UPDATE:
PCISecurityStandards heeft de eisen van o.a. 6.4.3 en 11.6.1. voor SAQ-A webwinkels opgeschort.
Zie ook https://blog.pcisecuritystandards.org/important-updates-announced-for-merchants-validating-to-self-assessment-questionnaire-a
Als PSP of webwinkel moet u volgens de laatste PCI DSS v4.0.1 standaard kunnen aantonen dat scripts in uw winkelmandje die ook geladen worden in de browser van klanten door u bewust zijn aangebracht en niet ongeautoriseerd door ‘derden’ zijn gewijzigd. Vanaf 31 maart 2025 zijn deze beveiligingseisen verplicht. Een periodieke website scan voorzien van PCI-rapportage helpt u aan deze verplichting te voldoen. Tijd om in actie te komen!
Achtergrond PCI DSS
Webwinkels verwerken dagelijks gevoelige klantgegevens, zoals betaalinformatie, en zijn daardoor een geliefd doelwit voor cybercriminelen. Om ervoor te zorgen dat webwinklels veilig omgaan met betaalgegevens, zoals kaartnummers, is in 2004 de Payment Card Industry Data Security Standard (PCI DSS) opgericht door creditcard organisaties Visa, Mastercard, JCB, American Express en Discover Financial Services).
PCI hanteert 4 niveaus om vast te stellen of u zich ook voor PCI moet certificeren. Uw PSP of acquirer (bank die de creditcard transacties verwerkt kan u uitnodigen om een PCI-SAQ (Self Assessment Questionnaire) in te vullen. Daarnaast kan u verplicht worden om met een PCI website vulnerability scan de veiligheid van uw website te controleren.
Het PCI-programma wordt continu aangepast aan nieuwe eisen, passend bij de nieuwe ontwikkelingen op het internet en de technieken gebruikt door hackers. Denk bijvoorbeeld aan het niet meer gebruiken van TLS 1.0. Met een driemaandelijkse PCI-scan kunt u dit aantonen, als uw PSP u hierom vraagt.
Wat verandert er met PCI DSS v4.0.1?
Nieuw is de focus van PCI op het gebruik van scripts op uw afrekenpagina. Want al op de betaalpagina in het winkelmandje (shopping cart) kan een hacker met een aangepast script proberen uw klanten om te leiden naar een ander website die sterk lijkt op een betaalpagina van een PSP. Kaartnummers die daar door nietsvermoedende klanten worden ingegeven, vallen daarmee in handen van hackers en fraudeurs.
PCI 6.4.3 (de ‘voorwaarde’)
Voor alle scripts op uw betaalpagina die worden geladen en uitgevoerd in de browser van de consument, moet u kunnen aantonen:
- dat het script met uw goedkeuring is geplaatst
- en dat het script niet zonder uw goedkeuring is gewijzigd (of verwijderd)
U moet hiervoor kunnen documenteren welke scripts door u geplaatst zijn inclusief rapportage (van de scans) waarmee u deze controle en integriteit van de scripts kunt bewijzen.
PCI 11.6.1 (de oplossing)
- U heeft een controle geïmplementeerd waarmee uw bedrijf wordt gewaarschuwd voor (ongeautoriseerde) wijzigingen, inclusief de verschillen en impact aan de http-headers zoals verwerkt worden door de browser van de consument.
- De gebruikte controle-oplossing moet de http-header en de betaalpagina kunnen evalueren.
- De controle vindt minstens eenmaal per zeven dagen plaats of periodiek in lijn met de risicoanalyse zoals gespecificeerd in 12.3.1
In het kort: Om hieraan te voldoen MOET u wel een PCI-scan gebruiken
U moet kunnen aantonen dat scripts in uw winkelmandje, die ook geladen worden in de browser van uw klanten, door u bewust zijn aangebracht en niet ongeautoriseerd door ‘derden’ zijn gewijzigd, inclusief wijzigingen op http-niveau. Dit betekent dat uw website periodiek gescand moet worden en dat u via de PCI-rapportage moet aantonen dat bij een nieuwe PCI-scan, de scipts niet gewijzigd zijn (of door u zelf, maar niet door iemand anders).
PCI DSS v4.0.1 verplicht per 31 maart 2025!
Wilt u weten of uw webshop voldoet aan de nieuwste beveiligingseisen?
Vraag vandaag nog een scan aan bij Trust Guard en bescherm uw bedrijf én uw klanten.
