Nu starten  Neem contact op 
Nu starten  Neem contact op 

PCI DSS-checklist voor bedrijven: hoe je kunt voldoen aan de compliancenormen

Payments
Payments

Ontvang over de hele wereld online en fysieke betalingen met een betaaloplossing die past bij elke onderneming, van veelbelovende start-ups tot multinationals.

Meer informatie 
  1. Inleiding
  2. Wat is PCI DSS-compliance?
  3. Wat staat er op de checklist voor PCI DSS-compliance?
    1. 1. Installeer en onderhoud firewalls
    2. 2. Vermijd standaardwachtwoorden en -instellingen
    3. 3. Bescherm opgeslagen kaarthoudergegevens
    4. 4. Versleutel gegevens tijdens het transport
    5. 5. Bescherm je tegen malware
    6. 6. Voorzie patches voor systemen en applicaties
    7. 7. Beperk de toegang tot gegevens op basis van rol
    8. 8. Authenticeer gebruikers op unieke wijze
    9. 9. Beheer fysieke toegang
    10. 10. Volg en controleer de toegang
    11. 11. Test de beveiliging regelmatig
    12. 12. Zorg voor een goed beveiligingsbeleid en train je personeel
  4. Hoe controleert en test je netwerken op PCI-compliance?
    1. Logging en monitoring
    2. Kwetsbaarheidsscans
    3. Penetratietesten
    4. Continue validatie
  5. Hoe kunnen bedrijven een veilige omgeving voor kaartgegevens van kaarthouders handhaven?
    1. Bepaal en minimaliseer de reikwijdte
    2. Sla niet op wat je niet nodig hebt
    3. Tokeniseer en versleutel
    4. Segmenteer je netwerk
    5. Beperk en controleer de toegang
  6. Welke stappen moet je nemen om je voor te bereiden op PCI DSS-compliance?
    1. Toepassingsgebied
    2. Inventarisatie van activa
    3. Gap-analyse
    4. Validatiepad
    5. Tijdlijn en rollen
  7. Hoe blijf je op de lange termijn PCI DSS-compliant?
    1. Plan terugkerende controles
    2. Organiseer herhaalde trainingen
    3. Houd leveranciers in de gaten
    4. Wees voorbereid om te reageren
  8. Hoe Stripe Payments kan helpen
  9. Aan de slag met Stripe 

Het beschermen van betalingsgegevens van klanten draait om het opbouwen van vertrouwen en het effectief laten functioneren van je bedrijf. De gemiddelde wereldwijde kosten van een inbreuk bedroegen in 2024 4,88 miljoen dollar, dus het is belangrijk om hoge normen te hanteren.

De Payment Card Industry Data Security Standard (PCI DSS)-checklist zet een intimiderende norm om in duidelijke stappen die elk bedrijf kan volgen om de gegevens van kaarthouders te beschermen. Hieronder leggen we uit wat de checklist vereist en hoe je op lange termijn aan de normen kunt blijven voldoen.

Wat staat er in dit artikel?

  • Wat is PCI DSS-naleving?
  • Wat staat er op de PCI DSS-compliancechecklist?
  • Hoe controleer en test je netwerken op PCI-compliance?
  • Hoe kunnen bedrijven een veilige omgeving voor kaarthoudergegevens creëren?
  • Welke stappen moet je nemen om je voor te bereiden op PCI DSS-compliance?
  • Hoe blijf je op de lange termijn PCI DSS-compliant?
  • Hoe Stripe Payments kan helpen

Wat is PCI DSS-compliance?

De PCI DSS is het regelboek voor het beschermen van creditcard- en debitcardgegevens. Het is in 2004 opgesteld door American Express, Discover, JCB, Mastercard en Visa om fraude en inbreuken te minimaliseren. Tegenwoordig is het de basisbeveiligingsnorm voor elk bedrijf dat kaartgegevens opslaat, verwerkt of verzendt.

PCI DSS-compliance is verplicht. Als je bedrijf creditcards of debitcards accepteert, valt het onder de PCI DSS, of het nu gaat om een winkel met één locatie, een snelgroeiend software-as-a-service (SaaS)-bedrijf of een wereldwijde onderneming. Dienstverleners die namens anderen kaartgegevens verplaatsen of opslaan, moeten ook aan de regels voldoen. De exacte rapportagestappen verschillen afhankelijk van je transactievolume, maar de beveiligingsvereisten gelden voor iedereen.

De PCI DSS is geen wet, maar wordt afgedwongen via je contracten met banken en betalingsverwerkers. Als je je niet aan de regels houdt, kun je boetes, dure audits of rechtszaken tegemoet zien, of zelfs de mogelijkheid om kaartbetalingen te verwerken verliezen.

Wat staat er op de checklist voor PCI DSS-compliance?

De PCI DSS is gebaseerd op 12 vereisten.

1. Installeer en onderhoud firewalls

Je eerste verdedigingslinie is een goed geconfigureerde firewall die ongewenst verkeer blokkeert. Lees de regels regelmatig na en verwijder alles wat niet nodig is. Regels op maat zijn belangrijk.

2. Vermijd standaardwachtwoorden en -instellingen

Apparaten en software worden vaak geleverd met algemeen bekende standaardinstellingen. Wijzig deze onmiddellijk, schakel ongebruikte accounts uit en sluit diensten af die je niet nodig hebt.

3. Bescherm opgeslagen kaarthoudergegevens

Als je kaartgegevens niet hoeft op te slaan, doe dat dan ook niet. Als het echt nodig is, versleutel ze dan met sterke algoritmen, maskeer of verkort ze waar mogelijk en beheer versleutelingssleutels op een veilige manier. Verwijder gegevens wanneer ze niet meer nodig zijn.

4. Versleutel gegevens tijdens het transport

Telkens wanneer kaartgegevens over open netwerken worden verzonden, moeten ze worden versleuteld. Gebruik moderne protocollen zoals Transport Layer Security (TLS) 1.2 of hoger. Oudere protocollen zoals Secure Sockets Layer (SSL) zijn minder effectief. Verstuur kaartnummers nooit via e-mail of onversleutelde kanalen.

5. Bescherm je tegen malware

Elk systeem dat door kwaadaardige software kan worden getroffen, heeft antimalwarebescherming nodig die up-to-date wordt gehouden en automatisch wordt uitgevoerd. PCI DSS v4.0 gaat nog een stap verder door geavanceerde detectietools aan te moedigen, niet alleen traditionele antivirusbescherming.

6. Voorzie patches voor systemen en applicaties

Kwetsbaarheden zijn een toegangspunt voor hackers. Houd een up-to-date inventaris van activa bij, abonneer je op beveiligingsbulletins en pas patches snel toe. Volg veilige codeerpraktijken als je je eigen apps bouwt.

7. Beperk de toegang tot gegevens op basis van rol

Pas het principe van minimale rechten toe. Alleen medewerkers die echt toegang tot kaartgegevens nodig hebben, mogen die krijgen. Gebruik op rollen gebaseerde controles, trek de toegang onmiddellijk in wanneer rollen veranderen en overweeg just-in-time-toegang voor gevoelige taken.

8. Authenticeer gebruikers op unieke wijze

Geef iedereen een unieke ID. Sta geen gedeelde logins toe. Vereis sterke wachtwoorden en meervoudige authenticatie voor alle toegang tot systemen in de kaarthoudergegevensomgeving (CDE). Dit is een strikte vereiste onder PCI DSS v4.0.

9. Beheer fysieke toegang

Bescherm de plaatsen waar kaartgegevens fysiek aanwezig zijn: serverruimtes, betaalterminals, papieren documenten en back-ups. Gebruik ID-badges, deursloten en cameratoezicht. Vernietig documenten die je niet meer nodig hebt.

10. Volg en controleer de toegang

Schakel gedetailleerde logboekregistratie in voor systemen die in aanraking komen met kaarthoudergegevens. Registreer wie wat heeft gedaan en wanneer. Bewaar logboeken minstens een jaar lang – de laatste drie maanden moeten gemakkelijk toegankelijk zijn – en controleer ze regelmatig op ongebruikelijke activiteiten.

11. Test de beveiliging regelmatig

Voer elk kwartaal kwetsbaarheidsscans uit. Als je een online bedrijf hebt, kies dan een goedgekeurde scanleverancier die is gekwalificeerd door de PCI Security Standards Council. Voer minimaal jaarlijks penetratietests uit. Scan intern na elke grote wijziging. Door te testen kun je problemen opsporen voordat aanvallers ze kunnen gebruiken om toegang te krijgen.

12. Zorg voor een goed beveiligingsbeleid en train je personeel

Naleving hangt net zo goed af van mensen als van systemen. Zorg voor een formeel beveiligingsbeleid, werk dit jaarlijks bij en train je personeel regelmatig, zodat iedereen weet hoe betalingsgegevens moeten worden beschermd.

Zie je PCI DSS-compliancechecklist als een draaiboek. Configureer, versleutel, beperk, controleer, test en train, en herhaal dit naarmate je bedrijf groeit.

Hoe controleert en test je netwerken op PCI-compliance?

De PCI DSS vereist ook dat je elke dag aantoont dat je controles werken. Dat houdt monitoring en testen in.

Logging en monitoring

Systemen die in aanraking komen met kaarthoudergegevens moeten gedetailleerde logboeken genereren: wie heeft wanneer toegang gehad tot wat en welke acties zijn ondernomen. Je moet logboeken minstens een jaar bewaren, waarbij de laatste drie maanden direct beschikbaar moeten zijn. Je moet de logboeken ook controleren. Veel bedrijven gebruiken automatische waarschuwingen om verdachte activiteiten te signaleren, zoals een beheerdersaccount dat op ongebruikelijke tijden inlogt.

Kwetsbaarheidsscans

De PCI DSS schrijft voor dat je elk kwartaal kwetsbaarheidsscans moet laten uitvoeren op je systemen die in contact staan met het internet, door een erkende scanningsleverancier. Er moeten ook interne scans worden gepland, vooral na grote systeemwijzigingen. Deze scans zoeken naar bekende zwakke plekken, zoals verouderde software en verkeerd geconfigureerde firewalls die aanvallers kunnen misbruiken.

Penetratietesten

Voer minstens één keer per jaar penetratietesten uit. Dit zijn gesimuleerde aanvallen die worden uitgevoerd door professionals die denken als hackers. In tegenstelling tot automatische scans onderzoeken penetratietesten hoe verschillende kwetsbaarheden een reëel risico kunnen vormen. Ze helpen je om je omgeving te zien zoals een aanvaller dat zou doen.

Continue validatie

PCI-compliance betekent dat je een doorlopende cyclus volgt: systemen configureren, scannen, problemen verhelpen en opnieuw testen. Het doel is om problemen op te sporen voordat ze tot inbreuken leiden en om aan te tonen dat je controles standhouden bij nauwkeurig onderzoek.

Hoe kunnen bedrijven een veilige omgeving voor kaartgegevens van kaarthouders handhaven?

Het beveiligen van kaartgegevens van kaarthouders draait om het creëren van een omgeving waarin risico's op elk niveau worden beperkt. De PCI DSS noemt dit de CDE, en om deze veilig te houden, moet je aandacht besteden aan de reikwijdte, opslag, toegang en architectuur.

Hieronder lees je hoe je je CDE kunt beschermen.

Bepaal en minimaliseer de reikwijdte

Bepaal eerst precies waar kaartgegevens in je systemen stromen. Maak een overzicht van applicaties, databases, terminals en netwerken die ermee in aanraking komen of deze gegevens verzenden. Verklein vervolgens die voetafdruk: als een systeem geen kaartgegevens hoeft te verwerken, haal het dan uit de reikwijdte.

Sla niet op wat je niet nodig hebt

Elk stukje opgeslagen kaartgegevens is een risico. Bewaar alleen wat je nodig hebt en stel automatische processen in om oude gegevens te verwijderen. Gebruik waar mogelijk maskering en afkapping, zodat zelfs als gegevens aan het licht komen, deze nutteloos zijn voor aanvallers.

Tokeniseer en versleutel

Als je kaartnummers moet verwerken, vervang ze dan door tokens die buiten je systemen geen bruikbare waarde hebben. Versleutel kaarthoudergegevens zowel in rust als tijdens het transport en beheer versleutelingssleutels met dezelfde strengheid als die je zou toepassen op gegevensbescherming: beperk de toegang, wissel sleutels regelmatig en registreer het gebruik ervan.

Segmenteer je netwerk

Houd de CDE gescheiden van de rest van je systemen. Netwerksegmentatie zorgt ervoor dat als één gebied wordt aangevallen, aanvallers geen directe toegang krijgen tot betalingsgegevens.

Beperk en controleer de toegang

Pas strenge toegangscontroles toe: op rollen gebaseerde machtigingen, meervoudige authenticatie en een logboek van elke toegangspoging. Controleer regelmatig de rechten en verwijder de toegang onmiddellijk wanneer deze niet langer nodig is.

Een beschermde CDE vereist regelmatige controle, updates en tests. Door de reikwijdte te beperken, effectief te versleutelen en de blootstelling te beperken, kun je een omgeving creëren die bestand is tegen fouten en aanvallen.

Welke stappen moet je nemen om je voor te bereiden op PCI DSS-compliance?

Voordat je een vragenlijst invult of een audit plant, moet je een duidelijk beeld hebben van hoe je bedrijf omgaat met kaartgegevens en waar de risico's liggen. Zo wordt PCI DSS-compliance van een abstracte norm een concreet projectplan met een vanaf het begin gedefinieerde reikwijdte, bewijsvoering en verantwoordingsplicht.

Hier volgt hoe je je kunt voorbereiden.

Toepassingsgebied

Identificeer elk systeem, elke applicatie en elk netwerk dat in aanraking komt met kaarthoudergegevens. Maak een gegevensstroomdiagram dat precies laat zien hoe kaartinformatie door je omgeving stroomt, vanaf het punt van binnenkomst (bijv. website, terminal, app) tot waar deze wordt verwerkt of opgeslagen. Alles wat in aanraking komt met kaartgegevens valt binnen de reikwijdte.

Inventarisatie van activa

Maak een lijst van alle hardware, software en dienstverleners die bij betalingen betrokken zijn. Dit helpt je te begrijpen wat er beveiligd moet worden en waar de verantwoordelijkheden van derden een rol spelen.

Gap-analyse

Vergelijk je huidige controles met de 12 PCI DSS-vereisten. Een gap-analyse brengt ontbrekende beleidsregels, verouderde configuraties of niet-gepatchte systemen aan het licht en geeft je een geprioriteerd stappenplan voor herstel.

Validatiepad

Bedrijven valideren meestal via een zelfbeoordelingsvragenlijst. Maar grote bedrijven hebben vaak een formeel compliancerapport nodig van een gekwalificeerde beveiligingsbeoordelaar. Welke route je neemt, hangt af van je transactievolume en hoe je betalingen verwerkt.

Tijdlijn en rollen

Plan tijd in voor herstelmaatregelen, documentatie, testen en training. Wijs duidelijke verantwoordelijkheden toe, zodat taken niet tussen wal en schip vallen.

Hoe blijf je op de lange termijn PCI DSS-compliant?

Compliance is een terugkerende cyclus. Langdurige PCI-compliance betekent dat je beveiliging in je dagelijkse activiteiten moet integreren.

Dit is wat dat inhoudt.

Plan terugkerende controles

Plan driemaandelijkse kwetsbaarheidsscans, jaarlijkse penetratietests, beleidsherzieningen en regelmatige risicobeoordelingen. Documenteer elke activiteit, zodat je een papieren spoor hebt voor auditors en voor je eigen verantwoordingsplicht.

Organiseer herhaalde trainingen

Mensen maken deel uit van het systeem. Organiseer regelmatig bewustwordingssessies over beveiliging, zodat medewerkers weten hoe ze kaartskimmers, phishingpogingen en tekenen van manipulatie kunnen herkennen. Werk de training bij wanneer de normen of je eigen processen veranderen.

Houd leveranciers in de gaten

Externe leveranciers maken vaak deel uit van je betaalproces. Controleer regelmatig hun compliancestatus en zorg ervoor dat contracten beveiligingsverplichtingen bevatten.

Wees voorbereid om te reageren

Zorg voor een plan voor incidenten: weet wie je moet bellen, hoe je systemen moet isoleren en hoe je belanghebbenden op de hoogte moet brengen. Je moet snel kunnen handelen als er iets misgaat.

Hoe Stripe Payments kan helpen

Stripe Payments biedt een uniforme, wereldwijde betaaloplossing waarmee elk bedrijf, van groeiende startups tot internationale ondernemingen, online, persoonlijk en overal ter wereld betalingen kan accepteren.

Stripe Payments kan je helpen met:

  • Je afrekenervaring te optimaliseren: creëer een probleemloze klantervaring en bespaar duizenden technische uren met vooraf gebouwde betaling UI's, toegang tot 125+ betaalmethoden en Link, een wallet gebouwd door Stripe.

  • Sneller uit te breiden naar nieuwe markten: bereik klanten over de hele wereld en verminder de complexiteit en kosten van multivalutabeheer met grensoverschrijdende betaalopties, beschikbaar in 195 landen in 135+ valuta's.

  • Fysieke en online betalingen samen te voegen: bouw een unified commerce-ervaring op via online en fysieke kanalen om interacties te personaliseren, loyaliteit te belonen en inkomsten te laten groeien.

  • De betaalprestaties te verbeteren: verhoog inkomsten met een reeks aanpasbare, eenvoudig te configureren betaaltools, waaronder no code-fraudebescherming en geavanceerde mogelijkheden om autorisatiepercentages te verbeteren.

  • Sneller te werken met een flexibel, betrouwbaar platform voor groei: bouw voort op een platform dat is ontworpen om met je mee te groeien, met een uptime van 99,999% en toonaangevende betrouwbaarheid.

Lees meer over hoe Stripe Payments je online en fysieke betalingen kan stimuleren, of ga vandaag nog aan de slag.

De inhoud van dit artikel is uitsluitend bedoeld voor algemene informatieve en educatieve doeleinden en mag niet worden opgevat als juridisch of fiscaal advies. Stripe verklaart of garandeert niet dat de informatie in dit artikel nauwkeurig, volledig, adequaat of actueel is. Voor aanbevelingen voor jouw specifieke situatie moet je het advies inwinnen van een bekwame, in je rechtsgebied bevoegde advocaat of accountant.

Meer artikelen

  • Something went wrong. Please try again or contact support.

Klaar om aan de slag te gaan?

Maak een account en begin direct met het ontvangen van betalingen. Contracten of bankgegevens zijn niet vereist. Je kunt ook contact met ons opnemen om een pakket op maat voor je onderneming samen te stellen.
Payments

Payments

Ontvang over de hele wereld online en fysieke betalingen met een betaaloplossing die past bij elke onderneming.

Documentatie voor Payments

Vind een whitepaper over de integratie van de betaal-API's van Stripe.