Ja, PayPal (en Braintree) is PCI DSS-compliant als Level 1 Service Provider, maar afhankelijk van jouw integratie ben je nog steeds verplicht om een jaarlijkse SAQ in te vullen om zelf PCI-compliant te zijn. Het hangt af van hoe je PayPal integreert in jouw bedrijf. Zo werkt het:
De Payment Card Industry Data Security Standard (PCI DSS) is een set beveiligingsstandaarden die zijn ontworpen om kaartinformatie te beschermen tijdens en na een financiële transactie. Naleving houdt in dat je voldoet aan 12 vereisten, variërend van het installeren en onderhouden van een beveiligd netwerk tot het hebben van een inventaris van third-party scripts die op jouw webpagina's draaien (PCI 6.4.3 en 11.6.1).
Hoe compliant te zijn met PayPal
Volgens de officiële richtlijnen van PayPal zijn jouw PCI DSS-nalevingsvereisten afhankelijk van hoe jouw bedrijf met betalingsgegevens omgaat. Als je gebruikers doorverwijst naar de gehoste checkout van PayPal, is jouw PCI-scope minimaal (SAQ A). Als je echter ruwe kaartgegevens verwerkt, moet je SAQ D invullen en strengere beveiligingscontroles volgen.
Er zijn drie belangrijkste manieren waarop bedrijven PayPal gebruiken:
| Integratietype | PCI-scope | Vereiste SAQ |
|---|---|---|
| PayPal Standard, Express Checkout of Smart Button (doorverwijzing naar PayPal) | Minimaal - Geen kaarthoudergegevens op jouw servers | SAQ A |
| PayPal geavanceerde Braintree drop-in UI* | Minimaal - Gehoste velden, geen kaarthoudergegevens op jouw servers* | SAQ A* |
| Directe API-integratie (PayPal Pro, Braintree, API of opslag van kaartgegevens) | Hoog - Kaarthoudergegevens passeren jouw server | SAQ D |
*Je moet nu dependencies op betalingspagina's monitoren, meer hieronder.
- Als je gebruikers doorverwijst naar de gehoste checkout van PayPal, kom je in aanmerking voor SAQ A.
- Als je gehoste velden gebruikt (bijv. Braintree Drop-in UI), kom je in aanmerking voor SAQ A.
- Als je kaarthoudergegevens verzamelt en opslaat, moet je SAQ D invullen en volledige PCI-controles implementeren.
Als jouw bedrijf kaarthoudergegevens verwerkt of opslaat (SAQ D), moet je:
- Sterke encryptie implementeren voor betalingsgegevens.
- Firewall- en toegangscontrolebeleid instellen.
- Driemaandelijkse netwerkscans uitvoeren met een Approved Scanning Vendor (ASV).
- Een volledige PCI DSS-audit uitvoeren als je een Level 1-handelaar bent (6M+ transacties/jaar).
Braintree is eigendom van PayPal en opereert als dochteronderneming. Deze relatie heeft een directe impact op PCI-naleving, afhankelijk van welk PayPal- of Braintree-product je gebruikt. Braintree biedt meer directe betalingsverwerkingsopties, wat betekent dat je mogelijk SAQ D nodig hebt als kaartgegevens interactie hebben met jouw servers.
*Monitoring van dependencies voor SAQ A-naleving
Volgens de update van januari 2025 benadrukte de PCI Security Standards Council het belang van het monitoren van dependencies. Dit omvat zowel first-party als third-party scripts op websites. Deze update vereist dat handelaren ervoor zorgen dat hun sites niet vatbaar zijn voor aanvallen die afkomstig zijn van deze scripts.
De documentatie van PayPal over PCI DSS vind je hier.
Bepaal jouw PCI-nalevingsniveau
| Niveau | Criteria | Validatievereiste |
|---|---|---|
| Level 1 | Meer dan 6 miljoen transacties per jaar | Volledige onsite audit door een QSA + SAQ D |
| Level 2 | 1 tot 6 miljoen transacties per jaar | SAQ A, SAQ A-EP of SAQ D + Attestation of Compliance (AOC) |
| Level 3 | 20.000 tot 1 miljoen online transacties per jaar | SAQ A, SAQ A-EP of SAQ D + Attestation of Compliance (AOC) |
| Level 4 | Minder dan 20.000 online transacties OF tot 1 miljoen totale transacties | SAQ A, SAQ A-EP of SAQ D + Attestation of Compliance (AOC) |
- Level 1 = Moet een ROC doen (Volledige PCI DSS-beoordeling met volledig Report on Compliance door QSA)
- Level 2 = Moet minimaal een SAQ doen met third-party QSA- of ISA-attestatie
- Level 3 = Moet SAQ doen
- Level 4 = Optioneel
PCI-nalevingscertificering indienen
Voor SAQ A-handelaren:
- Vul SAQ A in via het PCI-nalevingsportaal van PayPal.
- Zorg ervoor dat geen scripts interfereren met de gehoste velden van PayPal.
- Bewaar documentatie voor jaarlijkse beoordelingen.
Voor SAQ D-handelaren:
- Voer driemaandelijkse netwerkscans uit via een Approved Scanning Vendor (ASV).
- Implementeer PCI-beveiligingscontroles (firewall, encryptie, toegangscontrole).
- Ondergaan een onsite QSA-audit indien vereist.
Zodra je de juiste SAQ hebt geïdentificeerd op basis van jouw integratiemethode, vul deze grondig in. Stripe biedt een PCI-wizard in jouw Dashboard om je door dit proces te begeleiden.
