PCI DSS

Bescherming van kaarthoudergegevens: PCI DSS-verplichtingen en hoe u ze naleeft

12 maart 2025 5 min lezen PCI Proxy EU

Debescherming van kaarthoudergegevensis het kerndoel van PCI DSS. Alle 12 hoofdvereisten van de standaard convergeren naar één resultaat: kaarthoudergegevens mogen niet in handen komen van onbevoegden — niet via externe aanvallen, niet via interne fouten en niet via nalatigheid in het infrastructuurbeheer. Begrijpen welke gegevens als kaarthoudergegevens gelden en welke specifieke verplichtingen hun bescherming met zich meebrengt, is het startpunt voor elk PCI-nalevingsplan.

Bescherming van kaarthoudergegevens: PCI DSS-verplichtingen en hoe u ze naleeft

Wat als kaarthoudergegevens geldt: PAN, CVV, trackgegevens

PCI DSS definieert twee categorieën gevoelige betalingsgegevens:kaarthoudergegevens (CHD)engevoelige authenticatiegegevens (SAD). Kaarthoudergegevens omvatten hetPAN(Primary Account Number, het 16-cijferige kaartnummer), de naam van de kaarthouder, de vervaldatum en de servicecode. Gevoelige authenticatiegegevens omvatten de volledige magnetische strooktrack (Track 1 en Track 2), het PIN-blok en de CVV/CVC-code.

Het cruciale onderscheid is tussen gegevens dieonder bepaalde voorwaarden mogen worden opgeslagen, en gegevens diena autorisatie nooit mogen worden opgeslagen. Het PAN mag na autorisatie worden opgeslagen, maar moet onleesbaar worden gemaakt (versleuteling, tokenisatie, afkorting). Gevoelige authenticatiegegevens — CVV/CVC, volledige track, PIN — mogen nooit worden opgeslagen, zelfs niet tijdelijk of in versleutelde vorm.

PCI DSS-beschermingsverplichtingen: versleuteling, toegangscontrole, monitoring

Wanneer een bedrijf PAN's opslaat, worden specifieke beschermingsverplichtingen geactiveerd. De belangrijkste zijn:

  • Versleuteling in rust: opgeslagen PAN's moeten worden versleuteld met sterke algoritmen (AES-256 of RSA 2048+). De versleutelingssleutel moet veilig worden beheerd, gescheiden van de versleutelde gegevens.
  • Toegangscontrole: de toegang tot kaarthoudergegevens moet worden beperkt tot degenen die het voor zakelijke doeleinden nodig hebben, conform het 'need to know'-principe. MFA is vereist voor alle CDE-toegangen.
  • Monitoring en logging: alle toegangen tot systemen die kaarthoudergegevens bevatten, moeten worden gelogd en deze logs moeten 12 maanden worden bewaard.
  • Netwerksegmentatie: de CDE moet worden gescheiden van andere bedrijfsnetwerken via firewalls of andere segmentatiecontroles.
  • Fysieke beveiliging: fysieke toegang tot systemen die kaarthoudergegevens bevatten, moet worden beperkt tot geautoriseerd personeel.

Tokenisatie: het probleem bij de bron elimineren

De meest effectieve aanpak om te voldoen aan de PCI DSS-gegevensbeschermingsvereisten is het PAN nooit in eigen systemen toe te laten. Mettokenisatievia PCI Proxy EU passeren kaartgegevens de systemen van de handelaar niet: het invoerformulier wordt gehost door PCI Proxy EU, het PAN wordt onderschept en opgeslagen in de gecertificeerde vault, en een waardeloos token wordt teruggegeven aan de handelaar. Het resultaat: geen beschermingsverplichtingen voor het PAN, want er is geen aanwezig. Geen CDE, geen versleutelingsvereisten voor databases, geen specifiek toegangscontrolebeleid voor betalingsgegevens.

In vergelijking met een architectuur waarbij PAN's intern worden opgeslagen, schatten wij dat tokenisatie de PCI DSS-nalevingskosten met70 tot 90%verlaagt, het risico op een datalek aanzienlijk verkleint en de tijd voor jaarlijks nalevingsbeheer duidelijk verkort.

Veelgestelde vragen

Mag ik de eerste 6 of laatste 4 cijfers van het PAN opslaan?

Ja. PCI DSS staat de weergave van de eerste 6 en laatste 4 cijfers (BIN + laatste 4) als afgekorte PAN toe voor weergavedoeleinden. Het volledige PAN, inclusief het middelste deel, mag echter nooit in leesbare tekst worden opgeslagen. Wanneer u een token gebruikt en de laatste 4 cijfers voor weergavedoeleinden in uw database opslaat, vallen deze gegevens niet onder de CDE-definitie.

Moet ik logboeken van kaarthoudergegevenstransacties bewaren?

U moet transactielogboeken bewaren die aantonen dat betalingen hebben plaatsgevonden, maar deze logs mogen geen volledig PAN bevatten. Wanneer uw logs volledige kaartnummers registreren, zijn deze logs onderdeel van uw CDE en moeten ze worden beschermd. De beste praktijk is logboeken bij te houden met transactie-ID's die verwijzen naar de vault van de aanbieder, zonder gevoelige kaartgegevens te bevatten.

Is het opslaan van CVV voor terugkerende betalingen toegestaan?

Nee. Het opslaan van CVV/CVC na autorisatie is uitdrukkelijk verboden door PCI DSS, ook voor card-on-file-scenario's en terugkerende betalingen. Voor vervolgbetalingen na de eerste transactie is geen CVV vereist: het betalingsnetwerk herkent dit als een door de handelaar geïnitieerde transactie. Het opslaan van CVV, zelfs in versleutelde vorm, is een ernstige PCI-inbreuk.

De meest effectieve methode om kaarthoudergegevens te beschermen? Ze nooit in uw systemen hebben.Ontdek PCI Proxy EU.


Hulp nodig bij PCI-naleving?

Ons team helpt u uw CDE in kaart te brengen, het juiste SAQ te kiezen en tokenisatie te implementeren met gegevensresidentie in de EU.

Neem contact op

Vereenvoudig PCI DSS-naleving vandaag

Verklein uw CDE, vereenvoudig het SAQ en bescherm kaartgegevens van klanten met PCI Proxy EU.