PCI DSS 4.0.1
Hoe voldoen aan PCI DSS 4.0.1 - 6.4.3 en 11.6.1
cside stelt je in staat te beheren en voldoen aan beide vereisten.
cside stelt je in staat te beheren en voldoen aan beide vereisten.
De Payment Card Industry Data Security Standard (PCI DSS) is een set richtlijnen die de veiligheid van kaarttransacties wereldwijd waarborgt. Gecreëerd door de PCI Security Standards Council, is het doel bescherming tegen datadiefstal en fraude in debit- en creditcard transacties.
PCI DSS 4.0.1 is van toepassing op alle entiteiten die kaarthouderdata (CHD) en/of gevoelige authenticatie data (SAD) opslaan, verwerken of verzenden, of de beveiliging van de kaarthouder data omgeving (CDE) kunnen beïnvloeden. Dit omvat alle betaalkaart account verwerkende entiteiten zoals merchants, processors, acquirers, issuers en andere service providers. Een nieuwe toevoeging aan 4.0.1 is het monitoren en beheren van 3rd-party JavaScript, aangepakt door vereisten 6.4.3 en 11.6.1.
Op 30 januari 2025 kondigde de PCI DSS een update aan voor vereisten 6.4.3 en 11.6.1. Self Assessment Questionnaire niveau A bedrijven zijn vrijgesteld, hoewel ze moeten bevestigen dat hun site niet vatbaar is voor aanvallen van scripts die het e-commerce systeem(en) van de merchant kunnen beïnvloeden.
SAQ A, ontworpen voor de minst kwetsbare merchants, stelt hen vrij van bepaalde PCI DSS vereisten gezien ze geen Kaarthouder Data (CHD) opslaan. Echter, uitgebreide monitoring blijft cruciaal voor beveiliging.
cside automatiseert beide vereisten 6.4.3 en 11.6.1 met real-time script monitoring, script integriteit verificatie en uitgebreide audit-ready rapportage.
Als onderdeel van de PCI DSS 4.0.1 toevoegingen die verplicht werden op 31 maart 2025, vereist vereiste 6.4.3 dat bedrijven:
Op pagina's die gevoelige gebruikersinformatie verwerken (betaalkaarten, gezondheidsinformatie, PII) moet je een mechanisme hebben om 3rd party scripts te monitoren, wat ze doen met de browsers van je gebruikers, en beveiligingsteams waarschuwen wanneer scripts zich verdacht gedragen.
Verplicht sinds 31 maart 2025 voor elke website die digitale betalingen accepteert
Als onderdeel van de PCI DSS 4.0.1 toevoegingen die verplicht werden op 31 maart 2025, vereist vereiste 11.6.1 dat bedrijven:
HTTP headers zijn regels die de browser van een gebruiker vertellen hoe content op een pagina te behandelen. Die headers wijzigen (bijv. door een kwaadaardig script) kan beveiligingsbeschermingen verzwakken. PCI DSS 11.6.1 vereist dat bedrijven een mechanisme hebben dat regelmatig (minimaal eens per zeven dagen) controleert op ongeautoriseerde header wijzigingen en het beveiligingsteam waarschuwt wanneer ze optreden.
Vereist technische monitoring en evaluatie mogelijkheden
*Definities gebaseerd op PCI DSS v4.0.1 - Juni 2024. Dit is de meest actuele versie per september 2025. Om officiële documenten te bekijken, bezoek de PCI SSC bibliotheek.
Veel traditionele oplossingen mikken alleen op het aanvinken van het compliance vakje, niet op het leveren van het hoogste niveau van beveiliging. Crawler-based benaderingen scannen periodiek en kunnen worden ontweken. CSP's adresseren bron, niet payload. Client-side agents kunnen worden gedetecteerd en omzeild.
cside gebruikt een proxy oplossing die tussen 3rd party scripts en de browser zit. We zien elk script verzoek en payload, en bieden real-time alerts en blokkering mogelijkheden voordat gebruikers worden gecompromitteerd.
Complete zichtbaarheid in script gedrag, historische tracking en de mogelijkheid om dynamische of gebruiker-specifieke dreigingen te detecteren die andere oplossingen missen.
| Criterium | Waarom het Belangrijk Is | Wat de Gevolgen Zijn | CSP | Crawler | JS-Based | Hybrid |
|---|---|---|---|---|---|---|
| Real-time Bescherming | Aanvallen kunnen optreden tussen scans of in de uitgesloten data bij sampling | Vertraagde detectie = actieve datalekken | | | | |
| Volledige Payload Analyse | Zorgt voor diepe zichtbaarheid in kwaadaardig gedrag binnen script code zelf | Dreigingen blijven onopgemerkt tenzij de bron bekend is op een threat feed | | | | |
| Dynamische Dreigingsdetectie | Nodig voor incident response, auditing en compliance | Vermijdt afwegingen tussen prestaties en beveiliging | | | | |
| 100% Historische Tracking & Forensics | Nodig voor incident response, auditing en compliance | Vermijdt afwegingen tussen prestaties en beveiliging | | | | |
| Geen Prestatie-impact | Vermijdt afwegingen tussen prestaties en beveiliging | Hogere laadtijden kunnen conversies verlagen en UX schaden | | | | |
| Bypass Bescherming | Stopt aanvallers van het omzeilen van controles via DOM obfuscatie of ontwijking | Stiekeme dreigingen blijven onopgemerkt | | | | |
| Zekerheid dat Script Gezien door Gebruiker wordt Gemonitord | Stemt analyse af op wat daadwerkelijk uitvoert in de browser | Gaten tussen wat wordt beoordeeld en wat daadwerkelijk wordt uitgevoerd | | | | |
| AI-gedreven Script Analyse | Detecteert nieuwe of evoluerende dreigingen door gedragsmodellering | Afhankelijkheid van handmatige updates, threat feeds of regels = trage en foutgevoelige detectie | | | | |
| Implementatie Complexiteit & Tijdlijn | Beïnvloedt time-to-value en interne resource kosten | Lange deployment tijdlijnen verlagen wendbaarheid | high | medium | medium | low |
| Kan voldoen aan 11.6.1 vereiste | 11.6.1 heeft betrekking op het monitoren van wijzigingen in security headers en de script inhoud zelf | Niet monitoren van security headers schendt 11.6.1. Ontbrekende of gewijzigde headers signaleren mogelijke aanvallen. | | | | |
Toonaangevende bedrijven vertrouwen cside
Gebouwd voor beveiligingsteams die zichtbaarheid nodig hebben in de browser, cside levert bewezen verdediging tegen moderne client-side aanvallen terwijl het belangrijke compliance frameworks ondersteunt. Je vertrouwde partner voor regelgevende compliance in de browser.
Bezoek ons Trust Center
AVG 
SOC 2 
PCI DSS Als je partner voor webbeveiliging, willen we dat je ons makkelijk kunt bereiken. Elke klant krijgt 1:1 toegang tot ons team via Slack en Microsoft Teams. We reageren in minuten, of je nu een feature request, vragen of ideeën heeft.
Start vandaag nog met monitoren en beveiligen van 3rd party scripts op je websites. Voldoe aan PCI DSS 4.0.1 vereisten 6.4.3 en 11.6.1.
*Deze pagina beschrijft productmogelijkheden en hoe ze je compliance programma kunnen ondersteunen. Het is geen juridisch advies. Vereisten variëren per organisatie en jurisdictie.