PCI DSS nalevingsniveaus
PCI DSS kent vier handelaarsniveaus, bepaald door het aantal kaartransacties dat u per jaar verwerkt. Hier leest u wat elk niveau betekent, wat het vereist — en hoe tokenisatie uw validatie eenvoudig houdt, ongeacht uw niveau.
Uw niveau hangt af van volume — niet van hoe hard u uw best doet
Kaartnetwerken en acquirers kennen een niveau toe op basis van uw jaarlijkse transactievolume per merk. Hoe hoger uw volume, hoe striktere validatie vereist is. Een datalek kan elke handelaar direct naar Level 1 duwen.
Bepaald door volume
Uw jaarlijkse transactieaantal per kaartmerk bepaalt uw niveau, toegewezen door uw acquirer.
Verschillende validatie
Level 1 vereist een externe audit; Levels 2–4 beoordelen zichzelf doorgaans met een vragenlijst.
Datalek escaleert
Een inbreuk kan elke handelaar naar Level 1-rapportage duwen, ongeacht de omvang.
PCI DSS-handelaarsniveaus in één oogopslag
| Niveau | Jaarlijks transactievolume | Typische validatie |
|---|---|---|
| Level 1 | Meer dan ~6 miljoen transacties/jaar (of elke handelaar na een datalek) | Jaarlijks nalevingsrapport (QSA) + kwartaal-ASV-scans |
| Level 2 | ~1M–6M transacties/jaar | Jaarlijkse zelf-beoordelingsvragenlijst + kwartaalscans |
| Level 3 | ~20.000–1M e-commercetransacties/jaar | Jaarlijkse zelf-beoordelingsvragenlijst + kwartaalscans |
| Level 4 | Minder dan ~20.000 e-commerce / tot 1M andere transacties/jaar | Jaarlijkse zelf-beoordelingsvragenlijst (scans waar van toepassing) |
Indicatieve drempelwaarden — exacte cijfers variëren per kaartnetwerk. Bevestig uw niveau bij uw acquiringbank.
Uw niveau blijft — uw werklast krimpt
Tokenisatie verandert het niveau dat uw volume u geeft niet, maar transformeert hoeveel u moet valideren. Wanneer kaartdata uw systemen nooit raakt, komen de meeste handelaren in aanmerking voor SAQ A — de kortste vragenlijst — bij elk niveau. PCI Proxy is zelf een PCI DSS Level 1-kluis, zodat u het zware werk erft.
PCI DSS-niveaus, beantwoord
01 Wat zijn de PCI DSS-nalevingsniveaus?
PCI DSS definieert vier handelaarsniveaus op basis van het jaarlijkse kaartransactievolume. Level 1 is het grootste (globaal meer dan 6 miljoen transacties per jaar of elke handelaar na een datalek), Level 2 is circa 1–6 miljoen, Level 3 omvat ruwweg 20.000–1 miljoen e-commercetransacties en Level 4 is iedereen daaronder. Hogere niveaus vereisen een striktere validatie.
02 Hoe weet ik op welk PCI-niveau ik zit?
Uw niveau wordt bepaald door uw acquirer of de kaartnetwerken op basis van uw jaarlijkse transactievolume per merk. De exacte drempelwaarden variëren enigszins per kaartnetwerk, dus bevestig dit bij uw acquiringbank — maar volume is de belangrijkste factor, en een datalek kan elke handelaar naar Level 1 duwen.
03 Wat moet elk PCI-niveau doen?
Level 1-handelaren hebben een jaarlijks nalevingsrapport van een gekwalificeerde beveiligingsbeoordelaar plus kwartaalscans nodig. Levels 2–4 vullen doorgaans een zelf-beoordelingsvragenlijst in en, waar kaartdata wordt verwerkt, kwartaalscans. Het verminderen van de kaartdata die u aanraakt, verkleint de vragenlijst die u moet invullen.
04 Verandert tokenisatie mijn PCI-niveau?
Tokenisatie verandert het niveau dat uw volume u geeft niet, maar vermindert drastisch wat u moet valideren. Omdat kaartdata uw systemen nooit raakt, komen de meeste handelaren in aanmerking voor de veel kortere SAQ A — ongeacht het niveau — waardoor naleving bij elk volume veel eenvoudiger wordt.
Vereenvoudig PCI bij elk niveau
Vertel ons uw volume en hoe u kaarten verwerkt, en we laten zien hoe tokenisatie uw validatie op SAQ A houdt.