Word partner
Word gematcht
IBgidsNL
Vind een aanbieder
Bedrijven 643 cybersecurity aanbieders ZZP'ers Freelance security professionals Sprekers Experts voor jouw event
Governance, Risk & ComplianceTraining & AwarenessSecurity AssessmentsIdentity & Access ManagementCloud SecurityEndpoint SecurityNetwork SecurityMonitoring & Incident ResponseManaged Security ServicesData SecuritySoftware SecurityTalent & Staffing
MKBOverheidOnderwijsZorgITTransportTelecomIndustrieRetailFinancieelEnergieDefensie
Werk & events
Vacatures Cybersecurity banen in Nederland Evenementen Conferenties, meetups en training
Kennisbank
Nieuws Laatste cybersecurity-nieuws Blog Artikelen en inzichten Bedrijfsupdates Updates van partners Externe bronnen Geselecteerde bronnen Woordenboek Cybersecurity begrippen Auteurs Onze kennisexperts
Aanmelden
Bedrijf aanmelden Kom op IBgidsNL als aanbieder ZZP'er aanmelden Meld je profiel aan als freelancer Spreker aanmelden Voor events en lezingen Auteur aanmelden Schrijf voor IBgidsNL
Word gematcht

PCI-DSS

Compliance

Payment Card Industry Data Security Standard. Standaardregels voor de betaalindustrie, met als doel om gegevens van bankpassen en creditcards te beschermen. De regels gelden voor alle organisaties die gegevens van kaarthouders opslaan, verwerken of versturen. De regels gaan over eisen voor het technische systeem waarin men gegevens van de kaarthouder opslaat. En over eisen voor het verwerken en versturen van deze gegevens.

PCI-DSS staat voor Payment Card Industry Data Security Standard en is de wereldwijde beveiligingsstandaard voor elke organisatie die betaalkaartgegevens verwerkt, opslaat of verzendt. De standaard is ontwikkeld door het Payment Card Industry Security Standards Council (PCI SSC), opgericht door Visa, Mastercard, American Express, Discover en JCB. PCI-DSS stelt technische en organisatorische eisen die de beveiliging van kaarthoudergegevens waarborgen en het risico op betaalfraude verminderen.

De huidige versie, PCI-DSS v4.0.1, is sinds maart 2025 de enige geldige versie en bevat aangescherpte eisen ten opzichte van de vorige versie. De standaard is relevant voor een breed scala aan organisaties: van webwinkels die creditcardbetalingen accepteren tot payment service providers, banken en elke schakel in de betaalketen. Ook Nederlandse organisaties die kaartbetalingen verwerken moeten voldoen aan PCI-DSS, ongeacht hun grootte. De eisen van PCI-DSS overlappen deels met andere normen zoals ISO 27001 en de AVG, maar zijn specifiek gericht op de bescherming van betaalkaartgegevens en stellen aanzienlijk gedetailleerdere technische eisen.

Voor wie geldt PCI-DSS?

PCI-DSS geldt voor elke organisatie die betaalkaartgegevens opslaat, verwerkt of verzendt, en voor organisaties die de beveiliging van de kaartgegevensomgeving (CDE, Cardholder Data Environment) kunnen beinvloeden. Dit omvat merchants (winkels en webshops die kaartbetalingen accepteren), acquirers (betalingsverwerkers die transacties afhandelen), issuers (kaartuitgevende banken), service providers die betaalgegevens verwerken of hosten, en hosting providers die betaalinfrastructuur aanbieden.

De compliance-eisen varieren per niveau, gebaseerd op het jaarlijkse transactievolume. Level 1 merchants verwerken meer dan 6 miljoen transacties per jaar en moeten een jaarlijkse on-site assessment laten uitvoeren door een Qualified Security Assessor (QSA). Level 2 merchants verwerken 1 tot 6 miljoen transacties en vullen een Self-Assessment Questionnaire (SAQ) in met kwartaal-netwerkscans. Level 3 merchants verwerken 20.000 tot 1 miljoen e-commerce transacties. Level 4 merchants verwerken minder dan 20.000 e-commerce transacties en mogen het eenvoudigste SAQ-formulier invullen. Voor de meeste Nederlandse MKB-webwinkels geldt Level 3 of 4.

Een veelgemaakte fout is de aanname dat het gebruik van een externe payment service provider (PSP) je volledig vrijstelt van PCI-DSS compliance. Hoewel een PSP het meeste risico wegneemt doordat kaartgegevens nooit op jouw servers terechtkomen, blijf je als merchant verantwoordelijk voor de beveiliging van je eigen omgeving tot het punt waar de betaalgegevens worden overgedragen aan de PSP. Dit omvat de beveiliging van je website, de integratie met de PSP en de bescherming tegen manipulatie van de betaalpagina. Je moet minimaal een SAQ invullen om dit te documenteren en aantoonbaar compliant te zijn.

Wat zijn de vereisten van PCI-DSS?

PCI-DSS omvat 12 hoofdvereisten, gegroepeerd in zes domeinen die samen een volledig beveiligingsprogramma vormen. Het eerste domein betreft het bouwen en onderhouden van een veilig netwerk: installeer en onderhoud firewalls om kaarthoudergegevens te beschermen en wijzig standaardwachtwoorden en andere beveiligingsparameters van leveranciers. Het tweede domein richt zich op de bescherming van kaarthoudergegevens: bescherm opgeslagen gegevens met sterke encryptie en versleutel transmissie van kaarthoudergegevens over openbare netwerken met protocollen als TLS 1.2 of hoger.

Het derde domein vereist een programma voor kwetsbaarheidsbeheer: gebruik en update antivirussoftware op alle systemen en ontwikkel en onderhoud veilige applicaties en systemen. Het vierde domein betreft sterke toegangscontrole: beperk toegang tot kaarthoudergegevens op basis van need-to-know, ken unieke ID's toe aan elke persoon met computertoegang en beperk fysieke toegang tot kaartgegevens met beveiligingsmaatregelen zoals camera's, sloten en toegangslogboeken.

Het vijfde domein schrijft regelmatige monitoring en testing voor: volg en monitor alle toegang tot netwerkresources en kaarthoudergegevens met logging en auditing, en test regelmatig de beveiligingssystemen en -processen via kwartaal-netwerkscans en jaarlijkse penetratietesten. Het zesde domein vereist een informatiebeveiligingsbeleid: onderhoud een beleid dat informatiebeveiliging adresseert voor alle medewerkers en contractanten, inclusief bewustwording, verantwoordelijkheden en incident response-procedures.

PCI-DSS v4.0 introduceert een customized approach naast de traditionele defined approach. Bij de customized approach mag een organisatie alternatieve beveiligingsmaatregelen implementeren, mits deze aantoonbaar hetzelfde beveiligingsniveau bereiken als de standaard defined controls. Dit geeft meer flexibiliteit voor organisaties met geavanceerde beveiligingsprogramma's, maar vereist een grondige onderbouwing en validatie door een QSA. Nieuwe eisen in v4.0 zijn onder andere verplichte multi-factor authenticatie voor alle toegang tot de CDE, strengere eisen voor wachtwoordlengte en -complexiteit, en uitgebreidere monitoring van beveiligingscontroles.

Wat gebeurt er bij niet-naleving?

De gevolgen van niet-naleving van PCI-DSS zijn aanzienlijk en raken zowel de financien als de bedrijfsvoering. Kaartmerken kunnen boetes opleggen van 5.000 tot 100.000 dollar per maand aan acquiring banks, die deze kosten doorberekenen aan de niet-conforme merchant. Bij een datalek lopen de boetes op tot 500.000 dollar, plus de kosten voor forensisch onderzoek, kaartvervanging voor alle getroffen kaarthouders en monitoring van de getroffen accounts.

Naast financiele sancties kan niet-naleving leiden tot het verlies van de mogelijkheid om kaartbetalingen te accepteren, een maatregel die vooral voor e-commerce bedrijven desastreus is. De acquiring bank kan besluiten om het merchantaccount te beeindigen of de transactiekosten drastisch te verhogen. Voor een webwinkel of retailorganisatie kan het verlies van kaartacceptatie het einde van de bedrijfsvoering betekenen. De reputatieschade na een betaalgegevenslek is eveneens aanzienlijk: consumenten verliezen het vertrouwen in organisaties die hun betaalgegevens niet adequaat beschermen.

In de Nederlandse context versterkt de AVG de consequenties. Een lek van betaalkaartgegevens is ook een datalek onder de AVG, wat een meldplicht bij de Autoriteit Persoonsgegevens triggert en aanvullende boetes tot 20 miljoen euro of 4% van de wereldwijde jaaromzet kan opleveren. De NIS2-richtlijn legt daar voor essentiele entiteiten in de financiele sector nog extra verplichtingen bovenop, waaronder een eerste incidentmelding binnen 24 uur en uitgebreidere rapportageverplichtingen richting de toezichthouder.

Veelgestelde vragen over PCI-DSS

Moet mijn webwinkel PCI-DSS compliant zijn?

Ja, als je kaartbetalingen accepteert moet je voldoen aan PCI-DSS, ongeacht je omvang. Voor kleine webwinkels die een externe PSP gebruiken, volstaat doorgaans een SAQ-A, het eenvoudigste self-assessment formulier. Je PSP kan je adviseren welk SAQ-type op jouw situatie van toepassing is.

Wat kost PCI-DSS compliance?

Voor kleine merchants die een SAQ invullen, zijn de directe kosten beperkt tot enkele honderden euro's per jaar. Level 1 merchants betalen 15.000 tot 50.000 euro per jaar voor een on-site QSA-assessment. De kosten voor het implementeren van de vereiste beveiligingsmaatregelen varieren sterk per organisatie.

Wat is het verschil tussen PCI-DSS en ISO 27001?

ISO 27001 is een breed informatiebeveiligings-managementsysteem dat alle soorten informatie beschermt. PCI-DSS is specifiek gericht op betaalkaartgegevens met gedetailleerde technische eisen. Veel organisaties implementeren beide: ISO 27001 als breed raamwerk en PCI-DSS als aanvullende specifieke standaard voor betaalgegevens.

Hoe vaak moet je PCI-DSS compliance valideren?

PCI-DSS compliance moet jaarlijks worden gevalideerd, hetzij via een SAQ hetzij via een on-site QSA-assessment. Daarnaast zijn kwartaal-netwerkscans door een Approved Scanning Vendor (ASV) verplicht voor organisaties met extern bereikbare systemen.

Welke versie van PCI-DSS geldt nu?

Sinds maart 2025 is PCI-DSS v4.0.1 de enige geldige versie. De vorige versie (v3.2.1) is niet meer geldig. Organisaties die nog op v3.2.1 werken, moeten zo snel mogelijk migreren naar v4.0.1, die strengere eisen stelt aan onder andere multi-factor authenticatie en kwetsbaarheidsbeheer.

Hulp nodig bij PCI-DSS compliance? Vind een specialist via Governance Risk Compliance op IBgidsNL.