De PCI DSS-nalevingschecklist is geen statisch document, maar een continu proces dat jaarlijks en bij elke essentiële infrastructuurwijziging moet worden vernieuwd. Voor handelaren en het MKB vergt het beheren van deze checklist tijd, middelen en technische kennis. De meest praktische aanpak is niet het voldoen aan alle 250+ vereisten, maar het verkleinen van het bereik via tokenisatie en het concentreren op de werkelijk noodzakelijke controles.
8 kernpunten van de PCI DSS-nalevingschecklist
De praktische checklist voor handelaren die kaartbetalingen accepteren:
- Bereiksdefinitie: identificeer alle systemen die kaarthoudergegevens opslaan, verwerken of verzenden (CDE). Documenteer netwerkdiagrammen en gegevensstroomkaarten.
- SAQ-vaststelling: bepaal samen met uw acquirer welke Self-Assessment Questionnaire van toepassing is op uw betalingskanaal en uw integratiearchitectuur (SAQ A, A-EP, B, C, D).
- Kwetsbaarheidscans: voer, indien uw SAQ dit vereist, kwartaallijkse ASV-scans (Approved Scanning Vendor) uit voor alle externe IP's in het bereik.
- Penetratietests: voor Level-2-handelaren en hoger: jaarlijkse penetratietests voor de CDE-perimeter en applicaties die betalingsgegevens verwerken.
- Toegangscontrole: invoering van MFA (meerfactorauthenticatie) voor alle toegangen tot de CDE. Implementatie van het 'least privilege'-principe.
- Logboekbeheer: activering van auditlogboeken voor alle toegangen tot CDE-systemen. Bewaring van logboeken gedurende minimaal 12 maanden, waarvan 3 maanden direct beschikbaar.
- Versleuteling: versleuteling van kaarthoudergegevens tijdens overdracht (TLS 1.2 of hoger) en in rust voor opgeslagen gegevens.
- Incidentresponsplan: documenteer en test jaarlijks het noodplan voor beveiligingsincidenten met kaartgegevens, inclusief meldingsprocedures voor acquirers en bevoegde autoriteiten.
Hoe tokenisatie 90% van deze checklist elimineert
Voor handelaren die PCI Proxy EU integreren, vereenvoudigt de checklist aanzienlijk. Omdat er geen PAN in de handelaarssystemen aanwezig is, vervallen de meeste CDE-specifieke vereisten: geen netwerksegmentatie, geen ASV-scans voor betaalsystemen, geen CDE-specifieke penetratietests. De handelaar komt doorgaans in aanmerking voor SAQ A, dat slechts een fractie van de vereisten van SAQ D bevat.
De resterende verplichtingen concentreren zich op websitebeveiliging (HTTPS, geen schadelijke scripts op afrekenpagina's), de fysieke beveiliging van de handelslocatie en fundamentele toegangscontrole voor administratieve systemen. Dit zijn controles die een bedrijf van elke omvang kan beheren met normale IT-beheerprocessen, zonder gespecialiseerde PCI-experts in te huren.
PCI DSS v4-nieuws in de checklist
PCI DSS v4.0, dat in 2024 volledig van kracht is geworden, heeft meerdere nieuwe vereisten ingevoerd die de checklist beïnvloeden. De belangrijkste voor e-commerce-handelaren:
- Vereiste 6.4.3: alle JavaScript-scripts op betaalpagina's moeten worden goedgekeurd en bewaakt op manipulatie. Dit betreft SAQ A-handelaren die externe scripts (analytics, chat, advertenties) laden op pagina's met betalingsformulieren.
- Vereiste 11.6.1: nieuwe bewakingseisen voor niet-geautoriseerde wijzigingen op betaalpagina's, die handelaren in de praktijk verplichten bewakingsoplossingen voor client-side code te implementeren.
- Vereiste 8.4.2: MFA nu vereist voor alle toegangen tot de CDE, inclusief interne toegangen, niet alleen externe.
Veelgestelde vragen
Hoe vaak moet de PCI DSS-checklist worden bijgewerkt?
De formele PCI DSS-beoordeling (SAQ of QSA-audit) moet minimaal eenmaal per jaar worden vernieuwd. Kwetsbaarheidscans moeten kwartaallijks worden uitgevoerd wanneer uw SAQ dit vereist. Penetratietests zijn jaarlijks of na essentiële infrastructuurwijzigingen vereist. Ongeacht deze formele termijnen moet de interne documentatie worden bijgewerkt bij elke essentiële wijziging van de betalingsinfrastructuur.
Kan ik het SAQ zelf invullen?
Ja. Het SAQ is een zelfevaluatie-instrument: er is geen wet die de betrokkenheid van een externe adviseur voorschrijft. In de praktijk raden wij aan het eerste SAQ in te vullen met ondersteuning van een PCI-adviseur of -adviesbureau om te verzekeren dat de classificatie correct is. In de volgende jaren kan het SAQ intern worden bijgewerkt volgens dezelfde procedure.
Wat gebeurt er als ik het SAQ niet indien?
De SAQ-indieningsplicht is contractueel overeengekomen tussen de handelaar en de acquirer. Als u de nalevingsdocumentatie niet indient, riskeert u dat de acquirer u in een hogere tariefcategorie plaatst, en in ernstige gevallen kan de mogelijkheid tot kaartacceptatie worden beperkt of opgeschort. Acquirers kunnen ook maandelijkse niet-nalevingsvergoedingen opleggen.
Vereenvoudig uw PCI DSS-checklist met tokenisatie: SAQ A, minimale perimeter, maximale beveiliging. Ontdek PCI Proxy EU.
Hulp nodig bij PCI-naleving?
Ons team helpt u uw CDE in kaart te brengen, het juiste SAQ te kiezen en tokenisatie te implementeren met gegevensresidentie in de EU.
Neem contact op