PCI DSS v4.0 werd in maart 2022 gepubliceerd en is sinds april 2024 de enige geldige standaard: de voorgaande versie v3.2.1 is verouderd. PCI DSS v4 bevat 64 nieuwe vereisten, waarvan er veel vanaf 2025 verplicht worden. Voor Europese handelaren komt dit boven op de lokale reguleringseisen (AVG, PSD2) en ontstaat een van de meest complexe nalevingslandschappen van de afgelopen jaren.
De belangrijkste wijzigingen in PCI DSS v4.0
PCI DSS v4 kent meerdere speerpunten:
- Beveiliging van betaalpagina's (vereisten 6.4.3 en 11.6.1): alle JavaScript-scripts op betaalpagina's moeten geïnventariseerd en geautoriseerd zijn. Een mechanisme om scriptwijzigingen te detecteren is verplicht. Deze vereisten zijn gericht tegen skimming-aanvallen (Magecart).
- Multifactorauthenticatie (MFA): MFA is nu verplicht voor alle toegang tot de CDE, niet meer alleen voor toegang op afstand.
- Netwerkbeveiligingscontroles: herziene vereisten voor firewalls en netwerksegmentatie die beter rekening houden met cloud-native architecturen.
- Cryptografie: strengere vereisten voor het beheer van cryptografische sleutels en het uitfaseren van verouderde protocollen.
- Anti-phishing (vereiste 5.4.1): geautomatiseerde mechanismen om phishing-aanvallen te detecteren en medewerkers daartegen te beschermen.
- E-mailbeveiliging (vereiste 5.4.1): implementatie van DMARC om e-mailspoofing te voorkomen.
PCI DSS v4 en AVG: overlappingen voor Europese handelaren
Europese handelaren moeten PCI DSS v4 interpreteren in de context van het reeds geldende AVG-kader. Er zijn belangrijke overlappingen en complementariteiten:
- Gegevensbeschermingseffectbeoordeling: de AVG vereist een DPIA voor risicovolle gegevensverwerkingen. PCI DSS v4 heeft vergelijkbare vereisten voor risicobeoordeling aangescherpt. Deze processen kunnen worden gecoördineerd.
- Beperkingen voor gegevensopslag: zowel de AVG als PCI DSS beperken de opslag van gegevens. PCI DSS verbiedt het opslaan van gevoelige authenticatiegegevens (CVV, PIN) na de autorisatie volledig; de AVG vereist het minimalisatieprincipe.
- Melding van datalekken: de AVG vereist het melden van datalekken binnen 72 uur aan de bevoegde toezichthoudende autoriteit. PCI DSS vereist melding aan de kaartnetwerken en de acquirer. Bij een lek van kaartgegevens gelden beide.
Nieuwe vereisten die vanaf 2025 voor alle handelaren verplicht zijn
PCI DSS v4 heeft veel vereisten geclassificeerd als "best practice tot 31 maart 2025": vanaf april 2025 zijn ze volledig verplicht. De belangrijkste voor Europese handelaren:
- 6.4.3 – autorisatie en inventarisatie van alle scripts op betaalpagina's
- 11.6.1 – mechanisme om wijzigingen aan headers en scripts van betaalpagina's te detecteren
- 10.7.2/10.7.3 – directe reactie op het uitvallen van kritische beveiligingscontroles
- 12.3.2 – jaarlijkse gerichte risicobeoordeling voor de aangepaste benadering (Customised Approach)
- 12.9.2 – schriftelijke bevestiging van de PCI DSS-verantwoordelijkheden door dienstverleners
Veelgestelde vragen
Word ik als SAQ A-handelaar geraakt door de nieuwe v4-vereisten?
Ja, ook SAQ A is in v4 bijgewerkt met nieuwe vereisten (6.4.3 en 11.6.1). Ook wanneer uw betaalpagina volledig door een derde partij wordt gehost, moet u ervoor zorgen dat er geen niet-geautoriseerd JavaScript op uw website wordt geladen dat de betaalpagina zou kunnen beïnvloeden. Deze vereisten beschermen tegen aanvallen die uw website (en niet die van de betalingsaanbieder) compromitteren om verkeer te onderscheppen.
Waarin verschilt de "aangepaste implementatiebenadering" van PCI DSS v4?
PCI DSS v4 heeft een "Customised Approach" geïntroduceerd: bedrijven kunnen nu aantonen hoe ze het beveiligingsdoel van een vereiste op een andere manier behalen dan de vereiste voorschrijft. Dit biedt meer flexibiliteit voor innovatieve architecturen (bijv. zero-trust-netwerken, cloud-native deployments), maar vereist een formele risicobeoordeling en documentatie van de alternatieve benadering.
Beheers PCI DSS v4 met een kleinere scope: met tokenisatie van PCI Proxy EU zijn veel nieuwe vereisten niet langer op uw bedrijf van toepassing, omdat u geen CDE meer heeft. Ontdek PCI Proxy EU.
Hulp nodig bij PCI-naleving?
Ons team helpt u uw CDE in kaart te brengen, het juiste SAQ te kiezen en tokenisatie te implementeren met gegevensresidentie in de EU.
Neem contact op