ORSYS le mag 2025 logo

Het medium voor training en vaardigheden

Home > Woordenlijst cyberbeveiliging > PCI DSS 🟦 Standaard

PCI DSS 🟦 Standaard

PCI DSS (Payment Card Industry Data Security Standard) is een internationale veiligheidsnorm vastgesteld door de PCI Raad voor de veiligheidsnormen (PCI SSC)opgericht in 2006 door American Express, Discover, JCB International, Mastercard en Visa. Het doel is om betaalkaartgegevens te beschermen en de veiligheid van transacties te verbeteren.

Deze standaard is van toepassing op elke entiteit die betaalkaartgegevens opslaat, verwerkt of verzendt, met inbegrip van :

  • Kleinhandelaars van alle groottes
  • Aanbieders van betalingsdiensten
  • Transactieverwerkers
  • Softwareontwikkelaars voor betalingen
  • Gehoste dienstverleners

Het wordt regelmatig bijgewerkt om te reageren op nieuwe bedreigingen. De nieuwste versie is : PCI DSS v4.0 in 2022

 

Belangrijkste doelstellingen

 

1. Een veilig netwerk maken en beheren

  • Vereiste1 : installeren en beheren van netwerkbeveiligingssystemen en firewall om gegevens te beschermen
  • Vereiste 2: beveiligde configuraties toepassen en de parameters geleverd door leveranciers

2. Bescherming van de gegevens van de houder

  • Vereiste 3: opgeslagen kaarthoudergegevens beschermen
  • Vereiste 4: de overdracht van kaarthoudergegevens via open en openbare netwerken versleutelen

3. Beheer van kwetsbaarheden

  • Vereiste 5: alle systemen beschermen tegen kwaadaardige software en antivirusprogramma's regelmatig bijwerken
  • Vereiste 6: veilige systemen en toepassingen ontwikkelen en onderhouden

4. Robuuste toegangscontrole

  • Vereiste 7: de toegang tot gegevens beperken op een 'need-to-know' basis
  • Vereiste 8: toegang tot systeemonderdelen identificeren en verifiëren
  • Vereiste 9: fysieke toegang tot kaarthoudergegevens beperken

5. Monitoren en testen van netwerken

  • Vereiste 10: alle toegang tot netwerkbronnen en kaarthoudergegevens volgen en bewaken
  • Vereiste11 : regelmatig testen van veiligheidssystemen en -processen

6. Veiligheidsbeleid

  • Vereiste12 : een informatiebeveiligingsbeleid voor alle medewerkers handhaven

 

Validatie en naleving

 

PCI DSS-compliance wordt gevalideerd door externe audits voor grote entiteiten of zelfbeoordelingen (SAQ) voor kleinere entiteiten, afhankelijk van het transactievolume.. Organisaties moeten voor 31 maart 2024 voldoen aan PCI DSS 4.0, met aanvullende eisen die voor 31 maart 2025 geïmplementeerd moeten zijn.

Niet-naleving kan boetes, sancties en beperkingen op de toegang tot betalingsnetwerken tot gevolg hebben. Het is daarom cruciaal dat organisaties zo snel mogelijk beginnen met het implementeren van de nieuwe beveiligingseisen om ervoor te zorgen dat ze binnen de deadline aan de eisen voldoen..

 

Terug naar Woordenlijst

gebied van opleiding

Cyberbeveiliging

bijbehorende opleiding

Systeem- en netwerkbeveiliging, niveau 1

Hacking en beveiliging, niveau 1

Beveiliging van informatiesystemen, samenvatting

BEST

Op weg naar de ORSYS Cyber Academy: een gratis ruimte gewijd aan cyberbeveiliging