Praktische gidsen

Wat is een QSA PCI DSS en wanneer heeft u er echt een nodig?

5 maart 2025 5 min lezen PCI Proxy EU

EenQSA(Qualified Security Assessor) is een door PCI SSC (Payment Card Industry Security Standards Council) gecertificeerde beveiligingsauditor die bevoegd is om PCI DSS-audits uit te voeren namens handelaren en dienstverleners. Het is echter een veelvoorkomende misvatting te denken dat elk bedrijf dat kaarten accepteert een QSA moet inschakelen: de behoefte aan een QSA hangt rechtstreeks af van het handelaarniveau en de PCI-scope. Door uw scope te verkleinen, kan de QSA vaak optioneel worden.

Wat is een QSA PCI DSS en wanneer heeft u er echt een nodig?

Wat een QSA is en wat deze doet

EenQualified Security Assessoris een door PCI SSC gekwalificeerd bedrijf met gecertificeerde medewerkers (QSA-medewerkers) dat technische en procedurele nalevingsbeoordelingen volgens PCI DSS kan uitvoeren. Tot de taken van een QSA behoren:

  • Het uitvoeren van de jaarlijkse assessments (Report on Compliance, ROC) voor Level 1-handelaren
  • Het opstellen van de AOC (Attestation of Compliance) na afronding van de assessments
  • Het controleren en valideren van SAQ-zelfbeoordelingen waar nodig
  • Het adviseren van bedrijven bij de voorbereiding op de audit en bij het verkleinen van de scope
  • Het controleren van beleidsregels, technische controles, netwerksegmentatie en cryptografische implementaties

Wanneer is een QSA verplicht: handelaarniveau 1

Een QSA is dwingend vereist voorLevel 1-handelaren, dat wil zeggen bedrijven die meer dan6 miljoen kaarttransacties per jaarverwerken voor Visa of Mastercard, of bedrijven die na een datalek door een netwerk naar Level 1 zijn opgeschaald. Deze bedrijven moeten jaarlijks een ROC (Report on Compliance) indienen die door een geaccrediteerde QSA ondertekend moet zijn.

Voor handelaren opLevel 2, 3 en 4is een QSA in de regel niet verplicht: deze handelaren kunnen eenSAQ(Self-Assessment Questionnaire) als zelfbeoordeling indienen, die door de handelaar zelf wordt ingevuld en bij de acquirer wordt ingediend, zonder externe audit. In sommige gevallen kan de acquirer ook voor Level 2-handelaren een QSA-validering verlangen, met name na beveiligingsincidenten of wanneer er inconsistenties in de ingediende documentatie zijn vastgesteld.

Hoeveel kost een QSA en hoe lang duurt een audit

De kosten van een PCI DSS QSA-audit variëren aanzienlijk naargelang de omvang van de scope, de complexiteit van de infrastructuur en de geografische locatie van het QSA-bedrijf. Als richtlijn:

  • Kleine tot middelgrote organisaties(beperkte scope, SAQ D): € 15.000-€ 50.000
  • Middelgrote tot grote organisaties(grotere scope, meerdere systemen): € 50.000-€ 150.000
  • Grote organisaties(Level 1, complexe scope): € 150.000-€ 500.000+

Een volledige Level 1-audit duurt in de regel3-6 maandenvan de eerste scopebeoordeling tot de uitgifte van de AOC. Daar komen de interne voorbereidingskosten bij (tijd van medewerkers, remediatie-inspanning, penetratietests, ASV-scans) die de totale inspanning aanzienlijk kunnen verhogen.

Scope verkleinen om de QSA optioneel te maken

De meest effectieve strategie om een QSA voor de meeste handelaren optioneel te maken, is het verkleinen van de PCI-scope via tokenisatie. Wanneer een handelaar zijn scope via de integratie van PCI Proxy EU terugbrengt totSAQ A, dat wil zeggen dat hij nooit een PAN in leesbare vorm verwerkt of opslaat, kunnen de 22 SAQ A-vereisten intern met een eenvoudige zelfbeoordeling worden beheerd, zonder een QSA in te schakelen.

Zelfs handelaren die op SAQ D blijven (bijvoorbeeld omdat ze bepaalde directe betalingsverwerkingsflows behouden) profiteren van een verkleinde scope: een kleinere scope betekent minder vereisten en daarmee een sneller en goedkoper QSA-proces. De investering in tokenisatie verdient zich in de regel binnen twee tot drie jaar terug door lagere PCI-auditkosten.

Veelgestelde vragen

Kan ik een QSA inschakelen voor de voorbereiding op naleving, zonder een volledige audit nodig te hebben?

Ja. Veel QSA-bedrijven bieden adviesdiensten los van formele audits aan: gap-analyse (wat u scheidt van volledige naleving), scopebeoordeling (hoe u de perimeter kunt verkleinen), beleidsontwikkeling en penetratietestdiensten. Deze adviesdiensten zijn veel goedkoper dan een volledige audit en kunnen een waardevolle investering zijn voordat u beslist of en hoe u de scope wilt verkleinen.

Hoe vind ik een geaccrediteerde QSA in Nederland of de EU?

PCI SSC houdt op zijn website (pcisecuritystandards.org) een openbare lijst bij van alle geaccrediteerde QSA-bedrijven wereldwijd. U kunt filteren op regio en taal. Voor Europese handelaren bieden sommige QSA-bedrijven specifieke expertise in de EU-regelgevingscontext (AVG, NIS2), wat bijzonder waardevol is wanneer u beide nalevingskaders tegelijk beheert.

Vervangt de AOC van PCI Proxy EU mijn eigen AOC?

Nee, maar deze vult uw AOC aan. PCI Proxy EU stelt een AOC op voor zijn gecertificeerde dienst, die u aan uw acquirer kunt overleggen om aan te tonen dat uw tokenisatiecomponent wordt beheerd door een Level 1-gecertificeerde aanbieder. U moet niettemin uw eigen resterende scope (ook wanneer deze tot SAQ A is verkleind) afdekken met uw eigen nalevingsdocumentatie.

Wilt u uw PCI-bereik verkleinen en de QSA optioneel maken?Ontdek PCI Proxy EU.


Hulp nodig bij PCI-naleving?

Ons team helpt u uw CDE in kaart te brengen, het juiste SAQ te kiezen en tokenisatie te implementeren met gegevensresidentie in de EU.

Neem contact op

Vereenvoudig PCI DSS-naleving vandaag

Verklein uw CDE, vereenvoudig het SAQ en bescherm kaartgegevens van klanten met PCI Proxy EU.