pci compliance hosting: veilig betalingen verwerken in je webshop

{"nl":"# PCI compliance hosting: veilig betalingen verwerken in je webshop\n\nals je creditcard betalingen accepteert in je webshop, moet je voldoen aan PCI DSS (payment card industry data security standard). Deze security standaard beschermt kaarthouder data en is verplicht voor alle bedrijven die kaartbetalingen verwerken, opslaan of doorgeven. In dit artikel leggen we uit wat PCI compliance betekent voor je hosting keuze.\n\n## wat is PCI DSS compliance?\n\npci DSS is een set van beveiligingsvereisten ontwikkeld door grote creditcard bedrijven (visa, mastercard, american express, etc.) om fraude en data lekken te voorkomen. De standaard bestaat uit 12 hoofdvereisten en tientallen sub-vereisten die alles omvatten van netwerk beveiliging tot toegangscontrole.\n\nNiet-compliance kan leiden tot zware boetes (\u20ac5.000-100.000 per maand), verhoogde transactie kosten en in extreme gevallen het verlies van je mogelijkheid om kaartbetalingen te accepteren.\n\n## PCI compliance levels\n\ner zijn vier compliance levels gebaseerd op je jaarlijkse transactie volume:\n\nlevel 1: meer dan 6 miljoen transacties per jaar. Vereist jaarlijkse onsite audit door gekwalificeerde assessor.\n\nlevel 2: 1-6 miljoen transacties. Jaarlijkse self-assessment questionnaire (SAQ) en kwartaal netwerk scans.\n\nlevel 3: 20.000-1 miljoen e-commerce transacties. Jaarlijkse SAQ en kwartaal scans.\n\nlevel 4: minder dan 20.000 e-commerce transacties. Jaarlijkse SAQ en kwartaal scans.\n\nDe meeste kleine tot middelgrote webshops vallen onder level 3 of 4.\n\n## hosting vereisten voor PCI compliance\n\nsecure netwerk architectuur \nJe hosting moet een firewall hebben tussen het publieke internet en je webshop omgeving. Dedicated of VPS hosting is sterk aanbevolen - gedeelde hosting maakt compliance zeer moeilijk omdat je de server deelt met andere websites die je niet kunt controleren.\n\ndata encryptie \nSSL/TLS certificaten zijn verplicht voor alle transmissies van kaarthouder data. Gebruik minimaal TLS 1.2, bij voorkeur TLS 1.3. Alle opgeslagen cardholder data moet versleuteld zijn, al wordt het sterk afgeraden om kaartgegevens \u00fcberhaupt op te slaan.\n\ntoegangscontrole \nImplementeer sterke wachtwoord policies, two-factor authenticatie voor admin toegang en beperk toegang tot cardholder data tot alleen die personen die het absoluut nodig hebben. Log alle toegang tot systemen met cardholder data.\n\nreguliere security scans en updates \nVoer kwartaal vulnerability scans uit door een approved scanning vendor (ASV). Houd alle software up-to-date met security patches binnen 30 dagen na release. Gebruik anti-malware software op alle systemen.\n\n## de eenvoudigste weg: outsource betalingsverwerking\n\nde makkelijkste manier om PCI compliance te bereiken is door kaartgegevens nooit op je eigen servers te laten komen. Gebruik payment gateways zoals stripe, mollie of adyen die de betalingsverwerking volledig overnemen.\n\nMet deze "hosted payment page" of "tokenization" oplossingen verwerk je geen kaartgegevens zelf, waardoor je compliance vereisten drastisch reduceren. Je valt dan onder SAQ A (23 vragen) in plaats van SAQ D (300+ vragen).\n\nDeze oplossing is geschikt voor 95% van de webshops en bespaart enorme kosten en complexiteit.\n\n## PCI compliant hosting providers\n\nveel hosting providers bieden "PCI compliant hosting" aan, maar let op: de provider kan een compliant infrastructuur bieden, maar jij bent nog steeds verantwoordelijk voor je applicatie compliance.\n\nKies een provider die:\n- regelmatige security audits ondergaat\n- dedicated of goed ge\u00efsoleerde VPS omgevingen biedt\n- automatische security updates en patches installeert\n- web application firewall (WAF) en DDoS bescherming biedt\n- compliance documentatie kan leveren voor audits\n\nProviders zoals AWS, Google cloud en gespecialiseerde webshop hosting diensten bieden PCI compliant infrastructuur.\n\n## compliance handhaven en audits\n\npci compliance is geen eenmalige actie maar een continu proces. Je moet:\n\nkwartaal: vulnerability scans uitvoeren door ASV en resultaten documenteren\njaarlijks: self-assessment questionnaire invullen en attestation of compliance (aoc) produceren\ncontinu: security policies handhaven, logs monitoren, patches installeren\n\nBewaar alle compliance documentatie voor minimaal 3 jaar. Bij een audit moet je kunnen aantonen dat je voldoet aan alle vereisten.\n\n## kosten van PCI compliance\n\nde kosten vari\u00ebren enorm afhankelijk van je approach:\n\noutsourcing (aanbevolen): \u20ac0-50/maand extra voor payment gateway fees\nbasis compliance (SAQ A-EP of SAQ D-merchant): \u20ac500-2000/jaar voor scans en tools\nfull compliance (level 1): \u20ac10.000-100.000+ voor jaarlijkse audits en security maatregelen\n\nVoor kleine webshops is outsourcing naar een payment gateway veruit de meest kosteneffectieve oplossing.\n\n## conclusie\n\npci DSS compliance kan intimiderend lijken, maar voor de meeste webshops is de oplossing eenvoudig: laat payment providers zoals stripe of mollie de betalingsverwerking afhandelen. Je bent dan vrijwel automatisch compliant zonder complexe hosting vereisten.\n\nAls je wel kaartgegevens verwerkt, investeer dan in dedicated PCI compliant hosting, regelmatige scans en documenteer alles zorgvuldig. Non-compliance is geen optie - de risico's en boetes zijn te groot. Begin vandaag met het evalueren van je compliance status en neem de nodige stappen om je klanten en je bedrijf te beschermen.","en":"# PCI compliance hosting: securely process payments in your webshop\n\nif you accept credit card payments in your webshop, you must comply with PCI DSS (payment card industry data security standard). This security standard protects cardholder data and is mandatory for all businesses that process, store or transmit card payments. In this article, we explain what PCI compliance means for your hosting choice.\n\n## what is PCI DSS compliance?\n\npci DSS is a set of security requirements developed by major credit card companies (visa, mastercard, american express, etc.) to prevent fraud and data breaches. The standard consists of 12 main requirements and dozens of sub-requirements covering everything from network security to access control.\n\nNon-compliance can lead to heavy fines (\u20ac5,000-100,000 per month), increased transaction costs and in extreme cases the loss of your ability to accept card payments.\n\n## PCI compliance levels\n\nthere are four compliance levels based on your annual transaction volume:\n\nlevel 1: more than 6 million transactions per year. Requires annual onsite audit by qualified assessor.\n\nlevel 2: 1-6 million transactions. Annual self-assessment questionnaire (SAQ) and quarterly network scans.\n\nlevel 3: 20,000-1 million e-commerce transactions. Annual SAQ and quarterly scans.\n\nlevel 4: less than 20,000 e-commerce transactions. Annual SAQ and quarterly scans.\n\nMost small to medium webshops fall under level 3 or 4.\n\n## hosting requirements for PCI compliance\n\nsecure network architecture \nYour hosting must have a firewall between the public internet and your webshop environment. Dedicated or VPS hosting is strongly recommended - shared hosting makes compliance very difficult because you share the server with other websites you cannot control.\n\ndata encryption \nSSL/TLS certificates are mandatory for all transmissions of cardholder data. Use at least TLS 1.2, preferably TLS 1.3. All stored cardholder data must be encrypted, although it is strongly discouraged to store card details at all.\n\naccess control \nImplement strong password policies, two-factor authentication for admin access and restrict access to cardholder data to only those who absolutely need it. Log all access to systems with cardholder data.\n\nregular security scans and updates \nPerform quarterly vulnerability scans by an approved scanning vendor (ASV). Keep all software up-to-date with security patches within 30 days of release. Use anti-malware software on all systems.\n\n## the easiest way: outsource payment processing\n\nthe easiest way to achieve PCI compliance is to never let card details reach your own servers. Use payment gateways like stripe, mollie or adyen that completely take over payment processing.\n\nWith these "hosted payment page" or "tokenization" solutions you don't process card details yourself, drastically reducing your compliance requirements. You then fall under SAQ A (23 questions) instead of SAQ D (300+ questions).\n\nThis solution is suitable for 95% of webshops and saves enormous costs and complexity.\n\n## PCI compliant hosting providers\n\nmany hosting providers offer "PCI compliant hosting", but beware: the provider can offer a compliant infrastructure, but you are still responsible for your application compliance.\n\nChoose a provider that:\n- undergoes regular security audits\n- offers dedicated or well-isolated VPS environments\n- installs automatic security updates and patches\n- offers web application firewall (WAF) and DDoS protection\n- can provide compliance documentation for audits\n\nProviders like AWS, Google cloud and specialized webshop hosting services offer PCI compliant infrastructure.\n\n## maintaining compliance and audits\n\npci compliance is not a one-time action but a continuous process. You must:\n\nquarterly: perform vulnerability scans by ASV and document results\nannually: complete self-assessment questionnaire and produce attestation of compliance (aoc)\ncontinuously: enforce security policies, monitor logs, install patches\n\nKeep all compliance documentation for at least 3 years. During an audit you must be able to demonstrate that you meet all requirements.\n\n## cost of PCI compliance\n\ncosts vary enormously depending on your approach:\n\noutsourcing (recommended): \u20ac0-50/month extra for payment gateway fees\nbasic compliance (SAQ A-EP or SAQ D-merchant): \u20ac500-2000/year for scans and tools\nfull compliance (level 1): \u20ac10,000-100,000+ for annual audits and security measures\n\nFor small webshops, outsourcing to a payment gateway is by far the most cost-effective solution.\n\n## conclusion\n\npci DSS compliance may seem intimidating, but for most webshops the solution is simple: let payment providers like stripe or mollie handle payment processing. You are then almost automatically compliant without complex hosting requirements.\n\nIf you do process card details, invest in dedicated PCI compliant hosting, regular scans and document everything carefully. Non-compliance is not an option - the risks and fines are too great. Start evaluating your compliance status today and take the necessary steps to protect your customers and your business."}