Soulad s karetními schématy — co by měl podnik vědět před připojením

Grigorii Lutcenko

27.03.2026 | 6 minutové čtení

Aktualizováno: 27.03.2026

Vedu COREDO od roku 2016 a denně vidím, jak firmám pomáhá nejen pečlivá registrace právnické osoby nebo včasné získání licence, ale i dokonale vyladěný soulad s platebními schématy a požadavky platebních systémů. To je oblast, kde se strategie, regulace a technologie setkávají v jednom bodě. A pokud to uděláte opravdu dokonale právě zde, škálování podnikání, zpracování v několika měnách a vstup na nové trhy se stanou otázkami plánování, nikoli náhody.

Soulad s pravidly karetního schématu pro podnikání

Card scheme compliance není jeden certifikát ani «dopis od banky». Je to průřezový ekosystém: od smluvních vztahů s acquirerem a PSP až po PCI DSS, 3‑D Secure, AML/KYC, PSD2 SCA, sankční monitoring a procesy incident response. Jakákoli slabina se rychle stane zdrojem pokut od schémat, blokací obchodníka nebo nárůstu poměru chargebacků nad prahy.

Požadavky schémat a smluvní vztahy

Pravidla Visa pro obchodníky, pravidla Mastercard a specifikace American Express tvoří základní knihovnu pravidel pro každou roli: obchodník, PSP, procesor, acquiring bank. Doporučuji se zaměřit na:

• Požadavky Visa a Mastercard na obchodníky: povolené modely, omezení kryptoplateb, pravidla pro opakované platby (recurring payments) a uchovávání údajů karty (card on file), limity poměru chargebacků.
• Požadavky na registraci u American Express: samostatný postup připojení k platebnímu systému AmEx s ověřením odvětvového rizika a cenového modelu.
• Kritéria underwritingu acquirující banky: finanční stabilita, model rizika, politika vrácení prostředků, politika proti podvodům a SLA zákaznické podpory.
• Smlouva o acquiringu a podmínky schémat: interchange++, vyrovnací období (settlement periods), rolling reserve/escrow, náhrady škod (indemnities) a rozdělení odpovědnosti (merchant fraud liability allocation).
• Klasifikace a rizika Merchant category code (MCC): nesprávný MCC vede ke zvýšeným poplatkům, zákazům nebo eskalacím.
• Rizika a odpovědnost spojená s BIN sponsoringem: pokud působíte jako PSP/fintech s vlastním BIN, je důležité řízení rozsahu BIN (BIN range management), dodržování pravidel sítě a kontrola skórovacího profilu.

Připojení obchodníka k platebnímu systému

Abychom zkrátili cyklus připojování k acquiringu a akreditace u karetních schémat, procházíme krok za krokem checklist onboardingu obchodníka:

• KYB a prověření beneficiářů před připojením: zveřejnění skutečného vlastnictví, požadavky UBO, vlastnická struktura, zdroje prostředků.
• Požadavky AML a KYC při připojování acquiringu: identifikační politika, limity transakcí pro boj proti praní špinavých peněz, procedura hlášení podezřelé činnosti (SAR).
• Pravidla sankčního compliance: seznamy EU, OFAC a globální sankční seznamy, prověřování klientů a protistran, geoblokování.
• Požadavky PSP Due Diligence a kontrolní seznamy: hodnocení rizik dodavatelů třetích stran, smluvní SLA a postupy auditu poskytovatelů.
• Řízení compliance a vnitřní platební politika: role, RACI matice, pravidelné audity, školení.
• Sběr a předávání reportingu do karetních schémat: formát, termíny, odpovědné osoby.

PCI DSS, 3‑D Secure, tokeny, šifrování

• Požadavky PCI DSS pro obchodníky: určujeme roli a PCI‑scope, volíme profil SAQ (PCI SAQ A, SAQ A‑EP, SAQ D — rozdíly a volba).
• PCI DSS certifikace před připojením: role Qualified Security Assessor (QSA) a Approved Scanning Vendor (ASV), interní a externí sken, náprava.
• Šifrování: šifrování v klidu (encryption at rest) a při přenosu (in transit), P2PE (point‑to‑point encryption) pro podnikání na POS.
• Tokenizace karet a soulad se schématy: vaulted vs vaultless tokenizace, minimalizace PCI scope pomocí tokenizace, výběr poskytovatele tokenů (token service provider) a integrace.
• Hosted payment page jako způsob snížení PCI scope: přesunutí sběru karet na certifikovaný HPP.
• Požadavky na ukládání a ochranu údajů karet: zkracování PAN (PAN truncation), správa klíčů (key management), citlivé údaje a rotace klíčů.
• Implementace 3‑D Secure a soulad: merchant plug‑in (MPI), risk‑based authentication, dynamické 3‑D Secure a frictionless flow, liability shift a jeho dopad na odpovědnost.
• Integrace API acquiringu a ISO 8583: technický integrační checklist (API, webhooks, callbacks), profil zpráv ISO 8583 a testování, sandbox testování integrace se sandbox‑prostředím schémat.

Regulace PSD2/SCA/GDPR/AML/eIDAS

Regulační prostředí určuje hranice pro card scheme compliance, zejména v EU a ve Velké Británii.

• Vliv PSD2 a SCA na card scheme compliance: strong customer authentication jako základní vrstva pro CNP, výjimky a metodika transaction risk analysis (TRA).
• GDPR při zpracování platebních údajů: právní základy, minimalizace údajů, DPA s poskytovateli, přeshraniční přenos dat.
• eIDAS elektronická identifikace pro obchodníky: právní síla elektronických podpisů a identifikací při onboardingu.
• FATF doporučení a požadavky EU AMLD5/AMLD6 pro poskytovatele platebních služeb: risk‑based approach, customer due diligence, ongoing monitoring.

Prevence podvodů, vrácení plateb, monitorování rizik

Silný antifraudový model a řízení chargebacků jsou klíčem k ziskovosti a k hladkým vztahům s platebními schématy.

• Card‑not‑present (CNP) rizikové modely: device fingerprinting, analýza chování, velocity‑pravidla.
• Fraud scoring modely a threshold tuning: A/B‑nastavení prahů, sezónnost, specifika MCC.
• Transaction monitoring algoritmy a scénáře triggerů: geo s vysokým rizikem, opakované pokusy, testovací karty.
• Chargeback management a požadavky schémat: výpočet a monitoring merchant chargeback ratio, zpracování retrieval request a SLA, proces chargeback representment a osvědčené postupy.
• Požadavky schémat na prahy chargeback ratio: kontrola na úrovni BIN/merchanta, včasná upozornění, prediktivní analytika.

POS kanál: EMV, POS certifikace a NFC

• EMV и chip‑and‑pin požadavky pro POS: certifikace terminálů, sladění profilů s akvírní bankou.
• Point‑of‑sale (POS) certifikace a úroveň kompatibility: dodržení specifikací schémat, biometrie a fallback‑postupy.
• NFC contactless limity a politiky schémat: dynamické limity, země‑specifické politiky.

interchange++, dynamická konverze měny, vyrovnání a smíření

Finanční mechanika přímo ovlivňuje P&L obchodníka a ROI compliance.

• Interchange poplatky a dopad na marži: modely interchange++ a blended, vliv MCC, geografické rozložení a úrovně karet.
• Období vyrovnání a mechanismus výpočtů: frekvence výplat, cut‑off times, zadržení a korekce.
• Dynamic currency conversion (DCC) a dohody s bankou: transparentnost pro držitele karty, FX marže, regulatorní omezení.
• Reconciliation a mapování výpisů — osvědčené postupy: automatizace párování, SLA uzavření období, kontrola fee řádků.

Partnerský ekosystém PSP a BIN

Výběr technologických a bankovních partnerů, strategické rozhodnutí ovlivňující dobu akreditace a stabilitu provozu.

• Doporučení pro výběr procesoru a sponzora BIN: due diligence, technické SLA, úroveň certifikací, roadmap podporovaných schémat.
• Hodnocení rizik třetích stran dodavatelů a SLA: audit bezpečnosti, rezervace kapacit, RTO/RPO.
• Smluvní SLA pro zpracovatelské služby: doba autorizace, dostupnost, zpracování storno operací a refundací.
• Správa rozsahů BIN a rozdělení BIN: geo‑pokrytí, MCC‑profil, pravidla schémat.
• Výběr poskytovatele tokenizačních služeb a integrace: kompatibilita s mobilními peněženkami a pravidly karetních schémat.

Škálování: víceměnové / mobilní peněženky / opakované platby.

Růst objemu transakcí a vstup na nové trhy vyžadují stabilní architekturu a dodržování přeshraničních pravidel.

• Požadavky na víceměnové zpracování plateb: podpora FX kurzů, lokální směrování, omezení přeshraničního zpracování.
• Kompatibilita mobilních peněženek a pravidel karetních schémat: tokenizace, kryptogramy, TSP‑integrace.
• Opakované platby a pravidla ukládání karty (card on file): specifické indikátory transakcí, SCA‑výjimky, oznámení zákazníka.
• Problémy s dodržováním pravidel u struktur obchodníků s více subjekty: alokace rizik, celkový poměr chargebacků, komplexní AML‑monitoring.
• Lokalizace dat a přeshraniční přenos platebních dat: místní požadavky jednotlivých zemí a SCC/podobné mechanismy.

Incidenty, pokuty a odolnost

Incidenty se stávají i u zralých organizací. Důležité není riziko popírat, ale být připraven.

• Odpovědnost za únik údajů z karet a pokuty: sankce platebních schémat za nesoulad, případy, reputační náklady.
• Plány pro případ incidentu a forenzního vyšetřování: plán reakce na incident, požadavky platebních schémat na zachycení forenzních dat, výběr nezávislého vyšetřovatele.
• Požadavky platebních schémat na zachycení forenzních dat po incidentu: logování, uchovávání artefaktů, řetězec uchování důkazů.
• Lhůty a povinnosti při oznamování úniku dat: komu a kdy oznamovat – platebním schématům, acquiring bance, regulátorovi, zákazníkům.
• Provozní odolnost a vliv DORA na zpracování plateb: požadavky na odolnost vůči výpadkům v EU, testování krizových scénářů.

Sankční a AML okruh

Compliance schémata jsou úzce provázána s AML/sankčními pravidly, zejména při přeshraničních operacích.

• monitorování transakcí a pravidla sankční kontroly: seznamy EU, OFAC, geoblokace, PEP/Adverse Media, logy a eskalace.
• Postup hlášení podezřelé činnosti (SAR): spouštěče, lhůty, spolupráce s bankou‑acquirerem.
• Oznámení o skutečném vlastnictví a požadavky UBO: transparentnost vlastnictví a zdrojů prostředků.
• právní posudek pro přeshraniční acquiring: kdy je vyžadován a jaké otázky řeší.

Časový harmonogram akreditace: audit/náprava

Abychom dodrželi termíny, je potřeba řízený harmonogram a jasná kontrola plnění.

• Termíny a fáze certifikace u platebních schémat: příprava, testování, pilot, produkční‑akreditace, dohled po go‑live.
• audit souladu a úloha QSA: roční hodnocení, penetrační test, ASV‑skeny, odstraňování zranitelností.
• Harmonogram akreditace a kontrolní seznam kroků: artefakty, demo, výsledky UAT, potvrzení schémat.
• Plán nápravy po nesouladu s požadavky: pozastavení funkcí, korektivní opatření, důkazní dokumentace.

Ekonomika souladu: ROI a metriky

Card scheme compliance: to je investice. Je třeba ji měřit.

• Hodnocení ROI při zavádění souladu s požadavky: porovnání pokut/úniků dat/chargebacků vs. náklady na 3DS, P2PE, tokenizaci a QSA.
• Analýza nákladů a přínosů zavedení 3DS a P2PE: snížení podvodů a přesun odpovědnosti vs. tření v UX a investice do terminálů.
• Metriky pro hodnocení ROI souladu (NPS, ARPU, LTV) začleň přirozeně: vliv na retenci, míru schválení, snížení provozních nákladů na podporu.
• Řízení dodavatelů a smluvní ustanovení o odškodnění: snížení finanční expozice z rizik s dlouhým ocasem.

Technické detaily integrace

Závěrečný blok o tom, jak spustit integraci bez opakovaných kol schvalování.

• Kontrolní seznam technické integrace API, webhooks, callbacks: idempotentnost, opakování pokusů, podpisy, monitorování, upozornění.
• Profil zpráv ISO 8583 a testování: správné kódy odpovědí, storna, kódy důvodů chargebacku.
• Testování v sandboxu s prostředími schémat a acquirera: testovací případy na chyby, offline, AAA scénáře.
• Omezení a pravidla přeshraničního zpracování: lokalizace polí, směrování a záložný mechanismus.

Jak urychlit a neztratit kvalitu

Shrnu závěrečné rady, které systémově zvyšují šance na hladkou akreditaci a výhodnou ekonomiku:

• Od samého začátku dohodněte s acquirerem MCC, model risk, SCA‑flow a sankční kontrolu. To je základ underwritingu a férové ceny interchange++.
• Minimalizujte PCI‑scope: hosted payment page + tokenizace u certifikovaného TSP se často vrátí rychleji než «vlastní trezor».
• Na online kanálu používejte 3DS 2.x s risk‑based authentication a dynamickými pravidly; na offline: P2PE a kompatibilitu s EMV.
• Formalizujte AML/KYC/KYB a sankční monitoring: prahy, scénáře, SAR, audity a logy. To urychluje akreditaci merchanta u card scheme.
• Projděte smluvní část: indemnities, rozdělení odpovědnosti za podvody, escrow/rolling reserve, settlement periods, DCC‑politiku.
• Vytvořte plán incident response s požadavky na forensic data capture a postupy oznamování schématům/regulátorům v požadovaných lhůtách.
• Vyřešte otázky data localization a přeshraničního přenosu platebních dat: to je častá příčina prodlev v EU a v některých asijských zemích.
• Používejte metriky ROI: NPS, ARPU, LTV, chargeback ratio, autorizační konverzi, TCO na compliance. Tak je snazší obhájit investice před představenstvem.
• Kontrolujte kompatibilitu s mobilními peněženkami a pravidly card scheme předem, včetně výběru token service providera.
• Plánujte operational resilience v duchu DORA: redundanci, pravidelné testy, RTO/RPO, externí závislosti a vendor management.

Případy COREDO – krátce o přístupu

• EU e‑commerce: migrace na SAQ A + 3DS 2.2 s frictionless pro nízkorizikové transakce, TRA podle PSD2, snížení chargebacků o 30% a urychlení settlementu o 1 den díky lepšímu MCC a interchange++.
• Singapurský marketplace: jednotný sanctions screening a AML scénáře potvrzené acquirerem; urychlená akreditace a růst limitů.
• Dubajský obchodník: RBA + device fingerprinting + adaptive 3DS; poměr chargebacků stabilně pod prahem schémat, rolling reserve snížen.
• Kyperský fintech: hodnocení rizik dodavatelů, odškodňovací doložky a pojistné krytí; bezpečný BIN sponsoring a odolnost vůči incidentům.

Závěry

Dodržování pravidel karetního schématu je základem platební operace v mezinárodním měřítku. Určuje, jakou ekonomiku získáte zítra, zda se budete moci bez přerušení připojit k novým trhům a jak sebejistě projdete auditem schémat nebo regulátora. Můj tým v COREDO je zvyklý vnímat tento okruh jako jednotný produkt: právní návrh, AML/KYB/KYC, kontrola sankcí, PCI DSS a 3DS, architektura tokenizace, smluvní základna, reconciliace a reakce na incidenty.

Jednoduše řečeno, cesta vypadá takto:

• Jasný onboarding check‑list, promyšlená architektura s minimálním rozsahem PCI, disciplína v oblasti AML a sankcí, promyšlený anti‑fraud model, transparentní vypořádání a SLA s partnery, plus připravenost na incidenty a neustálé zlepšování.
• Když se tyto prvky spojí do jednotného systému, dodržování pravidel karetního schématu přestává být nákladovou položkou a stává se konkurenční výhodou.