PCI compliance hosting: veilig betalingen verwerken in je webshop

als je creditcard betalingen accepteert in je webshop, moet je voldoen aan PCI DSS (payment card industry data security standard). Deze security standaard beschermt kaarthouder data en is verplicht voor alle bedrijven die kaartbetalingen verwerken, opslaan of doorgeven. In dit artikel leggen we uit wat PCI compliance betekent voor je hosting keuze.

wat is PCI DSS compliance?

pci DSS is een set van beveiligingsvereisten ontwikkeld door grote creditcard bedrijven (visa, mastercard, american express, etc.) om fraude en data lekken te voorkomen. De standaard bestaat uit 12 hoofdvereisten en tientallen sub-vereisten die alles omvatten van netwerk beveiliging tot toegangscontrole.

Niet-compliance kan leiden tot zware boetes (€5.000-100.000 per maand), verhoogde transactie kosten en in extreme gevallen het verlies van je mogelijkheid om kaartbetalingen te accepteren.

PCI compliance levels

er zijn vier compliance levels gebaseerd op je jaarlijkse transactie volume:

level 1: meer dan 6 miljoen transacties per jaar. Vereist jaarlijkse onsite audit door gekwalificeerde assessor.

level 2: 1-6 miljoen transacties. Jaarlijkse self-assessment questionnaire (SAQ) en kwartaal netwerk scans.

level 3: 20.000-1 miljoen e-commerce transacties. Jaarlijkse SAQ en kwartaal scans.

level 4: minder dan 20.000 e-commerce transacties. Jaarlijkse SAQ en kwartaal scans.

De meeste kleine tot middelgrote webshops vallen onder level 3 of 4.

hosting vereisten voor PCI compliance

secure netwerk architectuur
Je hosting moet een firewall hebben tussen het publieke internet en je webshop omgeving. Dedicated of VPS hosting is sterk aanbevolen - gedeelde hosting maakt compliance zeer moeilijk omdat je de server deelt met andere websites die je niet kunt controleren.

data encryptie
SSL/TLS certificaten zijn verplicht voor alle transmissies van kaarthouder data. Gebruik minimaal TLS 1.2, bij voorkeur TLS 1.3. Alle opgeslagen cardholder data moet versleuteld zijn, al wordt het sterk afgeraden om kaartgegevens überhaupt op te slaan.

toegangscontrole
Implementeer sterke wachtwoord policies, two-factor authenticatie voor admin toegang en beperk toegang tot cardholder data tot alleen die personen die het absoluut nodig hebben. Log alle toegang tot systemen met cardholder data.

reguliere security scans en updates
Voer kwartaal vulnerability scans uit door een approved scanning vendor (ASV). Houd alle software up-to-date met security patches binnen 30 dagen na release. Gebruik anti-malware software op alle systemen.

de eenvoudigste weg: outsource betalingsverwerking

de makkelijkste manier om PCI compliance te bereiken is door kaartgegevens nooit op je eigen servers te laten komen. Gebruik payment gateways zoals stripe, mollie of adyen die de betalingsverwerking volledig overnemen.

Met deze "hosted payment page" of "tokenization" oplossingen verwerk je geen kaartgegevens zelf, waardoor je compliance vereisten drastisch reduceren. Je valt dan onder SAQ A (23 vragen) in plaats van SAQ D (300+ vragen).

Deze oplossing is geschikt voor 95% van de webshops en bespaart enorme kosten en complexiteit.

PCI compliant hosting providers

veel hosting providers bieden "PCI compliant hosting" aan, maar let op: de provider kan een compliant infrastructuur bieden, maar jij bent nog steeds verantwoordelijk voor je applicatie compliance.

Kies een provider die:

• regelmatige security audits ondergaat
• dedicated of goed geïsoleerde VPS omgevingen biedt
• automatische security updates en patches installeert
• web application firewall (WAF) en DDoS bescherming biedt
• compliance documentatie kan leveren voor audits

Providers zoals AWS, Google cloud en gespecialiseerde webshop hosting diensten bieden PCI compliant infrastructuur.

compliance handhaven en audits

pci compliance is geen eenmalige actie maar een continu proces. Je moet:

kwartaal: vulnerability scans uitvoeren door ASV en resultaten documenteren jaarlijks: self-assessment questionnaire invullen en attestation of compliance (aoc) produceren continu: security policies handhaven, logs monitoren, patches installeren

Bewaar alle compliance documentatie voor minimaal 3 jaar. Bij een audit moet je kunnen aantonen dat je voldoet aan alle vereisten.

kosten van PCI compliance

de kosten variëren enorm afhankelijk van je approach:

outsourcing (aanbevolen): €0-50/maand extra voor payment gateway fees basis compliance (SAQ A-EP of SAQ D-merchant): €500-2000/jaar voor scans en tools full compliance (level 1): €10.000-100.000+ voor jaarlijkse audits en security maatregelen

Voor kleine webshops is outsourcing naar een payment gateway veruit de meest kosteneffectieve oplossing.

conclusie

pci DSS compliance kan intimiderend lijken, maar voor de meeste webshops is de oplossing eenvoudig: laat payment providers zoals stripe of mollie de betalingsverwerking afhandelen. Je bent dan vrijwel automatisch compliant zonder complexe hosting vereisten.

Als je wel kaartgegevens verwerkt, investeer dan in dedicated PCI compliant hosting, regelmatige scans en documenteer alles zorgvuldig. Non-compliance is geen optie - de risico's en boetes zijn te groot. Begin vandaag met het evalueren van je compliance status en neem de nodige stappen om je klanten en je bedrijf te beschermen.