PCI DSS-conformiteit

PCI DSS-conformiteit, minder werk voor u

Als u kaartbetalingen accepteert, moet u PCI DSS naleven. Wij slaan kaartgegevens voor u op in de vault: u werkt met tokens en het invullen van de vragenlijst wordt veel eenvoudiger.

Wat wij meebrengen

U erft onze certificering: kaartgegevens blijven in onze vault, niet op uw servers.

PCI DSS Niveau 1

Het hoogste niveau. Onafhankelijke auditors beoordelen onze vault jaarlijks.

Alleen EU-datacenters

Kaartgegevens verlaten Europa nooit. Ook handig voor AVG-naleving.

Versleuteling en HSM

Gegevens versleuteld at rest en in transit. Sleutels beschermd in gecertificeerde hardware.

Kortom

Wat is PCI DSS?

Dit is de beveiligingsstandaard voor iedereen die kaartbetalingen accepteert (Visa, Mastercard en andere schemes). Het beschermt kaartgegevens overal waar ze worden verzameld, opgeslagen of verzonden.

12

Regels

4

Niveaus

1

Doel

Kaartgegevens beschermen, altijd.

Wie moet naleven?

Iedereen die kaartgegevens accepteert, verwerkt of opslaat: webshops, platforms, callcenters, PSP's. Ook wie betalingen namens anderen afhandelt.

12 kernregels

Firewalls, versleuteling, toegangscontrole, monitoring en beleid. Veel regels: hoe minder systemen kaartgegevens raken, hoe minder werk voor u.

Als u niet naleeft

Boetes, hogere fees of het verlies van de mogelijkheid kaartbetalingen te accepteren. Een datalek kost veel meer dan conformiteit bereiken.

Conformiteitsniveaus

De 4 PCI-niveaus

Hoeveel werk u moet doen hangt af van hoeveel kaarttransacties u per jaar verwerkt. Meer transacties, meer controles (tot een audit ter plaatse bij hoge volumes).

Niveau Jaarlijkse transacties Validatievereisten Typische entiteiten
Niveau 1 >6 million transactions/year Jaarlijkse audit ter plaatse + kwartaalscans Grote retailers, luchtvaartmaatschappijen, grote PSP's
Niveau 2 1–6 miljoen transacties/jaar Jaarlijkse SAQ, kwartaal ASV-scans Mid-market e-commerce, hotelketens
Niveau 3 20.000–1 miljoen e-commerce/jaar Jaarlijkse SAQ, kwartaal ASV-scans Groeiende online bedrijven, SaaS-platforms
Niveau 4 <20,000 e-commerce or <1 million other/year Jaarlijkse SAQ (aanbevolen), kwartaal ASV-scans (indien van toepassing) Kleine handelaren, lokale bedrijven, startups

Goed om te weten: na een datalek kunt u naar Niveau 1 worden verplaatst, ook bij lage volumes. Uw acquirer kan ook extra controles vereisen.

Minder scope voor u

Hoe wij uw workload verkleinen

De eenvoudigste manier om minder PCI te doen is kaartgegevens buiten uw servers te houden. U stuurt ons kaartgegevens, wij tokeniseren: u bewaart alleen het token.

300+

Controles · SAQ D

Als u alles zelf beheert

~30

Controles · SAQ A-EP

Met onze API

22

Controles · SAQ A

Met hosted fields

Zonder ons

Volledige scope

Sites, apps, databases en netwerken die kaartgegevens raken moeten honderden controles vervullen. Vaak meer dan 300 in de SAQ D-vragenlijst.

Met PCI Proxy

Minimale scope

Kaartgegevens komen nooit op uw servers. Wij zijn PCI DSS Niveau 1 gecertificeerd en bewaren het kaartnummer in de vault. U handelt alleen met tokens.

Tot 95% minder

Ga van SAQ D (300+ controles) naar SAQ A of A-EP (minder dan 30). Minder audits, minder dedicated engineers, minder risico.

Hoeveel u moet invullen

Zonder PCI Proxy (SAQ D) 300+ controles
Met API (SAQ A-EP) ~30 controles
Met hosted fields (SAQ A) 22 controles
Wij zijn PCI DSS Niveau 1 gecertificeerd
Zelfbeoordeling

Welke SAQ-vragenlijst heeft u nodig?

De SAQ is de vragenlijst die u invult om conformiteit aan te tonen. Het hangt af van hoe kaartgegevens door uw systemen stromen. Met ons wordt het pad eenvoudiger.

⭐ Aanbevolen

Zelfbeoordeling

SAQ A

22 controles

7% van SAQ D-scope

Voor wie onze hosted iFrame-velden gebruikt: kaartgegevens gaan nooit via uw site. Dit is het lichtste pad.

Ideaal met hosted fields

Uitgebreide zelfbeoordeling

SAQ A-EP

~30 controles

10% van SAQ D-scope

Als de betaalpagina op uw site staat maar kaartgegevens direct naar ons gaan via API of JavaScript. Iets meer controles dan SAQ A.

Met API- of SDK-integratie

Volledige vragenlijst

SAQ D

300+ controles

Volledige scope, alle systemen

De langste vragenlijst. Vereist wanneer kaartgegevens via uw servers gaan. Zonder ons belanden veel e-commercebedrijven hier.

Zonder PCI Proxy
In Europa

PCI DSS en AVG samen

In de EU moet u beide naleven. Kaartgegevens zijn ook persoonsgegevens. Met tokens vereenvoudigt u PCI en privacy.

Waar ze overlappen

Zelfde prioriteiten

Kaartgegevens = persoonsgegevens

Naam, kaartnummer en vervaldatum vallen onder AVG. U moet ze als gevoelige gegevens beschermen.

Minder data, minder risico

AVG vereist alleen te bewaren wat nodig is. Wij verwijderen het kaartnummer uit uw systemen en laten alleen het token over.

Datalekken en meldingen

Als u geen kaartgegevens opslaat, is een lek op uw servers veel minder ernstig. Minder stress voor u en uw klanten.

Zaken om af te stemmen

Vraagt aandacht

Verwijdering vs. retentie

AVG geeft het recht op verwijdering. PCI vereist transactielogs. Met tokens kunt u de mapping verwijderen en de gegevens onherstelbaar maken.

Gegevens alleen in de EU

Veel Europese bedrijven moeten gegevens in de EU houden. Wij opereren alleen vanuit Europese datacenters: kaartgegevens verlaten de Unie nooit.

Contract met ons (DPA)

Op grond van AVG zijn wij verwerker wanneer wij kaartgegevens voor u in de vault bewaren. Een schriftelijke overeenkomst over doel en beveiliging is vereist.

Kortom: u werkt met tokens. Wij bewaren kaartgegevens in de vault. PCI en AVG worden beter beheersbaar.

Meer over tokenisatie
Kostenanalyse

PCI-kosten alleen vs. met ons

Alles intern PCI beheren kost veel meer dan kaartgegevens aan ons toe te vertrouwen. Indicatief voorbeeld voor een typische Europese handelaar.

Kostencategorie In-house (SAQ D) Hoge kosten · Hoog risico Met PCI Proxy (SAQ A) AANBEVOLEN
Jaarlijkse audit €30,000 to €150,000 €3,000 to €8,000
Infrastructuurbeveiliging €50,000 to €200,000/year €0 (wij regelen het)
Datalekrisico €500,000 to €4,000,000+ Vrijwel nul
Cyberverzekering €15,000 to €60,000/year €5,000 to €15,000/year
Dedicated team 1–3 engineers Lichte oversight
Boetes bij niet-naleving €5,000 to €100,000/month €0 (conform by design)

Indicatieve cijfers voor Europese handelaren met 1–6 miljoen transacties per jaar. Werkelijke kosten hangen af van omvang en sector.

FAQ

Veelgestelde vragen

01 Welk PCI DSS-niveau geldt voor mijn bedrijf?

Dat hangt af van hoeveel kaarttransacties u per jaar verwerkt. Meer dan 6 miljoen betekent Niveau 1 (audit ter plaatse). Onder die drempel volstaat meestal een SAQ-vragenlijst. De meeste Europese MKB's zijn Niveau 3 of 4. Met ons kunt u naar de eenvoudigste SAQ.

02 Hoe helpen jullie ons minder PCI-werk te doen?

U stuurt ons kaartgegevens, wij tokeniseren en slaan ze op. Kaartnummers komen nooit op uw servers, u werkt alleen met tokens. Dat haalt u uit het zwaarste PCI-perimeter en brengt u van SAQ D (300+ controles) naar SAQ A of A-EP (minder dan 30).

03 Heeft AVG invloed op PCI DSS-conformiteit in Europa?

Ja. In Europa moet u PCI DSS en AVG samen naleven. Kaartgegevens zijn persoonsgegevens. AVG voegt rechten toe (verwijdering, EU-residentie, melding bij datalek). Met tokens in uw systemen en kaartgegevens in onze vault worden beide verplichtingen eenvoudiger.

Wilt u weten welke SAQ u nodig heeft?

Neem contact op: wij helpen u uw PCI-niveau te begrijpen en hoeveel u kunt vereenvoudigen met PCI Proxy.