PCI DSS

PCI DSS v4: wat verandert er echt voor handelaren in 2025?

10 februari 2025 5 min lezen PCI Proxy EU

Ab het31. März 2025zijn Alle Vereisten uit PCI DSS v4.0 volledig verbindlich, einschließlich de Vereisten, de bisher als "best practice" klassifiziert waren. Voor Handelaar, de zich op v3.2.1 vorbereitet hatten of de Übergangsfrist niet volledig genutzt hebben, is nu de Zeitpunkt voor een Naleving-Überprüfung. Deze Artikel legt uit, Wat concreet ab 2025 geldt en Wat te tun is.

PCI DSS v4: wat verandert er echt voor handelaren in 2025?

Wat ab April 2025 neu verbindlich is

PCI DSS v4 heeft viele Vereisten met het Hinweis "best practice tot 31. März 2025" versehen, na het Datum volledig verbindlich. De belangrijkste Nieuwe verbindlichen Vereisten voor Handelaar:

  • 6.4.3, Betaalpagina's-Skript-Autorisatie: Alle op de Betaalpagina geladenen JavaScript-Scripts moeten inventarisiert en van autorisiertem Personal genehmigt sein. Verbindlich voor Alle Handelaar met Betaalpagina's, einschließlich SAQ-A-Handelaar.
  • 11.6.1, Skript-Änderungserkennung: Implementatie een Mechanismus naar de Detectie van Änderungen naar HTTP-Headern en Scripts op Betaalpagina's. Kan via Echtzeit-Monitoring-Tools of regelmatige Überprüfungen geïmplementeerd worden.
  • 10.7.2 / 10.7.3, Sicherheitskontroll-Ausfallerkennung: Systemen naar de Detectie en Reactie op Uitval kritieke Beveiligingscontrollen (Firewalls, IDS/IPS, SIEM, Anti-Malware).
  • 5.4.1, Phishing-Bescherming-Mechanismen: Automatisierte Mechanismen naar het Bescherming van Medewerkers voor Phishing-Aanvallen.
  • 12.3.4, Hardware- en Software-Technologien-Review: Jaarlijkse Überprüfung de eingesetzten Technologien op Sicherheitsrisiken en Auslaufdaten.

Naleving-Programm voor 2025 aktualisieren

Een strukturierter Aanpak naar de Aktualisierung van de Naleving-Programms voor PCI DSS v4 umfasst volgende Stappen:

  1. Gap-analyse: Vergleich van de aktuellen Sicherheitsprogramms met de Nieuwe PCI DSS v4-Vereisten, insbesondere De ab April 2025 verbindlichen.
  2. Betaalpagina's-Audit: Überprüfung aller Betaalpagina's op Script-Inventory en Änderungserkennungs-Mechanismen (Vereisten 6.4.3 en 11.6.1).
  3. MFA-Überprüfung: Sicherstellung, dat MFA voor Alle administrativen CDE-Toegangen aktiviert is, niet alleen voor Remote-Toegang.
  4. Documentatie--Update: Aktualisierung de Netzwerkdiagramme, Datenflusskarten, Beleidsregels en Verfahren op v4-Standaarden.
  5. Dienstverlener-Bestätigungen: Einholung de jährlichen schriftlichen Bestätigung de PCI DSS-Verantwortlichkeiten van allen Dienstleistern (Vereiste 12.9.2).

De Bereik-Reduzierungsstrategie voor 2025

De effizienteste Reactie op de wachsende Zahl van PCI DSS v4-Vereisten is niet de Implementatie Nieuwe Controles voor Alle bestehenden Systemen, sondern de Reduzierung de CDE, de deze Controles unterliegt. Met een tokenisierten Architektur:

  • Entfällt de MFA-Vereiste voor CDE-Toegang voor de meisten interne Server (geen CDE Meer)
  • Entfällt het Schwachstellenmanagement-Programm voor CDE-Systemen (geen CDE Meer)
  • Entfällt de jaarlijkse Pen Test op de CDE (geen eigene CDE Meer)
  • Blijven alleen de Betaalpagina's-Vereisten (6.4.3, 11.6.1) en de SAQ-A-Documentatie

Veelgestelde vragen

Wat is, wanneer mein QSA al een v3.2.1-Bewertung voor 2024 durchgeführt heeft?

PCI DSS v3.2.1 verlor seine Gültigkeit op het 31. März 2024. Bewertungen, de na deze Datum durchgeführt worden, moeten na PCI DSS v4.0 erfolgen. Wanneer Uw QSA een Bewertung na v3.2.1 na deze Datum durchgeführt heeft, is Deze Bewertung voor PCI DSS-Naleving-Zwecke niet gültig. Voor de Nieuwe Bewertungsperiode (na April 2024) moet v4 angewendet worden, einschließlich de Nieuwe Vereisten.

Gelden de Nieuwe Vereisten ook voor bestehende SAQ-Einreichungen?

Ja. De aktuellen SAQ-Formulare voor v4 bevatten de Nieuwe Vereisten. Wanneer U Uw nächstes jährliches SAQ einreichen, moeten U het v4-Formular gebruiken en Alle darin enthaltenen Vereisten bestätigen, einschließlich de ab April 2025 verbindlichen. is Het geen Grandfathering-Excepties voor de Nieuwe Vereisten.

PCI DSS v4 in 2025 konform blijven: Met PCI Proxy EU Tokenisatie minimieren U de Zahl de Vereisten, de Uw Team implementeren en überwachen moet.PCI Proxy EU Ontdekken.

Hulp nodig bij PCI-naleving?

Ons team helpt u uw CDE in kaart te brengen, het juiste SAQ te kiezen en tokenisatie te implementeren met gegevensresidentie in de EU.

Neem contact op

Gerelateerde artikelen

Naleving

Hoe u het PCI DSS-bereik verkleint met tokenisatie

Praktische strategieën om het PCI-bereik te verkleinen en te kwalificeren voor eenvoudigere SAQ's.

 Callcenter

MOTO-betalingen en PCI-naleving

Essentiële gids voor callcenters die telefonische betalingen afhandelen.

Vereenvoudig PCI DSS-naleving vandaag

Verklein uw CDE, vereenvoudig het SAQ en bescherm kaartgegevens van klanten met PCI Proxy EU.

Neem contact op Hoe het werkt