Blog

Kun je Adyen gebruiken voor PCI DSS?

Ja, MAAR afhankelijk van de integratie is jouw bedrijf nog steeds verantwoordelijk voor naleving van de Payment Card Industry Data Security Standard (PCI DSS).

Mar 21, 2025 • 4 min read

Simon Wijckmans Founder & CEO

Ja, Adyen is PCI DSS-compliant als Level 1 Service Provider, maar merchants die Adyen gebruiken zijn nog steeds zelf verantwoordelijk voor hun eigen PCI-compliance, afhankelijk van hun integratiemethode.

De Payment Card Industry Data Security Standard (PCI DSS) is een set beveiligingsnormen die zijn ontworpen om kaartgegevens te beschermen tijdens en na een financiële transactie. Compliance houdt in dat je voldoet aan 12 vereisten, variërend van het installeren en onderhouden van een beveiligd netwerk tot het monitoren van scripts van derden op je webapplicaties (PCI 6.4.3 en 11.6.1.).

Hoe blijf je compliant met Adyen

De producten van Adyen zijn ontworpen om bedrijven te helpen hun PCI DSS-compliancelast te verminderen door gevoelige kaartgegevens veilig te verwerken. Je compliancevereisten hangen echter af van hoe je Adyen integreert.

Als je gebruikers doorverwijst naar de hosted betaalpagina's van Adyen, is je PCI-scope minimaal (SAQ A).

Als je kaarthoudergegevens op je eigen servers verzamelt, heb je SAQ D nodig, wat gepaard gaat met strengere complianceverplichtingen.

Je integratiemethode met Adyen bepaalt welke SAQ je moet invullen:

Integratietype	PCI-scope	Vereiste SAQ
Adyen Hosted Payment Pages (HPP)	Minimaal – Adyen verwerkt kaartgegevens volledig	SAQ A
Client-side Encryption (CSE)*	Minimaal – Kaartgegevens worden versleuteld vóór verzending*	SAQ A-EP*
Directe API-integratie	Hoog – Kaarthoudergegevens passeren je server	SAQ D

*Je moet nu ook afhankelijkheden op betaalpagina's monitoren, zie hieronder.

Welke kies je?

Gebruik Adyen's Hosted Payment Pages (HPP) → SAQ A (eenvoudigste compliance, kaartgegevens raken je servers nooit).
Gebruik Client-Side Encryption (CSE) → SAQ A-EP (kaartgegevens worden versleuteld voordat ze Adyen bereiken).
Gebruik directe API-integratie → SAQ D (je verwerkt ruwe kaartgegevens, hoogste PCI-last).

Als jouw bedrijf kaarthoudergegevens verwerkt of opslaat (SAQ D), moet je:

Sterke versleuteling implementeren voor betalingsgegevens.
Firewall- en toegangsbeheerbeleid instellen.
Kwartaalscans uitvoeren met een Approved Scanning Vendor (ASV).
Een volledige PCI DSS-audit uitvoeren als je een Level 1-merchant bent (6M+ transacties per jaar).

*Afhankelijkheden monitoren voor SAQ A-compliance

Conform de update van januari 2025 heeft de PCI Security Standards Council het belang van het monitoren van afhankelijkheden benadrukt. Dit omvat zowel eigen scripts als scripts van derden op websites. Deze update vereist dat merchants ervoor zorgen dat hun sites niet kwetsbaar zijn voor aanvallen die afkomstig zijn van deze scripts.

De documentatie van Stripe over PCI DSS vind je hier.

Bepaal je PCI-complianceniveau

Niveau	Criteria	Validatievereiste
Level 1	Meer dan 6 miljoen transacties per jaar	Volledige onsite audit door een QSA + SAQ D
Level 2	1 tot 6 miljoen transacties per jaar	SAQ A, SAQ A-EP of SAQ D + Attestation of Compliance (AOC)
Level 3	20.000 tot 1 miljoen online transacties per jaar	SAQ A, SAQ A-EP of SAQ D + Attestation of Compliance (AOC)
Level 4	Minder dan 20.000 online transacties OF tot 1 miljoen totale transacties	SAQ A, SAQ A-EP of SAQ D + Attestation of Compliance (AOC)

Level 1 = Verplicht een ROC (volledige PCI DSS-beoordeling met volledig Report on Compliance door een QSA)
Level 2 = Verplicht minimaal een SAQ met attestatie door een externe QSA of ISA
Level 3 = Verplicht een SAQ
Level 4 = Optioneel

PCI-compliancecertificering indienen

Gebruik je hosted betaalpagina's? → SAQ A
Gebruik je client-side encryption (CSE)? → SAQ A-EP
Gebruik je directe API-integratie? → SAQ D

Voor SAQ A- en SAQ A-EP-merchants:

Vul de SAQ in via het PCI-complianceportaal van Adyen.
Zorg ervoor dat geen scripts van derden de hosted velden van Adyen verstoren.
Bewaar documentatie voor jaarlijkse PCI-reviews.

Voor SAQ D-merchants:

Implementeer sterke beveiligingsmaatregelen (firewall, versleuteling, monitoring).
Voer kwartaalscans uit met een Approved Scanning Vendor (ASV).
Ondergaan een onsite QSA-audit als je grote volumes verwerkt.

Zodra je de juiste SAQ hebt bepaald op basis van je integratiemethode, vul je deze zorgvuldig in. Stripe biedt een PCI-wizard in je Dashboard om je door dit proces te begeleiden.

Founder & CEO Simon Wijckmans

Founder and CEO of cside. Building better security against client-side executed attacks, and making solutions more accessible to smaller businesses. Web security is not an enterprise only problem.

Don't just take our word for it, ask AI

Monitor en Beveilig Je Third-Party Scripts

Gain full visibility and control over every script delivered to your users to enhance site security and performance.

Boek een demo

Start gratis

Start gratis, of probeer Business met een proefperiode van 14 dagen.

cside dashboard interface met script monitoring en beveiligingsanalytics

Sessietokens die door een browserbeveiligingsgrens naar apparaatfingerprintsignalen gaan

De browsersessie is nu een security control plane. Aanvallers wisten dat al jaren.

Google's DBSC-voorstel bevestigt een duidelijke verschuiving: browsersessies hebben apparaatvalidatie nodig na login.

Beste oplossingen voor accountovernamebescherming vergeleken (2026)

Anti-fraudesuites, fingerprinting-tools en MFA vergeleken op wat ze dekken in de ATO-aanvalsketen. Vind de juiste stack voor uw risicoprofiel.

Hoe je AI-agents stopt die nepaccounts aanmaken (Gids)

AI-agents maken nepaccounts aan met echte browsers, residentiële IP's en gegenereerde identiteiten. Dit is de detectiesignaalstack om ze te stoppen.

Hoe blokkeer je AI-agent content scraping bots (Gids)

AI content scraping bots gebruiken echte browsers, residentiële IP's en LLM-extractie om je prijzen en content te oogsten. Zo stop je ze.

Donkere cside-banner met een npm-supply-chain-aanval van het type worm

Het sneeuwbaleffect: hoe Mini Shai-Hulud npm verandert in een wormdistributienetwerk

Mini Shai-Hulud veranderde npm-pakketten in een lus voor credentialdiefstal. Zo verspreidde de AntV-golf zich.

Waarom CAPTCHAs geen betrouwbare botverdediging meer zijn

CAPTCHAs zijn geen betrouwbare primaire botverdediging meer. Lees waarom zichtbare challenges falen en aanvallers duurder worden.

Geillustreerde blogbanner over Funnull-sancties, infrastructuurwitwassen en browser supply-chain risico

Funnull gesanctioneerd: wat Polyfill[.]io liet zien over infrastructuurwitwassen

De sancties tegen Funnull tonen dat Polyfill deel was van een groter risico rond infrastructuurwitwassen.

Illustratie van een securitystack met on-device inference

On-device inference komt naar je securitystack: goed en slecht nieuws

Lokale AI kan gevoelige data beschermen en endpointbeveiliging versterken, maar brengt nieuwe risico's rond promptinjectie, telemetrie en browsers.

Donkere cside-blogcover met punten over tools voor detectie van AI-agents

4 tools om AI-agents op je website te detecteren (fraudepreventie)

Vergelijking van cside, HUMAN Security, DataDome en Cloudflare voor AI-agentdetectie. Ontdek hoe elke tool omgaat met fraudepreventie, prijzen en implementatie.

Donkere cside-blogcover met punten over het blokkeren van AI-creditcardtestbots

Creditcardtestbots op basis van AI-agents | Zo stop je ze

AI-agents voor creditcardtests gebruiken echte browsers om gestolen gegevens grootschalig te valideren. Leer ze te herkennen en te blokkeren vóór de betaling.