Bepaal de scope van uw cardholder data-omgeving, implementeer alle 12 vereisten en doorsta uw assessment — of u nu in aanmerking komt voor SAQ-A of een volledige QSA Report on Compliance nodig heeft.
Elk SaaS-bedrijf dat kaarthoudergegevens opslaat, verwerkt of doorgeeft, valt binnen de PCI DSS-scope — ook als u de betalingsverwerking uitbesteedt aan Stripe of een andere gateway. Scope-reductie via een externe verwerker is aanzienlijk, maar zelden volledig. Afhankelijk van hoe uw integratie is gebouwd, kunnen er nog steeds systemen, databases of infrastructuur in scope vallen die PCI DSS-verplichtingen meebrengen.
PCI DSS v4.0, de huidige versie sinds maart 2024, introduceerde nieuwe vereisten rond multi-factor authenticatie, targeted risk analysis en continue monitoring. Deze toevoegingen weerspiegelen het moderne dreigingslandschap — en gelden ongeacht uw assessment-niveau. Compliant zijn met de vorige versie 3.2.1 volstaat niet meer.
Niet-compliance brengt reële financiële en operationele risico's met zich mee. Card brands kunnen boetes opleggen tot €100.000 per maand voor niet-compliant merchants en service providers. Het verlies van betaalverwerkingsrechten is een secundair gevolg dat uw bedrijfsvoering compleet kan stilleggen. Bij een datalek dragen niet-compliant organisaties bovendien aansprakelijkheid voor fraudeverliezen — een risico dat meegroeit met uw transactievolume.
Het meest voorkomende faalpatroon dat wij zien: een SaaS-bedrijf gaat ervan uit dat "we gebruiken Stripe, dus zit goed" — zonder ooit die aanname te toetsen aan de specifieke integratie die ze hebben gebouwd. JavaScript-betaalvelden, API-calls die kaartmetadata doorgeven en custom checkout-flows beïnvloeden allemaal de scope. Ons assessment bepaalt precies waar uw scope-grens ligt en welke verplichtingen daaruit voortvloeien.
Belangrijke feiten
De 12 vereisten
Bouw & onderhoud een veilig netwerk (Req 1–2)
Bescherm cardholder data (Req 3–4)
Vulnerability Management (Req 5–6)
Sterke toegangscontrole (Req 7–9)
Monitor & test netwerken (Req 10–11)
Information Security Policy (Req 12)
Targeted Risk Analysis (nieuw in PCI DSS v4.0)
Doorlopende compliance
PCI DSS-compliance begint met inzicht in uw werkelijke scope. Al het andere — de maatregelen, het bewijs, het assessment — vloeit daaruit voort. Dit is het pad dat wij elke klant doorloopen.
Security Assessment
€2.500 · verrekend met Sprint
Wij beoordelen uw werkelijke PCI DSS-scope — we bepalen welk SAQ-niveau van toepassing is of dat een QSA vereist is — en brengen alle tekortkomingen op de 12 vereisten in kaart. U ontvangt een helder, geprioriteerd herstelplan voordat enige implementatie begint. Het assessment-tarief wordt volledig verrekend met de Sprint als u doorgaat.
Meer over het Assessment90-Day Accelerator
€28.000 · vaste scope
Wij implementeren alle vereiste maatregelen binnen uw gescopete cardholder data-omgeving — netwerksegmentatie, toegangscontroles, encryptie, logging en vulnerability management. Wij documenteren de cardholder data flow, bouwen uw System Security Plan en leveren het evidence-pack op dat uw QSA of SAQ vereist. Vaste scope, vaste prijs, geen verrassingen.
Meer over de 90-Day AcceleratorThe Compliance Engine™
Vanaf €120 per gebruiker per maand · doorlopend
Doorlopende compliance-operations voor uw PCI-omgeving — kwartaal-ASV-vulnerability scans, coördinatie van jaarlijkse penetratietesten, access reviews, SIEM-logmonitoring en evidence-generatie voor uw volgende assessment-cyclus. Wij houden de maatregelen draaiend en het bewijs op orde, zodat uw jaarlijkse review nooit een hectisch moment wordt. Minimaal 40 gebruikers, 12 maanden minimum.
Meer over The Compliance Engine™Veelgestelde vragen
Klaar om te beginnen?
Plan een verkennend gesprek van 30 minuten. Geen salespitch. Gewoon een eerlijk gesprek over waar u staat en wat er nodig is om audit-klaar te worden.
Verkennend gesprek van 30 minuten · Geen verplichtingen · Europa & VS