Nu starten  Neem contact op 
Nu starten  Neem contact op 

PCI-certificeringseisen en -proces: een praktische gids voor bedrijven

Payments
Payments

Ontvang over de hele wereld online en fysieke betalingen met een betaaloplossing die past bij elke onderneming, van veelbelovende start-ups tot multinationals.

Meer informatie 
  1. Inleiding
  2. Wat is PCI-certificering?
  3. Hoe werkt het PCI-attestatieproces?
  4. Wat zijn de PCI DSS-vereisten voor attestering?
  5. Welke soorten PCI-certificering zijn er?
    1. SAQ
    2. QSA-audit
  6. Hoe vul je het PCI-certificaat van naleving in?
  7. Wat zijn de belangrijkste voordelen van PCI-certificering?
  8. Welke uitdagingen hebben bedrijven met PCI-certificering?
  9. Hoe Stripe Payments kan helpen
  10. Aan de slag met Stripe 

Elk bedrijf dat kaartbetalingen accepteert moet aantonen dat het veilig met klantgegevens kan omgaan. PCI-certificering (Payment Card Industry) is het formele proces waarmee wordt aangetoond dat je betalingssystemen voldoen aan de beveiligingsnormen van de sector. Dit is doorgaans wat banken en betalingspartners controleren voordat ze je goedkeuren voor het verwerken van transacties op grote schaal.

Aangezien de gemiddelde wereldwijde kosten van een datalek in 2025 naar verwachting 4,4 miljoen dollar zullen bedragen, is het aantonen van naleving een belangrijke financiële bescherming tegen de stijgende kosten van gegevensblootstelling. Hieronder leggen we uit wat een Attestation of Compliance (AOC) is, hoe het proces werkt, wat de vereisten zijn en wat de voordelen en uitdagingen voor bedrijven zijn.

Wat staat er in dit artikel?

  • Wat is PCI-certificering?
  • Hoe werkt het PCI-certificeringsproces?
  • Wat zijn de PCI DSS-vereisten voor certificering?
  • Welke soorten PCI-certificering zijn er?
  • Hoe vul je het PCI Attestation of Compliance-formulier in?
  • Wat zijn de belangrijkste voordelen van PCI-certificering?
  • Welke uitdagingen hebben bedrijven met PCI-certificering?
  • Hoe Stripe Payments kan helpen

Wat is PCI-certificering?

PCI-certificering is de officiële verklaring dat je bedrijf voldoet aan de Payment Card Industry Data Security Standard (PCI DSS). Het komt in de vorm van de Attestation of Compliance: een kort document dat bevestigt dat je de vereiste beveiligingsmaatregelen hebt geïmplementeerd om kaartgegevens te beschermen.

De AOC wordt ondertekend door een onafhankelijke Qualified Security Assessor (QSA) of door een bevoegde leidinggevende nadat je een Self-Assessment Questionnaire (SAQ) hebt ingevuld. Hierin staat hoe je PCI-beoordeling is uitgevoerd, wat er is gecontroleerd en of je aan de vereisten voldoet. Grotere bedrijven ondergaan meestal QSA-audits, terwijl kleinere bedrijven gebruikmaken van de SAQ.

Een attest is 12 maanden geldig en moet daarna worden vernieuwd. In tegenstelling tot het gedetailleerde rapport over naleving (ROC), dat intern blijft, is het AOC het document dat je deelt met banken, partners of klanten als bewijs dat je betalingssystemen voldoen aan de industrienormen.

Hoe werkt het PCI-attestatieproces?

PCI-certificering is een stap in een langere cyclus: reikwijdte, beveiliging, beoordeling, certificering en onderhoud. Elke fase zorgt ervoor dat kaarthoudergegevens worden geïdentificeerd, beschermd, getest en continu worden gecontroleerd.

Hier volgt een stapsgewijze beschrijving van het certificeringsproces:

  • Bepaal de reikwijdte en het niveau: Breng in kaart waar kaartgegevens in je systemen worden opgeslagen en bepaal je verkopersniveau op basis van het transactievolume. Dit bepaalt hoe streng je beoordeling moet zijn.

  • Controles instellen: Implementeer de PCI DSS-vereisten, waaronder firewalls, encryptie, toegangsbeperkingen, monitoring en training. Deze fase is meestal het meest lastig, omdat er systeemupgrades, configuratiewijzigingen en nieuw beleid bij komen kijken.

  • Compliance beoordelen: Kleinere verkopers (niveaus 2-4) vullen SAQ's in die zijn aangepast aan hun situatie. Grote verkopers (niveau 1) ondergaan een audit ter plaatse door een QSA, wat resulteert in een gedetailleerd ROC. In beide gevallen moet je ook kwetsbaarheidsscans of penetratietests uitvoeren, vooral voor online omgevingen.

  • Verhelp tekortkomingen: Het kan zijn dat je bedrijf niet meteen bij de eerste poging slaagt. Veelvoorkomende redenen hiervoor zijn ontbrekende patches, zwakke wachtwoordregels of niet-gesegmenteerde netwerken. Compenserende controles zijn toegestaan, maar deze moeten worden gedocumenteerd en gemotiveerd.

  • Vul het AOC in: Zodra de problemen zijn opgelost, vul je het officiële AOC-formulier in met bedrijfsinformatie, de reikwijdte van de beoordeling, een samenvatting van de naleving en handtekeningen van een leidinggevende (en een QSA, indien van toepassing). Dit wordt je bewijs van naleving voor banken en partners.

  • Zorg dat je het hele jaar door aan de normen voldoet: Door middel van driemaandelijkse scans, systeemmonitoring en personeelstraining blijf je aan de norm voldoen tot de volgende jaarlijkse verlenging.

Wat zijn de PCI DSS-vereisten voor attestering?

Om een attest van naleving te ondertekenen, moet een bedrijf aantonen dat het voldoet aan de 12 PCI DSS-vereisten. Deze hebben betrekking op alles van netwerkbeveiliging tot training van medewerkers. Hoewel de 12 vereisten breed zijn, zijn ze elk onderverdeeld in vele subvereisten – meer dan 300 in totaal . Op hoog niveau komen ze overeen met gezond verstandpraktijken voor het beveiligen van kaartgegevens.

Dit zijn de 12 vereisten:

  • Firewalls: Zorg voor een sterke netwerkbeveiliging om ongeautoriseerd verkeer weg te houden van kaarthoudergegevens.

  • Geen standaardinstellingen: Wijzig door de leverancier verstrekte wachtwoorden en instellingen.

  • Gegevensopslag: Sla kaarthoudergegevens alleen op als dat echt nodig is en maak ze onleesbaar door middel van encryptie of tokenisatie. Sla nooit gevoelige gegevens op, zoals de kaartverificatiewaardecodes (CVV).

  • Encryptie tijdens verzending: Bescherm kaartgegevens tijdens verzending via open netwerken met behulp van sterke cryptografie, bijvoorbeeld Transport Layer Security (TLS).

  • Bescherming tegen malware: Zorg dat antivirus- en antimalwaresoftware op alle systemen actief en up-to-date is.

  • Patchbeheer: Installeer beveiligingsupdates meteen en volg veilige ontwikkelingspraktijken voor alle aangepaste code.

  • Toegangscontrole: Beperk de toegang tot gegevens alleen tot mensen die deze nodig hebben voor hun werk.

  • Gebruikersauthenticatie: Geef elke gebruiker een unieke ID, zorg voor sterke wachtwoorden en vereis waar mogelijk meervoudige authenticatie.

  • Fysieke beveiliging: Beperk de fysieke toegang tot servers, terminals en opslagruimtes waar kaartgegevens worden bewaard.

  • Logboeken en monitoring: volg en controleer activiteiten op systemen die in aanraking komen met kaartgegevens.

  • Testen: voer regelmatig scans, penetratietests en systeemcontroles uit om te checken of de beveiliging werkt.

  • Beleid en training: Documenteer beveiligingsbeleid, houd dit up-to-date en train medewerkers om het te volgen.

Niet elke vereiste is in elke omgeving van toepassing. Bedrijven die bijvoorbeeld nooit kaartgegevens opslaan, kunnen opslagcontroles als ‘niet van toepassing’ markeren. Maar organisaties zullen doorgaans op de een of andere manier aan alle 12 vereisten moeten voldoen. PCI DSS v4.0.1, de nieuwste versie, benadrukt flexibiliteit terwijl deze basisprincipes intact blijven.

Welke soorten PCI-certificering zijn er?

Hoe je PCI-compliance valideert, hangt af van je transactievolume en je rol in de betalingsketen. Er zijn twee hoofdroutes: SAQ en QSA-audit. De PCI-regels bepalen welke van toepassing is op je bedrijf.

SAQ

Kleine en middelgrote bedrijven, die volgens de PCI-normen zijn geclassificeerd als Niveau 2 tot Niveau 4-verkopers, vullen SAQ's in. Je verkopersniveau hangt vooral af van het aantal kaarttransacties dat je per jaar verwerkt: niveau 1 is voor de grootste ondernemingen, terwijl niveaus 2-4 gelden voor bedrijven die minder transacties verwerken. De SAQ is een gestandaardiseerde reeks ja/nee-vragen die de PCI-vereisten dekken, met versies die specifiek zijn voor verschillende betalingsconfiguraties (bijv. SAQ A voor volledig uitbestede e-commerce, SAQ D voor bedrijven die kaartgegevens opslaan). Je kiest de juiste SAQ op basis van hoe je met kaartgegevens omgaat. Zodra deze is ingevuld, ondertekent een leidinggevende het Attestation of Compliance-formulier om te bevestigen dat de antwoorden juist zijn.

QSA-audit

Handelaars van niveau 1 en grote dienstverleners worden onderworpen aan audits onder leiding van een QSA. De beoordelaar bekijkt systemen, beleidsregels en controles in detail en stelt vervolgens een ROC en AOC op. Het AOC bevat in dit geval de handtekening van de QSA om te bevestigen dat er een onafhankelijke beoordeling is uitgevoerd.

Dienstverleners hebben hun eigen niveaus en vaak strengere eisen dan verkopers. In alle gevallen is het eindproduct hetzelfde: een AOC waarin wordt gedocumenteerd hoe de beoordeling is uitgevoerd en wie deze heeft geverifieerd.

Hoe vul je het PCI-certificaat van naleving in?

Tegen de tijd dat je bij het certificaat van naleving bent aangekomen, is het meeste werk al gedaan. Het formulier is een verslag van je beoordeling, niet de beoordeling zelf. Nauwkeurigheid en duidelijkheid zijn hier belangrijk, aangezien dit het document is dat je met banken of partners deelt. Zo vul je het in:

  • Begin met het juiste formulier: De PCI Security Standards Council publiceert verschillende AOC-sjablonen voor verkopers en dienstverleners en voor SAQ-gebaseerde beoordelingen en QSA-geleide audits. Als je het verkeerde formulier gebruikt, kan dat vertragingen veroorzaken.

  • Vul de bedrijfsgegevens in: Voer bedrijfsinformatie, contactgegevens en de datum van je beoordeling in. Hierdoor wordt de verklaring aan je organisatie gekoppeld.

  • Beschrijf de omgeving van je kaarthoudergegevens: noteer welke betaalkanalen je gebruikt, welke systemen en locaties erbij horen en welke externe providers erbij betrokken zijn. Wees precies. Dit gedeelte bepaalt de grenzen van je naleving.

  • Vat de naleving samen: Het formulier bevat de 12 PCI DSS-vereisten. Geef voor elk van deze vereisten aan of ze “van kracht”, “niet van kracht” of “niet van toepassing” zijn. Idealiter is alles van kracht op het moment dat je ondertekent.

  • Onderteken en dien in: Een leidinggevende ondertekent altijd de AOC en een QSA voegt zijn of haar handtekening toe voor Level 1-audits. Als er niet aan alle vereisten is voldaan, voeg dan een gedocumenteerd actieplan toe voor herstelmaatregelen.

Zodra de AOC is ingevuld, controleer je deze zorgvuldig, dien je deze in bij je accepteerder en bewaar je een kopie in je archief.

Wat zijn de belangrijkste voordelen van PCI-certificering?

PCI-certificering bevestigt dat je bedrijf voldoet aan de beveiligingsnormen die de kaartnetwerken verwachten. Die bevestiging biedt voordelen zoals een betere bescherming tegen inbreuken, meer vertrouwen van klanten en minder belemmeringen bij het samenwerken met partners.

Hieronder volgt een nadere beschrijving van de voordelen van PCI-certificering voor je bedrijf:

  • Vertrouwen van klanten: Door certificering aan te vragen, laat je zien dat je gegevensbescherming serieus neemt, wat klanten en partners die op je vertrouwen voor de bescherming van kaartgegevens geruststelt.

  • Minder risico: Door het PCI-raamwerk te volgen, verklein je de kans op een kostbare inbreuk door controles zoals encryptie, monitoring en regelmatige tests af te dwingen.

  • Minder boetes: Niet-compliance kan leiden tot boetes en aansprakelijkheid na een inbreuk. Een AOC helpt je om aan te tonen dat je de due diligence in acht neemt en kan de blootstelling beperken.

  • Toegang tot meer partners: Sommige partners eisen bewijs van PCI-compliance om zaken te kunnen doen. Als je een AOC hebt, worden barrières weggenomen en kunnen er zelfs nieuwe kansen ontstaan.

  • Kleiner compliancebereik (met de juiste provider): Als je een Level 1-serviceprovider zoals Stripe gebruikt, komen gevoelige gegevens vaak nooit in aanraking met je systemen. Dit vereenvoudigt je eigen verplichtingen en maakt het attestatieproces gemakkelijker.

Welke uitdagingen hebben bedrijven met PCI-certificering?

Het behalen van PCI-certificering kost tijd, coördinatie en een goed begrip van de norm.

De belangrijkste obstakels vallen in een paar categorieën:

  • Omvang bepalen: Een van de moeilijkste stappen is precies in kaart brengen waar kaartgegevens naartoe gaan. Als je een database of back-up mist, loop je het risico dat een deel van je omgeving onbeveiligd blijft. Fouten in de reikwijdte zorgen er ook voor dat je de verkeerde SAQ kiest, waardoor je certificering ongeldig kan worden.

  • Complexiteit en schaal: De PCI DSS bevat meer dan 300 controles verspreid over 12 vereisten. Voor kleinere teams kan dit overweldigend zijn. Grotere bedrijven moeten daarentegen veranderingen tussen veel afdelingen en systemen coördineren. Ongeacht de grootte van het bedrijf kost het verzamelen van documentatie en bewijsmateriaal tijd.

  • Naleving handhaven: Het kan riskant zijn om PCI-certificering als een jaarlijkse exercitie te zien. Controles kunnen verslappen en nieuwe systemen kunnen zonder de juiste beveiligingsmaatregelen live gaan. PCI DSS v4.0.1 dringt aan op continue monitoring om deze ‘checkbox’-benadering tegen te gaan.

  • Veranderende eisen: Normen veranderen. PCI DSS v4.0.1 heeft nieuwe regels geïntroduceerd voor authenticatie, testen en risicoanalyse. Bedrijven moeten op de hoogte blijven en zich snel aanpassen als de eisen veranderen.

  • Nauwkeurigheid en eerlijkheid: De verklaring is een wettelijke verklaring. Onvolledige of onnauwkeurige antwoorden, of het verdoezelen van compenserende controles, kunnen je achtervolgen als er een inbreuk plaatsvindt.

  • Kosten: Onafhankelijke audits, beveiligingstools, scans en personeelstijd lopen allemaal in de papieren. Deze kosten kunnen voor kleine bedrijven zwaar zijn, maar de financiële gevolgen van niet-naleving zijn veel hoger.

Deze uitdagingen zijn op te lossen met planning, de juiste expertise en, in veel gevallen, de juiste partners.

Hoe Stripe Payments kan helpen

Stripe Payments biedt een uniforme, wereldwijde betaaloplossing waarmee elk bedrijf, van groeiende start-ups tot internationale ondernemingen, online, persoonlijk en overal ter wereld betalingen kan accepteren.

Stripe Payments kan je helpen met:

  • Je afrekenervaring te optimaliseren: creëer een probleemloze klantervaring en bespaar duizenden technische uren met vooraf gebouwde betaling UI's, toegang tot 125+ betaalmethoden en Link, een wallet gebouwd door Stripe.

  • Sneller uit te breiden naar nieuwe markten: bereik klanten over de hele wereld en verminder de complexiteit en kosten van multivalutabeheer met grensoverschrijdende betaalopties, beschikbaar in 195 landen in 135+ valuta's.

  • Fysieke en online betalingen samen te voegen: bouw een unified commerce-ervaring op via online en fysieke kanalen om interacties te personaliseren, loyaliteit te belonen en inkomsten te laten groeien.

  • De betaalprestaties te verbeteren: verhoog inkomsten met een reeks aanpasbare, eenvoudig te configureren betaaltools, waaronder no code-fraudebescherming en geavanceerde mogelijkheden om autorisatiepercentages te verbeteren.

  • Sneller te werken met een flexibel, betrouwbaar platform voor groei: bouw voort op een platform dat is ontworpen om met jou mee te groeien, met een historische uptime van 99,999% en toonaangevende betrouwbaarheid.

Lees meer over hoe Stripe Payments je online en fysieke betalingen kan stimuleren, of ga vandaag nog aan de slag.

De inhoud van dit artikel is uitsluitend bedoeld voor algemene informatieve en educatieve doeleinden en mag niet worden opgevat als juridisch of fiscaal advies. Stripe verklaart of garandeert niet dat de informatie in dit artikel nauwkeurig, volledig, adequaat of actueel is. Voor aanbevelingen voor jouw specifieke situatie moet je het advies inwinnen van een bekwame, in je rechtsgebied bevoegde advocaat of accountant.

Meer artikelen

  • Er is iets misgegaan. Probeer het opnieuw of neem contact op met support.

Klaar om aan de slag te gaan?

Maak een account en begin direct met het ontvangen van betalingen. Contracten of bankgegevens zijn niet vereist. Je kunt ook contact met ons opnemen om een pakket op maat voor je onderneming samen te stellen.
Payments

Payments

Ontvang over de hele wereld online en fysieke betalingen met een betaaloplossing die past bij elke onderneming.

Documentatie voor Payments

Vind een whitepaper over de integratie van de betaal-API's van Stripe.