Naar inhoud
    PrijzenInloggen
    PCI DSS v4.0.1
    ·Door Budget Security

    PCI DSS Penetratietest voor Nederlandse Organisaties

    PCI DSS is een van de weinige compliance-frameworks die penetratietesting expliciet verplicht stelt. Requirement 11.4 vereist dat organisaties die kaarthoudergegevens verwerken minstens jaarlijks een penetratietest laten uitvoeren, zowel extern als intern. Zonder geldige pentest-rapportage is PCI DSS compliance niet mogelijk.

    In dit artikel leest u wat PCI DSS vereist op het gebied van penetratietests, hoe interne en externe tests zich tot elkaar verhouden, wanneer segmentatietests nodig zijn, en hoe Budget Security u helpt met PCI-conforme rapportages.

    Requirement 11.4: Wat PCI DSS vereist

    PCI DSS v4.0.1 Requirement 11.4 (in eerdere versies Requirement 11.3) stelt expliciet dat organisaties penetratietests moeten uitvoeren. Dit is geen aanbeveling maar een verplichte controle. De vereisten zijn duidelijk:

    Jaarlijkse pentesting

    Minstens een keer per jaar en na elke significante wijziging in infrastructuur of applicaties moet een penetratietest worden uitgevoerd.

    Intern en extern

    De pentest moet zowel van buitenaf (externe perimeter) als van binnenuit (intern netwerk) worden uitgevoerd om alle aanvalsvectoren te dekken.

    Applicatie- en netwerklaag

    De test moet kwetsbaarheden op zowel de netwerklaag als de applicatielaag identificeren. Dit omvat webapplicaties, API's en netwerkinfrastructuur.

    Herstel en hertest

    Alle gevonden kwetsbaarheden moeten worden verholpen en opnieuw getest om te bevestigen dat de kwetsbaarheden daadwerkelijk zijn opgelost.

    PCI DSS vereist daarnaast dat de penetratietest wordt uitgevoerd door een gekwalificeerde partij met aantoonbare ervaring en relevante certificeringen. De tester mag een interne medewerker zijn, mits deze onafhankelijk opereert van de beheerders van de geteste systemen.

    Interne vs externe penetratietest

    PCI DSS vereist dat uw penetratietest zowel externe als interne aanvalsscenario's dekt. Beide perspectieven zijn nodig voor volledige compliance:

    Externe penetratietest

    • Test vanaf het internet, zoals een externe aanvaller
    • Richt zich op publieke IP-adressen en diensten
    • Beoordeelt firewall- en perimeterconfiguratie
    • Test webapplicaties en API-endpoints
    • Identificeert kwetsbaarheden in publiek bereikbare systemen

    Interne penetratietest

    • Test vanuit het interne netwerk, achter de firewall
    • Simuleert een aanvaller die al toegang heeft
    • Beoordeelt laterale beweging tussen netwerksegmenten
    • Valideert toegangscontroles en privilege-escalatie
    • Test de isolatie van het cardholder data environment

    Voor veel Nederlandse organisaties is de interne pentest het meest waardevol, omdat hier de grootste risico's voor kaarthoudergegevens liggen. Een aanvaller die het interne netwerk bereikt (via phishing, een gecompromitteerde werkplek of een kwetsbare VPN) kan potentieel bij het CDE komen als de segmentatie niet effectief is.

    Segmentatietests: halfjaarlijkse verplichting

    Veel organisaties gebruiken netwerksegmentatie om hun cardholder data environment (CDE) te isoleren van de rest van het netwerk. Dit verkleint de PCI DSS-scope en vereenvoudigt compliance. Maar segmentatie werkt alleen als deze correct is geimplementeerd.

    Wat PCI DSS vereist voor segmentatie

    • Segmentatietests moeten elke zes maanden worden uitgevoerd (niet jaarlijks)
    • De test verifieert dat systemen buiten het CDE geen toegang hebben tot kaarthoudergegevens
    • Na elke wijziging in segmentatiecontroles of netwerkconfigurate moet opnieuw worden getest
    • De test moet alle verbindingen tussen het CDE en andere netwerksegmenten valideren
    • Resultaten moeten worden gedocumenteerd en beschikbaar zijn voor de QSA

    Budget Security voert segmentatietests uit als onderdeel van uw PCI DSS pentest-traject. Wij valideren dat uw netwerksegmentatie effectief is en documenteren de resultaten in een format dat uw Qualified Security Assessor (QSA) direct kan gebruiken.

    Hoe Budget Security u helpt met PCI DSS compliance

    Budget Security levert PCI DSS-conforme penetratietests die voldoen aan Requirement 11.4. U kunt uw testscope definiieren, een offerte ontvangen en testing inplannen via ons online platform. Tarieven beginnen vanaf €849 per dag.

    1

    Online scopen en boeken

    Definieer via ons platform wat er getest moet worden: externe IP-ranges, interne netwerksegmenten, webapplicaties en het cardholder data environment. Onze scoping-tool helpt u de volledige PCI DSS-scope te dekken.

    2

    Gecertificeerde testers, PCI-conforme methodologie

    Elk traject wordt uitgevoerd door OSCP- en OSWE-gecertificeerde penetratietesters met ervaring in PCI DSS-trajecten. Wij volgen de PCI DSS Penetration Testing Guidance naast OWASP- en PTES-methodologieen.

    3

    QSA-klare rapportages

    Onze rapporten bevatten een managementsamenvatting, gedetailleerde bevindingen met CVSS-scores, exploitatiebewijs en herstelaanbevelingen. Elke bevinding verwijst naar de relevante PCI DSS-requirements voor uw QSA.

    4

    Segmentatietests en hertesting inbegrepen

    Wij voeren segmentatietests uit als onderdeel van het traject en hertesten na herstel om te bevestigen dat kwetsbaarheden zijn opgelost. Dit levert het volledige bewijspakket dat uw QSA nodig heeft.

    Pentest aanvragenBekijk onze tarieven

    Veelgestelde vragen over PCI DSS en penetratietests

    Wat is PCI DSS en voor wie geldt het?
    PCI DSS (Payment Card Industry Data Security Standard) is de beveiligingsstandaard voor organisaties die creditcard- of betaalkaartgegevens verwerken, opslaan of doorgeven. Dit geldt voor webshops, betaaldienstverleners, banken, hostingbedrijven en elke organisatie in de betaalketen. In Nederland zijn er duizenden organisaties die onder PCI DSS vallen.
    Verplicht PCI DSS een penetratietest?
    Ja. PCI DSS Requirement 11.4 (voorheen 11.3) vereist expliciet dat organisaties minstens jaarlijks en na elke significante wijziging een penetratietest uitvoeren. Dit is geen aanbeveling maar een harde eis. Zonder geldige pentest-rapportage kunt u niet PCI DSS-compliant zijn.
    Wat is het verschil tussen een interne en externe PCI pentest?
    Een externe pentest test uw systemen vanaf het internet, zoals een aanvaller dat zou doen. Een interne pentest test vanuit het interne netwerk, achter uw firewall. PCI DSS vereist beide typen. De externe test richt zich op perimeter-beveiliging, terwijl de interne test laterale beweging en netwerksegmentatie valideert.
    Wat is een segmentatietest en waarom is die nodig?
    Als u netwerksegmentatie gebruikt om uw cardholder data environment (CDE) te isoleren, vereist PCI DSS dat u de effectiviteit van die segmentatie elke zes maanden test. Een segmentatietest verifieert dat systemen buiten het CDE daadwerkelijk geen toegang hebben tot kaarthoudergegevens.
    Wat kost een PCI DSS penetratietest bij Budget Security?
    Een PCI DSS penetratietest bij Budget Security begint vanaf 849 euro per testdag. De totale kosten zijn afhankelijk van de scope: het aantal externe IP-adressen, interne netwerksegmenten, webapplicaties en de omvang van het cardholder data environment. Via onze kostencalculator ontvangt u direct een gedetailleerde schatting.
    Moet de pentester een specifieke kwalificatie hebben voor PCI DSS?
    PCI DSS vereist dat de penetratietest wordt uitgevoerd door een gekwalificeerde interne bron of een gekwalificeerde externe partij. De tester moet aantoonbare ervaring en certificeringen hebben op het gebied van penetratietesting. Budget Security testers beschikken over OSCP- en OSWE-certificeringen en hebben ruime ervaring met PCI DSS-trajecten.