Redukcja zakresu PCI DSS – zmniejszenie liczby systemów, procesów i sieci wchodzących w CDE – jest najskuteczniejszą strategią obniżenia kosztów i złożoności compliance. Tokenizacja jest głównym narzędziem realizacji tej strategii: eliminując PAN ze środowiska sprzedawcy, radykalnie zmniejsza liczbę komponentów wymagających audytu i certyfikacji.
Dlaczego redukcja zakresu jest priorytetem
Każdy system w zakresie PCI DSS generuje koszty: dokumentacja polityk i procedur dla tego systemu, regularne skany podatności i testy penetracyjne, monitorowanie logów i alertów bezpieczeństwa, szkolenia personelu mającego dostęp, potencjalne korekty przy audycie. Pomnożenie tych kosztów przez liczbę systemów w CDE daje łączny budżet compliance. Redukcja liczby systemów w CDE bezpośrednio redukuje budżet – niezależnie od poziomu sprzedawcy.
Krok 1: Mapa wszystkich przepływów PAN
Nie można zredukować tego, czego nie można zmierzyć. Pierwszym krokiem jest szczegółowe mapowanie wszystkich przepływów danych kart: gdzie PAN wchodzi do środowiska (formularze, API, terminale, e-mail, telefon), przez jakie systemy PAN przechodzi (serwery aplikacji, bazy danych, systemy kopii zapasowych, systemy logowania), gdzie PAN opuszcza środowisko (transmisja do PSP, eksporty). Każdy punkt na tej mapie jest potencjalnym kandydatem do eliminacji przez tokenizację.
Krok 2: Zastąpienie formularzy płatności hosted fields
Największy wpływ na zakres CDE mają formularze płatności. Zastąpienie własnych formularzy hosted fields PCI Proxy EU eliminuje przepływ PAN przez serwery aplikacji sprzedawcy. Techniczne kroki: usuń własne pola input dla danych karty, wstaw hosted fields PCI Proxy EU (prosty iframe lub JavaScript), zaktualizuj przepływ: token zamiast PAN trafia do backendu. Rezultat: serwer aplikacji nie przetwarza PAN, wychodząc z zakresu CDE.
Krok 3: Migracja istniejących rekordów kart do vault
Jeśli baza danych zawiera istniejące rekordy z PAN (z historycznych transakcji), konieczna jest migracja do tokenów. Proces migracji: dla każdego PAN w bazie, wywołaj endpoint tokenizacji PCI Proxy EU, zastąp PAN tokenem w bazie danych, zweryfikuj integralność tokenu (test transakcji), usuń oryginalne rekordy PAN. Po migracji, baza danych zawiera wyłącznie tokeny i wychodzi z zakresu CDE. Ważne: skany i testy penetracyjne po migracji potwierdzą brak residualnych PAN.
Rezultat: z SAQ D do SAQ A
Sprzedawca, który skutecznie wdrożył tokenizację i wyeliminował PAN ze swoich systemów, może kwalifikować się do SAQ A. Porównanie: SAQ D wymaga 329 pytań i kontroli technicznych, audytów specjalistycznych, kosztuje 50-300 tys. euro rocznie. SAQ A wymaga 22 pytań, jest wypełniony samodzielnie, kosztuje kilkanaście godzin pracy. Ta redukcja zakresu przekłada się na oszczędności rzędu 80-95% kosztów compliance PCI DSS – przy jednoczesnym zwiększeniu bezpieczeństwa.
Zredukuj zakres PCI DSS z SAQ D do SAQ A
Nasi eksperci przeprowadzą analizę zakresu Twojego CDE i zaproponują plan redukcji. Skontaktuj się z nami.
Porozmawiaj z ekspertem