››  Hackersafe › PCI › FAQ

Als u een webshop heeft en u accepteert een of meerdere creditcards, dan is de kans groot dat u door de transactieverwerkende partij (acquirer) bent geïnformeerd over de verplichtingen rondom de zogenaamde Payment Card Industry Data Security Standard (PCI/DSS).

In de communicatie wordt over het hoe en waarom van PCI/DSS meer informatie gegeven.

Duidelijk is in ieder geval dat PCI/DSS als verplichting wordt opgelegd.

Mogelijk heeft u toch vragen over deze brief of de acties die u moet ondernemen voor PCI/DSS. Wij proberen u met de hier gegeven informatie verder te helpen.

In de onderstaande Vragen & Antwoorden wordt vaak gesproken over de acquirer (de transactieverwerkende partij, meestal een bank). De acquirer is de partij die ervoor zorgt dat de door u gedane transacties (inter)nationaal worden verwerkt (de Cardhouder wordt belast en u, als accepterende partij wordt uitbetaald, eventueel via een tussenpartij).

De meeste webshops werken via een Payment Service Provider (PSP).
Deze PSP’s moeten ook voldoen aan de eisen van PCI/DSS.

In principe geldt dat indien u uw transacties volledig door een PSP laat afwikkelen, er volstaan kan worden met het jaarlijks invullen van een Self Assessment Questionnaire (SAQ). Indien u op uw webserver creditcardnummers verwerkt (ongeacht of u deze opslaat), dan moet u de uitgebreide PCI questionnaire gaan invullen.

Wie is uw aanspreekpunt?
De internationale creditcardorganisaties (Visa, MasterCard, American Express) leggen de PCI Data Security Standard op aan de acquirers. De acquirers zijn verantwoordelijk voor de uitvoering ervan. Zij zijn ook degenen die in voorkomende gevallen bepalen welke regels gelden en hoe deze dienen te worden toegepast. In het geval van vragen kunt u dan ook het beste met hen contact opnemen.

Vragen & Antwoorden

1. Hoe kan ik controleren welke “type” merchant wij zijn voor PCI?

Is de pagina, waarop tijdens de betaling de creditcard gegevens worden gevraagd, een pagina waarin in de adresregel de domeinnaam staat vermeld van uw bedrijf of webshop?

U dient dan de informatie zoals bij Vraag 3 weergegeven aan te leveren.


2. Wat moet ik doen als ik de transacties geheel via een PSP verwerk?

U kunt dan volstaan met het jaarlijks invullen van het Self Assessment Questionnaire TYPE A . De meeste acquirers hebben dit document beschikbaar via een online applicatie, maar u kunt het ook hier downloaden: https://www.pcisecuritystandards.org/saq/index.shtml , kies voor AOC SAQ A


3. Wat moet ik doen als ik de transacties verwerk via onze eigen internetsite ?

(1) U dient eerst het Self Assessment Questionnaire in te vullen. Een aantal acquirers hebben hiervoor een aparte internetapplicaties, maar u kunt u dit formulier ook hier downloaden: https://www.pcisecuritystandards.org/saq/index.shtml, kies AOC SAQ D - Merchants

(2) U dient ook het Attestation of Compliance Form in te vullen en aan te leveren

Let op: (1) en (2) zijn vrijwel altijd in één document geleverd!

(3) Daarnaast dient u ook, ieder kwartaal, maar in eerste instantie ook samen met de twee hiervoor genoemde documenten, het rapport aan te leveren van een netwerk veiligheidsscan.


Voor de uitvoering van deze scans zijn een aantal gecertificeerde leveranciers (Approved Scanning Vendors) aangewezen. McAfee SECURE is één van de ASV’s in de wereld. Vanaf €250,- per jaar leveren zij de tools voor PCI scans. In Europa wordt deze dienst geleverd door Business to You BV. 


4. Waarom moeten wij het vragenformulier invullen?

Aangezien er sprake is van aansprakelijkheid in het geval van het niet correct beantwoorden van de vragen. Uw PSP of acquirer kan en zal deze verantwoordelijkheid niet nemen. Daarbij geldt ook dat niet bekend is welke infrastructuur u gebruikt (webapplicaties, hosting en dergelijke).

5. Ik heb hulp nodig bij het invullen van de antwoorden van het SAQ formulier?

Uiteraard kan Business to You u eerstelijns ondersteuning geven. Echter, het is altijd de acquirer die de PCI certificatie aan u oplegt en wij kunnen niet altijd namens de acquirer spreken. Voor uitgebreidere vragen moeten we u derhalve doorverwijzen naar uw acquirer. De acquirer is de partij die uiteindelijk uw transacties verwerkt. 

Voorbeelden van acquirers zijn: PaySquare en EMS. 
Voor PaySquare belt u met: 030 283 73 33, kies dan voor optie 3
Voor EMS belt u met: 020 6600 595 (eCommerce Helpdesk)

6. Ik heb vragen over (een aantal) gebruikte termen in het SAQ formulier?

In het volgende document worden de meeste termen (in het Engels) uitgelegd: https://www.pcisecuritystandards.org/pdfs/pci_dss_glossary_v1-1.pdf

7. Welke IP-adressen dienen gescand te worden?

De IP-adressen die moeten worden opgenomen in de scan: alle “Internet-facing” (ook wel “Public-“ of “External facing”) IP-adressen en/of domeinnamen. Het kan zijn dat bedrijven meer IP-adressen hebben, via welke geen creditcardgegevens worden gestuurd. Als dit bij u het geval is, dan kunt u hierover contact opnemen met uw acquirer. Zij helpen u dan om vast te stellen welke IP-adressen en domeinnamen moeten worden opgenomen in de scan.

Principieel geldt: bij twijfel moet u contact opnemen met uw acquirer (de partij die de transacties verwerkt, zoals PaySquare, EMS, ATOS Worldline of B+S).

Belangrijk: als merchant bent u verantwoordelijk en aansprakelijk voor ontstane gevolgschade als een IP-adres en/of domeinnaam niet is opgenomen in de scan. Neem bij twijfel contact op met uw acquirer.