PCI DSS penetratietest
Verwerk je creditcardbetalingen? Dan moet je voldoen aan de Payment Card Industry Data Security Standard (PCI DSS). Vereiste 11.4 schrijft voor dat je minimaal jaarlijks een penetratietest uitvoert op je cardholder data environment (CDE).
Wat vereist PCI DSS voor pentesten?
PCI DSS v4.0 vereiste 11.4 schrijft specifiek voor:
- Jaarlijkse externe penetratietest op internet-facing systemen
- Jaarlijkse interne penetratietest op systemen in of verbonden met de CDE
- Segmentatietest als je netwerksegmentatie gebruikt om de CDE af te schermen
- Hersteltesting na het verhelpen van kritieke bevindingen
Voor wie is een PCI DSS pentest relevant?
- Webshops die zelf betaaldata verwerken of opslaan
- Payment service providers (PSP)
- Fintech-bedrijven met betaalinfrastructuur
- Hotels, horeca en retail met POS-systemen
- SaaS-platforms met abonnementsbeheer en facturering
Onze aanpak
MonkeysICT hanteert de PTES (Penetration Testing Execution Standard) en OWASP-methodologie als basis, aangevuld met de specifieke PCI DSS-testscenario’s. We leveren een rapport dat voldoet aan de eisen van je Qualified Security Assessor (QSA).
FAQ
Hoe vaak moet ik een PCI DSS pentest uitvoeren?
Minimaal jaarlijks, en na elke significante wijziging in de infrastructuur of applicatie. Bij het gebruik van segmentatie is ook een halfjaarlijkse segmentatietest vereist.
Moet de pentester gecertificeerd zijn voor PCI DSS?
PCI DSS vereist dat de pentester organisatorisch onafhankelijk is van de geteste omgeving en aantoonbare penetratietestervaring heeft. Een specifiek PCI-certificaat is niet wettelijk verplicht, maar praktijkervaring en methodologische documentatie wel.
Wat is het verschil tussen een PCI ASV-scan en een pentest?
Een ASV-scan (Approved Scanning Vendor) is een geautomatiseerde externe kwetsbaarheidsscan — vereiste 11.3. Een penetratietest gaat verder: een ethische hacker probeert actief in te breken in de CDE — vereiste 11.4. Beide zijn verplicht.
Bekijk ook: API pentest | webapplicatie pentest | offerte aanvragen