Wat is een kaarthouder-gegevensomgeving?
Uw CDE is alles wat kaartdata opslaat, verwerkt of doorgeeft — en bepaalt uw PCI DSS-scope. Hoe kleiner het is, hoe goedkoper en eenvoudiger naleving wordt. Hier leest u wat erin zit en hoe u het kunt verkleinen.
Wat behoort tot uw CDE
De CDE omvat de mensen, processen en technologie die kaarthouderdata opslaan, verwerken of doorgeven — plus elk systeem dat daarmee verbonden is. Als het een kaartnummer kan aanraken, valt het in scope.
Web & kassa
Sites, apps en betaalpagina's waar kaarten worden ingevoerd of doorgegeven.
Servers & apps
Applicatieservers en diensten die kaartdata ontvangen, routeren of verwerken.
Dataopslag
Databases, bestanden, logboeken en back-ups die kaarthouderdata bevatten, ook tijdelijk.
Netwerken
Netwerksegmenten die de data doorkruist, en alle systemen die ze kunnen bereiken.
Mensen & telefoon
Medewerkers en callcenterstromen die kaarten telefonisch of aan een balie verwerken.
Verbonden systemen
Alles wat verbonden is met het bovenstaande kan ook in scope worden getrokken.
Een kleinere CDE is het hele spel
Elk systeem in uw CDE moet worden beveiligd, gedocumenteerd en geauditeerd. De krachtigste manier om PCI-kosten en risico's te verlagen is de CDE kleiner te maken. Tokenisatie doet precies dat: kaarten worden rechtstreeks in een externe PCI DSS Level 1-kluis vastgelegd, zodat uw eigen systemen nooit kaartdata bevatten en buiten scope vallen.
Hoe tokenisatie werktVastleggen in de kluis
Hosted fields sturen kaarten rechtstreeks naar de kluis — nooit via uw servers.
Tokens bewaren, geen kaarten
Uw apps en databases slaan tokens op, die waardeloos zijn als ze uitlekken.
Kleinere beoordeling
Met kaartdata buiten uw systemen verhuizen de meeste handelaren naar SAQ A.
Kaarthouder-gegevensomgeving, beantwoord
01 Wat is een kaarthouder-gegevensomgeving (CDE)?
De kaarthouder-gegevensomgeving is het geheel van mensen, processen en technologie dat kaarthouderdata opslaat, verwerkt of doorgeeft — plus alle systemen die daarmee verbonden zijn. Het omvat uw webservers, applicaties, databases, netwerken en medewerkers die kaartdata aanraken, en bepaalt de reikwijdte van uw PCI DSS-beoordeling.
02 Waarom is de CDE belangrijk voor PCI DSS?
PCI DSS is van toepassing op alles in uw CDE en alles wat daarmee verbonden is. Hoe groter uw CDE, hoe meer systemen u moet beveiligen, documenteren en auditeren. Het verkleinen van de CDE is de meest effectieve manier om PCI-kosten, risico's en inspanningen te verminderen.
03 Hoe verkleint tokenisatie de CDE?
Tokenisatie legt de kaart rechtstreeks vast in een externe PCI DSS Level 1-kluis en retourneert een token. Omdat echte kaartdata nooit in uw systemen terechtkomt, vallen die systemen buiten de CDE — voor de meeste handelaren krimpt de omgeving drastisch en verschuift de validatie van SAQ D naar SAQ A.
04 Kan de CDE ooit naar nul worden verkleind?
U kunt PCI-verplichtingen niet volledig wegnemen, maar u kunt dicht bij een minimale CDE komen. Met hosted fields en tokenisatie bestaat kaartdata alleen nog in de kluis, en uw resterende scope gaat vooral over hoe u veilig integreert — een zeer kleine voetafdruk vergeleken met het zelf opslaan van kaarten.
Verklein uw kaarthouder-gegevensomgeving
Vertel ons hoe kaartdata vandaag door uw systemen stroomt en wij ontwerpen een opzet die de meeste ervan buiten scope brengt.