
We duiken in elk van de 12 vereisten en bieden een handige PCI compliance checklist die je kunt raadplegen tijdens je nalevingsreis.
Om ervoor te zorgen dat bedrijven de gegevens van kaarthouders op de juiste manier beschermen, hebben creditcardmerken en hun uitgevende instellingen een reeks controles opgesteld die bekend staat als de Payment Card Industry Data Security Standard (PCI DSS).
De PCI-standaard beschrijft 12 vereisten voor het behalen van compliance. We behandelen elk van deze vereisten hieronder en bieden een handige PCI compliance checklist die je kunt raadplegen tijdens je nalevingsreis.
Wat is PCI DSS Compliance?
PCI definieert de minimale standaarden voor het beveiligen en beschermen van de creditcardgegevens van consumenten. Deze standaarden zijn van toepassing op elk bedrijf dat kaarthoudergegevens accepteert, verwerkt, opslaat of verzendt.
Kaarthoudergegevens omvatten:
-
- Het primaire rekeningnummer
- De naam van de kaarthouder
- De vervaldatum
- De servicecode
- Gevoelige authenticatiegegevens, inclusief magneetstrip- of chipgegevens en pincodes
PCI is van toepassing op zowel handelaren als serviceproviders. Een handelaar is een entiteit die betalingen accepteert via kaarten met de logo’s van een van de zes leden van de PCI Security Standards Council (SSC): American Express, Discover, JCB, Mastercard, Visa of UnionPay, voor goederen en diensten. Een serviceprovider is een bedrijf dat diensten levert die de beveiliging van kaarthoudergegevens kunnen beïnvloeden of onder controle hebben.
Hoewel zowel een verkoper op de plaatselijke boerenmarkt als een grote retailer moet voldoen aan PCI, zullen de vereisten variëren afhankelijk van het aantal verwerkte transacties per jaar.
PCI verdeelt handelaren in vier niveaus, waarbij niveau 1 strengere compliancepraktijken vereist en niveau 4 de minst strenge praktijken. Elk betalingsmerk stelt zijn eigen rapportagevereisten vast.
Bijvoorbeeld, American Express deelt de handelaren in volgens de volgende categorieën:
-
- Niveau 1: handelaren die meer dan 2,5 miljoen transacties per jaar verwerken
- Niveau 2: handelaren of serviceproviders die 50.000 tot 2,5 miljoen transacties per jaar verwerken
- Niveau 3: handelaren die 10.000 tot 50.000 transacties per jaar verwerken
- Niveau 4: handelaren die minder dan 10.000 transacties per jaar verwerken
Voor exacte informatie over de PCI-rapportagevereisten van elk betalingsmerk, raden we aan de website van het merk te bezoeken:
-
- American Express
- Discover
- JCB
- Mastercard
- Visa
PCI v4.0 Wijzigingen
Sommige PCI-vereisten waren verouderd naarmate technologie zich ontwikkelde en nieuwe bedreigingen opkwamen. De PCI SSC ontwikkelde een bijgewerkte reeks standaarden, PCI DSS v4.0, om haar belanghebbenden meer flexibiliteit en meer beveiliging te bieden.
Deze updates vallen onder vier brede categorieën:
-
- Evolving security needs: Versie 4.0 voegt nieuwe beveiligingspraktijken toe, zoals multi-factor authenticatie (MFA), sterke wachtwoordpraktijken en voortdurende verdedigingsmaatregelen tegen phishingaanvallen.
- Beveiliging als een continu proces: Omdat beveiligingsaanvallen vanuit elke richting op elk moment kunnen komen, moet iedereen in de organisatie duidelijk toegewezen en goed begrepen beveiligingsverantwoordelijkheden hebben. Versie 4.0 begeleidt belanghebbenden bij het maken van beveiliging een continu verbeterend proces.
- Flexibiliteit om verschillende beveiligingsmethoden te gebruiken: Versie 4.0 hanteert een risicogebaseerde benadering waarmee organisaties methoden kunnen creëren voor het beschermen van kaarthouderinformatie die passend zijn voor hun bedrijf en risicotolerantie.
- Verbeterde validatie: PCI-compliance verzekert kaarthouders, klanten en andere belanghebbenden dat een organisatie kaarthouderinformatie kan beschermen. Versie 4.0 biedt opties voor validatie en rapportage die meer granulariteit en transparantie bieden.
Versie 4.0 werd uitgebracht in het tweede kwartaal van 2022, maar de overgangsperiode van de huidige versie (v3.2.1) naar v4.0 duurt tot het eerste kwartaal van 2024. Toekomstige vereisten moeten voor het eerste kwartaal van 2025 worden geïmplementeerd om te voldoen aan versie 4.0.
PCI DSS v4.0 Overgangstijdlijn
Download hier de PCI Compliance Checklist
The 12 PCI 4.0 Compliance Requirements
De PCI-standaard bestaat uit 12 compliance vereisten, onderverdeeld in zes doelstellingen, namelijk:
-
- Het opzetten en onderhouden van een veilig netwerk
- Het beschermen van betaalkaart- en kaarthoudergegevens
- Het onderhouden van een kwetsbaarheidsbeheerprogramma
- Het implementeren van sterke toegangsbeveiligingsmaatregelen
- Het regelmatig monitoren en testen van netwerken en het evalueren van hun effectiviteit
- Het onderhouden van een informatiebeveiligingsbeleid
Hieronder bieden we aanvullende informatie over hoe je kunt voldoen aan de PCI-compliancevereisten en hoe Drata u kan helpen bij het stroomlijnen van PCI compliance:
https://drata.com/blog/pci-compliance-checklist
Over Drata
Drata is ‘s werelds meest geavanceerde platform voor beveiliging en compliance-automatisering, met de missie om vertrouwen op te bouwen in de cloud. Met Drata stroomlijnen duizenden bedrijven meer dan 20 compliance-kaders — zoals SOC 2, ISO 27001, GDPR en meer — door middel van continue, geautomatiseerde controlemonitoring en bewijsverzameling, wat resulteert in een sterke beveiligingspositie, lagere kosten en minder tijd besteed aan voorbereiding op jaarlijkse audits.
Voor meer informatie neem contact op met het sales team van Exclusive Networks op +31 (0)499 462121 of stuur een mail naar info@exclusive-networks.nl