Wie moet naleven?
Iedereen die kaartgegevens accepteert, verwerkt of opslaat: webshops, platforms, callcenters, PSP's. Ook wie betalingen namens anderen afhandelt.
Als u kaartbetalingen accepteert, moet u PCI DSS naleven. Wij slaan kaartgegevens voor u op in de vault: u werkt met tokens en het invullen van de vragenlijst wordt veel eenvoudiger.
U bewaart alleen tokens
U erft onze certificering: kaartgegevens blijven in onze vault, niet op uw servers.
Het hoogste niveau. Onafhankelijke auditors beoordelen onze vault jaarlijks.
Kaartgegevens verlaten Europa nooit. Ook handig voor AVG-naleving.
Gegevens versleuteld at rest en in transit. Sleutels beschermd in gecertificeerde hardware.
Dit is de beveiligingsstandaard voor iedereen die kaartbetalingen accepteert (Visa, Mastercard en andere schemes). Het beschermt kaartgegevens overal waar ze worden verzameld, opgeslagen of verzonden.
12
Regels
4
Niveaus
1
Doel
Kaartgegevens beschermen, altijd.
Iedereen die kaartgegevens accepteert, verwerkt of opslaat: webshops, platforms, callcenters, PSP's. Ook wie betalingen namens anderen afhandelt.
Firewalls, versleuteling, toegangscontrole, monitoring en beleid. Veel regels: hoe minder systemen kaartgegevens raken, hoe minder werk voor u.
Boetes, hogere fees of het verlies van de mogelijkheid kaartbetalingen te accepteren. Een datalek kost veel meer dan conformiteit bereiken.
Hoeveel werk u moet doen hangt af van hoeveel kaarttransacties u per jaar verwerkt. Meer transacties, meer controles (tot een audit ter plaatse bij hoge volumes).
| Niveau | Jaarlijkse transacties | Validatievereisten | Typische entiteiten |
|---|---|---|---|
| Niveau 1 | >6 million transactions/year | Jaarlijkse audit ter plaatse + kwartaalscans | Grote retailers, luchtvaartmaatschappijen, grote PSP's |
| Niveau 2 | 1–6 miljoen transacties/jaar | Jaarlijkse SAQ, kwartaal ASV-scans | Mid-market e-commerce, hotelketens |
| Niveau 3 | 20.000–1 miljoen e-commerce/jaar | Jaarlijkse SAQ, kwartaal ASV-scans | Groeiende online bedrijven, SaaS-platforms |
| Niveau 4 | <20,000 e-commerce or <1 million other/year | Jaarlijkse SAQ (aanbevolen), kwartaal ASV-scans (indien van toepassing) | Kleine handelaren, lokale bedrijven, startups |
Goed om te weten: na een datalek kunt u naar Niveau 1 worden verplaatst, ook bij lage volumes. Uw acquirer kan ook extra controles vereisen.
De eenvoudigste manier om minder PCI te doen is kaartgegevens buiten uw servers te houden. U stuurt ons kaartgegevens, wij tokeniseren: u bewaart alleen het token.
300+
Controles · SAQ D
Als u alles zelf beheert
~30
Controles · SAQ A-EP
Met onze API
22
Controles · SAQ A
Met hosted fields
Sites, apps, databases en netwerken die kaartgegevens raken moeten honderden controles vervullen. Vaak meer dan 300 in de SAQ D-vragenlijst.
Kaartgegevens komen nooit op uw servers. Wij zijn PCI DSS Niveau 1 gecertificeerd en bewaren het kaartnummer in de vault. U handelt alleen met tokens.
Ga van SAQ D (300+ controles) naar SAQ A of A-EP (minder dan 30). Minder audits, minder dedicated engineers, minder risico.
De SAQ is de vragenlijst die u invult om conformiteit aan te tonen. Het hangt af van hoe kaartgegevens door uw systemen stromen. Met ons wordt het pad eenvoudiger.
Zelfbeoordeling
7% van SAQ D-scope
Voor wie onze hosted iFrame-velden gebruikt: kaartgegevens gaan nooit via uw site. Dit is het lichtste pad.
Uitgebreide zelfbeoordeling
10% van SAQ D-scope
Als de betaalpagina op uw site staat maar kaartgegevens direct naar ons gaan via API of JavaScript. Iets meer controles dan SAQ A.
Volledige vragenlijst
Volledige scope, alle systemen
De langste vragenlijst. Vereist wanneer kaartgegevens via uw servers gaan. Zonder ons belanden veel e-commercebedrijven hier.
In de EU moet u beide naleven. Kaartgegevens zijn ook persoonsgegevens. Met tokens vereenvoudigt u PCI en privacy.
Zelfde prioriteiten
Kaartgegevens = persoonsgegevens
Naam, kaartnummer en vervaldatum vallen onder AVG. U moet ze als gevoelige gegevens beschermen.
Minder data, minder risico
AVG vereist alleen te bewaren wat nodig is. Wij verwijderen het kaartnummer uit uw systemen en laten alleen het token over.
Datalekken en meldingen
Als u geen kaartgegevens opslaat, is een lek op uw servers veel minder ernstig. Minder stress voor u en uw klanten.
Vraagt aandacht
Verwijdering vs. retentie
AVG geeft het recht op verwijdering. PCI vereist transactielogs. Met tokens kunt u de mapping verwijderen en de gegevens onherstelbaar maken.
Gegevens alleen in de EU
Veel Europese bedrijven moeten gegevens in de EU houden. Wij opereren alleen vanuit Europese datacenters: kaartgegevens verlaten de Unie nooit.
Contract met ons (DPA)
Op grond van AVG zijn wij verwerker wanneer wij kaartgegevens voor u in de vault bewaren. Een schriftelijke overeenkomst over doel en beveiliging is vereist.
Kortom: u werkt met tokens. Wij bewaren kaartgegevens in de vault. PCI en AVG worden beter beheersbaar.
Alles intern PCI beheren kost veel meer dan kaartgegevens aan ons toe te vertrouwen. Indicatief voorbeeld voor een typische Europese handelaar.
| Kostencategorie | In-house (SAQ D) Hoge kosten · Hoog risico | Met PCI Proxy (SAQ A) AANBEVOLEN |
|---|---|---|
| Jaarlijkse audit | €30,000 to €150,000 | €3,000 to €8,000 |
| Infrastructuurbeveiliging | €50,000 to €200,000/year | €0 (wij regelen het) |
| Datalekrisico | €500,000 to €4,000,000+ | Vrijwel nul |
| Cyberverzekering | €15,000 to €60,000/year | €5,000 to €15,000/year |
| Dedicated team | 1–3 engineers | Lichte oversight |
| Boetes bij niet-naleving | €5,000 to €100,000/month | €0 (conform by design) |
Indicatieve cijfers voor Europese handelaren met 1–6 miljoen transacties per jaar. Werkelijke kosten hangen af van omvang en sector.
Dat hangt af van hoeveel kaarttransacties u per jaar verwerkt. Meer dan 6 miljoen betekent Niveau 1 (audit ter plaatse). Onder die drempel volstaat meestal een SAQ-vragenlijst. De meeste Europese MKB's zijn Niveau 3 of 4. Met ons kunt u naar de eenvoudigste SAQ.
U stuurt ons kaartgegevens, wij tokeniseren en slaan ze op. Kaartnummers komen nooit op uw servers, u werkt alleen met tokens. Dat haalt u uit het zwaarste PCI-perimeter en brengt u van SAQ D (300+ controles) naar SAQ A of A-EP (minder dan 30).
Ja. In Europa moet u PCI DSS en AVG samen naleven. Kaartgegevens zijn persoonsgegevens. AVG voegt rechten toe (verwijdering, EU-residentie, melding bij datalek). Met tokens in uw systemen en kaartgegevens in onze vault worden beide verplichtingen eenvoudiger.
Neem contact op: wij helpen u uw PCI-niveau te begrijpen en hoeveel u kunt vereenvoudigen met PCI Proxy.