El entorno de datos del titular de la tarjeta, o CDE (Cardholder Data Environment), es el perímetro técnico y organizativo dentro del cual se tratan los datos de los titulares de tarjeta. Cualquier sistema que almacene, procese o transmita datos de tarjeta entra en el CDE y debe cumplir el conjunto completo de requisitos PCI DSS. Entender exactamente qué entra en este perímetro es el primer paso para comprender cuánto cuesta mantenerlo y cómo reducirlo.
Qué entra en el CDE: el mapa del perímetro PCI DSS
Por definición del PCI DSS, el CDE incluye todos los sistemas que almacenan, procesan o transmiten datos de tarjeta (PAN, fecha de vencimiento, CVV, datos de la pista magnética), además de los sistemas que tienen conectividad con esos sistemas. Este segundo punto es el que más sorprende: un servidor que nunca toca un dato de tarjeta pero que está conectado en red a un servidor que sí lo hace entra igualmente en el perímetro.
Componentes que típicamente entran en el CDE sin que los equipos de IT se den cuenta:
- Servidores de logs y SIEM si recogen logs de sistemas que tratan PAN
- Sistemas de backup si incluyen snapshots de bases de datos con datos de tarjeta
- Estaciones de trabajo de los administradores con acceso a los sistemas de pago
- Sistemas de monitorización y alertas conectados a la infraestructura de pago
- Servidores de desarrollo y staging si usan datos de tarjeta reales para las pruebas
Cuánto cuesta mantener un CDE conforme
El coste de mantenimiento de un CDE conforme no es solo el coste del penetration test anual o del vulnerability scan trimestral. Incluye el coste del personal dedicado a la gestión de las políticas de acceso, el coste de las herramientas de SIEM y logging, las horas de revisión anual de la documentación, los costes de consultoría para el SAQ o el QSA, y el coste de las modificaciones arquitectónicas necesarias cada vez que se añade un nuevo componente a la infraestructura.
Para una PYME con un CDE de tamaño medio, estos costes se sitúan entre los 20.000 y los 60.000 euros al año. Para una empresa con infraestructura distribuida y múltiples entornos, los costes pueden ser varios múltiplos de esta cifra. La variable que más influye no es el tamaño de la empresa, sino la amplitud del CDE: cuantos más sistemas estén en el ámbito, más se multiplican las actividades de cumplimiento.
Cómo la tokenización reduce el CDE a casi cero
La lógica de la reducción del CDE con tokenización es directa: si ningún dato de tarjeta transita por tus sistemas, ninguno de tus sistemas está en el CDE. El vault certificado de PCI Proxy EU se convierte en el componente en el ámbito en lugar de tus servidores. Tus sistemas reciben y gestionan solo tokens opacos, que no tienen valor para un atacante incluso en caso de brecha.
En la práctica, la arquitectura post-tokenización es esta: el checkout envía los datos de tarjeta directamente al vault a través de un formulario hosted o un SDK client-side; el vault devuelve un token a tu backend; tu backend usa el token para cualquier operación posterior. Tus servidores de logs, tus sistemas de backup, tus CRM nunca ven un PAN. El resultado es un CDE reducido prácticamente a cero en el lado del comerciante, con todos los requisitos de seguridad más onerosos que se desplazan al proveedor certificado.
Preguntas frecuentes
¿Un servidor de logs forma parte del CDE?
Depende de lo que recoja y de con qué esté conectado. Si el servidor de logs recoge logs de sistemas que tratan PAN, o está conectado en red a esos sistemas, entra en el perímetro CDE. Si el servidor de logs está completamente aislado de cualquier sistema de pago, puede considerarse fuera del ámbito, pero esta exclusión debe documentarse y ser verificable.
¿La segmentación de red elimina el CDE?
La segmentación de red no elimina el CDE: lo delimita. Los sistemas que tratan PAN siguen estando en el ámbito; la segmentación sirve para impedir que otros sistemas queden arrastrados al perímetro por la conectividad. La tokenización es el único enfoque que reduce el CDE en la raíz, eliminando la necesidad de tratar PAN en los sistemas del comerciante.
¿Con PCI Proxy EU mi base de datos sigue estando en el ámbito?
Si tu base de datos no almacena ni recibe nunca PAN, no entra en el CDE. Con PCI Proxy EU, tu base de datos solo recibe tokens: no hay razón técnica para incluirla en el perímetro PCI DSS, siempre que no tenga conectividad directa con sistemas que traten PAN y que esta segregación esté documentada.
¿Quieres mapear tu CDE y entender cuánto puedes reducirlo con la tokenización? Descubre PCI Proxy EU.