Mi a kártyaadat-környezet?
A CDE minden, ami kártyaadatokat tárol, dolgoz fel vagy továbbít — és ez határozza meg a PCI DSS hatókörét. Minél kisebb, annál olcsóbb és egyszerűbb a megfelelőség. Íme, mi alkotja, és hogyan szűkíthető.
Mi számít a CDE részének
A CDE azok az emberek, folyamatok és technológiák, amelyek kártyaadat-tulajdonosi adatokat tárolnak, dolgoznak fel vagy továbbítanak — valamint az ezekhez kapcsolódó rendszerek. Ha érintkezhet egy kártyaszámmal, az hatókörben van.
Web és pénztár
Weboldalak, alkalmazások és fizetési oldalak, ahol kártyákat visznek be vagy továbbítanak.
Szerverek és alkalmazások
Alkalmazásszerverek és szolgáltatások, amelyek kártyaadatokat fogadnak, irányítanak vagy dolgoznak fel.
Adattárak
Adatbázisok, fájlok, naplók és biztonsági másolatok, amelyek kártyaadatokat tartalmaznak, még ideiglenesen is.
Hálózatok
Hálózati szegmensek, amelyeken az adatok áthaladnak, és bármely rendszer, amely elérheti ezeket.
Emberek és telefon
Munkatársak és call center folyamatok, amelyek telefonon vagy asztalnál kezelik a kártyákat.
Kapcsolódó rendszerek
Minden, ami az előbbiekkel kapcsolatban van, szintén hatókörbe kerülhet.
A kisebb CDE maga a cél
A CDE-ben lévő minden rendszert biztosítani, dokumentálni és auditálni kell. A PCI költség és kockázat csökkentésének legerőteljesebb módja a CDE kisebb mérete. A tokenizáció pontosan ezt csinálja: a kártyákat közvetlenül egy külső PCI DSS Level 1 vaultba rögzíti, így a saját rendszerei soha nem tartanak kártyaadatokat, és kikerülnek a hatókörből.
Hogyan működik a tokenizációRögzítés a vaultba
A beágyazott mezők közvetlenül a vaultba küldik a kártyákat — soha nem a szerverekre.
Tokeneket tárol, nem kártyákat
Az alkalmazások és adatbázisok tokeneket tárolnak, amelyek értéktelenek, ha kiszivárognak.
Kisebb értékelés
Ha a kártyaadatok kikerülnek a rendszereiből, a legtöbb kereskedő SAQ A-ra vált.
Kártyaadat-környezet – válaszok
01 Mi a kártyaadat-környezet (CDE)?
A kártyaadat-környezet azok az emberek, folyamatok és technológiák összessége, amelyek kártyaadat-tulajdonosi adatokat tárolnak, dolgoznak fel vagy továbbítanak — valamint az ezekhez kapcsolódó rendszerek. Ide tartoznak a webszerverei, alkalmazásai, adatbázisai, hálózatai és a kártyaadatokat érintő munkatársak, és ez határozza meg a PCI DSS értékelés hatókörét.
02 Miért fontos a CDE a PCI DSS szempontjából?
A PCI DSS a CDE-ben lévő minden rendszerre és az azokhoz kapcsolódó mindenre vonatkozik. Minél nagyobb a CDE, annál több rendszert kell biztonságossá tenni, dokumentálni és auditálni. A CDE szűkítése az egyetlen leghatékonyabb módja a PCI költség, kockázat és erőfeszítés csökkentésének.
03 Hogyan csökkenti a tokenizáció a CDE-t?
A tokenizáció közvetlenül egy külső PCI DSS Level 1 vaultba rögzíti a kártyát, és tokent ad vissza. Mivel a valódi kártyaadatok soha nem kerülnek be a rendszereibe, ezek a rendszerek kikerülnek a CDE-ből — a legtöbb kereskedőnél a környezet drámaian összeszűkül, és az érvényesítés SAQ D-ről SAQ A-ra vált.
04 A CDE valaha is csökkenthető nullára?
A PCI kötelezettségeket nem lehet teljesen eltávolítani, de közel kerülhet a minimális CDE-hez. Beágyazott mezőkkel és tokenizációval az egyetlen hely, ahol kártyaadatok léteznek, a vault, és a fennmaradó hatókör főleg arról szól, hogyan integrálódik biztonságosan — nagyon kis lábnyom ahhoz képest, mintha maga tárolna kártyákat.
Szűkítse a kártyaadat-környezetét
Meséljen arról, hogyan áramlanak ma a kártyaadatok a rendszerein, és feltérképezzük azt a beállítást, amely kivonja a legtöbbet a hatókörből.