Regelgeving en AVG

Open Banking en PCI DSS: moet u conform zijn bij rekeningbetalingen?

1 mei 2025 5 min lezen PCI Proxy EU

Open banking en PCI DSS is een van de meest misverstane onderwerpen in het Europese digitale betalingslandschap. Veel bedrijven nemen aan dat de introductie van rekening-naar-rekeningbetalingen hen automatisch vrijstelt van PCI DSS-verplichtingen, maar de realiteit is genuanceerder. PSD2 en PCI DSS opereren op verschillende regulatoire niveaus, met concrete overlappingen die elke handelaar en PSP moet begrijpen voordat die zijn betalingsarchitectuur vormgeeft.

Open Banking en PCI DSS: moet u conform zijn bij rekeningbetalingen?

Open banking en PCI DSS: wanneer elk framework van toepassing is

PCI DSS geldt voor elke entiteit die betaalkaartgegevens opslaat, verwerkt of verzendt, namelijk PAN, CVV, PIN en gelijkwaardige gegevens. Open banking daarentegen is van toepassing op betalingen die direct vanaf een bankrekening worden geïnitieerd via API's die via PSD2 zijn gereguleerd: via dit kanaal stromen geen kaartgegevens, waardoor PCI DSS strikt genomen niet van toepassing is op de A2A-stroom.

In de praktijk is het onderscheid echter zelden zo eenduidig. Bedrijven die open banking aanbieden als aanvullende betaalmethode accepteren bijna altijd ook kaarten. Hier ontstaat het probleem: het in stand houden van twee parallelle kanalen betekent dat er hoe dan ook een CDE (Cardholder Data Environment) bestaat, met alle bijbehorende PCI-verplichtingen. De redenering "ik heb open banking, ik heb PCI DSS niet nodig" is alleen juist wanneer het bedrijf de kaartacceptatie volledig heeft stopgezet – een uiterst zeldzaam scenario.

A2A en rekening-naar-rekeningbetalingen: beperkt, maar niet nul PCI-bereik

Rekening-naar-rekening (A2A)-betalingen elimineren de PAN uit de transactiestroom. Dit verkleint het PCI-bereik concreet: wanneer een handelaar uitsluitend overschrijvingen of via een PISP (Payment Initiation Service Provider) verwerkt, is er technisch gezien geen actieve CDE voor dit kanaal. Het vereiste nalevingsniveau daalt, en in sommige gevallen kan voor het resterende deel van de bedrijfsactiviteiten een SAQ A worden ingevuld.

Er blijven echter niet-triviale operationele verplichtingen bestaan. IBAN-gegevens en betaalrekeninginformatie vallen niet binnen de PCI DSS-perimeter, maar wel onder de AVG en de API-beveiligingsregels die door PSD2 worden vereist. Een datalek bij A2A-bankgegevens kan leiden tot AVG-sancties van tot 4% van de wereldwijde omzet, ongeacht PCI DSS. Een beperking van het PCI-bereik betekent niet dat het totale risico afneemt.

Hybride stack: wanneer u zowel kaarten als open banking gebruikt

Het meest voorkomende scenario voor Europese handelaren en PSP's in 2025 is een hybride stack: credit- en debetkaarten voor het grootste deel van de detailhandelstransacties, open banking voor B2B-betalingen of handelaren die interbancaire kosten willen verlagen. In dit geval bestaat de CDE nog steeds, en betreft de PCI DSS-naleving de volledige infrastructuur die kaartgegevens verwerkt, inclusief gemeenschappelijke componenten zoals firewalls, logboeken en authenticatiesystemen.

De optimale oplossing voor een hybride stack is de centralisering van kaartgegevensbeheer in één extern gecertificeerde PCI DSS Level 1-kluis, zoals die van PCI Proxy EU, en het in stand houden van open-bankingbetalingen via een afzonderlijk technisch pad. Dit houdt de PCI-perimeter beperkt, vermindert de auditcomplexiteit en maakt het mogelijk dat beide kanalen zich onafhankelijk ontwikkelen, zonder dat wijzigingen in het ene kanaal de naleving van het andere beïnvloeden.

Veelgestelde vragen

Moet een bedrijf dat uitsluitend open banking gebruikt, PCI-conform zijn?

Wanneer het bedrijf in geen enkele stroom betaalkaartgegevens verwerkt, is PCI DSS niet van toepassing. Dit geldt alleen wanneer alle geaccepteerde betaalmethoden A2A zijn of verlopen via een PSD2-gereguleerde PISP. In de praktijk bevindt vrijwel geen enkele Europese handelaar zich in deze situatie: de grote meerderheid accepteert nog steeds kaarten, waardoor de PCI DSS-verplichting van kracht blijft.

Elimineert PSD2 de PCI DSS-verplichtingen voor banken?

Nee. PSD2 reguleert de rekeningtoegang en betaaldiensten, terwijl PCI DSS een door het PCI SSC beheerde beveiligingsstandaard voor kaartgegevens is. Banken zijn aan beide onderworpen: PSD2 voor open-banking-API's, PCI DSS voor alle diensten die kaartgegevens verwerken. Beide frameworks vullen elkaar aan en vervangen elkaar niet.

Ondersteunt PCI Proxy EU open-bankingbetalingen?

PCI Proxy EU richt zich op tokenisatie en veilig kaartgegevensbeheer. Voor hybride kaarten- en open-bankingstacks bestaat de oplossing erin PCI Proxy EU te integreren voor het kaartenkanaal en een afzonderlijk pad voor A2A-betalingen te behouden. Dit minimaliseert de PCI-perimeter zonder de flexibiliteit van de aangeboden betaalmethoden te beïnvloeden.

Beheert u een hybride kaarten- en open-bankingstack en wilt u precies begrijpen wat binnen uw PCI-perimeter valt? Ontdek PCI Proxy EU.


Hulp nodig bij PCI-naleving?

Ons team helpt u uw CDE in kaart te brengen, het juiste SAQ te kiezen en tokenisatie te implementeren met gegevensresidentie in de EU.

Neem contact op

Vereenvoudig PCI DSS-naleving vandaag

Verklein uw CDE, vereenvoudig het SAQ en bescherm kaartgegevens van klanten met PCI Proxy EU.