Segmentacja sieciowa jest jedną z najskuteczniejszych technik ograniczania zakresu PCI DSS. Przez izolację środowiska CDE od reszty infrastruktury IT, można znacząco zmniejszyć liczbę systemów podlegających audytowi i wymaganiom PCI DSS. Jednak segmentacja sieciowa jest kosztowna w implementacji i wymaga ciągłego utrzymania – tokenizacja oferuje komplementarne, często tańsze podejście.
Dlaczego segmentacja sieciowa ogranicza zakres PCI DSS
Bez segmentacji, każdy system w tej samej sieci co CDE jest potencjalnie w zakresie PCI DSS – nawet jeśli nie przetwarza bezpośrednio danych kart. Segmentacja sieciowa przez VLAN, zapora ogniowa lub strefy bezpieczeństwa izoluje CDE od reszty infrastruktury. Systemy poza segmentem CDE, bez ścieżek sieciowych do CDE, mogą być wykluczone z zakresu PCI DSS. To fundamentalne zmniejszenie powierzchni audytu.
Rodzaje segmentacji sieciowej akceptowane przez PCI DSS
PCI DSS akceptuje kilka metod segmentacji: VLAN z odpowiednimi regułami ACL (Access Control List) – wymaga weryfikacji przez testy penetracyjne segmentacji, fizyczna separacja sieci – najsilniejsza, ale kosztowna infrastrukturalnie, zapora ogniowa z regułami 'deny-all' i allowlistą – standard dla większości organizacji, mikro-segmentacja w środowiskach wirtualnych – coraz powszechniejsza w cloud. Każda metoda musi być przetestowana przez coroczny test penetracyjny segmentacji.
Wymagania PCI DSS v4.0 dla segmentacji
PCI DSS v4.0 wzmacnia wymagania dotyczące segmentacji sieciowej. Wymaganie 11.4.5: coroczne testy penetracyjne segmentacji dla wszystkich metod segmentacji. Wymaganie 12.3.2: roczna ocena celowości i skuteczności kontroli zakresu CDE. Dokumentacja segmentacji musi uwzględniać: diagramy sieciowe, reguły firewalli, przepływy danych kart, uzasadnienie, że systemy poza CDE nie mają dostępu do środowiska kart. Wymóg testowania segmentacji co 6 miesięcy po naruszeniu danych.
Koszt implementacji i utrzymania segmentacji
Segmentacja sieciowa jest kosztowna. Koszty jednorazowe: projektowanie architektury segmentacji (20-50 tys. euro), sprzęt sieciowy (firewalle, przełączniki – 30-100 tys. euro), implementacja i testowanie (30-80 tys. euro w pracy inżynierów). Koszty roczne: testy penetracyjne segmentacji (10-30 tys. euro), monitoring i zarządzanie regułami (personel wewnętrzny), aktualizacje sprzętu co 3-5 lat. Dla organizacji, gdzie tokenizacja może całkowicie wyeliminować CDE, inwestycja w segmentację może być zbędna.
Segmentacja vs. tokenizacja: komplementarne podejścia
Segmentacja i tokenizacja nie są alternatywami – są komplementarne. Segmentacja: izoluje środowisko, w którym dane kart są przetwarzane. Tokenizacja: eliminuje dane kart z przetwarzania przez systemy sprzedawcy. W idealnej architekturze: tokenizacja eliminuje CDE ze środowiska sprzedawcy (hosted fields), vault PCI Proxy EU (w infrastrukturze certyfikowanego dostawcy) jest segmentowany od systemów zewnętrznych. Sprzedawca korzysta z tokenizacji bez potrzeby własnej segmentacji – całe zadanie bezpiecznej izolacji przejmuje vault.
Eliminuj CDE zamiast segmentować – z tokenizacją PCI Proxy EU
Tokenizacja może być tańszą i skuteczniejszą alternatywą dla kosztownej segmentacji sieciowej. Skontaktuj się z nami.
Porozmawiaj z ekspertem