PCI DSS Conforme Betaalgateway: Wat Het Betekent voor Uw Bedrijf
PCI DSS (Payment Card Industry Data Security Standard) is het wereldwijde beveiligingskader dat regelt hoe kaartdata moet worden verwerkt door elke entiteit die betalingskaartinformatie verwerkt, opslaat of verzendt. Voor merchants die een betaalgateway kiezen, is het PCI DSS-certificeringsniveau een van de belangrijkste technische en commerciele selectiecriteria. Het gebruik van een PCI DSS Level 1 gecertificeerde gateway vermindert aanzienlijk de eigen nalevingslast van de merchant, beschermt kaarthouders en vermindert het risico van datalekken die resulteren in schemaboetes en kaartheruitgiftekosten. Deze gids legt uit wat PCI DSS-naleving betekent voor een gateway, de certificeringsniveaus, wat een Level 1 gateway doet voor uw nalevingsprogramma en wat merchants nog steeds onafhankelijk moeten doen.
Wat PCI DSS-Naleving Betekent voor een Betaalgateway
PCI DSS is een reeks beveiligingsvereisten ontwikkeld door de grote kaartschema's (Visa, Mastercard, Amex, Discover, JCB) via de PCI Security Standards Council. De norm is van toepassing op elke entiteit die kaarthouderdata verwerkt, opslaat of verzendt.
Voor een betaalgateway betekent PCI DSS-naleving dat de volledige infrastructuur van de gateway, inclusief servers, netwerken, applicaties en operationele procedures, voldoet aan de beveiligingsvereisten zoals gedefinieerd in de huidige PCI DSS-norm (momenteel versie 4.0).
Waarom het ertoe doet voor merchants: Een gateway die niet PCI DSS-conform is, creëert aansprakelijkheidsblootstelling voor elke merchant die er gebruik van maakt. Als kaarthouderdata die via de gateway wordt verwerkt wordt gecompromitteerd, kunnen kaartschema's boetes opleggen, kaartheruitgifte vereisen op kosten van de merchant.
Voortdurende certificering: PCI DSS-naleving is geen eenmalige certificering. Level 1 gateways ondergaan jaarlijkse on-site beveiligingsbeoordelingen door een Qualified Security Assessor (QSA) en kwartaalnetwerkvulnerabiliteitsscans door een Approved Scanning Vendor (ASV).
Voor merchants die een specialist high risk betaalgateway gebruiken, is PCI DSS Level 1-certificering op het gateway-niveau bijzonder belangrijk omdat high-risk merchantcategorieen verhoogde aandacht trekken van zowel fraudeurs als regelgevende instanties.
PCI DSS Niveaus: Level 1 vs Level 2 vs Level 3 vs Level 4
PCI DSS-certificering is gelaagd op transactievolume, met verschillende nalevingsvalidatievereisten voor elk niveau.
Serviceanbieder-niveaus:
Level 1 serviceaanbieders verwerken of slaan op of verzenden meer dan 300.000 kaarttransacties per jaar. Ze moeten een jaarlijks Report on Compliance (RoC) ondergaan opgesteld door een Qualified Security Assessor, plus kwartaalnetworkscans. Dit is het meest rigoureuze beoordelingsniveau en het niveau waarvoor RoxPay gecertificeerd is.
Level 2 serviceaanbieders verwerken minder dan 300.000 kaarttransacties per jaar. Ze kunnen jaarlijks een Self-Assessment Questionnaire (SAQ) plus kwartaalscans zelf invullen.
Merchantniveaus (ter informatie):
Merchant Level 1: Meer dan zes miljoen Visa of Mastercard transacties per jaar. Vereist jaarlijkse QSA on-site beoordeling.
Merchant Level 2: Een tot zes miljoen transacties per jaar.
Merchant Level 3: 20.000 tot een miljoen e-commercetransacties.
Merchant Level 4: Minder dan 20.000 e-commercetransacties of minder dan een miljoen andere transacties.
Wat Level 1-certificering signaleert: Een PCI DSS Level 1 gecertificeerde gateway heeft de meest rigoureuze mogelijke derde-partij beveiligingsbeoordeling ondergaan.
Hoe het Gebruik van een PCI DSS Level 1 Gateway Uw Nalevingslast Vermindert
Het gebruik van een PCI DSS Level 1 gateway vermindert aanzienlijk de reikwijdte van uw eigen PCI DSS-nalevingsprogramma, maar de mate van vermindering hangt af van uw integratiemethode.
Hosted page integratie (volledige bereikvermindering): Wanneer u de hosted betaalpagina van de gateway gebruikt, wordt uw klant omgeleid naar het domein van de gateway om kaartgegevens in te voeren. Uw infrastructuur ziet nooit kaartdata. Onder dit model kunt u in aanmerking komen voor SAQ A, de eenvoudigste zelfevaluatievragenlijst. SAQ A heeft ongeveer 22 vereisten, vergeleken met 300 voor SAQ D.
Drop-in UI of iFrame integratie (bijna-volledige bereikvermindering): Wanneer de gateway JavaScript-ingespoten iFrame-elementen biedt voor kaartinvoer binnen uw checkoutpagina, wordt de kaartdata afgehandeld binnen het beveiligde iFrame van de gateway, niet de code van uw pagina. U kunt ook in aanmerking komen voor SAQ A onder dit model.
REST API met tokenisatie (matige bereikvermindering): Wanneer uw frontend kaartdata verzamelt en naar uw server stuurt, die vervolgens de gateway API aanroept, is uw server in scope voor PCI DSS.
Wat bereikvermindering in de praktijk betekent: SAQ A-naleving is haalbaar voor de meeste kleine en middelgrote merchants zonder speciale beveiligingspersoneel of kostbare externe beoordelingen. SAQ D-naleving vereist aanzienlijke investering in beveiligingscontroles, documentatie en mogelijk een QSA-opdracht.
Wat Merchants Nog Steeds Moeten Doen Zelfs met een Conforme Gateway
Het gebruik van een PCI DSS Level 1 gecertificeerde gateway vermindert uw nalevingslast maar elimineert niet alle PCI-verplichtingen. Merchants blijven verantwoordelijk voor meerdere vereisten ongeacht het certificeringsniveau van hun gateway.
Voltooi uw SAQ: Zelfs onder SAQ A (de eenvoudigste vorm voor hosted/iFrame-integraties) moeten merchants de zelfevaluatievragenlijst invullen en bewaren.
Beveilig uw applicatielaag: Uw website en applicatie zijn in scope voor PCI DSS zelfs bij het gebruik van een hosted gateway, specifiek met betrekking tot het voorkomen van web-skimming-aanvallen. PCI DSS 4.0 introduceerde specifieke vereisten rond het beschermen van betaalpagina's tegen client-side script-injectie.
Bescherm uw API-referenties: Uw API-sleutels en webhook-signatuurgeheimen moeten veilig worden opgeslagen, regelmatig worden geroteerd en nooit worden blootgesteld in client-side code of versiebeheer.
Onderhoud uw systeemhygiene: Servers, applicaties en infrastructuur die deel uitmaken van uw betalingsomgeving moeten worden gepatcht en beveiligd gehouden.
Sla geen verboden data op: Zelfs bij het gebruik van een hosted gateway, mag u geen volledige kaartnummers, CVV's of magnetische stripdata opslaan in enig systeem dat u beheert.
RoxPay PCI DSS Level 1 Certificering en Wat het Dekt
RoxPay houdt PCI DSS Level 1-certificering met certificaatnummer QS83A47X629. Deze certificering wordt gehandhaafd door jaarlijkse on-site beoordelingen door een Qualified Security Assessor en kwartaalnetworkscans door een Approved Scanning Vendor.
Wat de certificering dekt: De volledige betaalverwerkingsinfrastructuur van RoxPay, inclusief kaartdatakluizen, transactieverwerkingsservers, netwerkinfrastructuur, API-eindpunten en operationele procedures.
Wat dit betekent voor merchants: Merchants die de hosted checkout of drop-in UI-integratie van RoxPay gebruiken, kunnen in aanmerking komen voor SAQ A, de minimale nalevingsvalidatievereiste voor merchants die niet direct kaartdata verwerken.
ISO 27001-certificering: Naast PCI DSS Level 1 houdt RoxPay ISO 27001-certificering, die het informatiebeveiligingsbeheersysteem breed dekt, inclusief gegevensbescherming, toegangsbeheer, incidentrespons en bedrijfscontinuiteit.
OAM-registratie: RoxPay is geregistreerd bij de Italiaanse OAM (Organismo Agenti e Mediatori), wat zijn status als gereguleerde betalingsoperator in Italie bevestigt.
Om uw RoxPay-aanvraag te starten en toegang te krijgen tot de sandboxomgeving voor PCI-conforme integratietesten, vul het digitale onboardingformulier in. Sandboxreferenties zijn direct beschikbaar na registratie. De volledige API-documentatie, inclusief beveiligingsintegratieguidance, is op app.roxpay.eu/api/v4/docs.
RoxPay verwerkt meer dan 500 miljoen euro in jaarlijks volume via 120 betaalsystemen met een 99,9% uptime SLA. IC++-prijzen vanaf 0,45%, verrekening naar elke SEPA-bank in 24-48 uur.
Frequently Asked Questions
Wat is het verschil tussen PCI DSS Level 1 en Level 2?
Voor serviceaanbieders (betaalgateway's) vereist Level 1 een jaarlijkse on-site beoordeling door een Qualified Security Assessor, waarmee een formeel Report on Compliance wordt geproduceerd. Level 2 stelt zelf-invulling van een Self-Assessment Questionnaire toe. Level 1 is rigoureuzer en biedt merchants meer zekerheid omdat een onafhankelijke beveiligingsexpert de volledige verwerkingsomgeving fysiek heeft beoordeeld en gecertificeerd.
Moet ik PCI DSS-conform zijn als ik de hosted checkout van RoxPay gebruik?
Ja, maar uw nalevingsverplichting is minimaal. Het gebruik van de hosted checkout of drop-in UI van RoxPay betekent dat u in aanmerking komt voor SAQ A, wat het invullen van een korte zelfevaluatievragenlijst van ongeveer 22 vereisten omvat, plus kwartaalnetworkscans door een Approved Scanning Vendor. U heeft geen QSA-audit of volledige SAQ D-beoordeling nodig.
Wat is PCI DSS 4.0 en heeft het gevolgen voor merchants die hosted checkouts gebruiken?
PCI DSS versie 4.0 werd gepubliceerd in 2022 en werd de effectieve norm in 2024. Voor merchants die hosted checkouts gebruiken, is de meest relevante nieuwe vereiste in v4.0 de noodzaak om een scriptinventaris en integriteitsmonitoring te onderhouden voor alle scripts die op uw betaalpagina's worden uitgevoerd (om web-skimming te voorkomen). Dit is van toepassing zelfs onder SAQ A. De integratiedocumentatie van RoxPay bevat guidance voor het voldoen aan deze vereiste.
Misschien ook interessant
Betaalgateway voor hoog risico
Veilige betalingsverwerking voor hoog-risico sectoren met multi-acquirer routing en chargeback-bescherming.
Betaaloplossingen voor kleine bedrijven
Transparante IC++-tarieven, gratis Smart POS-terminal en activering in 24 uur voor kleine bedrijven.
E-commerce betaalintegraties
Eén-klik plugins voor Shopify, WooCommerce, Magento en PrestaShop met volledige API-toegang.
Optimize your payments today
RoxPay is PCI DSS Level 1 gecertificeerd (QS83A47X629) en ISO 27001 gecertificeerd. Merchants die de hosted checkout gebruiken, komen in aanmerking voor SAQ A-naleving. IC++ vanaf 0,45%, verrekening naar elke SEPA-bank in 24-48 uur.
✓ No monthly fixed costs · ✓ Activation in 24 hours · ✓ Dedicated technical support
