Cos'è un ambiente dati titolari di carta?
Il tuo CDE è tutto ciò che archivia, elabora o trasmette dati delle carte — e definisce il tuo perimetro PCI DSS. Più è piccolo, più la conformità diventa economica e semplice. Ecco cosa contiene e come ridurlo.
Cosa conta come parte del tuo CDE
Il CDE comprende le persone, i processi e la tecnologia che archiviano, elaborano o trasmettono i dati del titolare carta — più qualsiasi sistema ad essi connesso. Se può toccare un numero di carta, è nel perimetro.
Web e checkout
Siti, app e pagine di pagamento dove le carte vengono inserite o trasmesse.
Server e applicazioni
Server applicativi e servizi che ricevono, instradano o elaborano dati delle carte.
Archivi di dati
Database, file, log e backup che contengono dati del titolare carta, anche temporaneamente.
Reti
I segmenti di rete attraversati dai dati, e qualsiasi sistema che può raggiungerli.
Persone e telefono
Personale e flussi call center che gestiscono carte per telefono o di persona.
Sistemi connessi
Tutto ciò che è connesso a quanto sopra può essere anch'esso incluso nel perimetro.
Un CDE più piccolo è l'obiettivo principale
Ogni sistema nel tuo CDE deve essere protetto, documentato e verificato. Il modo più efficace per tagliare costi e rischi PCI è rendere il CDE più piccolo. La tokenizzazione fa esattamente questo: le carte vengono acquisite direttamente in un vault PCI DSS Level 1 esterno, così i tuoi sistemi non contengono mai dati delle carte ed escono dal perimetro.
Come funziona la tokenizzazioneAcquisizione nel vault
I campi ospitati inviano le carte direttamente al vault — mai ai tuoi server.
Conserva token, non carte
Le tue app e database archiviano token, che sono inutili in caso di fuga.
Valutazione più piccola
Con i dati delle carte fuori dai tuoi sistemi, la maggior parte dei merchant passa a SAQ A.
Ambiente dati titolari di carta: le domande più frequenti
01 Cos'è un ambiente dati titolari di carta (CDE)?
L'ambiente dati titolari di carta è l'insieme di persone, processi e tecnologie che archiviano, elaborano o trasmettono dati del titolare carta — più qualsiasi sistema ad essi connesso. Include i tuoi server web, applicazioni, database, reti e personale che tocca i dati delle carte, e definisce il perimetro della tua valutazione PCI DSS.
02 Perché il CDE è importante per PCI DSS?
PCI DSS si applica a tutto ciò che è nel tuo CDE e a tutto ciò che vi è connesso. Più grande è il tuo CDE, più sistemi devi proteggere, documentare e verificare. Ridurre il CDE è il modo più efficace per abbassare costi, rischi e sforzi PCI.
03 Come la tokenizzazione riduce il CDE?
La tokenizzazione acquisisce la carta direttamente in un vault PCI DSS Level 1 esterno e restituisce un token. Poiché i dati reali della carta non arrivano mai nei tuoi sistemi, quei sistemi escono dal CDE — per la maggior parte dei merchant l'ambiente si riduce drasticamente e la validazione passa da SAQ D a SAQ A.
04 Il CDE può mai essere ridotto a zero?
Non puoi eliminare completamente gli obblighi PCI, ma puoi avvicinarti a un CDE minimo. Con campi ospitati e tokenizzazione, l'unico posto in cui esistono i dati delle carte è il vault, e il tuo perimetro residuo riguarda principalmente come ti integri in modo sicuro — un footprint molto piccolo rispetto all'archiviazione diretta delle carte.
Riduci il tuo ambiente dati titolari di carta
Raccontaci come i dati delle carte attraversano i tuoi sistemi oggi e ti mostreremo una configurazione che fa uscire la maggior parte di essi dal perimetro.