PCI DSS 4.0 is sinds 31 maart 2025 verplicht - maar niet voor iedereen. Als je een PSP zoals Mollie, Adyen of MultiSafepay gebruikt en creditcardgegevens nooit je eigen server raken, hoef je niet zelf PCI DSS compliant te zijn. Je PSP regelt dat.
Maar: de richtlijnen bevatten best practices die voor elke webshop relevant zijn. En als je wél creditcardgegevens verwerkt of opslaat, is compliance verplicht.
Wat is PCI DSS?
PCI DSS staat voor Payment Card Industry Data Security Standard. Het zijn beveiligingsregels opgesteld door de grote creditcardmaatschappijen.
De SAQ niveaus uitgelegd:
- SAQ A: Je gebruikt een hosted payment page (Mollie, Adyen redirect). Creditcardgegevens raken nooit jouw servers. Minimale eisen.
- SAQ A-EP: Je hebt een embedded payment form maar slaat geen data op. Meer eisen.
- SAQ D: Je verwerkt of slaat creditcardgegevens zelf op. Volledige compliance vereist.
De meeste Magento shops vallen onder SAQ A of A-EP. Maar de richtlijnen bevatten zinvolle security best practices die voor elke webshop relevant zijn.
Wat is er veranderd in versie 4.0?
De belangrijkste nieuwe eisen:
Content Security Policy (CSP)
Je webshop moet een strict CSP hebben. Dit voorkomt dat kwaadaardige scripts (zoals skimmers) kunnen draaien op je site.
Wat betekent dit praktisch?
- Alle externe scripts (analytics, chat widgets, marketing pixels) moeten expliciet in je CSP whitelist staan
- Inline JavaScript moet worden vermeden of via nonces worden toegestaan
- In Magento configureer je dit via
csp_whitelist.xmlof in de admin
Hyvä heeft native CSP support, wat implementatie eenvoudiger maakt dan bij Luma.
Multi-Factor Authenticatie
Iedereen die toegang heeft tot je admin panel moet MFA gebruiken. Geen uitzonderingen.
Wachtwoordbeleid
Minimaal 12 karakters, complexiteitseisen, regelmatige wijziging. De tijd van “welkom123” is definitief voorbij.
Kwetsbaarheidsscans
Regelmatige security scans zijn verplicht, niet optioneel.
Wat betekent dit voor Magento shops?
Magento 2.4.x heeft goede ondersteuning voor PCI DSS 4.0. Hyvä is zelfs gebouwd met native CSP support.
Maar: je moet het wel configureren. Een standaard installatie is niet automatisch compliant.
Check deze punten:
- Is CSP correct ingesteld?
- Is MFA actief voor alle admin gebruikers?
- Zijn wachtwoordregels aangescherpt?
- Worden security patches tijdig geïnstalleerd?
- Is er een proces voor kwetsbaarheidsscans?
De risico’s van niet-compliance
- Boetes van je payment provider
- Hogere transactiekosten
- Verlies van de mogelijkheid om creditcards te accepteren
- Reputatieschade bij een datalek
Onze kijk
PCI DSS 4.0 voelt misschien als gedoe, maar het zijn zinvolle maatregelen. Webshop security wordt te vaak onderschat tot het misgaat.
We zien het als een goede gelegenheid om je security serieus te nemen. Niet omdat het moet, maar omdat je klanten het verdienen.
Wat moet je doen?
- Check je Magento versie - 2.4.7+ heeft de beste support (met PHP 8.2+)
- Bepaal je SAQ niveau - Hosted payment page = SAQ A, embedded form = SAQ A-EP
- Praat met je hosting provider - Zij moeten ook compliant zijn (vraag naar hun attestation)
- Review je admin toegang - Wie heeft er allemaal toegang? Verwijder ongebruikte accounts
- Plan een security audit - Weet waar je staat voordat je PSP vraagt
Hulp nodig?
Wil je weten of je webshop aan PCI DSS 4.0 voldoet? Neem contact op en we helpen je verder.