Wiele organizacji decyduje się na rozbudowaną segmentację sieciową jako metodę ograniczenia zakresu PCI DSS – tylko po to, by odkryć, że segmentacja sama w sobie wymaga znacznych inwestycji i generuje własne koszty compliance. Ten artykuł analizuje prawdziwy koszt segmentacji sieciowej i przedstawia alternatywne podejście: tokenizację jako metodę eliminacji CDE u źródła.
Ukryte koszty segmentacji sieciowej
Projekty segmentacji sieciowej dla celów PCI DSS często przekraczają budżety z powodu ukrytych kosztów: projektowanie jest trudniejsze niż zakładano (integracja z istniejącą infrastrukturą, zidentyfikowanie wszystkich przepływów danych kart), migracja systemów do nowych stref sieciowych wiąże się z przestojami, testy penetracyjne segmentacji ujawniają luki wymagające korekty, zarządzanie regułami firewalli staje się złożonym zadaniem przy rozrastaniu się infrastruktury.
Segmentacja a PCI DSS v4.0: nowe wymagania weryfikacji
PCI DSS v4.0 Wymaganie 11.4.5 wymaga testowania segmentacji co 6 miesięcy zamiast raz rocznie – dla organizacji, które doświadczyły naruszenia danych. Dla pozostałych organizacji, roczny test segmentacji jest obowiązkowy. Każdy test musi weryfikować, że segmentacja skutecznie izoluje CDE: tester próbuje dotrzeć z zewnątrz CDE do systemów wewnątrz, sprawdza reguły firewalli pod kątem permisywnych konfiguracji, testuje ścieżki obejścia segmentacji.
Tokenizacja jako alternatywa dla rozbudowanej segmentacji
Dla organizacji e-commerce, tokenizacja przez PCI Proxy EU często jest bardziej opłacalną alternatywą dla kosztownej segmentacji. Logika jest prosta: jeśli żaden PAN nie wchodzi do środowiska sprzedawcy, nie ma CDE do segmentowania. Hosted fields PCI Proxy EU zbierają PAN bezpośrednio do vault certyfikowanego PCI DSS Level 1 – sprzedawca otrzymuje tylko token. Rezultat: zero CDE po stronie sprzedawcy, zero kosztów segmentacji, zero testów penetracyjnych segmentacji.
Kiedy segmentacja jest nadal konieczna
Segmentacja sieciowa jest konieczna, gdy: sprzedawca korzysta z terminali POS lub kiosków płatniczych wymagających połączenia sieciowego z backoffice, call center obsługuje płatności MOTO ze starszymi systemami nie obsługującymi DTMF tokenization, system ERP lub PMS integruje się bezpośrednio z PSP przez API (i nie można wdrożyć warstwy tokenizacji). W tych przypadkach, segmentacja izoluje nieunikniony CDE – ale powinna być traktowana jako środek ostateczny, nie pierwszy wybór.
Hybrydowe podejście: tokenizacja + minimalna segmentacja
Optymalnym podejściem dla większości organizacji jest kombinacja: tokenizacja eliminuje CDE z warstwy aplikacyjnej (e-commerce, subskrypcje, card-on-file), minimalna segmentacja izoluje nieunikniony CDE (terminale POS, jeśli używane). To podejście hybrydowe maksymalizuje redukcję zakresu przy minimalnych kosztach infrastrukturalnych. W praktyce, organizacja może kwalifikować się do SAQ A dla e-commerce i oddzielnie do SAQ B dla terminali POS – co jest bardziej opłacalne niż jeden duży SAQ D.
Zredukuj koszty segmentacji dzięki tokenizacji
Tokenizacja PCI Proxy EU może zastąpić kosztowną segmentację sieciową dla Twoich przepływów e-commerce.
Porozmawiaj z ekspertem