicze na Elavon a także Kosztów Audytu, które są należne od Akceptanta.
6.
Ponadto, niezależnie od zapisów punktu 14A.5 Akceptant nie będzie miał prawa do uzyskania żadnego
zrzeczenia na podstawie punktu 14A.2 i 14A.3, jeśli wystąpią następujące okoliczności:
a) incydent Naruszenia Danych powstanie przed dokonaniem płatności Opłaty za usługę zgodności z PCI-DSS
przez Akceptanta lub
b) incydent Naruszenia Danych powstanie z powodu winy umyślnej lub popełnienia czynu zabronionego przez
Akceptanta lub
c) Umowa o akceptację kart zostanie rozwiązana z jakiegokolwiek powodu lub
d) roszczenie Akceptanta wobec Elavon nie będzie się mieścić w zakresie zapisów punktu 14A.2 powyżej.
7.
Z zastrzeżeniem pozostałych praw i zobowiązań Akceptanta wynikających z Umowy, Akceptant przyjmuje do
wiadomości, że Elavon może jednostronnie wypowiedzieć zapisy niniejszej klauzuli bądź zawiesić wykonywanie
jej zapisów na podstawie uzasadnionego pisemnego powiadomienia.
8.
Definicje:
Audyt – niezależna kontrola bezpieczeństwa systemu informatycznego Akceptanta w celu zidentyfikowania
źródła Naruszenia Danych.
Koszty Audytu – wszelkie uzasadnione kwoty wydatkowane w celu przeprowadzenia Audytu.
Naruszenie Danych – odstępstwo od zasad bezpieczeństwa w MID (poszczególny punkt handlowousługowy) Akceptanta skutkujące ujawnieniem poufnych danych klienta Akceptanta zawartych na
Kwalifikowanej Karcie.
MID – unikatowy numer identyfikacyjny Akceptanta przypisany przez Elavon odejmujący poszczególną
placówkę handlowo- usługową Akceptanta.
Usługa zgodności z PCI-DSS – jedna z Usług dla Akceptanta dostarczona przez Elavon obejmująca
świadczenie przez Elavon lub jego kontrahenta jakiejkolwiek czynności w celu uzyskania przez Akceptanta
statusu zgodności ze Standardami PCI-DSS.
Opłata za usługę zgodności z PCI-DSS – opłata stanowiąca element Opłat i Korekt odnosząca się do Usługi
zgodności z PCI- DSS.
Program ograniczenia odpowiedzialności PCI-DSS – program Elavon tworzący część Usługi zgodności z
PCI-DSS opisany w niniejszej Klauzuli 14 A.
Kwalifikowana Karta – dla celów zapisów Klauzuli 14 A - “Program ograniczenia odpowiedzialności PCI-DSS”
oznacza plastikowa kartę: płatniczą kredytową albo debetową ( korzystającą ze środków zgromadzonych
na rachunku bankowym), lub będącą jakimkolwiek innym elektronicznym instrumentem płatniczym,
opatrzoną paskiem magnetycznym lub mikroprocesorem ( „chip”), wydaną przez bank lub innego
wydawcę, uprawniającą jej posiadacza lub użytkownika do dokonywania płatności bezgotówkowych z
tytułu zakupu towarów lub usług i wydaną wyłącznie w ramach Sieci Płatniczych Visa albo MasterCard.
Standardy PCI-DSS („PCI Data Security Standard”) – standardy bezpieczeństwa przeprowadzania
transakcji wymagane przez Sieci Płatnicze podawane do wiadomości przez Sieci Płatnicze, dostępne
miedzy innymi na stronie internetowej: www.elavon.pl/pci.
07_Załącznik nr 7 PCI_1009
Załącznik nr 7 do Umowy
nr ................................................ o Akceptację kart
4. Na podstawie § 7 ust. 5 c) Umowy, zmianie ulega punkt 17 (i) Warunków i przyjmuje następujące brzmienie:
„(i) Zgodność z programami zabezpieczenia. W zakresie wskazanym Akceptantowi przez Agenta
Rozliczeniowego, Akceptant ma obowiązek przestrzegania standardów PCI–DSS oraz warunków
„Programu Zabezpieczenia Informacji” VISA i „Programu Ochrony Danych” MasterCard obowiązujących w
danym czasie. Akceptant zobowiązuje się również do zapewnienia, aby wszyscy Sprzedawcy Będący
Osobami Trzecimi, od których Akceptant nabywa lub wynajmuje / dzierżawi Dodatkowe Usługi lub
Terminale Osób Trzecich, przestrzegali tych standardów oraz warunków tych programów. Akceptant
ponosi odpowiedzialność za własne działania i zaniechania, jak też za działania i zaniechania jego
Podmiotów Stowarzyszonych, kierowników, dyrektorów, wspólników, pracowników i agentów, w tym
Sprzedawców Będących Osobami Trzecimi, z którymi Akceptant zawarł umowy na świadczenie usług na
jego rzecz. Z wyjątkiem zakresu (i tylko zakresu), w jakim może to bezpośrednio wynikać z niedbalstwa,
winy umyślnej lub naruszenia Umowy przez Agenta Rozliczeniowego, Akceptant będzie zobowiązany do
naprawienia szkody, oraz pokrycia w pełnej wysokości wszelkich nałożonych na Agenta Rozliczeniowego
kar finansowych i opłat przez Sieci Płatnicze w związku z Incydentem Naruszenia Danych lub
nieprzestrzeganiem przez Akceptanta standardów PCI–DSS lub programów wymienionych wyżej i do
zwrotu kosztów z tytułu jakichkolwiek Szkód poniesionych przez Osoby Chronione, będących skutkiem lub
związanych z naruszeniem warunków programów wymienionych wyżej lub standardów PCI–DSS przez
którąkolwiek z Osób wymienionych w poprzednim zdaniu. Akceptant zapłaci wyżej wskazane kary, opłaty i
koszty w terminie i na rachunek bankowy wskazany przez Agenta Rozliczeniowego z zastrzeżeniem, iż
Agent Rozliczeniowy jest uprawniony do zastosowania potrącenia w przypadku nałożenia na niego opłat
lub kar finansowych oraz poniesienia kosztów, o których mowa wyżej. W przypadku, gdy Akceptant
współpracowałby z innym Wydawcą lub przyjmowałby Kartę jakiejkolwiek innej Organizacji Kart
Płatniczych, która (Organizacja) posiada gotowy system zabezpieczenia, Akceptant jest zobowiązany do
przestrzegania go i zapewnienia, aby kierownicy, dyrektorzy, wspólnicy, pracownicy i agenci Akceptanta,
w tym Sprzedawcy Będący Osobami Trzecimi, u których Akceptant nabywa lub wynajmuje / dzierżawi
Usługi Dodatkowe lub Terminale, również przestrzegali warunków takiego Programu Dotyczącego Kart.”
..........................................................................
W imieniu Akceptanta
Data podpisania przez Akceptanta: .....................................................................
07_Załącznik nr 7 PCI_1009
.................................................................
W imieniu Elavon