¿Qué es un entorno de datos de titulares?
Tu CDE es todo lo que almacena, procesa o transmite datos de tarjeta — y define tu alcance PCI DSS. Cuanto más pequeño sea, más barato y sencillo resulta el cumplimiento. Aquí se explica qué contiene y cómo reducirlo.
Qué forma parte de tu CDE
El CDE son las personas, los procesos y la tecnología que almacenan, procesan o transmiten datos de titulares de tarjeta — más cualquier sistema conectado a ellos. Si puede tocar un número de tarjeta, está dentro del alcance.
Web y checkout
Sitios, apps y páginas de pago donde se introducen o transmiten tarjetas.
Servidores y apps
Servidores de aplicaciones y servicios que reciben, enrutan o procesan datos de tarjeta.
Almacenes de datos
Bases de datos, archivos, registros y copias de seguridad que contienen datos de titulares, aunque sea temporalmente.
Redes
Segmentos de red que atraviesan los datos, y cualquier sistema que pueda acceder a ellos.
Personas y teléfono
Personal y flujos de call center que manejan tarjetas por teléfono o en un mostrador.
Sistemas conectados
Cualquier cosa conectada a lo anterior también puede incluirse en el alcance.
Un CDE más pequeño lo es todo
Cada sistema en tu CDE debe protegerse, documentarse y auditarse. La forma más eficaz de reducir el coste y el riesgo de PCI es hacer el CDE más pequeño. La tokenización hace exactamente eso: las tarjetas se capturan directamente en un vault externo PCI DSS Nivel 1, por lo que tus propios sistemas nunca almacenan datos de tarjeta y quedan fuera del alcance.
Cómo funciona la tokenizaciónCaptura en el vault
Los campos alojados envían las tarjetas directamente al vault — nunca a tus servidores.
Guarda tokens, no tarjetas
Tus apps y bases de datos almacenan tokens, que no tienen valor si se filtran.
Evaluación más pequeña
Con los datos de tarjeta fuera de tus sistemas, la mayoría de comercios pasan a SAQ A.
Entorno de datos de titulares, respondido
01 ¿Qué es un entorno de datos de titulares de tarjeta (CDE)?
El entorno de datos de titulares de tarjeta es el conjunto de personas, procesos y tecnología que almacenan, procesan o transmiten datos de titulares — más cualquier sistema conectado a ellos. Incluye tus servidores web, aplicaciones, bases de datos, redes y personal que maneja datos de tarjeta, y define el alcance de tu evaluación PCI DSS.
02 ¿Por qué importa el CDE para PCI DSS?
PCI DSS se aplica a todo lo que hay en tu CDE y a cualquier cosa conectada a él. Cuanto mayor sea tu CDE, más sistemas debes proteger, documentar y auditar. Reducir el CDE es la forma más eficaz de recortar el coste, el riesgo y el esfuerzo de PCI.
03 ¿Cómo reduce la tokenización el CDE?
La tokenización captura la tarjeta directamente en un vault externo PCI DSS Nivel 1 y devuelve un token. Como los datos de tarjeta reales nunca llegan a tus sistemas, esos sistemas quedan fuera del CDE — para la mayoría de comercios el entorno se reduce drásticamente y la validación pasa de SAQ D a SAQ A.
04 ¿Puede el CDE reducirse a cero?
No puedes eliminar por completo las obligaciones PCI, pero puedes aproximarte a un CDE mínimo. Con campos alojados y tokenización, el único lugar donde existen datos de tarjeta es el vault, y el alcance restante se centra principalmente en cómo te integras de forma segura — una huella muy reducida comparada con almacenar tarjetas tú mismo.
Reduce tu entorno de datos de titulares
Cuéntanos cómo fluyen hoy los datos de tarjeta por tus sistemas y trazaremos una configuración que saque la mayoría de ellos del alcance.