DePCI DSS Netzwerksegmentierungis de Praxis, Systemen, de Kaartgegevens verwerken, via fysieke of logische Netzwerkkontrollen van het Rest de Unternehmensinfrastruktur te isolieren. U is technisch gesehen niet zwingend na PCI DSS vorgeschrieben, maar zonder u valt het gehele Unternehmensnetzwerk in de CDE-Perimeter, een Situation, de de Naleving voor Elke mittelgroße Organisatie praktisch unhaltbar maakt. Te verstehen, Hoe man u geïmplementeerd, Hoe viel u kostet en Wanneer de Tokenisatie een effizientere Alternative is, is voor een rationale Naleving-Strategie unerlässlich.
Wat Netzwerksegmentierung is en Waarom PCI DSS u vereist
Zonder Segmentatie valt elke Systeem, het met het Unternehmensnetzwerk verbonden is en ook alleen een indirekte Verbindung te Zahlungssystemen heeft, in de CDE. Het betekent, dat Workstations van Verwaltungsbüros, Videokonferenzsysteme, Netzwerkdrucker en Backup-Server Alle PCI DSS-Vereisten unterliegen kunnen, wanneer u het gleiche Netwerk Hoe de Zahlungssysteme teilen. De Perimeter explodiert en met ihm de Naleving-Kosten.
DeNetzwerksegmentierunglöst Dit Probleem, indem u een klare Scheiding tussen de CDE en het Rest van de Netzwerks creëert. Via Firewalls, VLANs, Netzwerkzugriffskontrollen en DMZ-Zonen worden Zahlungssysteme in een dedizierten Segment met streng kontrollierten Zugängen isoliert. Alleen Systemen, de een dokumentierten Technische Bedarf naar de Kommunikation met de CDE hebben, mogen dies tun, en Elke Toegang wordt gelogd en überwacht.
Kosten en Komplexität een korrekten Segmentatie
De korrekte Implementatie een Netzwerksegmentierung is niet trivial. U vereist toegewijde Firewalls tussen Segmenten, granulaire Filterregeln, Volledige Netzwerktopologiedokumentation, regelmatige Tests de Segmentierungseffektivität (einschließlich Penetratietests, de überprüfen, ob geen unautorisierten Pfade tussen Segmenten existieren) en een kontinuierliche Wartung, Wanneer altijd Systemen hinzugefügt of Datenflüsse geändert worden.
De Kosten een korrekten Segmentatie omvatten: toegewijde Netzwerkhardware (van5.000 tot 30.000 €voor een On-Premise-Infrastructuur), Beratungskosten voor Design en Implementatie, Kosten voor kontinuierliche Überwachung en Wartung alsmede Testkosten naar de Überprüfung, ob de Segmentatie in het Laufe de Tijd wirksam blijft. In Cloud-Omgevingen is de Segmentatie flexibler, vereist maar dennoch een sorgfältiges Design van VPCs, Security Groups en Routing-Regels.
Tokenisatie als Alternative naar de Hardware-Segmentatie
De Logik de Segmentatie lautet: Isolieren U de CDE van het Rest van de Netzwerks, om de Risikooberfläche te begrenzen. De Tokenisatie erreicht dasselbe Ziel radikaler: In plaats van de CDE te isolieren, elimineert u op de Händlerseite fast volledig. Wanneer Uw Systemen nooitPANsverwerken, hebben U geen CDE te isolieren. De Segmentatie wordt irrelevant, omdat op Uw Servers nichts te beschermen is.
Voor Organisaties, de al in Netzwerksegmentierung investiert hebben, fügt de Tokenisatie een zweite Schutzschicht hinzu: U verkleint de CDE weiter en vereinfacht de Topologie. Voor diejenigen, de de Segmentatie nog niet geïmplementeerd hebben, kan de vorrangige Introductie de Tokenisatie de Investition in een toegewijde Netzwerkinfrastruktur volledig vermijden. De Prioritätenreihenfolge hängt van de bestehenden Architektur en het Naleving-Zeitplan ab.
Veelgestelde vragen
Reicht de VLAN-Segmentatie voor PCI DSS uit?
VLANs allein worden van PCI DSS niet als ausreichend angesehen, sei denn, u worden van Firewalls begleitet, de De Datenverkehr tussen Segmenten filtern. Een VLAN zonder Firewall is een logische Scheiding, de via Fehlkonfigurationen of VLAN-Hopping-Aanvallen umgangen worden kan. PCI DSS verlangt, dat de Segmentatie überprüfbar en in het jährlichen Penetratietest getestet wordt.
Moet ook de Testumgebung segmentiert worden?
Ja, wanneer de Testumgebung echte Kaartgegevens gebruikt. PCI DSS fordert ausdrücklich, dat Testdaten geen echten Kaartgegevens zijn en dat Ontwikkelings-- en Testumgebungen van de Produktionsumgebung getrennt zijn. Wanneer U Deze Regel befolgen, valt de Testumgebung niet in de CDE en moet geen specifieke Segmentatie aufweisen.
Hoe viele Firewalls worden benötigt, om de CDE te isolieren?
is Het geen feste Zahl: hängt van de Netzwerktopologie en de Anzahl de Zugangspunkte naar de CDE ab. In een typische Architektur worden mindestens een Perimeter-Firewall, de de CDE van het Internet trennt, en een, de de CDE van het interne Netwerk trennt, benötigt. In komplexen Omgevingen met mehreren DMZ-Zonen en mehreren Zugriffsflüssen kan de Zahl höher sein. De Regel is, dat Elke Toegang op de CDE een Firewall met expliziten Regels passeren moet.
Möchten U De PCI-bereik verkleinen, zonder in Segmentierungsinfrastruktur te investieren?PCI Proxy EU Ontdekken.
Hulp nodig bij PCI-naleving?
Ons team helpt u uw CDE in kaart te brengen, het juiste SAQ te kiezen en tokenisatie te implementeren met gegevensresidentie in de EU.
Neem contact op