PCI DSS

Veilige kaartopslag in de cloud: hoe een PCI-vault werkt

5 mei 2025 5 min lezen PCI Proxy EU

Een cloudgebaseerdeveilige kaartopslagis de basis van elke moderne betalingsarchitectuur die erop gericht is het risico op datalekken en de PCI DSS-perimeter te verkleinen. Decard vaultis de component die betaalkaartgegevens ontvangt, versleutelt en opslaat en in ruil daarvoor een onleesbaar token teruggeeft. Begrijpen hoe dit technisch werkt, welke certificeringen het vereist en waarom een interne opzet bijna altijd de verkeerde keuze is, helpt bij beter onderbouwde architectuurbeslissingen.

Veilige kaartopslag in de cloud: hoe een PCI-vault werkt

Wat een card vault is en hoe het technisch werkt

Eencard vaultis een veilig systeem voor de opslag van hetPAN(Primary Account Number) en gevoelige gegevens die met betaalkaarten samenhangen. De fundamentele technische flow houdt in dat het kaartnummer rechtstreeks via een HTTPS-API naar de vault wordt verzonden, met cryptografische sleutels wordt versleuteld die in eenHSM(Hardware Security Module) worden beheerd, en wordt vervangen door een token dat aan de aanroeper wordt teruggegeven. Het token heeft dezelfde lengte en hetzelfde formaat als een PAN, maar bevat geen echte gegevens en kan zonder de vault niet voor transacties worden gebruikt.

Intern beheert de vault de koppeling tussen token en PAN in een versleutelde database met uiterst beperkte toegang. Elke detokenisatieaanvraag, dus elke opvraging van het oorspronkelijke PAN, wordt gelogd met tijdstempel, bron-IP en identiteit van de aanroeper. Het audittrail-systeem is verplicht voor PCI DSS-naleving en moet onveranderlijk zijn: geen enkele operator, zelfs niet met beheerdersrechten, kan logs van vaultbewerkingen verwijderen.

Vereiste certificeringen: PCI DSS Level 1, HSM, FIPS 140-2

Een productieklare vault moetPCI DSS Level 1-gecertificeerd zijn, het hoogste niveau van de standaard, dat een jaarlijkse audit door een onafhankelijke QSA en een halfjaarlijkse penetratietest vereist. Level 1-certificering wordt niet verkregen door het invullen van een vragenlijst: het vereist een grondige analyse van alle technische en organisatorische controles, van het cryptografische sleutelbeheer tot de fysieke beveiliging van het datacenter.

Cryptografische sleutels moeten worden beheerd metHSM'sdie zijn gecertificeerd volgensFIPS 140-2Level 3 of hoger. Dit betekent dat sleutels de hardware nooit in leesbare vorm verlaten, zelfs niet bij een compromittering van de applicatiesoftware. De FIPS 140-2-certificering waarborgt dat de hardware door een door NIST geaccrediteerd laboratorium is gevalideerd om bestand te zijn tegen fysieke en logische aanvallen. Zonder een gecertificeerde HSM kan een vault geen PCI DSS Level 1-certificering verkrijgen.

Interne vault vs. vault-as-a-service: de echte vergelijking

Het opzetten van een interne card vault vereist een aanvangsinvestering die zelden lager is dan€ 200.000-500.000, wanneer je rekening houdt met HSM-hardware, redundante infrastructuur, ontwikkeling van het tokenisatiesysteem, een eerste audit en teamtraining. Daar komen jaarlijkse exploitatiekosten van€ 50.000-150.000bovenop voor onderhoud van de certificering, penetratietests, sleutelbeheer en toegewijd personeel. Voor een handelaar met gemiddelde volumes wordt de ROI van deze keuze nooit bereikt.

Eenvault-as-a-servicezoals PCI Proxy EU verschuift al deze kosten en verantwoordelijkheden naar de aanbieder. De handelaar betaalt op basis van transactievolume, krijgt direct dekking via de PCI DSS Level 1-certificering van de aanbieder en hoeft noch infrastructuur noch gespecialiseerd personeel te beheren. De portabiliteit van het token waarborgt dat kaartgegevens bij een wisseling van aanbieder toegankelijk blijven, zonder dat gegevens van gebruikers opnieuw hoeven te worden vastgelegd.

Veelgestelde vragen

Is een card vault in de cloud net zo veilig als een on-premise vault?

Wanneer de cloudaanbieder over de juiste certificeringen beschikt (PCI DSS Level 1, ISO 27001, SOC 2 Type II), is het beveiligingsniveau gelijkwaardig aan of hoger dan dat van een intern beheerde on-premise vault. De meeste bedrijven beschikken niet over de middelen om de fysieke controles, redundantie en het gespecialiseerde personeel te onderhouden die cloudaanbieders aan de beveiliging van hun infrastructuur wijden.

Biedt mijn huidige PSP een portabele vault aan?

De meeste PSP's bieden een eigen vault aan waarvan de tokens alleen geldig zijn op hun eigen platform. Dit creëert vendor lock-in: bij een wisseling van PSP moeten de kaartgegevens van alle klanten opnieuw worden vastgelegd. Een processoronafhankelijke vault zoals PCI Proxy EU genereert tokens die met elke PSP bruikbaar zijn en heft deze beperking op.

Hoeveel kost het opzetten van een interne card vault?

De implementatiekosten beginnen bij circa€ 200.000voor een minimale certificeerbare infrastructuur, met jaarlijkse exploitatiekosten tussen€ 50.000 en 150.000. Daar komen kosten bij voor gespecialiseerd personeel, QSA-audits, penetratietests en onderhoud van de certificering. Voor de meeste bedrijven is vault-as-a-service al in het eerste jaar economisch voordeliger.

Wilt u een PCI DSS Level 1-gecertificeerde card vault zonder infrastructuurbeheer en zonder PSP-lock-in?Ontdek PCI Proxy EU.


Hulp nodig bij PCI-naleving?

Ons team helpt u uw CDE in kaart te brengen, het juiste SAQ te kiezen en tokenisatie te implementeren met gegevensresidentie in de EU.

Neem contact op

Vereenvoudig PCI DSS-naleving vandaag

Verklein uw CDE, vereenvoudig het SAQ en bescherm kaartgegevens van klanten met PCI Proxy EU.