Regelgeving en AVG

Sterke klantauthenticatie, PSD2 en PCI DSS: hoe ze samenhangen

12 april 2025 5 min lezen PCI Proxy EU

Europese handelaren navigeren in een complexe regelgevingsruimte met minstens drie overlappende regelgevingskaders:PSD2(betalingsdienstenrichtlijn 2),PCI DSS(Payment Card Industry Data Security Standard) enAVG. Hiervan wordt sterke klantauthenticatie (SCA) onder PSD2 het vaakst verkeerd begrepen: veel handelaren verwarren SCA met PCI DSS-vereisten of geloven dat SCA-naleving PCI DSS-naleving impliceert. Dit is een gevaarlijke misvatting.

Sterke klantauthenticatie, PSD2 en PCI DSS: hoe ze samenhangen

Wat is Sterke klantauthenticatie (SCA)?

SCA(Strong Customer Authentication, in het Nederlands: sterke klantauthenticatie) is een vereiste uit PSD2, die door de Europese Bankautoriteit (EBA) via technische reguleringsnormen (RTS) is geconcretiseerd. SCA verlangt dat elektronische betalingen worden geauthenticeerd via minstens twee van drie categorieën:

  • Kennis: iets dat alleen de gebruiker weet (PIN, wachtwoord)
  • Bezit: iets dat alleen de gebruiker bezit (smartphone, hardware-token)
  • Inherentie: iets dat de gebruiker is (vingerafdruk, gezichtsherkenning)

In de praktijk wordt SCA het vaakst geïmplementeerd als3D Secure 2.0 (3DS2), het protocol dat Visa (Visa Secure) en Mastercard (Identity Check) gebruiken voor twee-factor-authenticatie bij online transacties.

SCA (PSD2) vs. PCI DSS: de belangrijkste verschillen

SCA en PCI DSS hebben verschillende doelen en toepassingsgebieden:

  • PSD2/SCA: Europese wetgeving die van betalingsdienstaanbieders sterke authenticatie van betalers verlangt. Beschermt de betalende partij tegen ongeautoriseerd gebruik van zijn betaalmethode. Geldt voor het authenticatiemoment van de transactie.
  • PCI DSS: industrienorm die van kaartnetwerken verlangt dat kaartgegevens veilig worden opgeslagen, verwerkt en overgedragen. Beschermt de kaartgegevens gedurende de gehele levenscyclus. Geldt voor alle systemen die kaartgegevens raken.

SCA-naleving betekent niet PCI DSS-naleving. Een handelaar kan 3DS2 correct hebben geïmplementeerd (SCA-conform) en tegelijkertijd kaartgegevens onveilig in een database opslaan (in strijd met PCI DSS). Aan beide vereisten moet afzonderlijk worden voldaan.

Hoe 3DS2 past binnen overwegingen over de PCI DSS-scope

De implementatie van 3DS2 kan PCI DSS-implicaties hebben, afhankelijk van hoe deze technisch wordt uitgevoerd:

  • Wanneer de 3DS2-flow via uw eigen server wordt geleid (server-side 3DS2-implementatie), moeten deze servers binnen uw PCI DSS-scope worden opgenomen.
  • Wanneer 3DS2 volledig via de JavaScript-SDK van de betalingsdienstaanbieder op de clientpagina wordt afgehandeld, zonder dat kaartgegevens uw server raken, valt dit deel buiten de CDE.
  • Een tokenisatieoplossing die ook 3DS2 integreert (zoals PCI Proxy EU) maakt een volledige SCA-implementatie mogelijk zonder eigen servers in de CDE.

SCA-uitzonderingen en hun PCI DSS-implicaties

PSD2 en de RTS van de EBA definiëren meerdere SCA-uitzonderingen die geen 3DS2-authenticatie vereisen:

  • Lage transactiebedragen: transacties onder € 30 (met cumulatieve limieten)
  • Risicoanalyse (TRA): transacties met een laag fraudeprofiel die door de uitgevende bank als laag risico worden ingeschat
  • Vertrouwde begunstigden: handelaren op een whitelist van de kaarthouder
  • Terugkerende transacties: abonnementen met een vast bedrag en een vaste ontvanger (de eerste transactie vereist SCA)
  • MOTO-transacties: telefonisch geïnitieerde betalingen (buiten de SCA-scope, maar wel PCI DSS-relevant)

MOTO-transacties (telefonische bestellingen) zijn bijzonder belangrijk: PSD2/SCA geldt niet voor MOTO, maar PCI DSS geldt onverkort. Handelaren die MOTO-transacties uitvoeren, moeten ervoor zorgen dat kaartgegevens niet telefonisch worden ontvangen en in interne systemen worden ingevoerd.

Tokenisatie als gemene deler

Tokenisatie is de technologie die SCA-implementatie en PCI DSS-naleving het elegantst verbindt:

  • Een tokenisatieaanbieder kan de gehele betalingsflow afhandelen: vastleggen van kaartgegevens, 3DS2-authenticatie, autorisatie en uitgifte van het token.
  • Uw systemen ontvangen alleen het token en de transactiestatus, nooit het PAN of de 3DS2-authenticatiegegevens.
  • SCA-uitzonderingen (TRA, terugkerende betalingen) worden beheerd door de tokenisatieaanbieder, die over de noodzakelijke verbinding met de acquiring-banken beschikt.

Veelgestelde vragen

Wanneer een klant 3DS2-authenticatie doorloopt, ben ik dan beschermd tegen chargebacks?

In de regel wel. Wanneer een transactie succesvol via 3DS2 wordt geauthenticeerd, verschuift de aansprakelijkheid voor fraude (fraud liability shift) van de handelaar naar de kaartuitgevende bank. Dit betekent niet dat chargebacks volledig zijn uitgesloten (bijvoorbeeld bij niet-levering), maar fraudegebaseerde chargebacks zouden door de liability shift gedekt moeten zijn. Raadpleeg uw acquirer voor de precieze voorwaarden.

Geldt PSD2/SCA ook voor B2B-transacties?

PSD2 geldt hoofdzakelijk voor consumententransacties. B2B-transacties waarbij beide partijen bedrijven zijn (dat wil zeggen zonder eindgebruiker erbij betrokken) kunnen van bepaalde PSD2-vereisten worden uitgezonderd, afhankelijk van de implementatie in het nationale recht. PCI DSS geldt echter ongeacht of de transactie B2B of B2C is: wanneer kaartgegevens worden verwerkt, gelden de PCI DSS-vereisten.

SCA en PCI DSS samen onder de knie krijgen: PCI Proxy EU integreert 3DS2-authenticatie en tokenisatie in één nalevingsvriendelijke flow.Ontdek PCI Proxy EU.


Hulp nodig bij PCI-naleving?

Ons team helpt u uw CDE in kaart te brengen, het juiste SAQ te kiezen en tokenisatie te implementeren met gegevensresidentie in de EU.

Neem contact op

Vereenvoudig PCI DSS-naleving vandaag

Verklein uw CDE, vereenvoudig het SAQ en bescherm kaartgegevens van klanten met PCI Proxy EU.