Wat is PCI DSS?
PCI DSS (Payment Card Industry Data Security Standard) is een wereldwijde beveiligingsstandaard voor iedereen die creditcard- en betaalkaartgegevens opslaat, verwerkt of verstuurt. Het doel is simpel: de gegevens van kaarthouders — het kaartnummer, de vervaldatum, de beveiligingscode en de gegevens op de magneetstrip of chip — beschermen tegen diefstal en misbruik. De standaard wordt beheerd door de PCI Security Standards Council (PCI SSC), een onafhankelijk orgaan dat in 2006 is opgericht door de vijf grote kaartmaatschappijen: Visa, Mastercard, American Express, Discover en JCB.
Belangrijk om te begrijpen: PCI DSS is geen wet. De standaard wordt afgedwongen via de contracten tussen kaartmaatschappijen, banken (acquirers) en handelaren. Voldoe je er niet aan, dan riskeer je boetes van je acquirer, hogere transactietarieven en in het uiterste geval het verlies van de mogelijkheid om kaartbetalingen te accepteren. Na een datalek met kaartgegevens kan de aansprakelijkheid bovendien hoog oplopen. In de praktijk werkt die contractuele druk daardoor minstens zo dwingend als wetgeving.
De kern van PCI DSS is een set van 12 requirements, ondergebracht in zes overkoepelende beveiligingsdoelen. Samen vormen ze een complete cyclus van technische en organisatorische maatregelen rond de zogeheten cardholder data environment (CDE): het deel van de infrastructuur waar kaartgegevens daadwerkelijk worden verwerkt of opgeslagen. De actuele versie is PCI DSS v4.0.1.
Voor wie geldt PCI DSS?
PCI DSS geldt voor elke organisatie die betaalkaartgegevens verwerkt, ongeacht de omvang — van een kleine webshop tot een internationale betaaldienstverlener. Hoe een organisatie haar naleving moet aantonen, hangt echter af van het merchant level. Dat level wordt bepaald door het aantal kaarttransacties per jaar. Hoe meer transacties, hoe strenger de bewijslast. De kaartmaatschappijen hanteren licht verschillende grenzen, maar de gangbare indeling ziet er als volgt uit:
| Merchant level | Transactievolume per jaar | Wijze van validatie |
|---|---|---|
| Level 1 | Meer dan 6 miljoen transacties (of na een datalek) | Jaarlijkse audit (ROC) door een QSA + kwartaalscans |
| Level 2 | 1 tot 6 miljoen transacties | Jaarlijkse zelfevaluatie (SAQ) + kwartaalscans |
| Level 3 | 20.000 tot 1 miljoen e-commercetransacties | Jaarlijkse zelfevaluatie (SAQ) + kwartaalscans |
| Level 4 | Minder dan 20.000 e-commercetransacties | Jaarlijkse zelfevaluatie (SAQ) |
Naast handelaren (merchants) kent PCI DSS de categorie service providers: partijen die betaalgegevens namens anderen verwerken, zoals payment service providers, hostingbedrijven en gateways. Voor hen gelden twee niveaus, waarbij de grootste service providers altijd een audit door een externe assessor moeten ondergaan. Veel Nederlandse webshops verkleinen hun eigen scope bewust door betalingen volledig uit te besteden aan een gecertificeerde PSP — dan blijven de kaartgegevens buiten hun eigen systemen en wordt de PCI-last aanzienlijk lichter.
De 12 requirements en 6 doelen
Het hart van PCI DSS bestaat uit twaalf eisen, geordend onder zes doelen. Samen dekken ze de hele levenscyclus van kaartgegevens af: van netwerkbeveiliging en versleuteling tot toegangsbeheer, monitoring en beleid. Het onderstaande overzicht geeft de structuur weer zoals die in versie 4.x wordt gehanteerd.
| Doel | Requirements |
|---|---|
| 1. Bouw en onderhoud een veilig netwerk en systemen | 1. Netwerkbeveiligingscontroles installeren en onderhouden 2. Veilige configuraties toepassen op alle systeemcomponenten |
| 2. Bescherm kaarthoudergegevens | 3. Opgeslagen accountgegevens beschermen 4. Kaartgegevens versleutelen bij verzending over open netwerken |
| 3. Onderhoud een kwetsbaarhedenbeheerprogramma | 5. Systemen beschermen tegen malware 6. Veilige systemen en software ontwikkelen en onderhouden |
| 4. Implementeer sterke toegangsbeveiliging | 7. Toegang beperken tot wat strikt noodzakelijk is 8. Gebruikers identificeren en toegang authenticeren 9. Fysieke toegang tot kaartgegevens beperken |
| 5. Monitor en test netwerken regelmatig | 10. Toegang tot systemen en data loggen en monitoren 11. Beveiliging van systemen en netwerken regelmatig testen |
| 6. Houd een informatiebeveiligingsbeleid in stand | 12. Informatiebeveiliging ondersteunen met beleid en programma's |
Onder elk van deze twaalf requirements hangt een groot aantal concrete subeisen — samen meer dan driehonderd controlepunten. Denk aan het niet bewaren van de beveiligingscode na autorisatie, het toepassen van sterke cryptografie, het tijdig patchen van kwetsbaarheden, het uitvoeren van penetratietests en het bijhouden van auditlogs. PCI DSS is daarmee aanzienlijk concreter en prescriptiever dan een algemene norm als ISO 27001, die meer ruimte laat voor een risicogestuurde invulling.
Op zoek naar een baan in IT-security en compliance?
Professionals die standaarden als PCI DSS kunnen implementeren, auditen en borgen zijn schaars en zeer gewild. Bekijk de nieuwste vacatures voor security- en compliancespecialisten in Nederland.
Bekijk Security VacaturesHoe toon je PCI DSS-compliance aan?
PCI DSS-naleving is geen eenmalig project maar een jaarlijks terugkerende verplichting. Welke bewijslast je moet leveren, hangt af van je merchant level. Er zijn grofweg drie instrumenten in het spel:
- SAQ (Self-Assessment Questionnaire): een gestructureerde zelfevaluatie waarmee kleinere organisaties hun naleving zelf vaststellen. Er bestaan verschillende SAQ-typen, afhankelijk van hoe je betalingen verwerkt (bijvoorbeeld volledig uitbesteed aan een PSP of zelf gehost).
- ROC (Report on Compliance): een uitgebreid auditrapport dat verplicht is voor Level 1 en wordt opgesteld door een QSA (Qualified Security Assessor) — een door de PCI SSC geaccrediteerde, onafhankelijke auditor.
- AOC (Attestation of Compliance): de formele verklaring waarin de uitkomst van de SAQ of ROC wordt bevestigd en die met de acquirer of partners wordt gedeeld.
Daarnaast moeten de meeste organisaties elk kwartaal een externe kwetsbaarheidsscan laten uitvoeren door een Approved Scanning Vendor (ASV), en minstens jaarlijks een penetratietest. Voor de interne organisatie betekent dit dat compliance een doorlopend proces wordt: scope bepalen, maatregelen treffen, bewijs verzamelen, testen en jaarlijks opnieuw valideren. De rol van een interne PCI-coördinator of IT security officer is daarbij om die cyclus te bewaken en de verschillende teams aangesloten te houden.
PCI DSS v4.0 en v4.0.1: wat is er veranderd?
De grootste verandering van de afgelopen jaren is de overstap van versie 3.2.1 naar versie 4.x. Versie 3.2.1 is op 31 maart 2024 ingetrokken. Vervolgens werd op 11 juni 2024 PCI DSS v4.0.1 gepubliceerd: een beperkte revisie zonder nieuwe of geschrapte eisen, die vooral typefouten corrigeert en de bedoeling van bepaalde requirements verduidelijkt. De inhoudelijke vernieuwing zat in v4.0 zelf. De belangrijkste wijzigingen:
- Customized approach: naast de klassieke defined approach (de eis letterlijk volgen) mogen organisaties nu een eigen, op risico gebaseerde invulling kiezen, mits ze de effectiviteit ervan aantonen. Dit geeft volwassen organisaties meer flexibiliteit.
- Sterkere authenticatie: ruimere eisen voor multifactorauthenticatie (MFA) voor alle toegang tot de cardholder data environment, en aangescherpte wachtwoordeisen.
- Gerichte risicoanalyse: voor diverse eisen moet een organisatie een targeted risk analysis uitvoeren om de frequentie van bepaalde controles te onderbouwen.
- Bescherming tegen e-skimming: nieuwe eisen (zoals 6.4.3 en 11.6.1) verplichten het beheren en monitoren van scripts op betaalpagina's, gericht tegen aanvallen waarbij kwaadaardige code kaartgegevens rechtstreeks uit de browser plukt.
Cruciaal voor de praktijk: van de 64 nieuwe eisen in v4.x waren er 51 zogeheten future-dated requirements. Die golden eerst als best practice, maar zijn sinds 31 maart 2025 verplicht en worden sindsdien bij elke PCI DSS-beoordeling getoetst. Er is geen overgangsperiode meer. Organisaties die de afgelopen jaren niet hebben opgeschaald, lopen daardoor in 2026 een reëel risico op een negatieve beoordeling.
| Mijlpaal | Datum |
|---|---|
| PCI DSS v4.0 gepubliceerd | Maart 2022 |
| Versie 3.2.1 ingetrokken | 31 maart 2024 |
| PCI DSS v4.0.1 gepubliceerd | 11 juni 2024 |
| Future-dated requirements verplicht | 31 maart 2025 |
PCI DSS en aanpalende kaders
PCI DSS staat niet op zichzelf. Voor security- en compliancefuncties overlapt de standaard met meerdere andere normen en wetten die dagelijks aan de orde komen. De belangrijkste verbanden:
- ISO 27001: waar PCI DSS heel prescriptief is voor één specifiek datatype, biedt ISO 27001 een breder, risicogestuurd managementsysteem. Een volwassen ISMS maakt PCI-naleving aanzienlijk eenvoudiger. Lees meer in onze gids over ISO 27001-certificering.
- AVG: kaartgegevens zijn ook persoonsgegevens. PCI DSS-maatregelen ondersteunen daarmee de beveiligingsplicht uit de AVG, al dekken ze niet de volledige privacyverplichtingen.
- SOC 2: betaaldienstverleners combineren PCI DSS vaak met een SOC 2-rapportage om klanten breder assurance te geven over hun beheersmaatregelen.
- DORA en NIS2: voor financiële instellingen en essentiële dienstverleners sluit PCI DSS aan op de eisen rond operationele weerbaarheid uit de DORA-verordening en de NIS2-richtlijn.
Wat PCI DSS betekent voor jouw carrière
Omdat vrijwel elke organisatie die online of fysiek kaartbetalingen accepteert met PCI DSS te maken heeft, is kennis van de standaard een gewild specialisme. De gedetailleerde, technische aard van PCI DSS vraagt om mensen die zowel de infrastructuur als de auditeisen begrijpen — en die combinatie is schaars. PCI DSS-ervaring raakt onder meer de volgende functies:
- IT security officer: bewaakt de cardholder data environment, coördineert de maatregelen en houdt de jaarlijkse cyclus draaiend;
- IT security auditor en QSA: beoordelen de naleving en stellen de SAQ of ROC op;
- Security engineer en pentester: implementeren de technische controls en voeren de verplichte tests en scans uit;
- IT-compliance auditor en GRC-specialist: verbinden PCI DSS met de bredere set aan normen en wetten binnen de organisatie.
Wil je je in deze richting ontwikkelen, dan is een combinatie van technische securitykennis, auditvaardigheden en begrip van de betaalketen het sterkste profiel. Certificeringen als CISA of CISSP sluiten daar goed op aan, en voor wie auditor wil worden is de QSA-accreditatie van de PCI SSC een logische volgende stap. De vraag naar dit profiel is structureel: zolang er digitaal wordt betaald, blijven organisaties PCI DSS-specialisten nodig. Bekijk de actuele security- en compliancevacatures om te zien welke werkgevers op zoek zijn, of verken het bredere aanbod aan IT-compliancevacatures in Nederland.