Elk bedrijf dat een abonnementsmodel exploiteert, van SaaS-platforms tot mediabedrijven, sportscholen en e-commerce-abonnementen, bevindt zich binnen het PCI-bereik zodra het terugkerende kaartbetalingen beheert. De bijzondere uitdaging bij abonnementsfacturatie is niet de eerste betaling, maar het beheer van de kaartgegevens voor alle volgende facturatiecycli: het bekende card-on-file. Wanneer deze gegevens niet correct met tokenisatie worden beschermd, wordt elke facturatiecyclus een PCI-risico.
Waarom iedereen die abonnementen beheert binnen het PCI-bereik valt
Het abonnementsmodel vereist dat het bedrijf een verwijzing naar de kaart van de klant bewaart voor toekomstige afschrijvingen. Deze verwijzing, of het nu een in leesbare vorm opgeslagen PAN is, een door de PSP beheerd token of een eigen intern token, vormt de kern van het PCI-bereik voor abonnementsbedrijven. De combinatie van PAN + vervaldatum met het doel het abonnement te behouden is voldoende om de CDE-verplichtingen te activeren, ook wanneer het bedrijf nooit zelf een volledig aankoopproces beheert.
Veel abonnementsbedrijven denken dat ze niet binnen het bereik vallen omdat ze een PSP zoals Stripe of Braintree gebruiken die de betalingsverwerking overneemt. Dit klopt deels: wanneer het bedrijf alle kaartgegevens volledig aan de PSP overlaat en alleen een PSP-specifiek token (bijvoorbeeld een Stripe-klant-ID) beheert, is het directe PCI-bereik minimaal. Het probleem ontstaat wanneer het bedrijf van PSP wil wisselen, meerdere PSP's wil gebruiken of een eigen facturatiesysteem wil ontwikkelen; in dat geval is een overdraagbaar card-on-file-token onmisbaar.
Card-on-file-tokenisatie voor abonnementen
Card-on-file-tokenisatie (CoF) betekent dat de PAN van de klant bij de eerste checkout wordt vervangen door een blijvend token dat voor alle volgende abonnementsbetalingen kan worden gebruikt, zonder dat de PAN ooit opnieuw hoeft te worden opgevraagd. Het token wordt veilig opgeslagen in een PCI DSS Level 1-gecertificeerde kluis en kan alleen door de kluisaanbieder (zoals PCI Proxy EU) worden omgezet voor verwerking bij de acquirer.
Voor het abonnementsbedrijf betekent dit dat het facturatiesysteem alleen tokens beheert, geen PAN's. De maandelijkse of jaarlijkse afschrijvingslogica kan worden geïmplementeerd in het CRM, het abonnementsbeheerplatform of een eigen systeem, zonder ooit echte kaartgegevens aan te raken. Dit verkleint het PCI-bereik tot SAQ A of SAQ D-Merchant (met een drastisch verkleind bereik), afhankelijk van de complexiteit van de architectuur.
Resterende nalevingsverplichtingen voor abonnementsbedrijven
Ook met CoF-tokenisatie blijven er voor abonnementsbedrijven enkele nalevingsverplichtingen bestaan:
- Transactielogging: Alle afschrijvingsgebeurtenissen moeten worden gelogd voor traceerbaarheids- en geschildoeleinden. Logs mogen geen PAN's bevatten, alleen tokens en transactiereferenties.
- Toegangscontroles: Alleen geautoriseerd personeel mag toegang krijgen tot het facturatiedashboard en de betalingsbeheersystemen. MFA is verplicht voor alle gebruikers met toegang tot gevoelige functies.
- Vulnerability management: Systemen die tokens beheren moeten regelmatig op kwetsbaarheden worden gescand, ook wanneer ze geen PAN's bevatten.
- Transparantie over gegevens richting klanten: Onder de AVG moeten abonnementsbedrijven duidelijk communiceren welke betalingsgegevens worden opgeslagen en voor welke doeleinden. Tokenisatie vergemakkelijkt deze communicatie.
Veelgestelde vragen
Kan ik hetzelfde CoF-token bij meerdere acquirers gebruiken?
Ja, wanneer het token door de kluisaanbieder wordt omgezet om de PAN naar de gewenste acquirer door te sturen. PCI Proxy EU-tokens zijn acquirer-agnostisch: het token is een blijvende identifier die door de kluis in een realtime-routingbeslissing wordt omgezet. Dit is vooral waardevol voor bedrijven die meerdere PSP's gebruiken voor routingoptimalisatie of geografische redundantie.
Hoe migreer ik bestaande opgeslagen kaartgegevens naar een token-kluis?
PCI Proxy EU biedt een veilige gegevensmigratiedienst: bestaande PAN's worden via een versleutelde en gesegmenteerde verbinding rechtstreeks naar de kluis overgebracht, zonder de huidige systemen van het bedrijf te passeren. Aan het einde van de migratie zijn de oorspronkelijke gegevens in de kluis opgeslagen en ontvangt het bedrijf tokens om de oude verwijzingen te vervangen. De migratie kan plaatsvinden zonder onderbreking van de abonnementsdienst of het opnieuw verzamelen van kaartgegevens bij klanten.
Wat gebeurt er wanneer een kaart verloopt of opnieuw wordt uitgegeven?
PCI Proxy EU ondersteunt de automatische kaartactualisatie via Card Account Updater (CAU)-diensten die door Visa en Mastercard worden aangeboden: wanneer een kaart verloopt of een nieuwe wordt uitgegeven, wordt het token automatisch gekoppeld aan de nieuwe kaartgegevens, zonder dat de abonnee hoeft in te grijpen. Dit verkleint betalingsfouten door verlopen kaarten en verbetert de retentie van abonnees.
Beheert u een abonnementsmodel en wilt u terugkerende betalingen PCI-conform en zonder handmatige kaartupdates beheren?Ontdek PCI Proxy EU.
Hulp nodig bij PCI-naleving?
Ons team helpt u uw CDE in kaart te brengen, het juiste SAQ te kiezen en tokenisatie te implementeren met gegevensresidentie in de EU.
Neem contact op