Vanaf31 maart 2025zijn alle vereisten uit PCI DSS v4.0 volledig bindend, inclusief de vereisten die tot dan als 'best practice' waren geclassificeerd. Voor handelaren die zich hadden voorbereid op v3.2.1 of de overgangsperiode niet volledig hebben benut, is nu het moment voor een nalevingsreview. Dit artikel legt uit wat er concreet geldt per 2025 en wat u moet doen.
Wat per april 2025 nieuw bindend is
PCI DSS v4 heeft veel vereisten voorzien van de aanduiding 'best practice tot 31 maart 2025', na welke datum ze volledig bindend worden. De belangrijkste nieuwe bindende vereisten voor handelaren:
- 6.4.3, scriptautorisatie voor betaalpagina's: alle op de betaalpagina geladen JavaScript-scripts moeten worden geïnventariseerd en goedgekeurd door bevoegd personeel. Bindend voor alle handelaren met betaalpagina's, inclusief SAQ A-handelaren.
- 11.6.1, detectie van scriptwijzigingen: implementatie van een mechanisme voor de detectie van wijzigingen in HTTP-headers en scripts op betaalpagina's. Kan worden geïmplementeerd via realtime-monitoringtools of regelmatige controles.
- 10.7.2 / 10.7.3, detectie van uitval van beveiligingscontroles: systemen voor de detectie van en reactie op uitval van kritieke beveiligingscontroles (firewalls, IDS/IPS, SIEM, anti-malware).
- 5.4.1, phishingbeschermingsmechanismen: geautomatiseerde mechanismen voor de bescherming van medewerkers tegen phishingaanvallen.
- 12.3.4, beoordeling van hardware- en softwaretechnologieën: jaarlijkse evaluatie van de gebruikte technologieën op beveiligingsrisico's en einddatums.
Nalevingsprogramma voor 2025 bijwerken
Een gestructureerde aanpak voor het bijwerken van het nalevingsprogramma voor PCI DSS v4 omvat de volgende stappen:
- Gap-analyse: vergelijking van de huidige beveiligingsprogramma's met de nieuwe PCI DSS v4-vereisten, met name de per april 2025 bindende.
- Betaalpagina-audit: controle van alle betaalpagina's op scriptinventarisatie en wijzigingsdetectiemechanismen (vereisten 6.4.3 en 11.6.1).
- MFA-verificatie: zekerstellen dat MFA is geactiveerd voor alle administratieve CDE-toegangen, niet alleen voor externe toegang.
- Documentatie-update: bijwerken van netwerkdiagrammen, gegevensstroomkaarten, beleid en procedures naar v4-standaarden.
- Bevestigingen van dienstverleners: verkrijgen van de jaarlijkse schriftelijke bevestiging van PCI DSS-verantwoordelijkheden van alle dienstverleners (vereiste 12.9.2).
De bereikverkleiningsstrategie voor 2025
De meest efficiënte reactie op het groeiende aantal PCI DSS v4-vereisten is niet de implementatie van nieuwe controles voor alle bestaande systemen, maar de verkleining van de CDE waaraan deze controles zijn onderworpen. Met een getokeniseerde architectuur:
- Vervalt de MFA-vereiste voor CDE-toegang voor de meeste interne servers (geen CDE meer)
- Vervalt het kwetsbaarheidbeheerprogramma voor CDE-systemen (geen CDE meer)
- Vervalt de jaarlijkse penetratietest op de CDE (geen eigen CDE meer)
- Blijven alleen de betaalpaginavereisten (6.4.3, 11.6.1) en de SAQ A-documentatie
Veelgestelde vragen
Wat als mijn QSA al een v3.2.1-beoordeling heeft uitgevoerd voor 2024?
PCI DSS v3.2.1 verloor zijn geldigheid op 31 maart 2024. Beoordelingen die na die datum zijn uitgevoerd, moeten worden gedaan conform PCI DSS v4.0. Wanneer uw QSA een beoordeling op basis van v3.2.1 na die datum heeft uitgevoerd, is die beoordeling niet geldig voor PCI DSS-nalevingsdoeleinden. Voor de nieuwe beoordelingsperiode (na april 2024) moet v4 worden toegepast, inclusief de nieuwe vereisten.
Gelden de nieuwe vereisten ook voor bestaande SAQ-indieningen?
Ja. De huidige SAQ-formulieren voor v4 bevatten de nieuwe vereisten. Wanneer u uw volgende jaarlijkse SAQ indient, moet u het v4-formulier gebruiken en alle daarin opgenomen vereisten bevestigen, inclusief de per april 2025 bindende. Er zijn geen overgangsregelingen voor de nieuwe vereisten.
Voldoen aan PCI DSS v4 in 2025: met PCI Proxy EU-tokenisatie minimaliseert u het aantal vereisten dat uw team moet implementeren en bewaken.Ontdek PCI Proxy EU.
Hulp nodig bij PCI-naleving?
Ons team helpt u uw CDE in kaart te brengen, het juiste SAQ te kiezen en tokenisatie te implementeren met gegevensresidentie in de EU.
Neem contact op