Is PCI DSS v4.0 van toepassing als we een externe betalingsprovider gebruiken?

Het gebruik van een externe betalingsprovider verkleint uw PCI DSS-scope maar elimineert die niet. Als uw pagina's JavaScript van externe bronnen laden, als u betaalkaartgegevens zelfs tijdelijk verwerkt, of als u toegang heeft tot de betalingsomgeving, blijft u in scope voor relevante vereisten. PCI DSS v4.0 Vereisten 6.4.3 en 11.6.1 zijn van toepassing op elke organisatie met JavaScript op een betaalpagina, ongeacht of het formulier door een derde partij wordt gehost. Wij helpen u uw werkelijke scope te bepalen en de gebieden te testen die uw verantwoordelijkheid blijven.

Hoe testen jullie op skimming van betaalformulieren?

We beoordelen alle JavaScript op betaal- en afrekenpagina's, identificeren externe scriptbronnen, testen op ongeautoriseerde scriptinjectievectoren en beoordelen of uw huidige monitoring een skimmingscript zou detecteren. We toetsen ook uw scriptinventaris aan PCI DSS v4.0 Vereisten 6.4.3 en 11.6.1 om te bevestigen dat uw monitoring- en integiteitscontroles aanwezig zijn.

Welke beveiligingstests vereist PCI DSS v4.0?

PCI DSS v4.0 Vereiste 11.3 verplicht jaarlijkse penetratietesten van de externe netwerkperimeter en alle kritieke systeemcomponenten, plus testen na significante wijzigingen. Voor e-commerce omgevingen betekent dit doorgaans externe netwerktests, webapplicatietests van de betaalflow en interne tests van systemen in de kaarthouderdata omgeving. We koppelen alle bevindingen aan PCI DSS-vereisten in onze deliverable zodat uw QSA een duidelijk overzicht heeft.

Per Sector

Retail en E-commerce

Retail- en e-commercebeveiliging richt zich op betalingsstromen, klantgegevens en platformbeschikbaarheid. Precies de onderdelen die aanvallers het vaakst viseren, ook tijdens piekperiodes. We beschermen klantgegevens, betaalsystemen en online platforms en zorgen voor PCI-DSS-compliance.

Neem Contact Op Bekijk Alle Diensten

Retail

E-commerce beveiligingsexpertise

PCI DSS compliance

Betalingsbeveiliging

Klantgegevensbescherming

Waar we bij helpen

PCI DSS compliance vereisten

E-commerce platform kwetsbaarheden

Klantgegevensbescherming

Betalingsfraudepreventie

Supply chain beveiliging

Seizoensgebonden aanvalspieken

Gespecialiseerde diensten

PCI DSS assessment

Grondige securitytests om te voldoen aan PCI DSS-vereisten en betaalkaartgegevens te beschermen.

E-commerce pentesting

Beveiligingstests van webshops, betaalflows, API's en klantaccounts.

Gegevensbescherming

Analyse van databeveiliging en ondersteuning bij GDPR-compliance.

Fraude- en betaalbeveiliging

Beoordeling van fraudepreventie en beveiliging van betaalprocessen.

PCI DSS v4.0: wat er is veranderd

PCI DSS v4.0 introduceert significante nieuwe vereisten die direct invloed hebben op e-commerceoperaties. Als uw complianceprogramma voor het laatste onder v3.2.1 werd beoordeeld, moet het worden bijgewerkt.

PCI DSS v3.2.1 buiten gebruik per 31 maart 2024

PCI DSS versie 3.2.1 werd op 31 maart 2024 buiten gebruik gesteld. Elke organisatie die betaalkaartgegevens verwerkt, opslaat of verzendt moet nu compliance met PCI DSS v4.0 aantonen. De overgang is niet optioneel: werken onder v3.2.1-controles is geen geldig compliance standpunt meer.

MFA nu verplicht voor alle CDE-toegang

PCI DSS v4.0 Vereiste 8.4 verplicht multi-factor authenticatie voor alle toegang tot de kaarthouderdata omgeving. Dit sluit een kloof van v3.2.1 waar MFA alleen verplicht was voor externe toegang. Lokale beheerdersaccounts en interne serviceaccounts die MFA eerder omzeilden, vallen nu in scope.

Scriptmonitoring voor betaalpagina's is verplicht

PCI DSS v4.0 Vereisten 6.4.3 en 11.6.1 vereisen dat organisaties een geautoriseerde lijst van scripts op betaalpagina's bijhouden, ongeautoriseerde wijzigingen monitoren en manipulatie detectie mechanismen implementeren. Dit richt zich direct op Magecart-stijl skimming aanvallen. Organisaties die hosted checkout formulieren gebruiken zijn niet automatisch vrijgesteld van deze vereisten.

Aanvalspatronen in retail

Retail kent voorspelbare aanvalspatronen die aansluiten op bedrijfscycli. Op het juiste moment testen en de juiste vectoren monitoren vermindert blootstelling wanneer het er het meest toe doet.

Targeting tijdens piekseizoen

Aanvallers plannen campagnes rondom retail piekperiodes omdat transactievolumes het hoogst zijn, beveiligingsteams onder druk staan en de financiële impact van uitvaltijd of fraude het grootst is. Account-overname campagnes, credential stuffing en voorraadfraude pieken allemaal tijdens grote retail evenementen. Testen vóór piekperiodes garandeert dat uw verdediging is geverifieerd terwijl de druk het laagst is.

Skimming van betaalformulieren

Magecart-stijl aanvallen injecteren kwaadaardige JavaScript in afrekenpagina's om betaalkaartgegevens direct in de browser van de klant te onderscheppen vóór ze de betalingsverwerker bereiken. De aanval is onzichtbaar voor de retailer en de klant. Scripts kunnen maandenlang onopgemerkt actief blijven. PCI DSS v4.0 Vereisten 6.4.3 en 11.6.1 richten zich specifiek op deze dreiging.

Veelgestelde vragen

Bescherm uw e-commerce platform

Zorg voor veilige betalingen en betrouwbare bescherming van klantgegevens.