Blog

PCI DSS 4.0.1 complete gids en stappen

PCI DSS 4.0 complete gids en stappen De Payment Card Industry Data Security Standard (PCI DSS) is een reeks richtlijnen die de veiligheid van

Mar 04, 2024 • 11 min read

Simon Wijckmans Founder & CEO

De Payment Card Industry Data Security Standard (PCI DSS) is een reeks richtlijnen die de veiligheid van kaarttransacties wereldwijd waarborgt. Opgesteld door de PCI Security Standards Council, is het doel om gegevensdiefstal en fraude bij betaal- en creditcardtransacties te voorkomen.

De nieuwste versie van de PCI-standaard, PCI DSS 4.0, herziet de criteria met nadruk op doorlopende beveiliging en introduceert nieuwe compliancemethoden. Het vervangt PCI DSS versie 3.2.1 (mei 2018) om strategisch in te spelen op opkomende dreigingen en technologieën, biedt innovatieve benaderingen om groeiende risico's aan te pakken, en beveiligt andere onderdelen van het betalingsecosysteem.

PCI DSS 4.0 is van toepassing op alle entiteiten die kaarthoudergegevens (CHD) en/of gevoelige authenticatiegegevens (SAD) opslaan, verwerken of verzenden, of die de beveiliging van de kaarthoudergegevensomgeving (CDE) kunnen beïnvloeden. Dit omvat alle verwerkende entiteiten van betaalkaartrekeningen, zoals merchants, verwerkers, acquirers, uitgevers en andere dienstverleners.

Dus waarschijnlijk ook jij.

De gratis versie van cside maakt je compliant en veilig. Onze betaalde versies verhogen de flexibiliteit en veiligheid van je site tegen aanvallen die deze nieuwe regelgeving probeert te bestrijden, zodat je kunt voldoen aan de vereisten in PCI 6.4.3 & 11.6.1.

Laten we beginnen met wat er nieuw is:

Je moet nu scripts van derden monitoren

Dit is wat je moet weten:

PCI DSS 4.0 (specifiek vereiste 6.4.3) verplicht alle leveranciers om elk script op betaalpagina's te autoriseren, een inventaris van alle scripts bij te houden en de integriteit ervan te waarborgen. Vereiste 11.6 benadrukt de noodzaak om ongeautoriseerde wijzigingen op betaalpagina's te detecteren en erop te reageren, inclusief wijzigingen in HTTP-headers en pagina-inhoud.
Organisaties moeten deze configuraties minimaal eens per zeven dagen controleren, of zoals bepaald door hun risicoanalyse.
De PCI DSS 4.0-update vereist dat organisaties een inventaris bijhouden van alle systeemcomponenten die relevant zijn voor PCI DSS, inclusief maatwerksoftware en aangepaste software, maar ook scripts van derden.
Bovendien moedigt PCI DSS 4.0 een verschuiving aan van jaarlijkse audits naar continue beveiligingsmonitoring, met regelmatige beoordelingen en updates van systeemcomponenten en software.

Zoals vermeld doet de gratis versie van cside dit allemaal. We laten je zien welke scripts wat uitvoeren en je kunt precies beheren wat je wilt blokkeren.

Onze betaalde versies verhogen de beveiliging wanneer er iets misgaat. Ze bieden aangepaste en geautomatiseerde blokkeerfuncties, andere manieren om meldingen te ontvangen en logexports, om er een paar te noemen.

De 6 grondbeginselen en 12 vereisten van PCI DSS 4.0

PCI DSS 4.0 is gebouwd op zes grondbeginselen die gericht zijn op het bevorderen van een veilige omgeving voor mensen die online transacties uitvoeren (en voor degenen die dit faciliteren):

Bouw en onderhoud een beveiligd netwerk voor kaarthoudergegevens (CHD).
Bescherm opgeslagen of verzonden kaarthoudergegevens (CHD).
Onderhoud een programma voor kwetsbaarheidsbeheer, inclusief beveiligingsbeleid en -tests.
Handhaaf strikte toegangscontroles op basis van zakelijke noodzaak.
Monitor en test netwerken continu op kwetsbaarheden.
Ontwikkel en onderhoud een uitgebreid informatiebeveiligingsbeleid en informeer medewerkers over hun rol bij de bescherming van CHD.

Allemaal goede maatregelen die op hun plaats moeten zijn om een veiligere omgeving te creëren voor mensen die op het web surfen!

Daarnaast zijn er 12 vereisten om compliant te zijn.

Houd er rekening mee dat sommige hiervan al in eerdere versies van PCI DSS waren opgenomen, dus de meesten van jullie zouden hier al mee begonnen moeten zijn. Als je bestaande frameworks voor je site gebruikt (tools zoals Shopify, Webflow, of boilerplates en bibliotheken), controleer dan of deze functies daarin zijn opgenomen.

Dat gezegd hebbende, hier zijn ze:

1. Installeer en onderhoud netwerkbeveiligingscontroles. Merchants moeten een beveiligd netwerk garanderen met behulp van Network Security Controls (NSC's) zoals firewalls, routers en robuuste cloudtoegangsmaatregelen. Deze controles moeten verkeer beheren op basis van vooraf gedefinieerde regels, met als doel de kaarthoudergegevensomgeving (CDE) te beschermen conform de PCI DSS-standaard.

2. Pas veilige configuraties toe op alle systeemcomponenten. PCI DSS v4.0 introduceert nieuwe vereisten voor rollen en verantwoordelijkheden bij het beveiligen van draadloze netwerkconfiguraties. Het implementeren van deze configuraties kan potentiële aanvalsoppervlakken en de kans op systeemcompromittering minimaliseren.

3. Bescherm opgeslagen accountgegevens (SAD). Bedrijven moeten beschermingsmethoden implementeren zoals encryptie, afkapping, maskering en hashing om gevoelige authenticatiegegevens (SAD) te beschermen en risico's te minimaliseren.

Vermijd het opslaan van gevoelige authenticatiegegevens (SAD) tenzij noodzakelijk.
Kap kaarthoudergegevens af als het volledige primaire rekeningnummer (PAN) niet vereist is.
Verstuur geen onbeschermde PAN's via berichtentechnologieën voor eindgebruikers, zoals e-mail of instant messaging. Encryptie van gevoelige authenticatiegegevens (SAD) is niet vereist wanneer gegevens zich in vluchtig geheugen zoals RAM bevinden, maar moet worden verwijderd zodra het zakelijke doel is bereikt. Als SAD-opslag persistent wordt, zijn alle PCI DSS 4.0-vereisten, inclusief encryptie, van toepassing.

4. Gebruik sterke cryptografie om kaarthoudergegevens te beschermen tijdens verzending via openbare netwerken. Dit waarborgt de vertrouwelijkheid, integriteit en onweerlegbaarheid van de gegevens. Alle PAN-verzendingen moeten worden versleuteld om gegevenscompromittering te voorkomen.

De gegevens versleutelen vóór verzending
De sessie versleutelen waarover de gegevens worden verzonden

Verder moet het bedrijf zijn netwerkbeveiligingsparameters toetsen aan de toepasselijke PCI DSS 4.0-vereisten als het netwerk CHD opslaat, verwerkt of verzendt.

5. Bescherm alle systemen en netwerken tegen schadelijke software. PCI DSS 4.0 vervangt antivirussoftware door anti-malwaresoftware. Een ogenschijnlijk semantische wijziging, maar het vereist nu van entiteiten dat ze anti-malwareoplossingen implementeren om hun systemen te beveiligen tegen huidige en evoluerende malwarebedreigingen. Zoals:

Virussen
Wormen
Trojans
Spyware
Ransomware
Schadelijke code, scripts, links

We willen je er nogmaals aan herinneren dat cside alle scripts van derden die je gebruikt, inventariseert en beveiligt. Als deze gecompromitteerd raken, op je eigen website(s) of wereldwijd, ben je beschermd.

6. Maak en onderhoud veilige systemen en software. Bedrijven moeten softwarepatches toepassen op alle systeemcomponenten om misbruik van accountgegevens te voorkomen. PCI DSS 4.0 vereist Software Lifecycle-processen en veilig coderen voor maatwerksoftware. Coderepositories die applicatiecode of gegevens opslaan die de beveiliging van accountgegevens beïnvloeden, vallen binnen de scope van PCI DSS 4.0-beoordelingen.

7. Beperk de toegang tot systeemcomponenten en kaarthoudergegevens op basis van de zakelijke noodzaak. Deze vereiste verplicht bedrijven om controles te implementeren die ervoor zorgen dat toegang tot kritieke gegevens beperkt is tot uitsluitend bevoegd personeel, op basis van need-to-know en taakverdeling, waardoor ongeautoriseerde toegang wordt voorkomen.

8. Identificeer gebruikers en authenticeer toegang tot systeemcomponenten. Dit verplicht unieke gebruikersidentificatie en -authenticatie voor toegang tot systeemcomponenten. Dit zorgt voor verantwoording en traceerbaarheid van acties, en is van toepassing op alle accounts, inclusief POS-, beheer-, systeem- en applicatieaccounts.

9. Beperk fysieke toegang tot kaarthoudergegevens. Merchants en bedrijven moeten de fysieke toegang tot systemen die kaarthoudergegevens (CHD) verwerken beperken om inbreuken of verlies van de privacy van kaarthouders te voorkomen.

10. Log en monitor alle toegang tot systeemcomponenten en kaarthoudergegevens. PCI DSS 4.0 Vereiste 10 benadrukt het belang van auditlogs en het bijhouden van gebruikersactiviteiten in de kaarthoudergegevensomgeving (CDE) en systeemcomponenten. Dit maakt audittrails, tracking, waarschuwingen en analyse mogelijk bij een systeemcompromittering, en is van toepassing op alle gebruikersactiviteiten.

11. Test de beveiliging van systemen en netwerken regelmatig. Bedrijven zijn verplicht om regelmatig alle systeemcomponenten, processen en maatwerksoftware te testen om te waarborgen dat de controles het evoluerende dreigingslandschap adequaat aankunnen, conform PCI DSS.

12. Ondersteun informatiebeveiliging (IS) met organisatiebeleid en -programma's. Volgens de laatste vereiste moeten alle bedrijven een informatiebeveiligingsbeleid implementeren. Dit beleid moet personeel informeren over de gevoeligheid van betaalkaartgegevens en hun verantwoordelijkheid om deze te beschermen.

Wat als je niet compliant bent?

De meeste wijzigingen zijn pas actief vanaf 31 maart 2025, waarbij sommige al vereist zijn vanaf 31 maart 2024. Er is dus weinig tijd. Je kunt dit beter nu aanpakken, anders zijn er mogelijke gevolgen:

Kaartverwerkers geven PCI-compliance- en non-compliancevergoedingen vaak door aan merchants, bij veel aanbieders. Het betalen van deze vergoedingen garandeert echter geen PCI DSS 4.0-compliance, en merchants moeten nog steeds de jaarlijkse SAQ invullen en aan andere vereisten voldoen om compliant te blijven.
Bedrijven die niet voldoen aan PCI DSS 4.0 kunnen een maandelijkse non-complianceboete van de kaartverwerker krijgen. In ernstige gevallen kan non-compliance theoretisch leiden tot beëindiging van het merchantaccount.

Is PCI DSS 4.0 daadwerkelijk wetgeving?

Hoewel de PCI SSC geen wettelijke bevoegdheid heeft om naleving af te dwingen, moet elk bedrijf dat creditcards of betaalpassen accepteert of verwerkt zich aan deze standaarden houden, ongeacht het type bedrijf of de locatie, omdat de grote creditcardmaatschappijen naleving vereisen als voorwaarde voor het verwerken van hun kaarttransacties.

Het PCI-orgaan werd opgericht door American Express, Discover Financial Services, JCB International, MasterCard en Visa Inc. op 7 september 2006, met als doel het beheren van de voortdurende ontwikkeling van de Payment Card Industry Data Security Standard.

Dit betekent dat als jij (of een kaartverwerker die je gebruikt zoals Stripe, PayPal, Adyen, Paddle, …) een van deze kaarten accepteert, je je moet houden aan deze nieuwe PCI DSS 4.0-standaard. Anders loop je het risico op de hierboven genoemde gevolgen of zelfs afsluiting van de mogelijkheid om betalingen te accepteren.

Hoe zorg je ervoor dat je compliant bent

Dit zijn de stappen die je moet doorlopen:

Breng je CHD-stromen in kaart. Identificeer de beweging van kaarthoudergegevens (CHD) door je applicaties, systemen en personeel.
Vul je SAQ in. De Self-Assessment Questionnaire (SAQ) valideert of een bedrijf voldoet aan alle 12 vereisten voor PCI-compliance (zie de 12 vereisten hierboven).
Vul je AOC in. De Attestation of Compliance (AOC) is een document dat een leidraad biedt voor het bereiken van PCI-compliance en ervoor zorgt dat alle noodzakelijke stappen zijn voltooid.
Voer een kwetsbaarheidsscan uit. Op basis van de resultaten van de Self-Assessment Questionnaire (SAQ) heb je de mogelijkheid om de scan zelf uit te voeren of een Approved Scanning Vendor (ASV) in te huren.
Vul documenten in en dien ze in. Dien de Self-Assessment Questionnaire (SAQ), Attestation of Compliance (AOC) en Approved Scanning Vendor (ASV)-rapporten in bij de creditcardmerken die je ondersteunt of van plan bent te ondersteunen.
Monitor compliance regelmatig. En dit kun je doen met cside. Onze gratis versie maakt je compliant en plaatst de veiligheidsbarrières. Onze betaalde versies geven je meer flexibiliteit en nog meer veiligheid.

Bepaal je PCI-niveau. PCI-compliancevereisten worden bepaald door het aantal jaarlijks verwerkte transacties. De PCI DSS-compliance is verdeeld in vier niveaus, bepaald door het aantal kaarttransacties dat een bedrijf jaarlijks verwerkt. Deze niveaus bepalen welke stappen een bedrijf moet nemen om compliance te bereiken en te handhaven.

Niveau	Criteria	Validatievereiste
Niveau 1	Meer dan 6 miljoen transacties per jaar	Volledige onsite audit door een QSA + SAQ D
Niveau 2	1 tot 6 miljoen transacties per jaar	SAQ A, SAQ A-EP of SAQ D + Attestation of Compliance (AOC)
Niveau 3	20.000 tot 1 miljoen online transacties per jaar	SAQ A, SAQ A-EP of SAQ D + Attestation of Compliance (AOC)
Niveau 4	Minder dan 20.000 online transacties OF tot 1 miljoen totale transacties	SAQ A, SAQ A-EP of SAQ D + Attestation of Compliance (AOC)

Enkele snelle vragen en antwoorden om de zaken helder te stellen

Hoe kan ik ervoor zorgen dat mijn scripts van derden voldoen aan PCI DSS 4.0? De PCI DSS 4.0-update verplicht organisaties een inventaris bij te houden van alle systeemcomponenten die relevant zijn voor PCI DSS, inclusief maatwerksoftware en scripts van derden. Het bevordert ook een overgang van jaarlijkse audits naar continue beveiligingsmonitoring met frequente beoordelingen en updates van systeemcomponenten en software. Ook hierbij kunnen we helpen. Onze gratis versie maakt je site compliant en veilig, onze betaalde versies verhogen de flexibiliteit en veiligheid.
Wanneer treedt PCI DSS v4.0 in werking? PCI DSS v4.0, van kracht vanaf 31 maart 2024, introduceert deze 64 nieuwe vereisten. Hoewel sommige onmiddellijk van kracht zijn, zullen de meeste pas van kracht worden op 31 maart 2025, waardoor organisaties een overgangsperiode van één jaar hebben om de meer uitdagende vereisten te implementeren. Vereisten met betrekking tot scripts van derden treden in werking in maart 2025.
Wat is de impact van PCI DSS 4.0 op kleine bedrijven of startups? PCI DSS 4.0 introduceert wijzigingen die van invloed zijn op alle entiteiten die kaarthoudergegevens verwerken, met mogelijke uitdagingen voor kleine bedrijven en startups vanwege beperkte middelen. Bekijk hierboven de PCI-niveaus.
Zijn er sancties voor non-compliance met PCI DSS 4.0? Non-compliance met PCI DSS 4.0 kan leiden tot sancties zoals boetes, verhoogde transactiekosten en zelfs intrekking van de mogelijkheid om kaartbetalingen te verwerken. Compliance is verplicht voor alle entiteiten die kaarthoudergegevens verwerken, en het niet naleven ervan kan leiden tot aanzienlijke financiële en reputatieschade. Het begrijpen en handhaven van compliance met deze vereisten is daarom cruciaal voor alle organisaties die betaalkaartransacties verwerken.
Wat zijn de beste praktijken voor continue beveiligingsmonitoring onder PCI DSS 4.0? Onder PCI DSS 4.0 kan continue beveiligingsmonitoring worden verbeterd door netwerksegmentatie te implementeren, automatisering te verkiezen boven traditionele steekproefmethoden en een zero-trust-mentaliteit te hanteren. Dit omvat dagelijkse verificatie van alle netwerkapparaten en het gebruik van geautomatiseerde tools voor continue risicodetectie en -prioritering. cside is gebouwd om ervoor te zorgen dat die specifieke PCI DSS 4.0-vereisten met betrekking tot scripts van derden worden nageleefd.

Founder & CEO Simon Wijckmans

Founder and CEO of cside. Previously a product manager on Cloudflare Page Shield (now Cloudflare Client-Side Security). Co-chair of the W3C Anti-Fraud Community Group and a Forbes 30 Under 30 honoree. Building accessible security against client-side attacks — web security is not an enterprise-only problem.

Don't just take our word for it, ask AI

Monitor en Beveilig Je Third-Party Scripts

Gain full visibility and control over every script delivered to your users to enhance site security and performance.

Boek een demo

Start gratis

Start gratis, of probeer Business met een proefperiode van 14 dagen.

cside dashboard interface met script monitoring en beveiligingsanalytics

Donkere blogomslag met drie dreigingen van gecompromitteerde affiliate scripts: stille spelersomleidingen, commissiediefstal via UTM-herschrijving en frauduleuze affiliate-ID-injectie

Hoe gecompromitteerde affiliate scripts online casino-inkomsten stelen

Gecompromitteerde affiliate scripts leiden spelers om en stelen commissies op casinopagina's, onzichtbaar en op grote schaal.

Abstracte donkerblauwe visualisatie van netwerkverbindingen die door een ronde gateway stromen

TLS-timeouts beter afhandelen in de cside Edge

Hoe cside de TLS-betrouwbaarheid in de Rust-Edge verbeterde door handshake-werk uit het Axum-accept-pad te halen en in begrensde Tokio-taken te plaatsen.

Hoe Blokkeer Je ClaudeBot op Je Website

ClaudeBot crawlt je site om Anthropics Claude-modellen te trainen. Zo blokkeer je het met robots.txt en IP-ranges, en wat de blokkering nog steeds mist.

Hoe Voorkom Je het Aanmaken van Nepaccounts: Waarom Detectie op Browserniveau Vangt Wat E-mailverificatie Mist

E-mailverificatie bevestigt dat een mailbox bestaat. Het kan de browser niet zien. Daarom vangt detectie op browserniveau nepaccounts die het mist.

Polyfill.io supply chain-aanval: volledige tijdlijn, analyse en lessen (2024–2026)

Een volledige, onderbouwde tijdlijn van de Polyfill.io supply chain-aanval, van de domeinverkoop in 2024 tot de Funnull-sancties in 2025, en hoe je het vandaag verwijdert.

Donkere cside blogcover met blauwe pixelachtergrond en drie vinkjes: waarom snelheidsregels AI-kaarttesters missen, browsersignalen die hen blootleggen en betaling blokkeren vóór checkout

Hoe AI-Kaarttesters te Blokkeren

AI-kaarttesters tasten betalingsstromen af met echte browsers. Leer de browsersignalen die ze blootleggen voordat een transactie wordt voltooid.

cside-beveiligingsplatform dat meerdere AI-agentverbindingen classificeert — browserlaag agentdetectie en vertrouwensbeheer

Hoe u een AI-agentdetectieoplossing kiest

Vijfstappengids voor CISO's die AI-agentdetectieoplossingen evalueren: architectuur, classificatie, leveranciersprofielen en POC-methodologie.

Donkere cside-blogomslag met een browserinterface die bot- en AI-agentverkeer filtert naar vertrouwde en geblokkeerde paden

Beste Bot- en Agentvertrouwensbeheerplatforms Vergeleken (2026)

Forrester definieert de categorie. cside, DataDome, HUMAN Security, Kasada en Arkose Labs vergeleken op detectielaag, intentie en agentische dekking.

cside beveiligingsschild dat een browsercursorpad monitort — AI-agentdetectie op de browserlaag

Hoe Blokkeer Je OpenAI Operator op Je Website

OpenAI Operator surft op je site als een echte gebruiker. Leer detecteren en blokkeren via browserlaag-signalen en wanneer je dat niet moet doen.

DBSC versus device-fingerprinting: wat de sessiebeveiliging van Chrome niet dekt

Chrome's DBSC stopt hergebruik van gestolen cookies, maar werkt alleen in Chrome, pas na inloggen en zonder device-identiteit. Dit laat het open.