Acquirer-PCI-naleving betreft niet alleen de bank: het betreft elke handelaar die een acceptatieovereenkomst heeft. Internationale kaartnetwerken (Visa, Mastercard) leggen PCI DSS op aan de acquirers, die het op hun beurt via de handelaarsovereenkomst aan de handelaren opleggen. Inzicht in deze verantwoordelijkheidsketen helpt handelaren te begrijpen hoe ze worden gecontroleerd, wat ze riskeren en hoe ze hun blootstelling kunnen verkleinen.
De PCI-verantwoordelijkheidsketen: netwerken, acquirers en handelaren
Aan de top van de keten staan de internationale kaartnetwerken, voornamelijk Visa en Mastercard, die PCI DSS hebben gedefinieerd als contractuele vereiste voor alle deelnemers in hun netwerk. De netwerken hebben geen directe relatie met de meeste handelaren: hun handhavingskanaal loopt via acquirers (banken of betalingsinstellingen die handelaren in staat stellen kaarten te accepteren).
De acquirer ondertekent een directe overeenkomst met het netwerk waarin hij zich verbindt te garanderen dat zijn handelaren PCI DSS naleven. Wanneer een door de acquirer beheerde handelaar een datalek lijdt of als niet-conform wordt bevonden, legt het netwerk sancties op aan de acquirer, niet rechtstreeks aan de handelaar. Het is de acquirer die vervolgens de sancties en kosten via de handelaarsovereenkomst doorgeeft aan de handelaar. Dit mechanisme maakt de acquirer tot de primaire bewaker van PCI-naleving voor zijn handelaren.
De verplichtingen van de acquirers tegenover de handelaren
De PCI DSS-acquirerverplichtingen tegenover handelaren omvatten: de handelaar informeren over de PCI DSS-vereisten die gelden voor zijn transactieniveau; nalevingsdocumentatie verzamelen en controleren (SAQ, AOC, ASV-scanresultaten); vergoedingen of sancties toepassen bij niet-naleving; en handelaren melden aan de netwerken die documentatie niet binnen de voorgeschreven termijnen indienen.
In geval van een bevestigd datalek is de acquirer verplicht de netwerken onmiddellijk te informeren en het forensisch onderzoek te coördineren. Forensische kosten en door de netwerken opgelegde sancties worden aanvankelijk door de acquirer gedragen, die ze vervolgens via contractuele clausules op de handelaar verhaalt. In sommige gevallen kan de acquirer de handelaar een verhoogde reserve (een percentage van de achtergehouden transacties als zekerheid) of de intrekking van de handelaars-ID opleggen.
Hoe tokenisatie uw relatie met de bank verandert
Een handelaar die PCI Proxy EU gebruikt voor het beheer van kaartgegevens, presenteert zich bij de acquirer met een aanzienlijk ander risicoprofiel dan een handelaar die PAN's intern opslaat. De opgegeven perimeter is tot een minimum verkleind: de handelaar kan een SAQ A (22 vereisten) indienen in plaats van een SAQ D (meer dan 300 vereisten), en het gegevensstroomdiagram toont dat de PAN nooit zijn systemen passeert.
Dit vertaalt zich in concrete voordelen in de acquirerrelatie: sneller onboarding, minder audits tijdens de jaarlijkse evaluatiecycli en in sommige gevallen betere contractvoorwaarden, omdat de handelaar een volwassen risicobeheer demonstreert. In geval van een datalek op andere systemen van de handelaar betekent het ontbreken van PAN's in interne systemen dat het datalek niet automatisch een PCI-datalek wordt, met drastisch verminderde impact op de verplichtingen tegenover de acquirer.
Veelgestelde vragen
Is de acquirer aansprakelijk wanneer de handelaar niet conform is?
Ja, tegenover de netwerken. Wanneer een door de acquirer beheerde handelaar niet PCI DSS-conform is en een datalek lijdt, legt het netwerk sancties op aan de acquirer, die ze vervolgens via clausules in de handelaarsovereenkomst doorgeeft aan de handelaar. Dit mechanisme zet de acquirer er sterk toe aan de naleving van zijn handelaren te bewaken en bij niet-naleving te handelen.
Kan ik een acquirer kiezen op basis van zijn PCI-beleid?
Het PCI-beleid van acquirers varieert op het gebied van bewakingsfrequentie, de ernst van de sancties bij niet-naleving en de ondersteuning die aan handelaren wordt aangeboden in het nalevingsproces. Het is legitiem om deze aspecten mee te nemen bij de keuze van een acquirer, met name in vroege onboardingfasen. Sommige acquirers bieden self-assessmenttools geïntegreerd in het handelaarsportaal aan, wat de administratieve last van het jaarlijkse proces vermindert.
Wie bestraft mij bij niet-naleving: de acquirer of Visa/Mastercard?
Netwerken bestraffen rechtstreeks de acquirer, niet de handelaar. Het is de acquirer die vervolgens sancties toepast op de handelaar via clausules in de handelaarsovereenkomst. Netwerkboetes tegen de acquirer kunnen maandelijks oplopen en accumuleren totdat de niet-naleving is verholpen. In ernstige gevallen kunnen netwerken de acceptatievergunning van de acquirer intrekken voor een specifieke handelaar of voor categorieën van handelaren.
Wilt u de PCI-relatie met uw acquirer vereenvoudigen door een verkleinde perimeter te presenteren? PCI Proxy EU helpt u de juiste documentatie op te bouwen.Ontdek PCI Proxy EU.
Hulp nodig bij PCI-naleving?
Ons team helpt u uw CDE in kaart te brengen, het juiste SAQ te kiezen en tokenisatie te implementeren met gegevensresidentie in de EU.
Neem contact op