Tokenisatie

Hoe u het PCI DSS-bereik verkleint met tokenisatie

15 januari 2025 5 min lezen PCI Proxy EU

De verkleining van het PCI DSS-bereik is het primaire strategische doel voor elk bedrijf dat kaartbetalingen accepteert en de nalevingskosten en -inspanning wil minimaliseren. Het bereik bepaalt welke systemen, personen en processen onderworpen zijn aan PCI DSS-controles: hoe kleiner het bereik, hoe minder vereisten te vervullen en hoe lager de nalevingskosten. Tokenisatie is de meest effectieve methode voor bereikverkleining, omdat zij het probleem bij de wortel aanpakt: kaartgegevens verlaten nooit de systemen van de handelaar.

Hoe u het PCI DSS-bereik verkleint met tokenisatie

Wat het PCI DSS-bereik definieert

Het PCI DSS-bereik omvat alle systemen, personen, processen en technologieën die kaarthoudergegevens (CHD) opslaan, verwerken of overdragen, alsmede alle verbonden systemen en alle systemen die van deze systemen afhankelijk zijn. Dit betekent: niet alleen de database met opgeslagen kaartnummers valt in het bereik, maar ook de applicatieserver, de netwerkswitch die het verkeer doorstuurt, het beveiligingsmonitoringsysteem met agent op die servers en elk extern dienstprogramma dat toegang heeft tot deze infrastructuur.

Het bereik groeit organisch mee met de IT-complexiteit: elke nieuwe integratie, elke nieuwe dienst, elke nieuwe medewerker met toegang tot betalingssystemen kan de grens potentieel uitbreiden. Zonder proactief bereikbeheer kunnen ook bedrijven met een laag transactievolume uiteindelijk geconfronteerd worden met een zeer uitgebreide CDE die aanzienlijke nalevingskosten met zich meebrengt.

Hoe tokenisatie het bereik verkleint: het mechanisme

Het mechanisme van bereikverkleining via tokenisatie is conceptueel eenvoudig: wanneer er geen PAN aanwezig is in de systemen van een handelaar, vallen deze systemen niet onder de CDE-definitie en behoren zij daarom niet tot het PCI DSS-bereik. Met PCI Proxy EU worden kaartgegevens vastgelegd op de pagina of in de SDK van de aanbieder, opgeslagen in zijn gecertificeerde kluis en wordt alleen een waardeloos token aan de handelaar teruggegeven. Het back-end van de handelaar ontvangt het token, de database slaat het token op, logs registreren het token — nooit de PAN.

In de praktijk betekent dit: de webserver van de handelaar, de back-enddatabase, logboeksystemen, monitoringtools en alle andere infrastructuurcomponenten die eerder in het bereik zouden zijn gevallen, verlaten de CDE. De volledige nalevingslast berust uitsluitend bij de PCI Proxy EU-kluis, die PCI DSS Level 1-gecertificeerd is. De handelaar maakt gebruik van de gecertificeerde perimeter van de aanbieder, zonder deze intern te hoeven onderhouden.

Van SAQ D naar SAQ A: het concrete nalevingsvoordeel

Het concrete gevolg van bereikverkleining is de overgang van een veeleisende SAQ D (met meer dan 200 controles) naar een eenvoudige SAQ A (met circa 20 controles). SAQ D is voor handelaren die volledig in het bereik vallen: vereist netwerksegmentatiedocumentatie, penetratietests, ASV-scans, MFA-beleid voor alle CDE-toegangen, beveiligingsbewustzijnsprogramma's en driemaandelijkse interne kwetsbaarheidsscans. SAQ A is voor handelaren die kaartgegevens volledig hebben uitbesteed aan een gecertificeerde aanbieder: vereist alleen fundamentele beveiligingspraktijken voor de website en de bevestiging dat er geen kaartgegevens door de systemen van de handelaar gaan.

Deze overgang komt overeen met een verlaging van de jaarlijkse nalevingskosten van mogelijk 100.000 tot 300.000 euro (voor SAQ D met externe audit) naar enkele duizenden euro's (voor SAQ A met zelfevaluatie). Voor kmo's kan dit het verschil zijn tussen duurzame en niet-duurzame naleving.

Veelgestelde vragen

Elimineert tokenisatie alle PCI DSS-verplichtingen?

Nee, maar ze worden aanzienlijk verkleind. Ook met tokenisatie blijven sommige verplichtingen bestaan: beveiliging van de website (geen kwaadaardige code op checkoutpagina's), HTTPS, fundamentele fysieke beveiliging. Wat verdwijnt is het omvangrijke deel: CDE-beheer, ASV-scans, penetratietests, MFA-beleid voor betalingssystemen, CDE-specifieke toegangscontroledocumentatie. Het resultaat is SAQ A, het eenvoudigste beschikbare nalevingskader.

Hoe bevestig ik dat mijn bereik correct is verkleind?

De bevestiging verloopt via het SAQ dat u invult na de integratie van de tokenisatieoplossing. Het wordt aanbevolen het SAQ met uw acquirer te bespreken om te verifiëren dat de gekozen architectuur SAQ A toestaat. In sommige gevallen kan een QSA (Qualified Security Assessor) een controle uitvoeren om te bevestigen dat er geen PAN door de systemen van de handelaar gaat; dit versterkt de positie bij de classificatie.

Geldt SAQ A ook voor terugkerende betalingen en card-on-file?

Ja, wanneer kaartgegevens volledig door de PCI Proxy EU-kluis worden beheerd. Ook voor terugkerende betalingen slaat de handelaar alleen het token op: wanneer hij een vervolgttransactie initieert, verzoekt hij de kluis de PAN te verwerken. Omdat de handelaar de PAN nooit ziet of opslaat, blijft zijn bereik SAQ A. Het is belangrijk te bevestigen dat ook logs en applicatiecode de PAN niet opzettelijk of per ongeluk tussenopslaan.

Wilt u uw PCI-bereik van SAQ D naar SAQ A verkleinen?Ontdek PCI Proxy EU.


Hulp nodig bij PCI-naleving?

Ons team helpt u uw CDE in kaart te brengen, het juiste SAQ te kiezen en tokenisatie te implementeren met gegevensresidentie in de EU.

Neem contact op

Vereenvoudig PCI DSS-naleving vandaag

Verklein uw CDE, vereenvoudig het SAQ en bescherm kaartgegevens van klanten met PCI Proxy EU.