open banking en PCI DSSis een de op het meisten missverstandenen Themen in de Europese digitalen Zahlungslandschaft. Viele Bedrijf nehmen naar, dat de Introductie van Konto-te-Konto-Betalingen u automatisch van PCI DSS-Verpflichtungen ausschließt, maar de Realität is nuancierter. PSD2 en PCI DSS operieren op verschiedenen regulatorischen Ebenen, met konkreten Überschneidungen, de Elke Handelaar en PSP verstehen moet, bevor Het seine Zahlungsarchitektur gestaltet.
open banking en PCI DSS: Wanneer elke Framework geldt
PCI DSSgeldt voor Elke Entität, de Zahlungskartendaten slaat op, verwerkt of überträgt, nämlichPAN, CVV, PIN en gleichwertige Gegevens. open banking hingegen operiert bij Betalingen, de direct van een Bankkonto über APIs initieert worden, de viaPSD2reguliert zijn: Über deze Kanaal fließen geen Kaartgegevens, daarom geldt PCI DSS niet streng voor de A2A-Stroom.
In de Praxis is de Unterscheidung echter selten so eindeutig. Bedrijf, de open banking als zusätzliche Zahlungsmethode anbieten, accepteren fast altijd weiterhin Kaarten. Hier ontstaat het Probleem: Het Aufrechterhalten van twee parallelen Kanälen betekent, dat unabhängig davon eenCDE(Cardholder Data Environment) existiert, met allen damit verbundenen PCI-Verpflichtungen. De Logik "Ik habe open banking, ik brauche geen PCI DSS" is alleen korrekt, wanneer het Bedrijf de Kartenakzeptanz volledig ingesteld heeft, een äußerst seltenes Szenario.
A2A en Konto-te-Konto-Betalingen: reduzierter, maar niet null PCI-bereik
Konto-te-Konto(A2A) Betalingen elimineren dePANuit het Transaktionsfluss. Dies verkleint De PCI-bereik concreet: Wanneer een Handelaar ausschließlich Directüberweisungen of über een PISP (Payment Initiation Service Provider) verwerkt, is Het technisch geen aktive CDE voor deze Kanaal. Het erforderliche Naleving-Level sinkt, en in einigen Fällen kan voor de verbleibenden Teil van de Bedrijfs- eenSAQ Aausgefüllt worden.
verbleiben echter niet triviale operative Verpflichtungen. IBAN-Gegevens en Girokontoinformationen fallen niet in de PCI DSS-Perimeter, fallen maar onder AVG en de van PSD2 geforderten API-Sicherheitsregeln. Een Datenpanne bij A2A-Bankdaten kan te AVG-Sancties van tot te4 % van de wereldwijde Omzetführen, unabhängig van PCI DSS. Een Reduzierung van de PCI-Scopes betekent niet, het Gesamtrisiko te verkleinen.
Hybrider Stack: wanneer U zowel Kaarten als ook open banking gebruiken
Het häufigste Szenario voor Europese Handelaar en PSPs in het Jaar 2025 is een hybrider Stack: Kredit- en Debitkarten voor de Großteil de Einzelhandelstransaktionen, open banking voor B2B-Betalingen of Handelaar, de Interbankengebühren verkleinen wollen. In deze Fall existiert de CDE weiterhin, en de PCI DSS-Naleving betreft de gehele Infrastructuur, de Kaartgegevens verwerkt, einschließlich gemeinsamer Komponenten Hoe Firewalls, Logs en Authentifizierungssysteme.
De optimale Oplossing voor een hybriden Stack is de Zentralisierung van de Kartendatenmanagements in een einzigen extern gecertificeerde PCI DSS Level 1Vault, Hoe het van PCI Proxy EU, en het Aufrechterhalten van Open-Banking-Betalingen op een separaten Technische Pfad. Dies hält De PCI-Perimeter begrenzt, verkleint de Audit-Komplexität en maakt het mogelijk De beiden Kanälen, zich unabhängig te entwickeln, zonder dat Änderungen naar een de Naleving van de anderen beeinflussen.
Veelgestelde vragen
Moet een Bedrijf, het alleen open banking gebruikt, PCI-konform sein?
Wanneer het Bedrijf in geen Stroom Zahlungskartendaten raakt, geldt PCI DSS niet. Dies geldt alleen, wanneer Alle akzeptierten Zahlungsmethoden A2A of über een PSD2-regulierten PISP zijn. In de Praxis befindet zich fast geen Europese Handelaar in Deze Situation: De große Mehrheit akzeptiert weiterhin Kaarten, Wat de PCI DSS-Verpflichtung aktiv hält.
Elimineert PSD2 PCI DSS-Verpflichtungen voor Banken?
Nein. PSD2 reguliert De Kontozugang en Zahlungsdienste, tijdens PCI DSS een van het PCI SSC verwalteter Kartendatensicherheitsstandard is. Banken unterliegen beiden: PSD2 voor Open-Banking-APIs, PCI DSS voor Alle Dienste, de Kaartgegevens verwerken. De beiden Frameworks ergänzen zich, niet ersetzen zich gegenseitig.
Ondersteunt PCI Proxy EU Open-Banking-Betalingen?
PCI Proxy EU konzentriert zich op Tokenisatie en veilige Kartendatenverwaltung. Voor hybride Kaarten- en Open-Banking-Stacks besteht de Oplossing darin, PCI Proxy EU voor de Kartenkanal te Integreren en een separaten Pfad voor A2A-Betalingen te behalten. Dies minimiert De PCI-Perimeter, zonder de Flexibiliteit de angebotenen Zahlungsmethoden te beïnvloeden.
Verwalten U een hybriden Kaarten- en Open-Banking-Stack en möchten genau verstehen, Wat in Uw PCI-Perimeter valt?Ontdek PCI Proxy EU.
Hulp nodig bij PCI-naleving?
Ons team helpt u uw CDE in kaart te brengen, het juiste SAQ te kiezen en tokenisatie te implementeren met gegevensresidentie in de EU.
Neem contact op