DeCDE (Cardholder Data Environment)is het Herzstück van de PCI DSS-Naleving-Perimeters: is de Gesamtheit de Systemen, Personen en Processen, de Kaarthoudergegevens opslaan, verwerken of übertragen, alsmede Alle verbundenen Systemen. u größHet de CDE, desto größHet de Naleving-Last en desto höher de Kosten de jährlichen Certificering. Het Verständnis, Wat in de CDE valt, en de strategische Gebruik van Tokenisatie naar de Reduzierung van de Perimeters is de meest effectieve Aanpak voor het Naleving-Management.
Wat in de CDE valt: Systemen, Gegevens en Personen
DePCI DSS CDEumfasst drei Kategorien verbundener Elemente. De Eerste Kategorie zijnSystemen, de Kaarthoudergegevens opslaan, verwerken of übertragen: Databases met gespeicherten PANs, Anwendungsserver, de Zahlungsformulare verwalten, Punkt-te-Punkt-Verschlüsselungshardware, Netzwerkgeräte, de Zahlungsnetzwerke weiterleiten. De zweite Kategorie zijnPersonen met Toegang te deze Systemen: Systemadministratoren, Ontwikkelaar, de de Betalingsapplicatie verwalten, Callcenter-Agenten, de PANs invoeren. De dritte Kategorie zijnProcessen, de Deze Systemen berühren: Sicherungs-Processen, Patch-Management-Beleidsregels, Zugangsverwaltungsverfahren.
Elke Element, het met een Deze Systemen verbonden is en theoretisch op Kaarthoudergegevens toegang krijgen könnte, valt ebenfalls in de CDE. Dazu gehören Systemen naar de Fernverwaltung van Servers, Sicherheitsüberwachungssysteme, Systemen naar de Protokollerfassung en Alle Dienste Dritter, de privilegierten Toegang naar de Infrastructuur hebben. De CDE wächst natürlich met de Komplexität de Infrastructuur: Elke Nieuwe Dienst, de geïntegreerd wordt, zonder de CDE-Grenzen te berücksichtigen, uitgebreid De Perimeter en folglich de Naleving-Kosten.
Kosten de CDE-Wartung: Audits, Scans, Tests
De Kosten voor de Wartung een PCI DSS-CDE zijn erheblich en schließen directe en indirekte Posten een. Te De directe Kosten gehören:QSA-Audit(Qualified Security Assessor, vereist voor Level-1-Handelaar en -Dienstverlener): tussen20.000 en 100.000 Eurou na Komplexität;vierteljährliche ASV-Schwachstellenscans(Approved Scanning Vendor): tussen 500 en 5.000 Euro pro Kwartaal;jaarlijkse Penetratietests: tussen 10.000 en 50.000 Euro; Kosten voor Sicherheitszertifikate, WAF-Firewalls en CDE-specifieke Zugangskontrollsysteme.
Te De indirekten Kosten gehören Personalzeit voor de Beheer van Naleving-Documentatie, Schulungen voor Medewerker met Toegang naar de CDE, toegewijde Sicherheitssoftware en de Naleving van PCI DSS-Vereisten voor Software-Ontwikkeling. Een Bedrijf met een mittelgroßen CDE kan leicht150.000 tot 300.000 Euro pro Jaarausgeben, om De Standaard aufrechtzuerhalten. De Reduzierung van de Perimeters is damit direct rentabel.
Hoe Tokenisatie de CDE op fast null verkleint
Wanneer een HandelaarPCI Proxy EUgeïntegreerd, passeren Kaartgegevens nooit de eigene Infrastructuur. Het Erfassungsformular wordt van PCI Proxy EU gehostet, de PAN wordt abgefangen en via een Token ersetzt, bevor u de Systemen van de Handelaar erreicht. Ergebnis: In De Systemen van de Handelaar is Het geen PAN, weder in Databases nog in Protokollen, nog in het Applicatiecode. Het Bedrijf tritt uit de CDE uit.
In de Praxis betekent dies: geen vierteljährlichen ASV-Scans (of Minder umfangreiche, begrenzt op externe Umfänge), geen jährliches QSA-Audit (Übergang te SAQ A voor viele Handelaar), geen Netzwerksegmentierungsanforderungen voor de CDE en reduziertes Schulungsprogramm voor Personal. Alleen de PCI Proxy EU Vault verbleibt in het Bereik, dePCI DSS Level 1gecertificeerd en van onze Sicherheitsteam beheert wordt. De Handelaar profitiert van het gecertificeerde Perimeter van de Anbieters.
Veelgestelde vragen
Wanneer ik alleen Token speichere, habe ik geen CDE Meer?
In De meisten Fällen ja. Wanneer geen echte PAN in Uw Systemen vorhanden is, weder in Databases, nog in Protokollen, nog in het Applicatiecode, fallen Uw Systemen niet in de CDE-Definition. is echter altijd notwendig, De Naleving-Status met het Acquirer te bestätigen en het entsprechende SAQ auszufüllen. Sommige kontextspezifische Pflichten kunnen verbleiben, maar de Gesamtumfang is erheblich verkleint.
Wat zijn verbundene Systemen in de CDE?
Verbundene Systemen zijn Alle Systemen, de met CDE-Systemen kommunizieren en theoretisch op Kaarthoudergegevens toegang krijgen könnten, ook wanneer u niet direct verwerken. Een Sicherheitsüberwachungssystem met Agent op een Server, de PANs bevat, is een verbundenes Systeem. Een E-Mail-Server, de Zahlungsbenachrichtigungen stuurt, de een Referenztransaktionsnummer bevatten, is ebenfalls een verbundenes Systeem, wanneer Deze Nummer met PANs korrelierbar is.
Hoe erkenne ik, ob ik een CDE habe?
Beginnen U met de Kartierung van de Datenflusses: Waar geven Klanten Kaartgegevens een? Welke Server ontvangen Deze Gegevens? Waar worden u opgeslagen? Welke Systemen zijn met deze Servers verbonden? Elke Teil Deze Infrastructuur is de CDE. Wanneer de Zahlungsfluss volledig van een gecertificeerde Aanbieder Hoe PCI Proxy EU beheert wordt en Uw Systemen alleen Tokens ontvangen, hebben U wahrscheinlich geen CDE.
Möchten U Uw CDE verkleinen en Naleving-Kosten senken?Ontdek PCI Proxy EU.
Hulp nodig bij PCI-naleving?
Ons team helpt u uw CDE in kaart te brengen, het juiste SAQ te kiezen en tokenisatie te implementeren met gegevensresidentie in de EU.
Neem contact op