PCI DSS

Marketplace en PCI DSS: wie is verantwoordelijk voor kaartgegevens van verkopers?

22 maart 2025 5 min lezen PCI Proxy EU

Marketplaces zijn vanuit PCI-oogpunt regelgevingstechnisch complexe omgevingen: het platform fungeert als aggregator tussen kopers en meerdere verkopers, en de vraag wie verantwoordelijk is voor de kaartgegevens is allesbehalve triviaal. Wie is daadwerkelijk verantwoordelijk voor de PCI DSS-naleving, de platformeigenaar of elke afzonderlijke verkoper? Het antwoord hangt af van de architectuur van de betaalstroom.

Marketplace en PCI DSS: wie is verantwoordelijk voor kaartgegevens van verkopers?

De drie marketplace-modellen en uw PCI-bereik

Dit zijn de drie essentiële marketplace-modellen vanuit betalingsperspectief:

  1. Gecentraliseerd model: de marketplace verzamelt alle betalingen van kopers en betaalt verkopers vervolgens uit (gesplitste betaling of batchoverboeking). In dit model heeft de marketplace-eigenaar het volledige PCI-bereik: hij beheert de CDE, verwerkt PAN's en is volledig verantwoordelijk. Verkopers hebben in dit model geen direct contact met kaartgegevens.
  2. Gedecentraliseerd model: elke verkoper beheert zijn eigen betalingsverwerking rechtstreeks met zijn eigen acquirer. In dit geval is elke verkoper autonoom verantwoordelijk voor zijn PCI-naleving, en de marketplace-eigenaar heeft een zeer beperkt PCI-bereik (mogelijk SAQ A, wanneer hij geen betaalelement host).
  3. Hybride model: de marketplace routeert betalingen tussen kopers en verkopers zonder PAN's direct aan te raken, via een PSP met marketplace-functies (zoals Stripe Connect of Adyen voor platforms). In dit geval is het bereik gedeeld en afhankelijk van het contractmodel met de PSP.

Gedeelde verantwoordelijkheid: platform vs. verkoper

Ook wanneer de marketplace het gecentraliseerde model gebruikt en de directe PCI-verantwoordelijkheid op zich neemt, zijn verkopers niet volledig vrijgesteld van nalevingsverplichtingen. Wanneer een verkoper betalingen aanbiedt via het marketplace-platform, moet hij ervoor zorgen dat zijn systemen (CRM, orderbeheer, productcatalogus) geen kaartgegevens van kopers apart opslaan of verwerken. Wanneer een verkoper een eigen betaalpagina buiten de marketplace beheert, is hij volledig verantwoordelijk voor zijn eigen CDE.

Voor de marketplace-eigenaar is het gebruik van tokenisatie voor alle van kopers verzamelde betalingen een strategische keuze: het maakt het mogelijk de PCI-verantwoordelijkheid te centraliseren en te begrenzen, een uniform auditproces te beheren en verkopers aan te tonen dat hun klantgegevens in een gecertificeerde omgeving veilig zijn. Dit is ook een concurrentievoordeel bij het werven van nieuwe verkopers, die steeds meer regulatoire volwassenheid eisen van de platforms die zij gebruiken.

PCI Proxy EU voor marketplaces: één gecentraliseerde kluis voor alle verkopers

PCI Proxy EU biedt een native tokenisatieoplossing voor multi-vendor-marketplaces: één kluis beheert tokens voor alle betalingsstromen van het platform, ongeacht welke verkoper bij de aankoop betrokken is. De marketplace-eigenaar integreert eenmalig de PCI Proxy EU-API en de widget; alle verkopers profiteren hier automatisch van, zonder afzonderlijke integraties.

Voor gesplitste betalingen maakt het PCI Proxy EU-token het de marketplace mogelijk dezelfde creditcardbetaling van een koper over meerdere verkopers te splitsen, zonder dat de PAN de systemen van de marketplace passeert. Dit is bijzonder waardevol voor platforms die realtime uitbetalingen aan verkopers, uitgestelde afrekeningen of terugbetalingsbeheer moeten afhandelen, zonder de PCI-complexiteit te vergroten.

Veelgestelde vragen

Moet elke verkoper op de marketplace afzonderlijk PCI-conform zijn?

Dit hangt af van het gekozen betalingsmodel. In het gecentraliseerde model, waarbij de marketplace alle betalingen rechtstreeks beheert, ligt de hoofdverantwoordelijkheid bij de marketplace-eigenaar. Verkopers moeten ervoor zorgen dat zij geen kaartgegevens via hun eigen systeem dupliceren of verwerken. In het gedecentraliseerde model moet elke verkoper zijn eigen PCI-naleving beheren.

Wat gebeurt er als een verkoper een datalek lijdt en de marketplace klantenkaarten heeft opgeslagen?

Wanneer het datalek de systemen van de verkoper betreft, maar de kaarten zijn opgeslagen op het centrale platform van de marketplace, hangt de verantwoordelijkheid af van het contractuele kader en de daadwerkelijk getroffen systemen. In het algemeen leidt een datalek op een verbonden systeem dat tokens beheert niet tot een PCI-datalek, wanneer er geen PAN's in dat systeem waren opgeslagen. Dit is een bijkomend voordeel van gecentraliseerde tokenisatie.

Ondersteunt PCI Proxy EU de PSD2-vereisten voor Europese marketplaces?

Ja. PCI Proxy EU is actief in Europa en houdt rekening met de regelgevende vereisten die gelden voor Europese betalingsdienstaanbieders en marketplaces, inclusief PSD2-gerelateerde vereisten voor gegevenslokalisering en beveiligingscontroles. Gegevens worden in de EU opgeslagen, met volledige AVG-naleving.

Beheert u een multi-vendor-marketplace en wilt u de PCI DSS-naleving voor alle betalingsstromen centraliseren? Ontdek PCI Proxy EU.


Hulp nodig bij PCI-naleving?

Ons team helpt u uw CDE in kaart te brengen, het juiste SAQ te kiezen en tokenisatie te implementeren met gegevensresidentie in de EU.

Neem contact op

Vereenvoudig PCI DSS-naleving vandaag

Verklein uw CDE, vereenvoudig het SAQ en bescherm kaartgegevens van klanten met PCI Proxy EU.