Die CDE (Cardholder Data Environment) ist das Herzstück des PCI-DSS-Compliance-Perimeters: Es ist die Gesamtheit der Systeme, Personen und Prozesse, die Karteninhaberdaten speichern, verarbeiten oder übertragen, sowie alle verbundenen Systeme. Je größer die CDE, desto größer die Compliance-Last und desto höher die Kosten der jährlichen Zertifizierung. Das Verständnis, was in die CDE fällt, und die strategische Verwendung von Tokenisierung zur Reduzierung des Perimeters ist der effektivste Ansatz für das Compliance-Management.
Was in die CDE fällt: Systeme, Daten und Personen
Die PCI DSS CDE umfasst drei Kategorien verbundener Elemente. Die erste Kategorie sind Systeme, die Karteninhaberdaten speichern, verarbeiten oder übertragen: Datenbanken mit gespeicherten PANs, Anwendungsserver, die Zahlungsformulare verwalten, Punkt-zu-Punkt-Verschlüsselungshardware, Netzwerkgeräte, die Zahlungsnetzwerke weiterleiten. Die zweite Kategorie sind Personen mit Zugang zu diesen Systemen: Systemadministratoren, Entwickler, die die Zahlungsanwendung verwalten, Callcenter-Agenten, die PANs eingeben. Die dritte Kategorie sind Prozesse, die diese Systeme berühren: Sicherungs-Prozesse, Patch-Management-Richtlinien, Zugangsverwaltungsverfahren.
Jedes Element, das mit einem dieser Systeme verbunden ist und theoretisch auf Karteninhaberdaten zugreifen könnte, fällt ebenfalls in die CDE. Dazu gehören Systeme zur Fernverwaltung von Servern, Sicherheitsüberwachungssysteme, Systeme zur Protokollerfassung und alle Dienste Dritter, die privilegierten Zugang zur Infrastruktur haben. Die CDE wächst natürlich mit der Komplexität der Infrastruktur: Jeder neue Dienst, der integriert wird, ohne die CDE-Grenzen zu berücksichtigen, erweitert den Perimeter und folglich die Compliance-Kosten.
Kosten der CDE-Wartung: Audits, Scans, Tests
Die Kosten für die Wartung einer PCI-DSS-CDE sind erheblich und schließen direkte und indirekte Posten ein. Zu den direkten Kosten gehören: QSA-Audit (Qualified Security Assessor, erforderlich für Level-1-Händler und -Dienstleister): zwischen 20.000 und 100.000 Euro je nach Komplexität; vierteljährliche ASV-Schwachstellenscans (Approved Scanning Vendor): zwischen 500 und 5.000 Euro pro Quartal; jährliche Penetrationstests: zwischen 10.000 und 50.000 Euro; Kosten für Sicherheitszertifikate, WAF-Firewalls und CDE-spezifische Zugangskontrollsysteme.
Zu den indirekten Kosten gehören Personalzeit für die Verwaltung von Compliance-Dokumentation, Schulungen für Mitarbeiter mit Zugang zur CDE, dedizierte Sicherheitssoftware und die Einhaltung von PCI-DSS-Anforderungen für Software-Entwicklung. Ein Unternehmen mit einer mittelgroßen CDE kann leicht 150.000 bis 300.000 Euro pro Jahr ausgeben, um den Standard aufrechtzuerhalten. Die Reduzierung des Perimeters ist damit direkt rentabel.
Wie Tokenisierung die CDE auf fast null reduziert
Wenn ein Händler PCI Proxy EU integriert, passieren Kartendaten niemals die eigene Infrastruktur. Das Erfassungsformular wird von PCI Proxy EU gehostet, die PAN wird abgefangen und durch einen Token ersetzt, bevor sie die Systeme des Händlers erreicht. Ergebnis: In den Systemen des Händlers gibt es keine PAN – weder in Datenbanken noch in Protokollen, noch im Anwendungscode. Das Unternehmen tritt aus der CDE aus.
In der Praxis bedeutet dies: keine vierteljährlichen ASV-Scans (oder weniger umfangreiche, begrenzt auf externe Umfänge), kein jährliches QSA-Audit (Übergang zu SAQ A für viele Händler), keine Netzwerksegmentierungsanforderungen für die CDE und reduziertes Schulungsprogramm für Personal. Nur der PCI Proxy EU Vault verbleibt im Scope, der PCI DSS Level 1 zertifiziert und von unserem Sicherheitsteam verwaltet wird. Der Händler profitiert vom zertifizierten Perimeter des Anbieters.
Häufig gestellte Fragen
Wenn ich nur Token speichere, habe ich keine CDE mehr?
In den meisten Fällen ja. Wenn keine echte PAN in Ihren Systemen vorhanden ist – weder in Datenbanken, noch in Protokollen, noch im Anwendungscode – fallen Ihre Systeme nicht in die CDE-Definition. Es ist jedoch immer notwendig, den Compliance-Status mit dem Acquirer zu bestätigen und das entsprechende SAQ auszufüllen. Einige kontextspezifische Pflichten können verbleiben, aber der Gesamtumfang ist erheblich reduziert.
Was sind verbundene Systeme in der CDE?
Verbundene Systeme sind alle Systeme, die mit CDE-Systemen kommunizieren und theoretisch auf Karteninhaberdaten zugreifen könnten, auch wenn sie sie nicht direkt verarbeiten. Ein Sicherheitsüberwachungssystem mit Agent auf einem Server, der PANs enthält, ist ein verbundenes System. Ein E-Mail-Server, der Zahlungsbenachrichtigungen sendet, die eine Referenztransaktionsnummer enthalten, ist ebenfalls ein verbundenes System, wenn diese Nummer mit PANs korrelierbar ist.
Wie erkenne ich, ob ich eine CDE habe?
Beginnen Sie mit der Kartierung des Datenflusses: Wo geben Kunden Kartendaten ein? Welche Server empfangen diese Daten? Wo werden sie gespeichert? Welche Systeme sind mit diesen Servern verbunden? Jeder Teil dieser Infrastruktur ist die CDE. Wenn der Zahlungsfluss vollständig von einem zertifizierten Anbieter wie PCI Proxy EU verwaltet wird und Ihre Systeme nur Tokens empfangen, haben Sie wahrscheinlich keine CDE.
Möchten Sie Ihre CDE reduzieren und Compliance-Kosten senken? Entdecken Sie PCI Proxy EU.