NL +31 (0)20 4232420 / SP +34 937 379 542 info@fortytwo.nl
De laatste jaren zien we hoe het paradigma verandert in het gebruik en de implementatie van betaaldiensten. Die moet in lijn blijven met de veiligheidsnormen.

Als beveiligingsadviseurs en auditors hebben we deze nieuwe concepten gevolgd en verheugden we ons op hun opname in de nieuwe standaard. En al begin 2022 maakten ze een einde aan dit wachten en brachten ze PCI DSS-versie 4.0 uit.

Deze nieuwe versie is tegelijk geldig met de vorige versie 3.2.1. De reden hiervoor is dat we een overgangsperiode doormaken waarin bedrijven zich kunnen aanpassen. Beide versies zijn dus even geldig tot 31 maart 2024.

Van nu tot 31 maart 2025 was voor sommige vereisten van versie 4.0 slechts gedeeltelijke naleving vereist en wordt volledige naleving aanbevolen als best practice. Op die datum moeten alle vereisten volledig in overeenstemming zijn.

Kijk alstublieft naar de tijdlijn in de onderstaande afbeelding:timeline pci 4.0
Image van: PCI DSS v4.0 At-a-Glance: https://www.pcisecuritystandards.org/documents/PCI-DSS-v4-0-At-A-Glance.pdf

Wat is het doel van de nieuwe PCI versie 4.0?

 

Sinds 2017 heeft de PCI Council feedback ontvangen via 3 RFC’s (Requests for Comments), waaraan meer dan 200 bedrijven hebben deelgenomen op meer dan 6.000 items.

Deze nieuwe versie is gebaseerd op vier doelen die de PCI Council zichzelf heeft gesteld:

  • Blijven voldoen aan de beveiligingsbehoeften van de betalingssector.
  • Bevorder beveiliging als continu proces.
  • Flexibiliteit toevoegen voor verschillende methodologieën.
  • Verbeter de validatiemethoden en -procedure.

Deze doelen komen voort uit inzicht in de groei van cyberaanvallen en de noodzaak om het risiconiveau bij het beschermen van gegevens in de betalingsomgeving te minimaliseren.

Omdat veel organisaties zich bewust zijn van de werkdynamiek en de beveiliging, zijn verschillende methoden geopperd om de door PCI voorgestelde beveiligingsdoelstellingen te dekken. De oproep vanuit het bedrijfsleven is gehoord en het is tevens de meest relevante wijziging van deze nieuwe versie geworden: de mogelijkheid bieden om aangepaste controles op te nemen voor het controle object.

Verbeter de validatie van beveiligingsmethoden en -procedures die worden beschreven in auditrapporten zoals de RoC (Report of Compliance), de Self-Assessment Questionnaire en de samenvatting van de AoC (Assessment of Compliance).

We raden aan de wijzigingen te bekijken die zijn gedocumenteerd in “PCI DSS-overzicht van wijzigingen”“PCI DSS Summary of Changes“. Hiermee kunt u de wijzigingen tussen de huidige versie en de vorige identificeren.

Lees meer over:
PCI DSS v4.0: https://www.pcisecuritystandards.org/documents/PCI-DSS-v4_0.pdf
PCI DSS v4.0 Summary of Changes: https://www.pcisecuritystandards.org/documents/PCI-DSS-Summary-of-Changes-v3_2_1-to-v4_0.pdf
Press Release: Securing the future of payments: PCI SSC publishes PCI Data Security Standard v4.0
PCI DSS v4.0 Resource Hub: https://blog.pcisecuritystandards.org/pci-dss-v4-0-resource-hub
PCI DSS v4.0 At-a-Glance: https://www.pcisecuritystandards.org/documents/PCI-DSS-v4-0-At-A-Glance.pdf