DeReduzierung van de PCI DSS-Scopesis het primäre strategische Ziel voor elke Bedrijf, het Kartenzahlungen akzeptiert en Naleving-Kosten en -Aufwand minimieren möchte. De Bereik definieert, Welke Systemen, Personen en Processen PCI DSS-Controles unterliegen: u kleiner de Bereik, desto Minder Vereisten te vervullen, desto geringer de Naleving-Kosten.Tokenisatieis de wirkungsvollste Methode naar de Bereik-Reduzierung, omdat u het Probleem aan de Wurzel angeht: Kaartgegevens verlassen nie de Systemen van de Handelaar.
Wat De PCI DSS-Bereik definieert
DePCI DSS-Bereikumfasst Alle Systemen, Personen, Processen en Technologien, deKaarthoudergegevens (CHD)opslaan, verwerken of übertragen, alsmede Alle verbundenen Systemen en Alle Systemen, de van deze Systemen abhängen. Het betekent: Niet alleen de Datenbank met gespeicherten Kaartnummers is in het Bereik, sondern ook de Anwendungsserver, de Netzwerkschalter, de De Datenverkehr weiterleitet, het Sicherheitsüberwachungssystem met Agent op deze Servers en elke externe Dienst-Tool, het Toegang te Deze Infrastructuur heeft.
De Bereik wächst organisch met de IT-Komplexität: Elke Nieuwe Integratie, Elke Nieuwe Dienst, Elke Nieuwe Medewerker met Toegang te Zahlungssystemen uitgebreid potenziell de Grenze. Zonder proaktives Bereik-Management kunnen ook Bedrijf met geringem Transaktionsvolumen op het Ende met een zeer ausgedehnten CDE konfrontiert worden, de erhebliche Naleving-Kosten na zich zieht.
Hoe Tokenisatie De Bereik verkleint: De Mechanismus
De Bereik-Reduktionsmechanismus via Tokenisatie is konzeptionell eenvoudig: Wanneer geen PAN in de Systemen een Handelaar vorhanden is, fallen Deze Systemen niet in de CDE-Definition en zijn daarom niet PCI DSS-Bereik. MetPCI Proxy EUworden Kaartgegevens op de Pagina of het SDK van de Anbieters erfasst, in seinem gecertificeerde Vault opgeslagen en alleen een wertloser Token naar De Handelaar naar deückgegeben. Het Back-End van de Handelaar ontvangt De Token, de Datenbank slaat op De Token, Logs protokollieren De Token, nooit de PAN.
Praktisch ergibt zich folgendes: De Web-Server van de Handelaar, de Back-End-Datenbank, Protokollierungssysteme, Monitoring-Tools en Alle anderen Infrastrukturkomponenten, de eerder in het Bereik gewesen wären, verlassen de CDE. Het gehele Naleving-Last verbleibt alleen beim PCI Proxy EU Vault, dePCI DSS Level 1gecertificeerd is. De Handelaar gebruikt De gecertificeerde Perimeter van de Anbieters, zonder ihn intern warten te moeten.
Van SAQ D te SAQ A: de konkrete Naleving-Voordeel
De konkrete Auswirkung de Bereik-Reduzierung is de Übergang van een anspruchsvollenSAQ D(met über 200 Controles) te een EenvoudigeSAQ A(met etwa 20 Controles). SAQ D is voor Handelaar, de volledig in het Bereik zijn: vereist Netzwerksegmentierungsdokumentation, Penetratietests, ASV-Scans, MFA-Beleidsregels voor Alle CDE-Toegangen, Sicherheitsbewusstseinsprogramme en vierteljährliche interne Schwachstellenscans. SAQ A is voor Handelaar, de Kaartgegevens volledig naar een gecertificeerde Aanbieder ausgelagert hebben: vereist alleen fundamentele Sicherheitspraktiken voor de Website en de Bestätigung, dat geen Kaartgegevens de Systemen van de Handelaar passeren.
Deze Übergang entspricht een Reduzierung de jährlichen Naleving-Kosten van potenziell100.000 tot 300.000 Euro(voor SAQ D met externem Audit) op sommige tausend Euro (voor SAQ A met Zelfbeoordeling). Voor KMU kan dies De Unterschied tussen nachhaltiger en niet nachhaltiger Naleving ausmachen.
Veelgestelde vragen
Elimineert Tokenisatie Alle PCI DSS-Pflichten?
Nein, maar verkleint u erheblich. Ook met Tokenisatie blijven sommige Verpflichtungen bestehen: Beveiliging de Website (geen bösartiger Code op Checkout-Pagina's), HTTPS, fundamentele fysieke Beveiliging. Wat verschwindet, is de aufwändige Teil: CDE-Management, ASV-Scans, Penetratietests, MFA-Beleidsregels voor Zahlungssysteme, CDE-specifieke Zugangskontrolldokumentation. Het Ergebnis is SAQ A, de einfachste beschikbare Naleving-Rahmen.
Hoe bestätige ik, dat mein Bereik korrekt verkleint werd?
De Bestätigung erfolgt via het SAQ, het U na de Integratie de Tokenisierungslösung ausfüllen. is aan te raden, het SAQ met Uw Acquirer te besprechen, om sicherzustellen, dat de gewählte Architektur SAQ A zulässt. In einigen Fällen kan een QSA (Qualified Security Assessor) een Überprüfung durchführen, om te bestätigen, dat geen PAN de Systemen van de Handelaar durchläuft, dies is Het Beveiliging bij de Einstufung.
Geldt SAQ A ook voor terugkerende Betalingen en Card-on-File?
Ja, wanneer Kaartgegevens volledig van het PCI Proxy EU Vault beheert worden. Ook voor terugkerende Betalingen slaat op de Handelaar alleen De Token: Wanneer Het een Folgetransaktion initieert, fordert Het De Vault op, de PAN te verwerken. Da de Handelaar de PAN nie ziet of slaat op, blijft sein Bereik SAQ A. is belangrijk te bestätigen, dat ook Logs en Applicatiecode de PAN niet absichtlich of versehentlich zwischenspeichern.
Möchten U Uw PCI-bereik van SAQ D op SAQ A verkleinen?Ontdek PCI Proxy EU.
Hulp nodig bij PCI-naleving?
Ons team helpt u uw CDE in kaart te brengen, het juiste SAQ te kiezen en tokenisatie te implementeren met gegevensresidentie in de EU.
Neem contact op