Wij begrijpen dat PCI-compliance complex en gevoelig is. Laat ons u helpen bij het behalen van uw PCI DSS-certificering, waardoor uw beveiliging verhoogt en het vertrouwen van uw klanten versterkt.
Neem contact op
Slaat u creditcardgegevens op, verwerkt of verstuurt u deze? Dan moet u voldoen aan de eisen van de wereldwijd geldende Payment Card Industry Data Security Standard (PCI DSS). PCI DSS omvat een reeks technische en organisatorische beveiligingsmaatregelen die allemaal gericht zijn op het bieden van het hoogste beveiligingsniveau voor de verwerking en opslag van creditcardinformatie.
Sinds maart 2024 vereist de PCI Security Standards Council (PCI SSC) dat u valideert volgens PCI DSS v4.0, de meest ingrijpende update van de beveiligingsstandaard voor creditcardgegevens tot nu toe, die versie v3.2.1 zal vervangen.
Het afstemmen en verder ontwikkelen van bestaande processen op basis van de vereisten van PCI DSS v4.0 vereist doorgaans een goed doordacht implementatieproject. Onze experts voeren graag een gapanalyse uit naast de beoordeling om uw omgevingen, documenten en processen te controleren op niet-naleving van PCI DSS v4.0, en een validatieplan op te stellen.
Als PCI QSA is Fortytwo Security gekwalificeerd om (pre-)audits uit te voeren en advies te geven aan bedrijven die PCI-compliance willen bereiken, behouden of bewijzen. Onze consultants helpen u om hiaten in processen te identificeren, praktische oplossingen voor verbeteringen te suggereren, en bieden extra hulp als u beperkte middelen of vaardigheden heeft om het werk intern uit te voeren.
Wij bieden een volledig scala aan PCI DSS-diensten, waaronder penetratietesten, kwetsbaarheidsscans (ASV) en QSA-auditondersteuning. Onze diensten omvatten:
Voor externe scans van ASV-kwetsbaarheden is een goedgekeurde scanprovider, gecertificeerd door PCI SSC (PCI Security Standard Council), vereist. Fortytwo is gecertificeerd om Qualys te gebruiken als goedgekeurde scanprovider.
Ondersteuning en begeleiding bij het aanpakken en corrigeren van geconstateerde problemen, tekortkomingen of niet-naleving van auditresultaten. Onze remediation ondersteuning helpt u bij het nemen van corrigerende maatregelen om risico's te beperken, processen te verbeteren en compliance te bereiken.
Om te zorgen voor naleving van wettelijke vereisten, branche normen, of organisatorische beleidsregels kunnen we indien nodig de PCI-audits, beoordelingen of inspecties op afstand uitvoeren. Denk aan het beoordelen van documentatie, voeren van interviews, en uitvoeren van audits op afstand met behulp online tools.
Begeleiding en ondersteuning bij het ontwikkelen, beoordelen, of verbeteren van beleid, procedures, en interne controles als gevolg van auditbevindingen of nalevingsvereisten. Onze ondersteuning is gericht op het helpen opstellen van duidelijke, effectieve, en uitvoerbare beleidsregels en procedures die in lijn zijn met wettelijke vereisten, branche normen, en best practices.
Verkort uw PCI DSS audit tijd en kosten. Onze continue Compliance service voor PCI DSS is op abonnementsbasis. Het biedt een aantrekkelijke en effectieve methode voor het valideren van PCI-DSS en geeft toegang tot QSAs tijdens de jaarlijkse cyclus. U wordt begeleid bij de periodieke taken, wat zorgt dat wat nodig is ook beschikbaar is tijdens de auditsperiode, en om eventuele problemen of vragen aan te pakken. Ons continue Compliance service wordt aangepast aan de specifieke behoeften van uw organisatie.
Hoe goed begrijpt uw team de beveiligingsrisico's? Onze Security Awareness workshops combineren theorie en expertise en bieden trainingen die informatief en overtuigend zijn. Het doel is dat medewerkers de waarde van verschillende soorten informatie erkennen, de risico's voor deze informatie begrijpen, en proactief handelen om deze te beschermen in hun dagelijkse werkzaamheden. Onze workshops kunnen worden aangepast aan het vereiste IT-kennis niveau van uw medewerkers.
Voor PCI-naleving is jaarlijks een interne en externe pentest vereist voor zowel merchanst als serviceproviders. En segmentatietests, jaarlijks voor merchants en halfjaarlijks voor serviceproviders. Onze pentesters hebben uitgebreide ervaring in het uitvoeren van PCI-penetratietests (intern en extern) en interne kwetsbaarheidsanalyses.
Onze SAQ-assistentie omvat hulp bij het begrijpen van de vereisten van de SAQ die relevant is voor uw specifieke betalingsverwerkingsomgeving, begeleiding bij het invullen van de vragenlijst, en aanbevelingen voor het bereiken van compliance.
Uitgebreide ondersteuning en expertise om organisaties te helpen PCI DSS compliance te bereiken en te behouden.
"Werken met Fortytwo is een geweldige ervaring. Hun dienstverlening is uitstekend, met bekwaam en flexibel personeel dat altijd klaarstaat om te helpen. Zorg ervoor dat je er op tijd bij bent, want hun populariteit betekent dat het soms druk kan zijn."
Remco, AirTrade
“The Fortytwo Security auditors are flexible and knowledgeable. They understand that every company has different challenges. I recommend their expertise and PCI services.”
Vicente, PayByCall
“We waarderen de jarenlange toewijding en betrokkenheid van onze PCI DSS auditor enorm. Zijn diepgaande technische kennis en waardevolle adviezen hebben onze organisatie naar een hoger niveau getild. Bedankt voor de uitstekende samenwerking en de voortdurende ondersteuning!”
Geert, Munckhof Group
“Fortytwo engineers are flexible and very knowledgeable. They understand that one size does not fit all. I recommend their personalized service to any company!”
Thierry, Vendo
Vermijn boetes
PCI-compliance biedt een vangnet tegen zware boetes en strenge eisen in het geval van een datalek.
Autoriteit
De PCI DSS SSC streeft ernaar een gelijk speelveld te creëren tussen entiteiten en merchants. Maak ook deel uit van de groeiende groep instituten en bedrijven die de beveiliging van betaalkaartgegevens waarborgt.
Integriteit
Wetgeving zoals de Algemene Verordening Gegevensbescherming (AVG) vereist verantwoording voor persoonsgegevens. PCI DSS is een van de paden die gekozen kunnen worden om aan die naleving te voldoen.
Constante
verbetering
PCI DSS biedt een raamwerk dat regelmatige evaluatie en procesverbeteringen aanmoedigt.
Bescherm
gevoelige gegevens
Cybercriminelen richten zich op bedrijven met waardevolle gegevens. Bereid uw bedrijf voor tegen cyberaanvallen.
Behoud vertrouwen
en reputatie
PCI DSS behoort tot de sterkste certificeringen op het gebied van informatiebeveiliging. Zorg ervoor dat uw organisatie haar reputatie en vertrouwen behoud.
Onze PCI DSS compliance service een gedetailleerde blik op uw organisatie biedt vanuit het perspectief van de Payment Card Industry. Onze PCI DSS audit omvat een cyclus van vier afzonderlijke fasen die leiden naar PCI DSS compliance. Hier zijn de 4 fasen:
In deze fase bepalen we samen met alle belanghebbenden de scope van het project en de stappen naar PCI DSS-compliance. We inventariseren documenten zoals beleidsregels, procedures, applicatiegegevens, installatiehandleidingen, testrapporten en broncodebeoordelingen. De afbakening gebeurt met de OpenScoping toolkit voor een objectief kader.
Tijdens deze fase identificeren we de mogelijke probleemgebieden van PCI DSS en stellen we een routekaart op die leidt naar compliance. We zullen relevante documentatie van uw systemen opvragen, technische details van uw netwerkconfiguratie, en relevante documenten die uw bedrijfsprocessen beschrijven.
In de remediation-fase definiëren we corrigerende maatregelen, voeren een penetratietest uit en verzamelen bewijzen voor PCI-compliance. We leveren een gedetailleerd rapport met uw nalevingsstatus en eventuele remediëringsbehoeften. Samen pakken we non-compliance aan en voeren we het hertestingsproces uit.
De onsite PCI DSS Audit is waar we uw team ontmoeten en steekproeven nemen van systemen om nauwkeurige informatie te verzamelen om aan PCI DSS compliance te voldoen. Het bewijs en de volledige SAQ worden gecontroleerd. Als een Report of Compliance (RoC) nodig is, wordt de volledige audit uitgevoerd. Tijdens deze fase wordt de Attestation of Compliance (AOC) gegenereerd.
Volledig nieuwe vereisten in versie 4.0 kregen het achtervoegsel "future-dated", waardoor organisaties tijd hebben na de overgangsperiode om noodzakelijke implementaties af te ronden.
Tot 31 maart 2025 worden deze vereisten beschouwd als best practices en zijn ze optioneel.
Na 31 maart 2025 worden deze vereisten als verplicht beschouwd en moeten ze volledig worden aangepakt als onderdeel van toekomstige PCI DSS certificeringen.
Elke organisatie die betaalkaartgegevens verwerkt, inclusief merchants, service providers en financiële instellingen, moet voldoen aan de PCI DSS vereisten. Compliance is verplicht gesteld door betaalkaartnetwerken zoals Visa, Mastercard, American Express, Discover en JCB.
Om zich voor te bereiden op een PCI DSS audit, dienen organisaties vertrouwd te raken met de eisen van de standaard, een gap-analyse uit te voeren om gebieden van non-compliance te identificeren, noodzakelijke beveiligingscontroles en procedures te implementeren, en bewijs van naleving documenteren.
Ja, PCI DSS compliance vereist dat organisaties jaarlijks audits ondergaan om hun compliance te beoordelen en hun nalevingsstatus te valideren. Daarnaast kan doorlopende monitoring en periodieke beoordelingen nodig zijn om gedurende het jaar naleving te handhaven.
Non compliance van PCI DSS kan ernstige gevolgen hebben, waaronder financiële boetes, juridische aansprakelijkheden, reputatieschade, verlies van zakelijke kansen, en opschorting of beëindiging van de verwerkingsrechten van betalingskaarten door kaartnetwerken.