Il cardholder data environment, o CDE, è il perimetro tecnico e organizzativo all'interno del quale vengono trattati i dati dei titolari di carta. Qualsiasi sistema che archivia, processa o trasmette dati carta rientra nel CDE e deve rispettare l'intero set di requisiti PCI DSS. Capire esattamente cosa entra in questo perimetro è il primo passo per capire quanto costa mantenerlo e come ridurlo.
Cosa entra nel CDE: la mappa del perimetro PCI DSS
Per definizione PCI DSS, il CDE include tutti i sistemi che archiviano, processano o trasmettono dati carta (PAN, data di scadenza, CVV, dati della traccia magnetica), oltre ai sistemi che hanno connettività con quei sistemi. Questo secondo punto è quello che sorprende di più: un server che non tocca mai un dato carta ma che è connesso in rete a un server che lo fa rientra comunque nel perimetro.
Componenti che tipicamente entrano nel CDE senza che i team IT se ne rendano conto:
- Server di log e SIEM se raccolgono log da sistemi che trattano PAN
- Sistemi di backup se includono snapshot di database con dati carta
- Workstation degli amministratori con accesso ai sistemi di pagamento
- Sistemi di monitoraggio e alerting connessi all'infrastruttura di pagamento
- Server di sviluppo e staging se usano dati carta reali per i test
Quanto costa mantenere un CDE conforme
Il costo di mantenimento di un CDE conforme non è solo il costo del penetration test annuale o del vulnerability scan trimestrale. Include il costo del personale dedicato alla gestione delle policy di accesso, il costo dei tool di SIEM e logging, le ore di revisione annuale della documentazione, i costi di consulenza per il SAQ o il QSA, e il costo delle modifiche architetturali necessarie ogni volta che si aggiunge un nuovo componente all'infrastruttura.
Per una PMI con un CDE di media dimensione, questi costi si attestano tra i 20.000 e i 60.000 euro l'anno. Per un'azienda con infrastruttura distribuita e più ambienti, i costi possono essere multipli di questo. La variabile che influisce di più non è la dimensione dell'azienda, ma l'ampiezza del CDE: più sistemi sono in scope, più le attività di compliance si moltiplicano.
Come la tokenizzazione riduce il CDE a quasi zero
La logica della riduzione del CDE con la tokenizzazione è diretta: se nessun dato carta transita per i tuoi sistemi, nessun tuo sistema è nel CDE. Il vault certificato di PCI Proxy EU diventa il componente in scope al posto dei tuoi server. I tuoi sistemi ricevono e gestiscono solo token opachi, che non hanno valore per un attaccante anche in caso di breach.
In pratica, l'architettura post-tokenizzazione è questa: il checkout invia i dati carta direttamente al vault tramite un form hosted o un SDK client-side; il vault restituisce un token al tuo backend; il tuo backend usa il token per qualsiasi operazione successiva. I tuoi server di log, i tuoi sistemi di backup, i tuoi CRM non vedono mai un PAN. Il risultato è un CDE ridotto quasi a zero lato merchant, con tutti i requisiti di sicurezza più onerosi che si spostano sul provider certificato.
Domande frequenti
Un server di log rientra nel CDE?
Dipende da cosa raccoglie e da cosa è connesso. Se il server di log raccoglie log da sistemi che trattano PAN, oppure è connesso in rete a quei sistemi, rientra nel perimetro CDE. Se il server di log è completamente isolato da qualsiasi sistema di pagamento, può essere considerato out-of-scope, ma questa esclusione deve essere documentata e verificabile.
La segmentazione di rete elimina il CDE?
La network segmentation non elimina il CDE: lo delimita. I sistemi che trattano PAN rimangono in scope; la segmentazione serve a impedire che altri sistemi vengano trascinati nel perimetro per via della connettività. La tokenizzazione è l'unico approccio che riduce il CDE alla fonte, eliminando la necessità di trattare PAN nei sistemi del merchant.
Con PCI Proxy EU il mio database è ancora in scope?
Se il tuo database non archivia e non riceve mai PAN, non rientra nel CDE. Con PCI Proxy EU, il tuo database riceve solo token: non c'è ragione tecnica per includerlo nel perimetro PCI DSS, a condizione che non abbia connettività diretta con sistemi che trattano PAN e che questa segregazione sia documentata.
Vuoi mappare il tuo CDE e capire quanto puoi ridurlo con la tokenizzazione? Scopri PCI Proxy EU.