PCI DSS

PCI DSS v4: alle nieuwe vereisten en wat verandert voor Europese handelaren

8 februari 2025 5 min lezen PCI Proxy EU

PCI DSS v4.0 is de meest uitgebreide herziening van de standaard sinds zijn introductie. Met 64 nieuwe vereisten en fundamentele wijzigingen in de structuur- en implementatiebenadering stelt v4 een aanzienlijke uitdaging voor handelaren die gewend waren aan v3.2.1. Deze gids doorloopt alle wezenlijke wijzigingen en legt uit wat concreet ondernomen moet worden.

PCI DSS v4: alle nieuwe vereisten en wat verandert voor Europese handelaren

Structurele wijzigingen in PCI DSS v4

De belangrijkste structurele wijziging in PCI DSS v4 is de introductie van de Customized Approach: naast de traditionele 'Defined Approach' (naleving van de specifieke vereisten) kunnen bedrijven nu aantonen hoe zij het beveiligingsdoel van een vereiste via een andere aanpak vervullen. Dit biedt flexibiliteit voor cloud-native architecturen, maar vereist aanzienlijk meer documentatie-inspanning.

PCI DSS v4 heeft ook de terminologie aangepast: 'Firewall' werd hernoemd tot 'Netwerkbeveiligingscontrole' om moderne benaderingen zoals WAF, microsegmentatie en cloudbeveiligingsgroepen te omvatten. 'Antivirus' werd uitgebreid naar 'Anti-malware'.

Nieuwe vereisten per domein

Beveiliging van betaalpagina's (Vereisten 6.4.3, 11.6.1)

Handelaren moeten alle op de betaalpagina geladen JavaScript-scripts inventariseren en autoriseren. Er moet een mechanisme worden geïmplementeerd voor de detectie van ongeautoriseerde wijzigingen in scripts en headers van betaalpagina's. Deze vereisten gelden ook voor SAQ-A-handelaren en zijn gericht tegen Magecart-skimming-aanvallen.

Multi-factor-authenticatie (Vereiste 8.4)

MFA is nu verplicht voor alle niet-consolegerichte beheertoegang tot de CDE, ook voor interne gebruikers. v3.2.1 vereiste MFA alleen voor externe toegang. Deze uitbreiding betreft beheerders die intern toegang krijgen tot CDE-systemen.

Anti-phishing en e-mailauthenticatie (Vereisten 5.4.1, 12.5.3)

Handelaren moeten geautomatiseerde mechanismen implementeren voor de detectie en bescherming van medewerkers tegen phishing-aanvallen. DMARC-implementatie wordt aanbevolen als best practice (sommige SAQ's vereisen dit rechtstreeks).

Uitval van beveiligingscontroles (Vereisten 10.7.2, 10.7.3)

Uitval van kritieke beveiligingscontroles (firewalls, IDS/IPS, SIEM, anti-malware) moet onmiddellijk worden gedetecteerd en gemeld. Er moet een formeel proces aanwezig zijn voor de reactie op deze uitval.

Wat is gewijzigd van v3.2.1 naar v4: vergelijking

Veel vereisten worden inhoudelijk versterkt of uitgebreid:

  • Kwetsbaarheidsbeheer: sterkere vereisten voor patchdeadlines, met name voor kritieke kwetsbaarheden in CDE-systemen (max. 1 maand)
  • Toegangscontrole: strengere vereisten voor het principe van minimale rechten en regelmatige controle van toegangsrechten
  • Cryptografie: uitdrukkelijk verbod op verouderde protocollen (TLS 1.0, 1.1) en zwakke algoritmen
  • Dienstverlenersbeheer: jaarlijkse schriftelijke bevestiging van de PCI DSS-verantwoordelijkheden van alle dienstverleners

Veelgestelde vragen

Als ik al v3.2.1-conform was, moet ik alles opnieuw implementeren?

Niet alles. Veel vereisten in v4 zijn uitbreidingen of verduidelijkingen van bestaande vereisten. De echte nieuwigheden zijn voornamelijk de vereisten voor betaalpaginascripts (6.4.3, 11.6.1), de MFA-uitbreiding voor alle CDE-toegangen, de anti-phishingvereisten en de versterkte bewakingsvereisten. Een kloof-analyse ten opzichte van v3.2.1 toont wat concreet nieuw geïmplementeerd moet worden.

Verkleint tokenisatie ook de v4-nalevingslast?

Ja, aanzienlijk. Veel nieuwe v4-vereisten (kwetsbaarheidsbeheer, MFA, logging, bewaking) gelden alleen voor CDE-systemen. Met een geminimaliseerde CDE via tokenisatie vervallen deze vereisten voor de meeste interne systemen. De vereisten 6.4.3 en 11.6.1 (betaalpaginascripts) gelden ook voor SAQ-A-handelaren, maar zijn wezenlijk eenvoudiger te implementeren dan een volledige SAQ-D-naleving.

PCI DSS v4 nakomen met minimale inspanning: door de CDE tot het strikt noodzakelijke te verkleinen, vervallen veel nieuwe vereisten uit uw verantwoordelijkheidsgebied.Ontdek PCI Proxy EU.


Hulp nodig bij PCI-naleving?

Ons team helpt u uw CDE in kaart te brengen, het juiste SAQ te kiezen en tokenisatie te implementeren met gegevensresidentie in de EU.

Neem contact op

Vereenvoudig PCI DSS-naleving vandaag

Verklein uw CDE, vereenvoudig het SAQ en bescherm kaartgegevens van klanten met PCI Proxy EU.