Ontwikkelaar

PCI Sandbox: tokenisatie testen zonder echte kaarten

8 april 2025 5 min lezen PCI Proxy EU

Voordat u uw tokenisatie-integratie in productie brengt, moet u testen zonder echte kaartgegevens te gebruiken. PCI DSS vereist uitdrukkelijk dat testomgevingen gescheiden zijn van productieomgevingen en dat er geen echte PAN's worden gebruikt in ontwikkeling en tests. Een PCI-sandbox is de oplossing: een geïsoleerde omgeving die het gedrag van de productie-kluis simuleert zonder echte kaartgegevens op te slaan.

PCI Sandbox: tokenisatie testen zonder echte kaarten

Waarom een afzonderlijke sandboxomgeving noodzakelijk is

PCI DSS-vereiste 6.3.2 en 6.4.1 eisen dat ontwikkel- en testomgevingen gescheiden zijn van productieomgevingen. De kernprincipes:

  • Geen echte productiegegevens (echte PAN's) in ontwikkeling en test
  • Aparte toegangscontroles tussen productie- en testomgevingen
  • Geen gebruik van productiesysteem-inloggegevens in testomgevingen
  • Testgegevens moeten na afloop van de tests worden verwijderd

Veel ontwikkelaars omzeilen deze vereisten onbewust door testkaartnummers af te leiden van echte PAN-nummers of door echte transactiegegevens te kopiëren naar testdatabases. Beide praktijken zijn in strijd met PCI DSS en kunnen leiden tot de opname van ontwikkelsystemen in de CDE.

Hoe een PCI-sandbox werkt

De PCI Proxy EU-sandbox is een volledig geïsoleerde omgeving die het gedrag van de productie-kluis repliceert, maar werkt met synthetische testgegevens:

  • Afzonderlijke API-eindpunten: de sandbox gebruikt afzonderlijke API-eindpunten (bijv. sandbox.pci-proxy.eu) en aparte API-sleutels die nooit in productiesystemen mogen worden gebruikt.
  • Testkaartnummers: de sandbox accepteert een vooraf gedefinieerde reeks testkaartnummers (in PAN-formaat, maar geen echte kaarten) die verschillende transactiescenario's simuleren.
  • Realistische tokenopwekking: de sandbox genereert echte tokenstructuren, zodat de integratie in productiesystemen zonder aanpassingen werkt.
  • Simulatiemodi: verschillende sandbox-scenario's simuleren goedkeuring, afwijzing, netwerkfouten en time-outs.

Sandbox-testscenario's voor tokenisatie

Een volledige sandbox-teststrategie moet de volgende scenario's omvatten:

  1. Tokenaanmaak: maak een token aan uit een testkaartnummer. Controleer of het tokenformaat correct is en geen informatie over de oorspronkelijke kaart bevat.
  2. Tokengebruik voor transacties: gebruik de token voor de autorisatie van een testtransactie. Controleer of het autorisatieverzoek correct wordt doorgestuurd naar de simulator.
  3. Tokenbeheer: test scenario's zoals tokenlevenscyclus, kaartupdate (Account Updater) en tokenverwijdering.
  4. Foutscenario's: test hoe uw integratie omgaat met geweigerde transacties, netwerkfouten en ongeldige tokens.
  5. Terugkerende betalingen: test scenario's voor opgeslagen betaalmethoden en abonnementsverlengingen met opgeslagen tokens.

Best practices voor PCI-conforme ontwikkeling

Naast de sandbox zijn dit de best practices voor PCI-conforme ontwikkelprocessen:

  • Geen echte kaartnummers in code of Git: ook in commentaar of teststrings mogen nooit echte PAN's voorkomen.
  • Geheimenbeheer: API-sleutels voor productie- en sandboxomgevingen moeten in aparte geheimbeheersystemen worden opgeslagen.
  • Codebeoordelingen met focus op gegevenshygiëne: codebeoordelingen moeten expliciet controleren of logboekregistratie of foutopsporing per ongeluk kaartgegevens zou kunnen blootgeven.
  • Geautomatiseerde scans op PAN-patronen: integreer geautomatiseerde scans in de CI/CD-pipeline die zoeken naar PAN-achtige patronen in code en logboeken.

Veelgestelde vragen

Kan ik de Luhn-algoritmevalidatie in sandboxmodus testen?

Ja. De door PCI Proxy EU verstrekte testkaartnummers doorstaan de Luhn-validering, omdat ze structureel correcte PAN-formaten zijn. Dit maakt volledig testen van de front-end-kaartformuliervalidering mogelijk zonder echte kaartgegevens. Testkaartnummers zijn gedocumenteerd in de PCI Proxy EU-ontwikkelaarsdocumentatie en dekken de meest gangbare kaarttypen (Visa, Mastercard, Amex).

Hoe verloopt de overgang van sandbox naar productie?

De overgang is doorgaans een eenvoudige configuratiewijziging: vervang de sandbox-API-eindpunten en -sleutels door de productie-eindpunten en -sleutels. De integratielogica blijft identiek. Aanbevolen wordt een tussenliggende stap waarbij u met echte kaarten een beperkt aantal transacties test voordat u de volledige uitrol uitvoert.

Integreer tokenisatie veilig en PCI DSS-conform: de PCI Proxy EU-sandbox biedt een volledige testomgeving zonder echte kaartgegevens. Ontdek PCI Proxy EU.


Hulp nodig bij PCI-naleving?

Ons team helpt u uw CDE in kaart te brengen, het juiste SAQ te kiezen en tokenisatie te implementeren met gegevensresidentie in de EU.

Neem contact op

Vereenvoudig PCI DSS-naleving vandaag

Verklein uw CDE, vereenvoudig het SAQ en bescherm kaartgegevens van klanten met PCI Proxy EU.