NIS2 & DORA van kracht. EU AI Act volgt — boek een demo

PCI-DSS Pentest Nederland: Requirement 11.3 voor Betaalverwerkers, iDEAL en Kaarthoudergegevens

De Payment Card Industry Data Security Standard (PCI-DSS) versie 4.0, van kracht per 31 maart 2024, verplicht alle organisaties die kaarthoudergegevens verwerken, opslaan of verzenden tot strenge technische beveiligingsmaatregelen inclusief verplichte penetratietesten. Nederland is als Europese betaalhub — met Adyen, Bunq, iDEAL (Currence), Payvision en tientallen andere betalingsinstellingen — bijzonder relevant voor PCI-DSS-compliance. Requirement 11.3 van PCI-DSS v4.0 schrijft jaarlijkse penetratietesten voor van de gehele Cardholder Data Environment (CDE) en verplicht aanvullend een segmentatietest na elk gebruik van segmentatie als scoping-reductiemaatregel. Deze gids legt uit wat PCI-DSS Requirement 11.3 concreet vereist, wie er verplicht aan is, en hoe u een conforme penetratietest in Nederland opzet.

Start de PCI-DSS pentest
MW
Geschreven door Malte Wagenbach
Oprichter van Matproof Security. Gespecialiseerd in AI-gestuurde penetratietests en EU-compliance (DORA, NIS2, BIO, ISO 27001).
Laatst beoordeeld: 17 mei 2026

Waarom PCI-DSS penetratietesten een strikte verplichting is voor betaalorganisaties

PCI-DSS is geen wet maar een contractuele verplichting opgelegd door de kaartnetwerken (Visa, Mastercard, American Express, Discover, JCB) via de acquiring bank. Niet-naleving kan leiden tot substantiële financiële gevolgen: boetes van acquiring banks van 5.000 tot 100.000 US dollar per maand bij niet-naleving; in geval van een datalek waarbij niet-naleving is vastgesteld, boetes tot meerdere miljoenen euro's en aansprakelijkheid voor fraudeverliezen; intrekking van de PCI-DSS-compliance-status met als gevolg verlies van de mogelijkheid om kaartbetalingen te verwerken — een existentiële bedreiging voor betalingsdienstverleners. Requirement 11.3.1 vereist jaarlijkse penetratietesten van alle CDE-systemen; Requirement 11.3.2 vereist jaarlijkse segmentatietesten indien segmentatie wordt gebruikt om de CDE-omvang te reduceren; Requirement 11.3.3 vereist dat kwetsbaarheden gevonden tijdens penetratietesten worden gecorrigeerd en dat hertest plaatsvindt. PCI-DSS v4.0 heeft aanvullende vereisten toegevoegd voor applicatie-laag penetratietesten (Req. 11.3.1.1 — specifiek voor webapplicaties die kaarthoudergegevens verwerken) en voor de documentatie van de penetratiemethodiek.

  • PCI-DSS v4.0 Req. 11.3.1: jaarlijkse penetratietesten van de CDE op zowel netwerk- als applicatielaag — door een gekwalificeerde interne resource of een externe PCI-pentest-specialist; reikwijdte omvat alle CDE-componenten en systemen die de CDE kunnen beïnvloeden.
  • PCI-DSS v4.0 Req. 11.3.1.1: penetratietest van webapplicaties die kaarthoudergegevens verwerken of hiervoor toegankelijk zijn — specifieke aandacht voor OWASP Top 10-kwetsbaarheden in betalingsapplicaties, conform aanvullende PCI-DSS v4.0-vereiste die per 31 maart 2025 van kracht is.
  • PCI-DSS v4.0 Req. 11.3.2: jaarlijkse segmentatietest om te verificeren dat de segmentatiemethode(n) de CDE adequaat isoleren van systemen buiten de CDE — een fout in segmentatie kan de gehele CDE-scope uitbreiden tot buiten de CDE-grens.
  • PCI-DSS v4.0 Req. 11.3.3: kwetsbaarheden geïdentificeerd tijdens penetratietesten moeten worden hersteld; na herstel van exploiteerbare kwetsbaarheden is hertest vereist om te bevestigen dat de kwetsbaarheid is verholpen.
  • iDEAL-beveiliging (Currence): iDEAL is het dominante online betaalmiddel in Nederland (3,2 miljard transacties in 2023); banken en betalingsinstellingen die iDEAL verwerken zijn onderworpen aan PCI-DSS voor de kaartbetalingscomponenten en aan de iDEAL-beveiligingsnorm van Currence voor de iDEAL-specifieke componenten.
  • PCI-DSS QSA-vereiste voor Level 1-handelaars: organisaties met meer dan 6 miljoen kaartransacties per jaar (Level 1-handelaars en -dienstverleners) moeten jaarlijks een volledig PCI-DSS QSA-assessment (Qualified Security Assessor) ondergaan, inclusief penetratietest; kleinere organisaties (Level 2-4) kunnen self-assessment gebruiken maar moeten ook Req. 11.3 naleven.
  • DORA-interactie: betalingsinstellingen die zowel onder PCI-DSS als DORA vallen, kunnen penetratietesten gedeeltelijk bundelen — de DORA Art. 24-vereisten en PCI-DSS Req. 11.3 overlappen qua reikwijdte en doelstelling voor de betaalverwerkingsinfrastructuur.

Wat een PCI-DSS Requirement 11.3-conforme penetratietest omvat

  • Cardholder Data Environment (CDE) identificatie en scoping: volledig inventaris van alle systemen die kaarthoudergegevens (PAN, CVV, PIN) verwerken, opslaan of verzenden; systemen die met de CDE zijn verbonden of de CDE kunnen beïnvloeden vallen ook in scope — scoping is een kritieke stap die door QSA's intensief wordt gecontroleerd.
  • Segmentatieverificatie (Req. 11.3.2): testen of de segmentatiemethode (firewalls, VLAN's, NAC) effectief verhindert dat systemen buiten de CDE de CDE kunnen bereiken — een geslaagde segmentatietest is vereist om de segmentatie als scope-reductiemaatregel te kunnen gebruiken.
  • Netwerklaag penetratietest: externegerichte CDE-componenten (betalingsgateways, API-endpoints), interne netwerksegmentatie, CDE-to-non-CDE communicatiepaden — CVE-gebaseerde exploitatie van niet-gepatchte kwetsbaarheden (CVE-2023-44487 HTTP/2 Rapid Reset, CVE-2024-3400 PAN-OS).
  • Applicatielaag penetratietest (Req. 11.3.1.1): webapplicaties die kaartgegevens verwerken — OWASP Top 10 (2021), specifiek A01 Broken Access Control, A02 Cryptographic Failures (onvoldoende TLS, zwakke cryptografie), A03 Injection (SQL-injectie in betaaldatabases), A07 Identification and Authentication Failures.
  • PAN-transmissie en -opslag beveiliging: verificatie dat Primary Account Numbers (PAN) correct zijn versleuteld in transit (TLS 1.2+, bij voorkeur TLS 1.3) en at rest (AES-256); detectie van onversleutelde PAN-opslag (zoeken naar PAN-patronen in logbestanden, back-ups, databases).
  • Authenticatie en toegangsbeheer tot CDE (Req. 8): MFA voor alle beheerderstoegang tot de CDE, unieke accounts per gebruiker, geen gedeelde accounts, wachtwoordbeleid conform PCI-DSS Req. 8.3 — testen op zwakke authenticatie-implementaties.
  • API-beveiliging voor betaalintegraties: testen van betaal-API's op OWASP API Top 10-kwetsbaarheden — met name API2 Broken Authentication en API5 Broken Function Level Authorization die van bijzonder belang zijn voor betaalverwerking; CVE-2022-21449 (ECDSA Psychic Signatures) als voorbeeld van cryptografische kwetsbaarheid in betaalcontexten.
  • Logging en monitoring van CDE-activiteiten (Req. 10.7): verificatie dat alle toegang tot de CDE en kaarthoudergegevens wordt gelogd en dat logbestanden beschermd zijn tegen manipulatie — SIEM-detectie van anomale CDE-toegang tijdens de test.
  • Derde-aanbieder PCI-beveiliging (Req. 12.8): beoordeling of kritieke derde-aanbieders die de CDE kunnen beïnvloeden hun eigen PCI-DSS-compliance aantonen via Attestation of Compliance (AoC) of via contractuele beveiligingsvereisten.
  • Kwetsbaarheidsherstel en hertest (Req. 11.3.3): na identificatie van exploiteerbare kwetsbaarheden — herstelplan, verificatie van herstel via hertest; alle exploiteerbare kwetsbaarheden moeten zijn hersteld vóór PCI-DSS-compliance-attestatie.

Voorbeeldbevinding

Kritiek

Onversleutelde PAN-opslag in applicatielogbestanden — PCI-DSS Req. 3.3-overtreding

Tijdens de penetratietest van de betalingsapplicatie (CDE, geautoriseerde reikwijdte) zijn logbestanden van de applicatieserver geanalyseerd. In de debug-logbestanden van de betaalverwerkingsapplicatie (versie 3.2.1) zijn Primary Account Numbers (PAN's) in onversleuteld formaat aangetroffen — volledig 16-cijferig kaartnummer, niet gemaskeerd. De logbestanden zijn opgeslagen op de betalingsserver en zijn toegankelijk voor alle systeembeheerders zonder aanvullende toegangscontroles. In een steekproef zijn 12.847 PAN's aangetroffen over een periode van 90 dagen. CVE-2021-44832 (Apache Log4j 2.17.0 RCE via JNDI) is van toepassing op de gebruikte Log4j-versie — een aanvaller die eerst de RCE-kwetsbaarheid exploiteert, kan vervolgens de onversleutelde PAN's exfiltreren. Dit constitueert een overtreding van PCI-DSS Req. 3.3 (Sensitieve authenticatiedata niet opslaan na autorisatie) en Req. 3.4 (PAN maskeren in weergave en opslag).

Oplossing: Verwijder onmiddellijk alle PAN's uit logbestanden — voer een geautomatiseerde scan uit van alle logbestanden en opslaglocaties op PAN-patronen (regex: [0-9]{13,16}). Configureer de applicatie om PAN's te maskeren in alle loguitvoer (alleen de laatste 4 cijfers weergeven). Patch CVE-2021-44832 (upgrade naar Log4j 2.17.1+). Implementeer een Data Loss Prevention (DLP)-tool die PAN-transmissie naar logbestanden detecteert en blokkeert. Documenteer de bevinding en het herstelplan conform PCI-DSS Req. 11.3.3 en informeer de QSA. Overweeg meldplicht bij de acquiring bank conform het PCI-DSS Incident Response Plan.

Referentie: CVE-2021-44832 (Apache Log4j 2 RCE, CVSS 6.6) · PCI-DSS v4.0 Req. 3.3 (Sensitieve authenticatiedata) · PCI-DSS v4.0 Req. 3.4.1 (PAN-maskering) · PCI-DSS v4.0 Req. 11.3.3 (hertest na remediation) · CWE-312 Cleartext Storage of Sensitive Information

PCI-DSS pentest: vergelijking van aanpakken

Gratis scanMatproof SentinelTraditionele consultancy
Geautomatiseerde scan-engine✓ (3-min preview)✓ Volledige scan✗ Alleen handmatig
OWASP Top 10 dekkingGedeeltelijk✓ Volledig✓ Volledig
Proof-of-exploit bewijs✓ Per bevinding✓ Per bevinding
Regulatorische mapping (DORA/NIS2/ISO 27001)✓ Geautomatiseerd✓ Handmatig
Audit-geschikt PDF-rapport✓ Direct✓ 2–4 weken levertijd
Continue / terugkerende scans✓ Per deploy✗ Jaarlijkse opdracht
Tijd tot eerste resultaat~3 min~30 min volledige scan2–4 weken
Prijs€0Vanaf €149€8.000–€25.000
Broncode-review (SAST)✓ Growth-plan✓ In scope
API-tests (REST/GraphQL)✓ Geautomatiseerd✓ Handmatig

PCI-DSS-conforme pentestaanbiedingen

Losse scan
€149 eenmalig
  • 1 volledige penetratietest-scan
  • AI-geprioriteerde bevindingen met CVSS 3.1
  • Proof-of-exploit per bevinding
  • PDF-rapport (geschikt voor audit)
  • Regulatorische mapping (DORA, NIS2, ISO 27001)
Losse scan kopen
Aanbevolen
Starter
€299 / maand
  • Onbeperkt scannen (tot 3 domeinen)
  • Continue monitoring
  • CI/CD-integratie (GitHub, GitLab)
  • Alle regulatorische mappings
  • Prioriteitsondersteuning
Start met Starter
Growth
€799 / maand
  • Onbeperkt scannen + domeinen
  • Geauthenticeerde / White-Box tests
  • API- en cloud-infrastructuurtests
  • Dedicated security account manager
  • SLA responstijd 24u
Contact voor Growth

Veelgestelde vragen over PCI-DSS penetratietesten in Nederland

Welke organisaties zijn verplicht aan PCI-DSS Requirement 11.3 te voldoen?

Alle organisaties die kaarthoudergegevens (PAN, CVV, uitloopdata, PIN) verwerken, opslaan of verzenden zijn onderworpen aan PCI-DSS, en dus aan Req. 11.3. In Nederland omvat dit: acquirers en payment service providers (PSP's) zoals Adyen, Mollie, MultiSafepay, Pay.; winkels en e-commercebedrijven die kaartbetalingen accepteren; banken en creditcarduitgevers; betalingsinstellingen die PCI-DSS-relevante diensten verlenen. De omvang van het PCI-DSS-assessment (en de intensiteit van de Req. 11.3-verplichting) hangt af van het jaarlijkse volume kaartransacties: Level 1 (6M+ transacties): jaarlijkse QSA-audit; Level 2 (1-6M): jaarlijkse SAQ + evt. QSA; Level 3-4 (< 1M): jaarlijkse SAQ.

Wat is het verschil tussen een interne en externe penetratietester voor PCI-DSS?

PCI-DSS Req. 11.3.1 staat zowel interne als externe penetratietesters toe, met als eis dat de tester 'gekwalificeerd' is. Voor interne testers: aantoonbare expertise, onafhankelijkheid van de geteste omgeving (de tester mag geen verantwoordelijkheid dragen voor de te testen systemen). Voor externe testers: geen specifieke certificering vereist door PCI-DSS, maar de tester moet organisatorisch onafhankelijk zijn van de te testen entiteit. In de praktijk accepteren QSA's externe testers met OSCP, CREST CPSA/CRT, CEH of vergelijkbare certificeringen. Level 1-serviceproviders kunnen worden verplicht externe testers te gebruiken.

Hoe definieer ik de CDE-scope voor mijn PCI-DSS penetratietest?

De CDE omvat alle systemen die kaarthoudergegevens verwerken, opslaan of verzenden (Primary Account Number, cardholder naam, uitloopdata, servicescode, sensitieve authenticatiedata). Aanvullend vallen systemen in scope die de CDE kunnen beïnvloeden — systemen verbonden met de CDE die bij compromis de CDE kunnen bedreigen. Segmentatie kan de scope reduceren: als de CDE effectief is geïsoleerd van andere systemen (verifieerbaar via Req. 11.3.2 segmentatietest), hoeven systemen buiten de CDE-grens niet in de penetratietestreikwijdte opgenomen te worden. Een nauwkeurige netwerk-flow-analyse en data-flow-diagram zijn essentieel voor scope-definitie.

Hoe frequent moeten PCI-DSS penetratietesten worden uitgevoerd?

PCI-DSS Req. 11.3.1 vereist penetratietesten 'ten minste eenmaal per jaar en na significante wijzigingen in de infrastructuur of applicaties'. Req. 11.3.2 (segmentatietest) vereist eveneens 'ten minste eenmaal per jaar en na wijzigingen in segmentatiemethoden'. 'Significante wijzigingen' omvatten: nieuwe systemen in de CDE, substantiële applicatiewijzigingen, migraties naar cloud of andere infrastructuur, wijzigingen in netwerksegmentatie. Aanbeveling: jaarlijkse volledige penetratietest + continue kwetsbaarheidsscanning (PCI-DSS Req. 11.3.1.1 — intern kwetsbaarheidsbeheer) + penetratietesten bij iedere significante wijziging.

Kan een PCI-DSS penetratietest worden gecombineerd met een DORA-pentest?

Ja — voor betalingsinstellingen die zowel onder PCI-DSS als DORA vallen, kunnen de penetratietestreikwijdten gedeeltelijk overlappen. Beide kaders vereisen penetratietesten van de betaalverwerkingsinfrastructuur, API-interfaces en netwerksegmentatie. Een gecombineerde aanpak is efficiënter en vermijdt dubbele testkosten. Aandachtspunt: de rapportagevereisten zijn verschillend (PCI-DSS vereist specifieke documentatie conform PCI-DSS Req. 11.3; DORA Art. 24 §7 heeft eigen rapportagevereisten). Matproof Sentinel genereert rapporten die aan beide kaders voldoen.

Wat zijn de gevolgen van een datalek voor een organisatie zonder PCI-DSS-compliance?

Bij een datalek waarbij kaarthoudergegevens worden gecompromitteerd en PCI-DSS-niet-naleving wordt vastgesteld, kunnen de gevolgen aanzienlijk zijn: boetes van de kaartnetwerken (Visa/Mastercard) aan de acquiring bank, doorgegeven aan de handelaar of dienstverlener: 5.000 tot 100.000 US dollar per maand gedurende de niet-nalevingsperiode; forensisch onderzoekskosten (PFI — PCI Forensic Investigator), doorgaans 50.000 tot 500.000 euro; aansprakelijkheid voor fraudeverliezen op gecompromitteerde kaarten; verplichte herstelmaatregelen onder toezicht van QSA; mogelijke intrekking van het recht om kaartbetalingen te verwerken. In Nederland kunnen aanvullend AVG-boetes van de AP worden opgelegd indien persoonsgegevens (kaarthouderdata = persoonsgegevens) zijn gelekt.

Wat zijn de specifieke PCI-DSS v4.0 vereisten ten opzichte van v3.2.1?

PCI-DSS v4.0 (van kracht per 31 maart 2024) heeft ten opzichte van v3.2.1 de volgende significante wijzigingen in Requirement 11: Req. 11.3.1.1 (nieuw): specifieke penetratietest voor webapplicaties die kaarthoudergegevens verwerken, inclusief detectie van OWASP Top 10-kwetsbaarheden — van kracht als 'best practice' tot 31 maart 2025, daarna verplicht. Aangescherpte methodologie-documentatie (Req. 11.3.1): de penetratiemethodiek moet gedocumenteerd zijn en gebaseerd op erkende kaders (PTES, OWASP). Aangescherpte hertestvereisten (Req. 11.3.3): hertest na alle exploiteerbare kwetsbaarheden. Aanvullende 'customized approach'-optie: organisaties kunnen alternatieve controlemechanismen voorstellen als equivalente maatregel — vereist strikte documentatie en QSA-goedkeuring.

Hoe werkt de PCI-DSS segmentatietest (Req. 11.3.2)?

De segmentatietest verificeert dat de segmentatiemethode — gebruikt om de CDE-scope te beperken — effectief verhindert dat systemen buiten de CDE de CDE kunnen bereiken of beïnvloeden. De test omvat: poort- en protocolscanning van de CDE vanuit alle netwerksegmenten buiten de CDE; verificatie dat firewallregels het verwachte verkeer blokkeren; verificatie dat er geen alternatieve paden zijn (wireless, dialup, backdoors); simulatie van lateral movement van buiten-CDE-systemen richting CDE. Een geslaagde segmentatietest is vereist om segmentatie als scoping-reductiemaatregel te kunnen gebruiken — een mislukte segmentatietest breidt de CDE-scope uit tot alle verbonden systemen.

Gerelateerde onderwerpen

Meer lezen — gerelateerde blogartikelen

Start uw PCI-DSS Req. 11.3-conforme penetratietest

Matproof Sentinel biedt gestructureerde PCI-DSS penetratietesten conform Requirement 11.3, inclusief CDE-scoping, segmentatietest en applicatielaag-test. Verkrijg in 3 minuten een eerste beoordeling van uw betaalinfrastructuur — zonder registratie. Audit-ready rapport dat QSA-beoordelingen ondersteunt.

Start de PCI-DSS pentest