A PCI DSS hatókör-csökkentése – a CDE-be eső rendszerek, folyamatok és hálózatok számának csökkentése – a megfelelőségi költségek és összetettség mérséklésének leghatékonyabb stratégiája. A tokenizáció ennek a stratégiának a fő eszköze: a PAN eliminálásával a kereskedő környezetéből radikálisan csökkenti az auditálást és tanúsítást igénylő komponensek számát.
Miért prioritás a hatókör-csökkentés?
Minden PCI DSS hatókörbe tartozó rendszer költséget generál: az adott rendszer politikáinak és eljárásainak dokumentálása, rendszeres sebezhetőségi vizsgálatok és behatolásvizsgálatok, biztonsági naplók és figyelmeztetések monitorozása, hozzáféréssel rendelkező személyzet képzése, esetleges javítások az auditálás során. Ezeknek a költségeknek a CDE-ben lévő rendszerek számával való megszorzása adja a teljes megfelelőségi költségkeretet. A CDE-ben lévő rendszerek számának csökkentése közvetlenül csökkenti a költségvetést – kereskedői szinttől függetlenül.
1. lépés: Az összes PAN-adatfolyam feltérképezése
Ami nem mérhető, az nem csökkenthető. Az első lépés az összes kártyaadat-folyamat részletes feltérképezése: hol lép be a PAN a környezetbe (űrlapok, API-k, terminálok, e-mail, telefon), milyen rendszereken megy keresztül a PAN (alkalmazásszerverek, adatbázisok, biztonsági mentési rendszerek, naplózási rendszerek), hol hagyja el a PAN a környezetet (PSP-nek való továbbítás, exportok). A térkép minden pontja potenciális jelölt a tokenizációval való eliminálásra.
2. lépés: Fizetési űrlapok cseréje hosted fields megoldásra
A CDE hatókörére a legnagyobb hatással a fizetési űrlapok vannak. A saját űrlapok PCI Proxy EU hosted fields megoldásra való cseréje kiküszöböli a PAN-nak a kereskedő alkalmazásszerverein való áthaladását. Technikai lépések: távolítsa el a kártyaadatok saját beviteli mezőit, szúrja be a PCI Proxy EU hosted fields megoldását (egyszerű iframe vagy JavaScript), frissítse a folyamatot: token helyett PAN kerül a backendbe. Eredmény: az alkalmazásszerver nem dolgozza fel a PAN-t, és kikerül a CDE hatóköréből.
3. lépés: Meglévő kártyarekordok migrálása a vaultba
Ha az adatbázis PAN-t tartalmazó meglévő rekordokat tartalmaz (korábbi tranzakciókból), szükséges a tokenekre való migráció. A migrációs folyamat: minden adatbázisban lévő PAN esetén hívja meg a PCI Proxy EU tokenizációs végpontját, cserélje ki a PAN-t tokenre az adatbázisban, ellenőrizze a token integritását (tranzakció-teszt), törölje az eredeti PAN-rekordokat. A migráció után az adatbázis kizárólag tokeneket tartalmaz, és kikerül a CDE hatóköréből. Fontos: a migráció utáni vizsgálatok és behatolásvizsgálatok megerősítik, hogy nem maradtak reziduális PAN-ok.
Eredmény: SAQ D-ről SAQ A-ra
Az a kereskedő, aki sikeresen bevezette a tokenizációt és eliminálja a PAN-t rendszereiből, az SAQ A-ra is jogosulttá válhat. Összehasonlítás: az SAQ D 329 kérdést és technikai kontrollt igényel, specializált auditokat, évi 50–300 ezer euró költséggel. Az SAQ A mindössze 22 kérdéssel jár, önállóan tölthető ki, és néhány tíz órányi munkát jelent. Ez a hatókör-csökkentés a PCI DSS-megfelelőségi költségek 80–95%-os megtakarítását eredményezi – miközben növeli a biztonságot.
Csökkentse PCI DSS hatókörét SAQ D-ről SAQ A-ra
Szakértőink elvégzik a CDE hatókörének elemzését, és javaslatot tesznek a csökkentési tervre. Lépjen kapcsolatba velünk.
Konzultáljon szakértőnkkel