Ontwikkelaar

PCI-conforme API: tokenisatie integreren zonder PAN's te verwerken

3 april 2025 5 min lezen PCI Proxy EU

EenPCI-conforme APIintegreren betekent niet zomaar een veilige REST-interface bouwen: het betekent een architectuur ontwerpen waarin de ontwikkelaar en interne systemen nooitPAN-gegevens in platte tekst aanraken. Dat is het kernverschil tussen een generieke API met betalingen en een werkelijk PCI-conforme integratie. PCI Proxy EU biedt precies die architectuur: de PAN stroomt rechtstreeks naar de kluis, en de ontwikkelaar werkt uitsluitend met tokens.

PCI-conforme API: tokenisatie integreren zonder PAN's te verwerken

Wat "PCI-conform" voor een API betekent

Een "veilige API" is niet per se een PCI-conforme API. Beveiliging heeft betrekking op transportversleuteling, authenticatie, rate limiting en bescherming tegen OWASP-kwetsbaarheden. PCI-naleving is specifieker: het vereist dat kaartgegevens (PAN, CVV, vervaldatum in combinatie) worden beheerd in een CDE die volgens PCI DSS v4 gecertificeerd is, en dat systemen buiten de CDE kaartinformatie niet in platte tekst opslaan of verwerken.

Een PCI-conforme API voor betalingen moet daarom drie eigenschappen hebben: (1) kaartgegevens raken nooit de server van de handelaar, maar worden rechtstreeks vanuit de browser of app van de klant naar de kluis verzonden; (2) de server van de handelaar ontvangt en verwerkt alleen tokens, nooit PAN's; (3) de tokenisatie-API wordt geleverd door een PCI DSS Level 1-gecertificeerde aanbieder die een geldige AOC (Attestation of Compliance) kan afgeven.

Hoe de integratie met PCI Proxy EU werkt

PCI Proxy EU stelt een REST-API en een JavaScript-widget beschikbaar voor het vastleggen van kaartgegevens. In een typische webintegratie voegt de ontwikkelaar het PCI Proxy EU-widget toe aan de checkoutpagina: het widget rendert de formuliervelden voor het kaartnummer, het vervaldatum en de CVV rechtstreeks binnen de beveiligde context van PCI Proxy EU, niet op de server van de handelaar. De klant voert de kaartgegevens in, het widget stuurt ze rechtstreeks naar de PCI Proxy EU-kluis en geeft het handelaarsysteem een token terug.

Vanaf dat moment werkt de server van de handelaar uitsluitend met tokens: hij kan het token gebruiken voor terugkerende betalingen, terugbetalingen, deelbetalingen of andere vervolgtransacties, zonder ooit de PAN in platte tekst aan te raken. Dat haalt de server van de handelaar volledig uit de CDE voor de kaartregistratiestroom. In scenario's met callcenters of MOTO maakt PCI Proxy EU een veilige telefonische invoer mogelijk via DTMF of webformulieren, opnieuw zonder dat de agent kaartgegevens in platte tekst ziet of verwerkt.

PCI-bereikreductie voor ontwikkelaars

Voor een ontwikkelaar die een PCI-conforme API integreert, is het praktische effect aanzienlijk: wanneer de server van de ontwikkelaar nooit een PAN in platte tekst ontvangt of verwerkt, valt de serverinfrastructuur van de ontwikkelaar buiten het PCI-bereik. Logs, caches, tijdelijke bestanden, databases — geen van deze resources vereist PCI DSS-controles, omdat ze tokens bevatten en geen PAN's.

In de praktijk betekent dit dat handelaren die PCI Proxy EU gebruiken voor het vastleggen van kaartgegevens eenSAQ AofSAQ A-EPkunnen indienen in plaats van een SAQ D. Het aantal toepasselijke vereisten daalt van meer dan 300 naar 22-30, wat de nalevingsinspanning aanzienlijk verkleint. Voor fintechs en start-ups betekent dit dat PCI-naleving niet langer een maandenlang proces is dat de go-live blokkeert, maar iets wat in enkele dagen binnen de normale ontwikkelcyclus kan worden afgerond.

Veelgestelde vragen

Kan ik het PCI Proxy EU-token gebruiken voor terugkerende betalingen?

Ja. Het door PCI Proxy EU uitgegeven token is een permanent card-on-file-token dat kan worden gebruikt voor latere transacties: abonnementen, verlengingen, deelbedragen of terugbetalingen. De handelaar geeft het token samen met het transactiebedrag door aan de PSP, die het omzet naar de bijbehorende PAN voor de autorisatie bij de acquirer, zonder dat de handelaar ooit de PAN in platte tekst aanraakt.

Is het JavaScript-widget van PCI Proxy EU compatibel met alle e-commerceplatforms?

Het widget is framework-onafhankelijk en kan in elk webplatform worden geïntegreerd: React, Vue, Angular, vanilla JS, WordPress/WooCommerce, Shopify via apps. De integratie vereist het insluiten van het script en het configureren van de callbackvelden om het token te ontvangen. Voor native mobiele apps stelt PCI Proxy EU SDK's voor iOS en Android beschikbaar die hetzelfde beveiligingsarchitectonische patroon repliceren.

Welk SAQ kan ik na de integratie van PCI Proxy EU voor alle betalingsstromen indienen?

Wanneer alle stromen voor het vastleggen van kaartgegevens (online, MOTO, telefoon) via PCI Proxy EU-tools verlopen en de handelaarserver nooit PAN's in platte tekst ontvangt, kan de handelaar over het algemeen een SAQ A (voor puur webgebaseerde e-commercehandelaren) of SAQ A-EP (wanneer de handelaar pagina-elementen beheert die de kaartinvoer omvatten) indienen. Het exacte SAQ-type wordt bepaald door de acquirer in afstemming met de richtlijnen van de PCI-netwerken.

Ontwikkelt u een betalingsintegratie en wilt u begrijpen hoe u PCI Proxy EU in uw architectuur integreert?Ontdek de technische documentatie.


Hulp nodig bij PCI-naleving?

Ons team helpt u uw CDE in kaart te brengen, het juiste SAQ te kiezen en tokenisatie te implementeren met gegevensresidentie in de EU.

Neem contact op

Vereenvoudig PCI DSS-naleving vandaag

Verklein uw CDE, vereenvoudig het SAQ en bescherm kaartgegevens van klanten met PCI Proxy EU.