Was ist eine Karteninhaberdaten-Umgebung?
Ihre CDE umfasst alles, was Kartendaten speichert, verarbeitet oder überträgt – und definiert Ihren PCI-DSS-Scope. Je kleiner sie ist, desto günstiger und einfacher wird die Compliance. Hier erfahren Sie, was dazu gehört und wie Sie sie verkleinern.
Was zu Ihrer CDE gehört
Die CDE umfasst die Personen, Prozesse und Technologien, die Karteninhaberdaten speichern, verarbeiten oder übertragen – sowie alle damit verbundenen Systeme. Wenn es eine Kartennummer berühren kann, ist es im Scope.
Web & Kasse
Websites, Apps und Zahlungsseiten, über die Karten eingegeben oder übertragen werden.
Server & Anwendungen
Anwendungsserver und Dienste, die Kartendaten empfangen, weiterleiten oder verarbeiten.
Datenspeicher
Datenbanken, Dateien, Protokolle und Backups, die Karteninhaberdaten halten – auch temporär.
Netzwerke
Netzwerksegmente, die die Daten durchqueren, und alle Systeme, die diese erreichen können.
Personen & Telefon
Mitarbeiter und Callcenter-Abläufe, die Karten per Telefon oder am Schalter handhaben.
Verbundene Systeme
Alles, was mit den oben genannten Systemen verbunden ist, kann ebenfalls in den Scope fallen.
Eine kleinere CDE ist das Ziel
Jedes System in Ihrer CDE muss gesichert, dokumentiert und geprüft werden. Der wirksamste Weg zur Reduzierung von PCI-Kosten und -Risiken besteht darin, die CDE zu verkleinern. Tokenisierung tut genau das: Karten werden direkt in einen externen PCI-DSS-Level-1-Vault erfasst, sodass Ihre eigenen Systeme nie Kartendaten halten und aus dem Scope fallen.
Wie Tokenisierung funktioniertIm Vault erfassen
Gehostete Felder senden Karten direkt an den Vault – nie an Ihre Server.
Token statt Karten speichern
Ihre Apps und Datenbanken speichern Token, die bei einem Datenleck wertlos sind.
Kleinere Bewertung
Wenn Kartendaten Ihre Systeme verlassen haben, wechseln die meisten Händler zu SAQ A.
Karteninhaberdaten-Umgebung – Antworten
01 Was ist eine Karteninhaberdaten-Umgebung (CDE)?
Die Karteninhaberdaten-Umgebung umfasst die Personen, Prozesse und Technologien, die Karteninhaberdaten speichern, verarbeiten oder übertragen – sowie alle damit verbundenen Systeme. Sie schließt Ihre Webserver, Anwendungen, Datenbanken, Netzwerke und Mitarbeiter ein, die Kartendaten berühren, und definiert den Umfang Ihrer PCI-DSS-Bewertung.
02 Warum ist die CDE für PCI DSS wichtig?
PCI DSS gilt für alles in Ihrer CDE und alles, was damit verbunden ist. Je größer Ihre CDE, desto mehr Systeme müssen Sie sichern, dokumentieren und prüfen. Die CDE zu verkleinern ist der wirksamste Weg, PCI-Kosten, -Risiken und -Aufwand zu reduzieren.
03 Wie reduziert Tokenisierung die CDE?
Tokenisierung erfasst die Karte direkt in einem externen PCI-DSS-Level-1-Vault und gibt einen Token zurück. Da echte Kartendaten Ihre Systeme nie erreichen, fallen diese Systeme aus der CDE heraus – bei den meisten Händlern schrumpft die Umgebung erheblich und die Validierung wechselt von SAQ D zu SAQ A.
04 Kann die CDE jemals auf null reduziert werden?
Sie können PCI-Verpflichtungen nicht vollständig eliminieren, aber Sie können einer minimalen CDE sehr nahekommen. Mit gehosteten Feldern und Tokenisierung existieren Kartendaten nur im Vault, und Ihr verbleibender Scope betrifft hauptsächlich die sichere Integration – ein sehr kleiner Fußabdruck im Vergleich zur eigenen Kartenspeicherung.
Ihre Karteninhaberdaten-Umgebung verkleinern
Schildern Sie uns, wie Kartendaten heute durch Ihre Systeme fließen, und wir gestalten ein Setup, das die meisten davon aus dem Scope nimmt.