PCI DSS als dienst is een van de meest verbreide nalevingsmodellen in Europa, maar ook een van de meest misverstane. Veel handelaren denken dat de delegatie van naleving aan een aanbieder de volledige verantwoordelijkheid overdraagt. De realiteit is anders: sommige PCI DSS-verantwoordelijkheden blijven altijd juridisch bij de handelaar, ongeacht hoeveel componenten worden uitbesteed. Weten waar deze grens precies ligt, is onmisbaar om verrassingen bij een audit of na een datalek te vermijden.
Wat PCI DSS als dienst is en wat het daadwerkelijk omvat
PCI DSS-uitbesteding in technische zin betekent de delegatie van het beheer van de CDE (Cardholder Data Environment) aan een PCI DSS Level 1 gecertificeerde aanbieder. De aanbieder neemt de verantwoordelijkheid over voor alle technische en organisatorische controles die zijn perimeter betreffen: versleuteling van kaartgegevens, cryptografisch sleutelbeheer met een gecertificeerde HSM, beveiligingsbewaking, penetratietests, beveiligingsupdates en documentatie voor de jaarlijkse audit. De handelaar hoeft deze componenten niet zelf te certificeren: de certificering van de aanbieder dekt dit deel van de infrastructuur.
Met tokenisatie als dienst in Europa krimpt de PCI-perimeter van de handelaar dramatisch. Bedrijfssystemen ontvangen alleen tokens, geen PAN's, en verlaten daarmee de PCI-perimeter voor componenten die geen kaartgegevens verwerken. Dit stelt de handelaar in staat een SAQ A af te ronden in plaats van een volledig nalevingsrapport, met tijd- en kostenbesparingen die in de praktijk tienduizenden euro's per jaar betekenen. De aanbieder beheert ook updates naar de huidige versie van de standaarden (momenteel PCI DSS v4) en zorgt ervoor dat de gedelegeerde perimeter altijd conform blijft.
Wat u niet kunt delegeren: de resterende verantwoordelijkheid van de handelaar
Zelfs bij het meest volledige als-een-dienst-model blijven sommige verantwoordelijkheden altijd bij de handelaar. Gebruikerstoegangsbeheer voor eigen systemen, intern beveiligingsbeleid, training van personeel over beveiligingsrisico's, bewaking van eigen applicatielogboeken en beheer van beveiligingsincidenten die de eigen infrastructuur betreffen (ook als deze geen kaartgegevens bevatten), zijn alle gebieden die niet kunnen worden gedelegeerd aan een externe aanbieder.
In het geval van een datalek met kaartgegevens die door de aanbieder worden bewaard, blijft de contractuele en juridische aansprakelijkheid tegenover eindklanten bij de handelaar als verwerkingsverantwoordelijke conform de AVG. De aanbieder is aansprakelijk voor zijn deel, maar de handelaar kan zich niet bevrijden van de verantwoordelijkheid tegenover zijn klanten. Daarom moeten contracten met PCI DSS-aanbieders duidelijke clausules bevatten over aansprakelijkheid, meldingen bij datalekken en verzekeringsgaranties.
Kostenvergelijking: zelfbeheer vs. PCI DSS als dienst
Een handelaar die zijn eigen CDE intern beheert, staat voor aanzienlijke vaste en variabele kosten. Aan de vaste kant: toegewijde infrastructuur (servers, HSM, gecertificeerde firewalls), gespecialiseerd beveiligingspersoneel (minimaal één fulltime beveiligingsingenieur), jaarlijkse QSA-audit (tussen 30.000 en 80.000 € voor Level 1), halfjaarlijkse penetratietests (van 5.000 tot 20.000 € per uitvoering). Aan de variabele kant: herstelkosten voor elk bij audits gevonden gebrek, infrastructuurupdates vanwege nieuwe standaardvereisten.
Bij het als-een-dienst-model beperkt de inspanning zich tot een maandelijkse of transactiegerichte vergoeding die schaalt met het volume. De audit van de eigen beperkte perimeter (doorgaans een SAQ A) vereist enkele uren intern werk in plaats van weken. Er is geen te beheren infrastructuur, geen gespecialiseerd personeel in te huren en geen herstelkosten voor de gedelegeerde perimeter. Voor de meeste Europese bedrijven met minder dan 6 miljoen jaarlijkse transacties wordt het omslagpunt ten opzichte van zelfbeheer bereikt in de eerste gebruiksmaand.
Veelgestelde vragen
Moet ik bij PCI DSS als dienst nog steeds het SAQ invullen?
Ja, maar op een veel eenvoudigere manier. Bij een via tokenisatie verkleind bereik kunnen de meeste handelaren een SAQ A invullen, de kortste en minst veeleisende vragenlijst die van toepassing is wanneer er geen kaartgegevens door de systemen van de handelaar stromen. Het invullen duurt enkele uren in plaats van de weken die complexere SAQ's vereisen.
Werkt het als-een-dienst-model ook voor Level 1-handelaren?
Ja. Zelfs een Level 1-handelaar kan zijn perimeter aanzienlijk verkleinen via delegatie van de CDE. De audit blijft verplicht (RoC met QSA), maar de te beoordelen perimeter is veel kleiner. Veel Level 1-handelaren gebruiken het als-een-dienst-model juist om de jaarlijkse audit te vereenvoudigen en de kosten te verlagen.
Hoe lang duurt de activering van de dienst?
De technische integratie van PCI Proxy EU duurt voor een team met REST API-ervaring doorgaans 3-10 werkdagen. Het proces omvat het ondertekenen van het contract, toegang tot de sandbox voor testen, de productie-integratie en de functionele verificatie. Er is geen aanvullende infrastructuur van de handelaar vereist.
Wilt u het technische deel van de PCI DSS-naleving delegeren en alleen de verantwoordelijkheden behouden die juridisch bij de handelaar blijven? Ontdek PCI Proxy EU.
Hulp nodig bij PCI-naleving?
Ons team helpt u uw CDE in kaart te brengen, het juiste SAQ te kiezen en tokenisatie te implementeren met gegevensresidentie in de EU.
Neem contact op