PCI DSS-outsourcingis een veel verkeerd begrepen optie: veel handelaren geloven dat ze via het gebruik van een PSP of een tokenisatieplatform alle PCI-verantwoordelijkheid volledig kunnen delegeren. Dit is onjuist. PCI DSS kan nooit volledig worden uitbesteed: er blijft altijd een resterende verantwoordelijkheidsperimeter bij de handelaar, ongeacht hoeveel er aan externe partners wordt gedelegeerd. Inzicht in de grens tussen wat gedelegeerd kan worden en wat blijft, is doorslaggevend voor een weloverwogen beslissing.
Wat daadwerkelijk kan worden gedelegeerd aan een gecertificeerde aanbieder
Via de integratie van een PCI DSS Level 1-gecertificeerde tokenisatiedienst zoals PCI Proxy EU kan een handelaar het volgende effectief delegeren:
- Kaartgegevensopslag: PAN's worden opgeslagen in de gecertificeerde vault, niet op de handelaarssystemen. Vereiste 3 (bescherming van opgeslagen kaartgegevens) is volledig gedelegeerd.
- Cryptografisch sleutelbeheer: versleutelingssleutels, HSM-beheer en sleutelrotatie vallen onder de verantwoordelijkheid van de vault-aanbieder.
- Veilige overdracht van kaartgegevens: vereiste 4 (versleuteling bij verzending) is gedekt voor de kaartgegevensstroom via de vault.
- Fysieke beveiliging van de vault: het datacenter, de HSM-apparaten en de fysieke toegangscontrole vallen onder de verantwoordelijkheid van de aanbieder.
- PCI-audit van de vault: de jaarlijkse Level 1-audit voor de vault-infrastructuur wordt door de aanbieder uitgevoerd en gedocumenteerd in de AOC.
Wat altijd de verantwoordelijkheid van de handelaar blijft
Zelfs met volledig uitbestede kaartgegevensopslag blijven de volgende verplichtingen bij de handelaar:
- Beheer van de resterende scope: systemen die communiceren met de vault (handelaarsserver, uitcheckpagina, API-sleutels) maken nog steeds deel uit van de PCI-scope en moeten dienovereenkomstig worden beveiligd.
- Toegangscontroles en IAM: vereiste 7 en 8 (toegang beperken op 'need to know', gebruikersidentiteiten beheren) gelden voor alle systemen in het bereik.
- Kwetsbaarheidsbeheer: vereiste 6 (veilige systemen en applicaties ontwikkelen en onderhouden) geldt voor alle systemen die tokens beheren of met de vault communiceren.
- Beleid en procedures: vereiste 12 (beveiligingsbeleid onderhouden) moet door de handelaar worden geïmplementeerd en gedocumenteerd.
- Incidentrespons: in geval van een datalek is de handelaar verplicht het incident te melden en te onderzoeken, ook wanneer de compromittering andere systemen dan de vault betrof.
- SAQ-indiening: de jaarlijkse nalevingszelfbeoordeling blijft de plicht van de handelaar.
De juiste outsourcingstrategie: het bereik minimaal houden
Het doel van PCI DSS-outsourcing is niet de volledige eliminatie van de nalevingslast, maar de minimalisering ervan tot een hanteerbaar niveau. Met PCI Proxy EU kan een handelaar zijn bereik terugbrengen totSAQ A— 22 vereisten in plaats van meer dan 300 — wat de naleving transformeert van een langdurig auditproces naar een eenvoudige jaarlijkse administratieve controle.
Om een effectieve outsourcingstrategie te implementeren zijn drie stappen vereist: (1) identificeer alle huidige kaartgegevensstromen in het bedrijf; (2) migreer alle kaartinzamelstromen naar de PCI Proxy EU-oplossing; (3) documenteer de resterende scope en dien het SAQ A in bij de acquirer. Het resultaat is een systeem waarin de meeste moeilijke PCI-vereisten worden beheerd via de vault-aanbieder en de handelaar een minimale restperimeter controleert.
Veelgestelde vragen
Kan ik zeggen 'wij zijn PCI-conform omdat wij PCI Proxy EU gebruiken'?
Niet volledig. De juiste formulering is: 'Wij hebben ons PCI-bereik aanzienlijk verkleind via het gebruik van PCI Proxy EU, een Level 1-gecertificeerde dienst. Voor de resterende scope hebben wij een SAQ A ingediend en de vereiste controles geïmplementeerd.' De naleving is gezamenlijk: PCI Proxy EU dekt de vault-component, de handelaar dekt de resterende scope.
Wie is verantwoordelijk in geval van een datalek bij PCI Proxy EU?
PCI Proxy EU draagt contractuele en regelgevende verantwoordelijkheid voor de beveiliging van de in zijn vault opgeslagen gegevens. In geval van een datalek dat de vault betreft, start PCI Proxy EU het incidentresponsproces, stelt getroffen handelaren op de hoogte en coördineert met netwerken en autoriteiten. De handelaar behoudt zijn meldingsverplichtingen onder de AVG aan de gegevensbeschermingsautoriteiten voor de hem betreffende persoonsgegevens.
Hoe toon ik de acquirer aan dat ik PCI-conform ben nadat ik PCI Proxy EU heb geïntegreerd?
Na de integratie ontvangt u van PCI Proxy EU een AOC (Attestation of Compliance), die u aan de acquirer kunt overleggen. Daarnaast dient u een SAQ A (of A-EP) in, dat uw resterende scope documenteert. De combinatie van de AOC van de dienst en het eigen SAQ is de standaarddocumentatie voor acquirers die de PCI-naleving controleren van handelaren die tokenisatiebetalingen gebruiken.
Wilt u uw PCI DSS-bereik uitbesteden en terugbrengen tot SAQ A?Ontdek PCI Proxy EU.
Hulp nodig bij PCI-naleving?
Ons team helpt u uw CDE in kaart te brengen, het juiste SAQ te kiezen en tokenisatie te implementeren met gegevensresidentie in de EU.
Neem contact op