De PCI DSS-handelaarsniveaus bepalen de omvang van de nalevingsverplichtingen voor elke handelaar die kaartbetalingen accepteert. De classificatie is gebaseerd op het jaarlijkse transactievolume en volgt een niveausysteem van 1 tot 4, waarbij Level 1 het hoogste volume en de strengste vereisten kent. Inzicht in uw niveau is de eerste stap naar een correcte planning van uw nalevingsstrategie.
PCI DSS Level 1: grote handelaren en e-commerce met hoog volume
Level 1 geldt voor handelaren die meer dan 6 miljoen transacties per jaar verwerken met Visa, Mastercard of andere kaartnetwerken, evenals voor handelaren die na een datalek door de kaartnetwerken naar Level 1 worden opgeschaald. Level 1-handelaren vallen onder de strengste nalevingsvereisten:
- Jaarlijkse QSA-audit:Een erkende Qualified Security Assessor (QSA) moet de naleving jaarlijks ter plaatse controleren en een Report on Compliance (ROC) opstellen.
- Driemaandelijkse ASV-scans:Kwetsbaarheidsscans van de externe infrastructuur via een erkende ASV (Approved Scanning Vendor).
- Penetratietests:Jaarlijkse penetratietests voor de CDE-perimeter en alle applicaties die kaartgegevens verwerken.
- Attestation of Compliance (AOC):Een officieel document dat de naleving bevestigt en door de QSA wordt ondertekend.
PCI DSS Level 2: middelgrote handelaren
Level 2 geldt voor handelaren die tussen 1 miljoen en 6 miljoen transacties per jaar verwerken. Level 2-handelaren hebben minder strenge vereisten dan Level 1, maar nog steeds aanzienlijke verplichtingen:
- Jaarlijkse SAQ:Een Self-Assessment Questionnaire moet worden ingevuld en bij de acquirer worden ingediend. Bij sommige acquirers kan een QSA-audit vereist zijn.
- Driemaandelijkse ASV-scans:Net als bij Level 1, kwetsbaarheidsscans van de externe infrastructuur.
- Penetratietests:Jaarlijkse penetratietests zijn vereist voor handelaren die in aanmerking komen voor SAQ D.
PCI DSS Level 3: kleine e-commercehandelaren
Level 3 geldt voor e-commercehandelaren die tussen 20.000 en 1 miljoen e-commercetransacties per jaar verwerken. De vereisten zijn minder uitgebreid:
- Jaarlijkse SAQ:Een passende SAQ (doorgaans SAQ A of SAQ A-EP voor e-commerce) moet worden ingevuld.
- Driemaandelijkse ASV-scans:Vereist wanneer de SAQ dit verlangt (bijvoorbeeld SAQ A-EP).
PCI DSS Level 4: kleine en zeer kleine handelaren
Level 4 geldt voor alle overige handelaren die minder dan 20.000 e-commercetransacties per jaar of minder dan 1 miljoen transacties via alle andere kanalen verwerken. Dit zijn doorgaans kleine winkels, lokale handelaren en start-ups:
- Jaarlijkse SAQ:De passende SAQ op basis van het betaalkanaal. SAQ A geldt voor handelaren die alle kaartverwerking hebben uitbesteed aan een gecertificeerde aanbieder.
- ASV-scans:Alleen wanneer de acquirer dit verlangt of de SAQ dit vereist.
De specifieke vereisten voor Level 4-handelaren verschillen per acquirer: sommige vereisen een formele SAQ, andere accepteren een eenvoudigere zelfcertificering. Controleer altijd bij uw acquirer welke documentatie precies vereist is.
Hoe tokenisatie de naleving voor elk niveau vereenvoudigt
Voor handelaren van alle niveaus verkleint tokenisatie de nalevingslast aanzienlijk. Wanneer geen enkele PAN de systemen van de handelaar raakt, valt de handelaar onder de SAQ A-classificatie, ongeacht het transactievolume. Dit betekent dat ook Level 1- en Level 2-handelaren die tokenisatie volledig implementeren, in aanmerking kunnen komen voor eenvoudigere beoordelingsprocedures. De belangrijkste vereiste is dat de volledige betalingsstroom wordt beheerd door een PCI DSS Level 1-gecertificeerde aanbieder zoals PCI Proxy EU.
Veelgestelde vragen
Hoe wordt het transactievolume voor de niveaubepaling berekend?
Het volume wordt doorgaans berekend als het totale aantal transacties via alle kanalen (online, in de winkel, MOTO) met een bepaald kaartnetwerk. Sommige netwerken berekenen het niveau apart (het Visa-niveau en het Mastercard-niveau kunnen verschillen). De acquirer informeert de handelaar over zijn niveau-indeling op basis van de gerapporteerde transactievolumes.
Kan een datalek mijn niveau-indeling veranderen?
Ja. Na een datalek kunnen kaartnetwerken besluiten de handelaar, ongeacht het volume, naar Level 1 op te schalen. Dit is een veelvoorkomend gevolg van beveiligingsincidenten: de handelaar wordt dan onderworpen aan verplichte QSA-audits en verscherpte herstelvereisten, totdat het netwerk ervan overtuigd is dat er passende beveiligingscontroles aanwezig zijn.
Bestaan er verschillende niveaus voor e-commerce en fysieke winkels?
Ja. Visa en sommige andere netwerken maken onderscheid tussen "e-commercetransacties" (voor de bepaling van Level 3) en "totale transacties" (voor de bepaling van Level 1 en Level 2). Een handelaar kan Level 4 zijn voor fysieke transacties en Level 3 voor zijn e-commercekanaal, wanneer hij beide exploiteert. In zulke gevallen geldt de strengste classificatie voor het volledige nalevingsprogramma van de handelaar.
Ongeacht uw handelaarsniveau: tokenisatie vereenvoudigt de naleving aanzienlijk.Ontdek PCI Proxy EU.
Hulp nodig bij PCI-naleving?
Ons team helpt u uw CDE in kaart te brengen, het juiste SAQ te kiezen en tokenisatie te implementeren met gegevensresidentie in de EU.
Neem contact op