Qu'est-ce qu'un environnement de données de titulaires ?
Votre CDE regroupe tout ce qui stocke, traite ou transmet des données de carte — et il définit votre périmètre PCI DSS. Plus il est petit, moins la conformité coûte cher et demande d'efforts. Voici ce qu'il contient et comment le réduire.
Ce qui fait partie de votre CDE
Le CDE regroupe les personnes, processus et technologies qui stockent, traitent ou transmettent les données de titulaires de carte — ainsi que tout système qui y est connecté. Si un système peut toucher un numéro de carte, il est dans le périmètre.
Web & paiement
Sites, applications et pages de paiement où les cartes sont saisies ou transmises.
Serveurs & applications
Serveurs d'application et services qui reçoivent, acheminent ou traitent des données de carte.
Stockages de données
Bases de données, fichiers, journaux et sauvegardes contenant des données de titulaires, même temporairement.
Réseaux
Segments réseau que les données traversent, et tout système pouvant les atteindre.
Personnes & téléphone
Personnel et flux centre d'appels qui gèrent des cartes par téléphone ou à un poste.
Systèmes connectés
Tout ce qui est connecté aux éléments précédents peut également être inclus dans le périmètre.
Un CDE plus petit, c'est tout l'enjeu
Chaque système dans votre CDE doit être sécurisé, documenté et audité. Le moyen le plus efficace de réduire les coûts et risques PCI est de réduire le CDE. La tokenisation fait exactement cela : les cartes sont capturées directement dans un coffre-fort PCI DSS Level 1 externe, vos propres systèmes ne contiennent jamais de données de carte et sortent du périmètre.
Comment fonctionne la tokenisationSaisir dans le coffre-fort
Les champs hébergés envoient les cartes directement au coffre-fort — jamais vos serveurs.
Stocker des tokens, pas des cartes
Vos applications et bases de données stockent des tokens, inutilisables en cas de fuite.
Évaluation réduite
Avec les données de carte hors de vos systèmes, la plupart des marchands passent au SAQ A.
Environnement de données de titulaires : vos questions
01 Qu'est-ce qu'un environnement de données de titulaires de carte (CDE) ?
L'environnement de données de titulaires de carte est l'ensemble des personnes, processus et technologies qui stockent, traitent ou transmettent les données de titulaires de carte — ainsi que tous les systèmes qui y sont connectés. Il inclut vos serveurs web, applications, bases de données, réseaux et personnel qui manipulent des données de carte, et il définit le périmètre de votre évaluation PCI DSS.
02 Pourquoi le CDE est-il important pour PCI DSS ?
PCI DSS s'applique à tout ce qui se trouve dans votre CDE et à tout ce qui y est connecté. Plus votre CDE est grand, plus vous devez sécuriser, documenter et auditer de systèmes. Réduire le CDE est le moyen le plus efficace de diminuer les coûts, risques et efforts liés à PCI.
03 Comment la tokenisation réduit-elle le CDE ?
La tokenisation capture la carte directement dans un coffre-fort PCI DSS Level 1 externe et retourne un token. Comme les données de carte réelles n'atterrissent jamais dans vos systèmes, ces systèmes sortent du CDE — pour la plupart des marchands, l'environnement se réduit considérablement et la validation passe de SAQ D à SAQ A.
04 Le CDE peut-il être réduit à zéro ?
Vous ne pouvez pas supprimer entièrement les obligations PCI, mais vous pouvez vous approcher d'un CDE minimal. Avec les champs hébergés et la tokenisation, le seul endroit où existent les données de carte est le coffre-fort, et votre périmètre restant concerne principalement la façon dont vous intégrez de manière sécurisée — une empreinte très réduite par rapport au stockage de cartes vous-même.
Réduisez votre environnement de données de titulaires
Parlez-nous de la façon dont les données de carte circulent dans vos systèmes aujourd'hui et nous cartographierons une configuration qui en sort la plupart du périmètre.