Skip to main content
Blog
Blog

Kun je Adyen gebruiken voor PCI DSS?

Ja, MAAR afhankelijk van de integratie is jouw bedrijf nog steeds verantwoordelijk voor naleving van de Payment Card Industry Data Security Standard (PCI DSS).

Mar 21, 2025 4 min read
adyen-pci-dss-image-cover

Ja, Adyen is PCI DSS-compliant als Level 1 Service Provider, maar merchants die Adyen gebruiken zijn nog steeds zelf verantwoordelijk voor hun eigen PCI-compliance, afhankelijk van hun integratiemethode.

De Payment Card Industry Data Security Standard (PCI DSS) is een set beveiligingsnormen die zijn ontworpen om kaartgegevens te beschermen tijdens en na een financiële transactie. Compliance houdt in dat je voldoet aan 12 vereisten, variërend van het installeren en onderhouden van een beveiligd netwerk tot het monitoren van scripts van derden op je webapplicaties (PCI 6.4.3 en 11.6.1.).

Hoe blijf je compliant met Adyen

De producten van Adyen zijn ontworpen om bedrijven te helpen hun PCI DSS-compliancelast te verminderen door gevoelige kaartgegevens veilig te verwerken. Je compliancevereisten hangen echter af van hoe je Adyen integreert.

Als je gebruikers doorverwijst naar de hosted betaalpagina's van Adyen, is je PCI-scope minimaal (SAQ A).

Als je kaarthoudergegevens op je eigen servers verzamelt, heb je SAQ D nodig, wat gepaard gaat met strengere complianceverplichtingen.

Je integratiemethode met Adyen bepaalt welke SAQ je moet invullen:

Integratietype PCI-scope Vereiste SAQ
Adyen Hosted Payment Pages (HPP) Minimaal - Adyen verwerkt kaartgegevens volledig SAQ A
Client-side Encryption (CSE)* Minimaal - Kaartgegevens worden versleuteld vóór verzending* SAQ A-EP*
Directe API-integratie Hoog - Kaarthoudergegevens passeren je server SAQ D

*Je moet nu ook afhankelijkheden op betaalpagina's monitoren, zie hieronder.

Welke kies je?

  • Gebruik Adyen's Hosted Payment Pages (HPP) → SAQ A (eenvoudigste compliance, kaartgegevens raken je servers nooit).
  • Gebruik Client-Side Encryption (CSE) → SAQ A-EP (kaartgegevens worden versleuteld voordat ze Adyen bereiken).
  • Gebruik directe API-integratie → SAQ D (je verwerkt ruwe kaartgegevens, hoogste PCI-last).

Als jouw bedrijf kaarthoudergegevens verwerkt of opslaat (SAQ D), moet je:

  • Sterke versleuteling implementeren voor betalingsgegevens.
  • Firewall- en toegangsbeheerbeleid instellen.
  • Kwartaalscans uitvoeren met een Approved Scanning Vendor (ASV).
  • Een volledige PCI DSS-audit uitvoeren als je een Level 1-merchant bent (6M+ transacties per jaar).

*Afhankelijkheden monitoren voor SAQ A-compliance

Conform de update van januari 2025 heeft de PCI Security Standards Council het belang van het monitoren van afhankelijkheden benadrukt. Dit omvat zowel eigen scripts als scripts van derden op websites. Deze update vereist dat merchants ervoor zorgen dat hun sites niet kwetsbaar zijn voor aanvallen die afkomstig zijn van deze scripts.

De PCI DSS-compliancegids van Adyen is de primaire processorspecifieke bron voor Adyen-integraties. Als je de scope tussen providers vergelijkt, bekijk dan ook de Stripe PCI DSS-gids.

Bepaal je PCI-complianceniveau

Niveau Criteria Validatievereiste
Level 1 Meer dan 6 miljoen transacties per jaar Volledige onsite audit door een QSA + SAQ D
Level 2 1 tot 6 miljoen transacties per jaar SAQ A, SAQ A-EP of SAQ D + Attestation of Compliance (AOC)
Level 3 20.000 tot 1 miljoen online transacties per jaar SAQ A, SAQ A-EP of SAQ D + Attestation of Compliance (AOC)
Level 4 Minder dan 20.000 online transacties OF tot 1 miljoen totale transacties SAQ A, SAQ A-EP of SAQ D + Attestation of Compliance (AOC)

Verwante lectuur: onze gids voor PCI DSS 6.4.3- en 11.6.1-compliance · de gedeelde PCI DSS-verantwoordelijkheden van PayPal Braintree

  • Level 1 = Verplicht een ROC (volledige PCI DSS-beoordeling met volledig Report on Compliance door een QSA)
  • Level 2 = Verplicht minimaal een SAQ met attestatie door een externe QSA of ISA
  • Level 3 = Verplicht een SAQ
  • Level 4 = Optioneel

PCI-compliancecertificering indienen

  • Gebruik je hosted betaalpagina's? → SAQ A
  • Gebruik je client-side encryption (CSE)? → SAQ A-EP
  • Gebruik je directe API-integratie? → SAQ D

Voor SAQ A- en SAQ A-EP-merchants:

  • Vul de SAQ in via het PCI-complianceportaal van Adyen.
  • Zorg ervoor dat geen scripts van derden de hosted velden van Adyen verstoren.
  • Bewaar documentatie voor jaarlijkse PCI-reviews.

Voor SAQ D-merchants:

  • Implementeer sterke beveiligingsmaatregelen (firewall, versleuteling, monitoring).
  • Voer kwartaalscans uit met een Approved Scanning Vendor (ASV).
  • Ondergaan een onsite QSA-audit als je grote volumes verwerkt.

Zodra je de juiste SAQ hebt bepaald op basis van je integratiemethode, vul je deze zorgvuldig in. De PCI DSS-documentatie van Adyen legt uit welk bewijs en welke validatiestappen merchants moeten voorbereiden voor hun specifieke integratie.

Voor een gedetailleerd overzicht van welke PCI DSS-vereisten Adyen dekt en welke uw verantwoordelijkheid blijven, zie Adyen en PCI DSS: wat de verwerker dekt en wat u zelf moet doen.

Simon Wijckmans
Founder & CEO

Founder and CEO of cside. Previously a product manager on Cloudflare Page Shield (now Cloudflare Client-Side Security). Co-chair of the W3C Anti-Fraud Community Group and a Forbes 30 Under 30 honoree. Building accessible security against client-side attacks, web security is not an enterprise-only problem.

FAQ

Frequently Asked Questions

Adyen heeft PCI DSS Level 1 certificering voor zijn eigen betaalinfrastructuur, maar handelaren die Adyen gebruiken zijn niet automatisch PCI-compliant. Je moet nog steeds een SAQ voltooien, en als je Adyen's hosted checkout gebruikt kun je kwalificeren voor SAQ A, maar alleen als er geen kaartgegevens je servers raken. Zodra je Adyen Web Components of Drop-in gebruikt, geldt SAQ A-EP, met vereisten 6.4.3 en 11.6.1 voor client-side script monitoring.

SAQ A geldt wanneer betaalpagina's volledig zijn uitbesteed (Adyen-gehost). SAQ A-EP geldt wanneer je site bepaalt hoe betaalpagina's zijn opgebouwd, inclusief elk gebruik van Adyen Web Components, Drop-in of iframe-integraties. SAQ A-EP vereist scriptinventaris (6.4.3) en manipulatiedetectie (11.6.1) die Adyen niet biedt.

Nee. Adyen tokeniseert kaartgegevens op zijn servers, maar Magecart-achtige skimmers vallen de browserlaag aan voordat gegevens Adyen bereiken. Een gecompromitteerd script op je checkout kan toetsaanslagen vastleggen of velden scrapen voordat Adyen's SDK de kaart verwerkt. Browser-laag monitoring is nodig om deze aanvallen te detecteren.

Adyen dekt infrastructuur-niveau vereisten (encryptie, sleutelbeheer, opslag). Het dekt geen 6.4.3 (scriptinventaris op betaalpagina's), 11.6.1 (manipulatiedetectie) of 12.8 (leveranciersrisicobeheer voor andere third-party scripts op je checkout). Zie onze PCI Shield gids voor browser-laag compliance.

Je hebt een browser-laag oplossing nodig die elk script op je Adyen checkout inventariseert, veranderingen bijhoudt en QSA-klare rapporten genereert. cside implementeert via een enkele scripttag, werkt naast Adyen's SDK en produceert audit-klaar bewijs voor 6.4.3 en 11.6.1.

Ja. cside is AWS's voorkeursleverancier voor PCI DSS 4.0.1 vereisten 6.4.3 en 11.6.1, ondersteund door een wereldwijd partnerschap. Handelaren die cside inzetten voor browser-laag scriptmonitoring kunnen inkopen via de AWS Marketplace en de implementatie afstemmen op hun bestaande AWS security-tooling en compliance-workflows.

Monitor en Beveilig Je Third-Party Scripts

Gain full visibility and control over every script delivered to your users to enhance site security and performance.

Start gratis, of probeer Business met een proefperiode van 14 dagen.

cside dashboard interface met script monitoring en beveiligingsanalytics
Related Articles
Boek een demo