Hoe houd je je webshop veilig? (PCI DSS & CSP)

Laten we teruggaan naar het jaar 2018. Luchtvaartmaatschappij British Airways werd getroffen door een hack van de Magecart groep. Wat er gebeurde: hackers injecteerden en stukje JavaScript op de betaalpagina waardoor de creditcardgegevens van meer dan 400.000 klanten geskimd en verstuurd werden naar een externe server. Het leidde tot een boete van ruim £20 miljoen, forse reputatieschade voor de luchtvaartmaatschappij en een financiële schikking met de slachtoffers. Zulke voorbeelden laten zien dat veiligheid misschien zelfs vóór snelheid zou moeten staan in e-commerce.

Tegenwoordig vertrouwen veel mensen nog steeds op ingebouwde beveiliging of externe diensten zoals CDN’s. Dat kan werken, maar zodra je klantdata direct verwerkt, moet je zeker weten dat alle systemen en scripts binnen je webshop betrouwbaar zijn.

Daarmee komen twee belangrijke instrumenten in beeld: Payment Card Industry Data Security Standard (PCI DSS) en Content Security Policies (CSP). In deze blog leggen we uit wat PCI DSS en CSP is, waarom ze van belang is en welke best practices zij uit de praktijk ervaren.

Payment Card Industry Data Security Standard (PCI DSS) is de internationale standaard die bepaalt hoe creditcardgegevens veilig verwerkt, opgeslagen en verzonden moeten worden. Deze standaard is opgesteld door de grote creditcardmaatschappijen en bevat een set van 12 basisvereisten, die zich richten op het beveiligen van netwerken, het beschermen van kaarthoudergegevens, het implementeren van sterke toegangscontroles en het regelmatig monitoren en testen van netwerken. Concreet betekent dit voor webshops:

• Creditcardgegevens versleuteld opslaan

• Regelmatige penetration tests uitvoeren door een aanval na te bootsen

• Logische toegangscontrole door passende rollen toe te kennen aan beheerders

• Tijdig updates en patches doorvoeren

Sinds 2004 moeten alle webshops en payment providers voldoen aan deze standaard. In 2025 werd de PCI DSS 4.0 geïntroduceerd, waardoor het beschermen van klantgegevens vanuit de browser ook aandacht krijgt.

Zoals het voorbeeld van British Airways laat zien, kunnen de gevolgen van non-compliance enorm zijn. En bedrijven die PCI DSS negeren, lopen niet alleen het gevaar slachtoffer te worden van hackers, maar ze riskeren ook zware boetes, reputatieschade en het verlies van klantvertrouwen. Bovendien kunnen payment providers (zoals Adyen, Mollie of Stripe) je uitsluiten als blijkt dat jouw systemen niet aan de veiligheidsvereisten voldoen.

De nieuwe verplichting in 2025 probeert dit soort aanvallen te voorkomen door strenge eisen te stellen aan de omgang met scripts op de betaalpagina: één van de manieren om hieraan te voldoen is CSP.

Een Content Security Policy (CSP) is een security standaard die door webbrowsers wordt gehanteerd om te voorkomen dat kwaadwillenden via client-side code (zoals via JavaScript) toegang krijgen tot gevoelige informatie.

Met een CSP kunnen developers precies aangeven welke bronnen wel of niet vertrouwd zijn, en kunnen ze specificeren dat alleen scripts van een specifieke host (zoals Google Analytics) uitgevoerd mogen worden. Als een hacker bijvoorbeeld probeert om code uit te voeren via een geïnjecteerde externe scriptbron die niet aan de policy voldoet, zal de browser dit blokkeren.

Hackers gebruiken ook vaak inline scripts om via de browser klantgegevens te bemachtigen. Inline scripts zijn als het ware stukjes code die direct in de HTML van een pagina staan, in plaats van in een apart bestand en vormen daarmee een veiligheidsrisico. Met een CSP kun je deze niet-geautoriseerde inline scripts laten blokkeren en de veiligheid van je site verhogen. Je kunt er ook voor kiezen om inline scripts standaard te blokkeren tenzij ze via nonces of hashes expliciet zijn geautoriseerd, wat een belangrijke stap tegen moderne XSS- en skimmingaanvallen kan zijn.

• Samengevat, biedt een CSP bescherming tegen:

• Cross-site scripting (XSS)-aanvallen

• Het injecteren van schadelijke scripts via de browser en het uitvoeren hiervan.

• Clickjacking

• En voorkomt dat kwaadwillenden externe data via de browser wegsluizen.

Dus waar PCI DSS zich richt op het proces en de infrastructuur, biedt CSP bescherming op content- en browserniveau.

Het naleven van de PCI DSS en het hanteren van een rigoureuze Content Security Policy geeft verschillende voordelen op:

1. Bescherming van klantgegevens
   Het meest directe voordeel is het voorkomen van datalekken. Consumenten vertrouwen een webshop hun meest gevoelige gegevens toe. Een enkele hack kan dit vertrouwen voorgoed schaden.
   
   

2. Voorkomen van reputatieschade
   Een datalek komt zelden onopgemerkt voorbij. Media-aandacht en negatieve publiciteit kunnen een grote impact hebben op de omzet en klantloyaliteit.
   
   

3. Minder kans op boetes en aansprakelijkheid
   Bij een succesvolle aanval kunnen relevante overheidsinstanties en creditcardmaatschappijen onderzoeken of men voldoende heeft gedaan om klantgegevens te beschermen. Het naleven van veiligheidsstandaarden vermindert niet alleen de slagingskans van een aanval, maar toont ook de inzet van het voorkomen hiervan.

Hoewel PCI DSS een bekende standaard is in e-commerce, blijkt kennis over het implementeren ervan nog achter te lopen. De toegevoegde vereisten in PCI DSS 4.0 (met name 6.4.3 en 11.6.1) vragen om grote veranderingen in het veiligheidsbeleid van webshops. Voorheen werd er genoegen genomen met de ingebouwde beveiliging van deze applicaties of de tussenkomst van Content Delivery Networks (CDN), zoals Cloudflare en Fastly. Maar met deze nieuwe eisen komt de uitvoerende verantwoordelijkheid meer bij het merchant zelf te liggen.

Er is nog veel onwetendheid en het is voor bedrijven niet duidelijk hoe ver ze moeten gaan om aan de nieuwe eisen te voldoen. Dit heeft geleid tot de opkomst van diensten, van bijvoorbeeld jsscrambler en ReportURI, die zich specialiseren in het compliant maken van applicaties - vaak tegen hoge tarieven.

Zelf CSP implementeren? Daarvoor is enige technische kennis vereist: een verkeerde configuratie kan legitieme functionaliteit blokkeren of de gebruikerservaring schaden. Zo kan een verkeerde CSP-configuratie, functies verbreken zoals een betaalpagina die ineens besluit dat betalen optioneel is.

Veel mensen kiezen daarom voor een snelle en minder strenge implementatie, zoals een module die automatisch whitelist of het permanent in “report only”-modus zet van de CSP. Op papier voldoet dit aan de nieuwe vereisten, maar biedt in de praktijk nauwelijks bescherming.

Het implementeren van content security en PCI DSS is geen eenmalige actie, maar een continu proces. De belangrijkste uitdagingen en lessen die wij je meegeven vanuit de praktijk:

• Begin niet te laat
  Als je security als prioriteit hebt, is het voor een nieuwe applicatie verstandiger om vanaf het begin af aan een strikte CSP te implementeren. Dit dwingt om kritischer na te denken over welke scripts en modules moeten worden ingezet.

• Gebruik de “report only”-modus enkel ter controle
  CSP’s kunnen aanvankelijk veel breken. Door te starten in “report only”-modus, kun je precies zien welke scripts of resources geblokkeerd zouden worden, zonder de gebruikerservaring te verstoren. Dit vereist echter wel actieve monitoring door de beheerders - meestal de developers - omdat “report only” uit zichzelf geen enkele bescherming biedt.

• Monitor en verbeter continu
  Een CSP is geen statisch document. Nieuwe features, frameworks of externe diensten kunnen invloed hebben op de beleidsregels. Continue monitoring en logging zijn daarom essentieel om nieuwe dreigingen tijdig te ondervangen en ervoor te zorgen dat er geen noodzakelijke scripts, zoals scripts van Payments Service Providers, worden geblokkeerd.

• Wees terughoudend met automatisering
  Er bestaan modules die het autoriseren van bronnen en scripts automatisch willen uitvoeren. Alleen dit is meestal ‘schijnveiligheid’. Deze modules zijn doorgaans niet in staat om de inhoud van een script goed te controleren en de veiligheid te borgen.

In een tijd van cyberdreigingen, is content security geen luxe maar noodzaak. Standaarden als PCI DSS vormen het fundament van digitale betrouwbaarheid, terwijl CSP de poortwachter is aan de browserkant. Samen bieden ze een robuust verdedigingsmechanisme tegen datalekken, fraude en reputatieschade. De sleutel ligt in het vroegtijdig integreren van security binnen het ontwikkelproces, het trainen van teams, en het continu verbeteren van beleid en techniek.

Wil je weten hoe jouw webshop ervoor staat of hoe je CSP en PCI DSS 4.0 efficiënt implementeert? Neem dan gerust contact met ons op.