Home Normen ✦ AI Offerte →
HomeNormen → PCI DSS

PCI DSS v4.0 — Betaalkaartbeveiliging

De Payment Card Industry Data Security Standard (PCI DSS) is het verplichte beveiligingskader voor organisaties die kaarthoudergegevens verwerken, opslaan of verzenden. Versie 4.0 introduceert een flexibelere, risicogebaseerde aanpak en nieuwe eisen die uiterlijk 31 maart 2025 volledig van kracht zijn.

PCI DSS v4.0 Betaalbeveiliging QSA-audit PCI SSC

Wat is PCI DSS?

De Payment Card Industry Data Security Standard (PCI DSS) is een set beveiligingseisen opgesteld door het PCI Security Standards Council (PCI SSC) om kaarthoudergegevens te beschermen. Elke organisatie die creditcard- of debitcardgegevens verwerkt, opslaat of verzendt, moet voldoen aan PCI DSS.

PCI DSS v4.0, gepubliceerd in maart 2022, vervangt v3.2.1 en introduceert de Customized Approach als alternatief voor de traditionele Defined Approach, waardoor organisaties meer flexibiliteit krijgen om aan beveiligingsdoelstellingen te voldoen.

Wie moet voldoen aan PCI DSS?

  • Handelaren (webwinkels, retail, horeca) die kaartbetalingen accepteren
  • Betalingsverwerkers en payment service providers
  • Banken en financiële instellingen die kaarten uitgeven of verwerken
  • Softwarebedrijven die betalingsoplossingen ontwikkelen
  • Hostingproviders die betalingsinfrastructuur ondersteunen
  • Elke organisatie die kaarthoudergegevens opslaat, verwerkt of verzendt

PCI DSS v4.0 — Belangrijkste wijzigingen

  • Customized Approach — alternatieve methode om aan beveiligingsdoelstellingen te voldoen
  • Verbeterde authenticatie-eisen, inclusief multi-factor authenticatie (MFA)
  • Uitgebreide encryptie-eisen voor kaarthoudergegevens
  • Nieuwe eisen voor e-commerce en betalingspagina’s
  • Gerichte risico-analyse voor flexibele implementatie
  • Strengere eisen voor beveiligingsbewustzijn en training

PCI DSS-complianceniveaus

Het complianceniveau wordt bepaald door het jaarlijkse transactievolume:

  • Niveau 1: >6 miljoen transacties/jaar — jaarlijkse QSA-audit vereist
  • Niveau 2: 1–6 miljoen transacties/jaar — SAQ of QSA-audit
  • Niveau 3: 20.000–1 miljoen e-commerce transacties/jaar
  • Niveau 4: <20.000 e-commerce of <1 miljoen overige transacties/jaar

Het BALTUM-proces: stap voor stap

  • Stap 1 — Scoping en gap-analyse: Identificatie van kaarthoudergegevensomgeving (CDE), gegevensstromen en gap-analyse ten opzichte van PCI DSS v4.0.
  • Stap 2 — Remediatie: Implementatie van ontbrekende beheersmaatregelen, beleids- en proceduredocumentatie.
  • Stap 3 — Pre-assessment: Interne beoordeling en voorbereiding op de formele QSA-audit.
  • Stap 4 — QSA-audit: Formele beoordeling door een Qualified Security Assessor met rapportage (RoC of SAQ).
  • Stap 5 — Doorlopende compliance: Kwartaalscans, jaarlijkse herbeoordeling en continue monitoring.

Typische doorlooptijd

3–8 maanden, afhankelijk van het complianceniveau en de huidige beveiligingsvolwassenheid. Organisaties met een bestaand ISO 27001-certificaat hebben vaak al veel relevante beheersmaatregelen ingevoerd.

Integratie met andere normen

  • PCI DSS + ISO 27001 (Betaalbeveiliging en informatiebeveiliging)
  • PCI DSS + SOC 2 (Betaalbeveiliging en servicecontroles)
  • PCI DSS + ISO 22301 (Betaalbeveiliging en continuïteit)