PCI DSS

PCI DSS-handelaar-onboarding: wat de acquirer controleert vóór activering

20 april 2025 5 min lezen PCI Proxy EU

Voordat een acquirer een handelaar activeert voor kaartacceptatie, vraagt hij PCI DSS-nalevingsdocumentatie op. Het PCI DSS-handelaar-onboardingproces varieert in complexiteit naargelang het verwachte transactievolume en de aard van de technische integratie. Wie vooraf weet wat er vereist is, kan de documentatie snel voorbereiden en activeringsvertragingen vermijden.

PCI DSS-handelaar-onboarding: wat de acquirer controleert vóór activering

Wat de acquirer vereist bij PCI-onboarding

De eerste stap bij PCI-onboarding is het classificeren van de handelaar op basis van de PCI DSS-handelaarsniveaus. De niveaus variëren van Niveau 1 (meer dan 6 miljoen jaarlijkse transacties) tot Niveau 4 (minder dan 20.000 jaarlijkse e-commercetransacties of minder dan 1 miljoen transacties totaal). Het niveau bepaalt de documentatievereisten: Niveau 1-handelaren moeten een nalevingsrapport (RoC) opgesteld door een QSA indienen, terwijl Niveau 2-, 3- en 4-handelaren doorgaans een zelfevaluatievragenlijst (SAQ) kunnen invullen.

De acquirer vereist doorgaans: de ingevulde en ondertekende SAQ (of RoC voor Level 1), de Attestation of Compliance (AOC) die de afronding van het proces bevestigt, resultaten van een driemaandelijkse kwetsbaarheidscan via een Approved Scanning Vendor (ASV) voor handelaren die via internet toegankelijke netwerkcomponenten beheren, alsmede documentatie van interne beveiligingsbeleidsregels. Sommige acquirers vereisen voor handelaren op hogere niveaus ook een jaarlijkse penetratietest.

Documenten en SAQ: hoe lang duurt het?

De tijdsinvestering voor PCI-onboarding hangt in de eerste plaats af van het type toepasselijke SAQ. De SAQ A, die geldt voor handelaren die kaartgegevens nooit aanraken (omdat ze een gecertificeerde aanbieder voor vastlegging en verwerking gebruiken), omvat 22 vereisten en kan in enkele uren worden ingevuld. De SAQ D, die geldt voor handelaren die de CDE intern beheren, heeft meer dan 300 vereisten en vergt weken werk met externe adviessupport.

Identiteits- en bedrijfsregistratiedocumenten, technische architectuurinformatie en het diagram van de kaartgegevensstroom worden door vrijwel alle acquirers gevraagd ongeacht het niveau. Het opstellen van het gegevensstroomdiagram — dat moet aantonen hoe de PAN de systemen van de handelaar binnenkomt, erdoorheen stroomt en verlaat — is vaak de meest tijdrovende stap wanneer dit nog niet eerder is gedocumenteerd.

Hoe onboarding via een verkleinde perimeter wordt versneld

Het element dat de snelheid van PCI-onboarding het meest beïnvloedt, is de complexiteit van de te declareren perimeter. Een handelaar die PCI Proxy EU gebruikt voor de vastlegging en verwerking van kaartgegevens, kan een geminimaliseerde CDE declareren: zijn systemen verwerken nooit PAN's in platte tekst en vallen daarom buiten de perimeter. Hierdoor is het mogelijk SAQ A in te vullen in plaats van SAQ D, wat weken werk bij het onboardingproces bespaart.

Het overleggen aan de acquirer van een gegevensstroomdiagram dat de proxy als enig PAN-verwerkingspunt aanwijst, alsmede de AOC van PCI Proxy EU als gecertificeerde dienstverlener, versnelt het goedkeuringsproces aanzienlijk. Veel acquirers hebben vereenvoudigde procedures voor handelaren die gecertificeerde dienstverleners voor de kaartgegevensverwerking gebruiken, omdat zij erkennen dat het risico via een reeds gecontroleerde infrastructuur wordt beheerd.

Veelgestelde vragen

Kan de acquirer betalingen blokkeren wanneer ik geen SAQ indien?

Ja. De acquirer heeft zowel het contractuele recht als de verplichting tegenover de kaartnetwerken om de PCI-naleving van zijn handelaren te controleren. Wanneer documentatie niet binnen de voorgeschreven termijnen wordt ingediend, kan de acquirer extra kosten in rekening brengen, betalingsfunctionaliteiten beperken of in het ernstigste geval de acceptatieovereenkomst opzeggen. De specifieke voorwaarden en gevolgen zijn vermeld in het handelaarscontract.

Hoe vaak vraagt de acquirer om vernieuwing van de PCI-naleving?

De PCI-nalevingscyclus is jaarlijks. De SAQ of RoC moet elk jaar worden vernieuwd, en ASV-scans (voor handelaren in het bereik) moeten driemaandelijks worden uitgevoerd. Sommige acquirers sturen 60-90 dagen voor het verlopen van de huidige AOC een automatische herinnering, maar het is de verantwoordelijkheid van de handelaar om het vernieuwingsproces tijdig te starten.

Moet ik de PCI-certificering ook aan het netwerk (Visa/Mastercard) doorgeven?

Voor Level-1-handelaren moet de AOC zowel rechtstreeks aan de netwerken (Visa, Mastercard) als aan de acquirer worden toegestuurd. Voor Level-2-, 3- en 4-handelaren wordt de documentatie doorgaans door de acquirer beheerd, die deze op basis van interne afspraken doorstuurt naar de netwerken. In beide gevallen is de acquirer de hoofdcontactpersoon van de handelaar gedurende het gehele nalevingsproces.

Wilt u het PCI-onboarding bij uw acquirer versnellen door een verkleinde CDE voor te leggen? Ontdek hoe PCI Proxy EU het proces vereenvoudigt.PCI Proxy EU Ontdekken.


Hulp nodig bij PCI-naleving?

Ons team helpt u uw CDE in kaart te brengen, het juiste SAQ te kiezen en tokenisatie te implementeren met gegevensresidentie in de EU.

Neem contact op

Vereenvoudig PCI DSS-naleving vandaag

Verklein uw CDE, vereenvoudig het SAQ en bescherm kaartgegevens van klanten met PCI Proxy EU.