Regelgeving

PCI DSS

Definitie

PCI DSS (Payment Card Industry Data Security Standard) is een wereldwijde beveiligingsstandaard voor organisaties die betaalkaartgegevens verwerken, opslaan of verzenden. Alle bedrijven die Visa, Mastercard of andere betaalkaarten accepteren, moeten aan PCI DSS voldoen.

PCI DSS (Payment Card Industry Data Security Standard) is een wereldwijde beveiligingsstandaard voor organisaties die betaalkaartgegevens verwerken, opslaan of verzenden. De standaard wordt beheerd door de PCI Security Standards Council (PCI SSC), opgericht door Visa, Mastercard, American Express, Discover en JCB. PCI DSS 4.0, gepubliceerd in maart 2024, bevat significante wijzigingen ten opzichte van versie 3.2.1.

Hoe werkt PCI DSS?

PCI DSS bevat 12 hoofdvereisten georganiseerd in zes domeinen: een veilig netwerk bouwen en onderhouden (firewalls, geen standaardwachtwoorden), kaarthouderdata beschermen (encryptie, beperkte opslag), een vulnerability management-programma onderhouden (antivirus, veilige systemen), sterke toegangscontrole implementeren (need-to-know, unieke ID's, fysieke beveiliging), netwerken regelmatig monitoren en testen (logging, kwartaallijkse vulnerability scans, jaarlijkse pentest), en een informatieveiligheidsbeleid onderhouden.

Compliance-niveaus

Organisaties worden ingedeeld in vier niveaus op basis van het aantal jaarlijkse kaarttransacties. Niveau 1 (meer dan 6 miljoen transacties) vereist een jaarlijkse audit door een Qualified Security Assessor (QSA). Niveau 2-4 kunnen een Self-Assessment Questionnaire (SAQ) invullen. Alle niveaus vereisen kwartaallijkse vulnerability scans door een Approved Scanning Vendor (ASV).

Impact voor organisaties

Niet-naleving kan leiden tot boetes van betaalkaartmerken, hogere transactiekosten, verlies van het recht om betalingen te accepteren en aansprakelijkheid bij datalekken. PCI DSS-compliance beschermt niet alleen tegen boetes maar ook tegen de reputatieschade en juridische gevolgen van een betaalkaartdatalek.

Bescherming

Segmenteer netwerken om de scope van PCI DSS te beperken. Versleutel kaarthouderdata at rest en in transit. Implementeer strikte toegangscontrole. Voer regelmatige vulnerability scans en jaarlijkse pentests uit. Log en monitor alle toegang tot kaarthouderdata.

Hoe DEFION helpt

DEFION voert PCI DSS-pentests en vulnerability scans uit als onderdeel van het compliance-programma. Het team begeleidt bij het bereiken en behouden van PCI DSS-compliance.

Gerelateerde termen

Pentest Encryptie Vulnerability Scan

DEFION Security helpt organisaties hiermee:

Bekijk onze dienst →
← Terug naar woordenboek