PCI DSS Compliance

Bepaal de scope van uw cardholder data-omgeving, implementeer alle 12 vereisten en doorsta uw assessment — of u nu in aanmerking komt voor SAQ-A of een volledige QSA Report on Compliance nodig heeft.

Het scope-probleem dat de meeste SaaS-bedrijven niet kennen

Elk SaaS-bedrijf dat kaarthoudergegevens opslaat, verwerkt of doorgeeft, valt binnen de PCI DSS-scope — ook als u de betalingsverwerking uitbesteedt aan Stripe of een andere gateway. Scope-reductie via een externe verwerker is aanzienlijk, maar zelden volledig. Afhankelijk van hoe uw integratie is gebouwd, kunnen er nog steeds systemen, databases of infrastructuur in scope vallen die PCI DSS-verplichtingen meebrengen.

PCI DSS v4.0, de huidige versie sinds maart 2024, introduceerde nieuwe vereisten rond multi-factor authenticatie, targeted risk analysis en continue monitoring. Deze toevoegingen weerspiegelen het moderne dreigingslandschap — en gelden ongeacht uw assessment-niveau. Compliant zijn met de vorige versie 3.2.1 volstaat niet meer.

Niet-compliance brengt reële financiële en operationele risico's met zich mee. Card brands kunnen boetes opleggen tot €100.000 per maand voor niet-compliant merchants en service providers. Het verlies van betaalverwerkingsrechten is een secundair gevolg dat uw bedrijfsvoering compleet kan stilleggen. Bij een datalek dragen niet-compliant organisaties bovendien aansprakelijkheid voor fraudeverliezen — een risico dat meegroeit met uw transactievolume.

Het meest voorkomende faalpatroon dat wij zien: een SaaS-bedrijf gaat ervan uit dat "we gebruiken Stripe, dus zit goed" — zonder ooit die aanname te toetsen aan de specifieke integratie die ze hebben gebouwd. JavaScript-betaalvelden, API-calls die kaartmetadata doorgeven en custom checkout-flows beïnvloeden allemaal de scope. Ons assessment bepaalt precies waar uw scope-grens ligt en welke verplichtingen daaruit voortvloeien.

Belangrijke feiten

  • Huidige versie:
    PCI DSS v4.0 (sinds maart 2024)
  • Kernvereisten:
    12 vereisten verdeeld over 6 control-domeinen
  • Assessment-route:
    SAQ-A tot volledige QSA-assessment (scope-afhankelijk)
  • Boetes bij niet-compliance:
    Tot €100.000 per maand vanuit card brands

De 12 vereisten

Wat PCI DSS v4.0 daadwerkelijk vereist.

Bouw & onderhoud een veilig netwerk (Req 1–2)

  • Installeer en onderhoud netwerkbeveiligingsmaatregelen — firewalls, netwerksegmentatie
  • Pas veilige configuraties toe op alle systeemcomponenten — geen vendor defaults

Bescherm cardholder data (Req 3–4)

  • Bescherm opgeslagen cardholder data — encryptie, truncatie en bewaartermijnbeleid
  • Bescherm cardholder data in transit — TLS 1.2+ afgedwongen, geen cleartext-verkeer

Vulnerability Management (Req 5–6)

  • Bescherm alle systemen tegen malware — antivirus, EDR en anti-phishing-maatregelen
  • Ontwikkel en onderhoud veilige systemen en software — SDLC, patching, code review

Sterke toegangscontrole (Req 7–9)

  • Beperk toegang tot cardholder data — least privilege, alleen op need-to-know-basis
  • Identificeer gebruikers en authenticeer toegang — MFA verplicht voor alle CDE-toegang (v4.0)
  • Beperk fysieke toegang tot cardholder data — gedocumenteerd en afgedwongen

Monitor & test netwerken (Req 10–11)

  • Log en monitor alle toegang tot netwerkresources en cardholder data
  • Test de beveiliging van systemen en netwerken — kwartaal-ASV-scans, jaarlijkse penetratietest
  • Intrusion detection — alerts bij afwijkende toegangspatronen binnen de CDE

Information Security Policy (Req 12)

  • Information security policy — gedocumenteerd, goedgekeurd door management, jaarlijks herzien
  • Risicobeoordeling — formele methodiek, jaarlijks en bij significante wijzigingen gedocumenteerd
  • Security awareness training — al het personeel, jaarlijks, met gedocumenteerde afronding

Targeted Risk Analysis (nieuw in PCI DSS v4.0)

  • Formele risicoanalyse vereist voor elke vereiste waarvoor een customised approach wordt gekozen
  • Gedocumenteerde onderbouwing die aantoont dat de beveiligingsdoelen gelijkwaardig worden behaald

Doorlopende compliance

  • Bewijs dat maatregelen over tijd effectief functioneren — niet alleen op het moment van de audit
  • Periodieke reviews, uitzonderingenbeheer en control-validatie volgens een vast schema
Aanbevolen route

Eerst scope. Dan implementeren. Dan onderhouden.

PCI DSS-compliance begint met inzicht in uw werkelijke scope. Al het andere — de maatregelen, het bewijs, het assessment — vloeit daaruit voort. Dit is het pad dat wij elke klant doorloopen.

1

Security Assessment

€2.500 · verrekend met Sprint

Wij beoordelen uw werkelijke PCI DSS-scope — we bepalen welk SAQ-niveau van toepassing is of dat een QSA vereist is — en brengen alle tekortkomingen op de 12 vereisten in kaart. U ontvangt een helder, geprioriteerd herstelplan voordat enige implementatie begint. Het assessment-tarief wordt volledig verrekend met de Sprint als u doorgaat.

Meer over het Assessment
2

90-Day Accelerator

€28.000 · vaste scope

Wij implementeren alle vereiste maatregelen binnen uw gescopete cardholder data-omgeving — netwerksegmentatie, toegangscontroles, encryptie, logging en vulnerability management. Wij documenteren de cardholder data flow, bouwen uw System Security Plan en leveren het evidence-pack op dat uw QSA of SAQ vereist. Vaste scope, vaste prijs, geen verrassingen.

Meer over de 90-Day Accelerator
3

The Compliance Engine™

Vanaf €120 per gebruiker per maand · doorlopend

Doorlopende compliance-operations voor uw PCI-omgeving — kwartaal-ASV-vulnerability scans, coördinatie van jaarlijkse penetratietesten, access reviews, SIEM-logmonitoring en evidence-generatie voor uw volgende assessment-cyclus. Wij houden de maatregelen draaiend en het bewijs op orde, zodat uw jaarlijkse review nooit een hectisch moment wordt. Minimaal 40 gebruikers, 12 maanden minimum.

Meer over The Compliance Engine™

Veelgestelde vragen

Veelgestelde vragen.

Ja, mogelijk wel. Het gebruik van Stripe of een andere payment processor verkleint de scope aanzienlijk, maar elimineert deze zelden. Als uw applicatie doorlinkt naar een hosted payment page en u nooit cardholder data raakt, komt u mogelijk in aanmerking voor SAQ-A — het lichtste self-assessment. Maar zodra u een integratie heeft die verder gaat dan een eenvoudige redirect — iframes, custom payment fields, API-calls die kaartmetadata doorgeven — neemt uw scope toe en daarmee uw verplichtingen. Ons assessment bepaalt uw precieze scope en welk SAQ-type of QSA-traject van toepassing is.
Een Self-Assessment Questionnaire (SAQ) is een zelfcertificering die u zelf invult — geschikt voor merchants en service providers met een beperkte, duidelijk afgebakende scope. Een Qualified Security Assessor (QSA) voert een formele, onafhankelijke audit uit — vereist voor omgevingen met hoger risico en doorgaans gevraagd door grote enterprise-klanten en card brands. PCI DSS kent meerdere SAQ-types (A, A-EP, B, C, D) afhankelijk van hoe u met kaartgegevens omgaat. Ons assessment bepaalt welke route voor u geldt en welke evidence-verplichtingen daarbij horen.
Voor een typische B2B SaaS met een beperkte scope — Stripe-integratie, geen directe opslag van kaartgegevens — kan SAQ-A-compliance binnen 4 tot 8 weken worden behaald. Voor complexere omgevingen die een QSA Report on Compliance (RoC) vereisen, is de doorlooptijd 90 tot 180 dagen, afhankelijk van het aantal tekortkomingen en de omvang van de omgeving. De 90-Day Accelerator dekt de volledige implementatiefase; de QSA-assessment volgt onafhankelijk nadat de maatregelen draaien. Wij coördineren de overdracht en bereiden alles voor wat de QSA nodig heeft.

Klaar om te beginnen?

Draag security niet
langer alleen.

Plan een verkennend gesprek van 30 minuten. Geen salespitch. Gewoon een eerlijk gesprek over waar u staat en wat er nodig is om audit-klaar te worden.

Plan een verkennend gesprek Ontvang uw gratis Snapshot →

Verkennend gesprek van 30 minuten · Geen verplichtingen · Europa & VS