We werkten samen met VikingCloud, het grootste wereldwijde PCI compliance QSA- en beveiligingsbedrijf, aan 2 webinars die je alle context en informatie geven om PCI DSS 4.0.1 te implementeren. Met speciale aandacht voor vereisten 6.4.3 & 11.6.1.
Formulier niet zichtbaar? - klik hier
Enkele onderwerpen die we behandelden:
PCI DSS 4.0.1 is al van kracht
Veel organisaties lopen achter met het doorvoeren van deze wijzigingen, met name de vereisten 6.4.3 & 11.6.1 die begin 2025 van kracht zijn geworden.
SAQ A-merchants zijn niet gevrijwaard van echte risico's
Ook al vermijdt SAQ A de meeste technische vereisten, client-side aanvallen kunnen betaalpagina's nog steeds treffen — met name via iframes, redirects of scripts van derden.
6.4.3 en 11.6.1 zijn van toepassing ook als je SAQ A bent
Veel SAQ A-omgevingen laden scripts van derden in de browser van de gebruiker. Deze scripts kunnen worden gemanipuleerd — monitoring is daarom essentieel, ondanks de "lichte" SAQ-categorisering.
Compliance ≠ Beveiliging
Je kunt technisch gezien compliant zijn en toch kwetsbaar. De focus verschuift steeds meer naar proactieve dreigingsdetectie in plaats van puur afvinken.
Tools alleen zijn niet genoeg
Organisaties hebben een combinatie van technologie + processen + mensen nodig om PCI 4.0.1 goed te implementeren.
Enkele vragen die we beantwoordden:
"Wij zijn een Level 1-serviceprovider die JavaScript UI's levert. Hoe kunnen we ons beschermen tegen problemen aan de kant van de merchant, waar we geen controle over hebben?"
"Hadden we een client-side aanval kunnen ondergaan zonder het te weten? Wat als het datalek maanden geleden heeft plaatsgevonden en we sindsdien wijzigingen hebben doorgevoerd?"
"Ik ben risicoadviseur. Moet ik dit aankaarten bij IT en de directie?"
"Ik gebruik Stripe. Ben ik veilig?"
