PCI DSS

CDE w PCI DSS: definicja, zakres i ograniczenie

18 stycznia 2025 9 min lektury

CDE – Cardholder Data Environment (środowisko danych posiadaczy kart) – to pojęcie centralne dla PCI DSS. Zakres Twojego CDE określa zakres wymagań PCI DSS, które musisz spełnić. Im szersze CDE, tym więcej systemów podlega audytowi, więcej kontroli wymaga wdrożenia i wyższy koszt compliance. Strategiczne ograniczenie CDE przez tokenizację jest najskuteczniejszym narzędziem redukcji kosztów i złożoności PCI DSS.

Środowisko danych posiadaczy kart: czym jest CDE i jak je ograniczyć

Definicja CDE według PCI DSS

PCI DSS definiuje CDE jako: wszystkie osoby, procesy i technologie, które przechowują, przetwarzają lub przesyłają dane kart lub dane uwierzytelniające, ORAZ wszystkie systemy sieciowe, które są połączone z lub mogą wpłynąć na bezpieczeństwo środowiska przetwarzającego dane kart. Ta druga część definicji jest kluczowa: serwer niebezpośrednio przetwarzający karty, ale połączony sieciowo z serwerem, który je przetwarza, może również wejść w zakres CDE.

Co wchodzi w skład CDE

Typowe komponenty CDE obejmują: serwery aplikacji przyjmujące formularze płatności, bazy danych przechowujące dane kart lub tokeny (jeśli w zakresie), systemy PLT (Payment Lock Technologies), urządzenia POS i terminale płatnicze, sieci i segmenty sieciowe łączące powyższe, systemy bezpieczeństwa monitorujące CDE (SIEM, IDS/IPS), systemy backup zawierające dane kart. Każdy z tych komponentów wymaga indywidualnej kontroli i audytu PCI DSS.

Koszt utrzymania rozległego CDE

Rozległy CDE generuje proporcjonalnie wyższe koszty compliance: każdy dodatkowy serwer w CDE to dodatkowy audyt, dokumentacja, testy i monitoring; każde połączenie sieciowe z CDE to dodatkowa zapora sieciowa, reguły i monitoring; każda aplikacja w CDE to przegląd kodu, skanowanie podatności i testy penetracyjne. Organizacje z szerokim CDE ponoszą koszty audytu 3-10 razy wyższe niż te z ograniczonym CDE, przy identycznym wolumenie transakcji.

Segmentacja sieciowa jako metoda ograniczenia CDE

Segmentacja sieciowa pozwala na izolację CDE od reszty infrastruktury. Przez umieszczenie komponentów CDE w oddzielnym segmencie sieci (VLAN, strefa DMZ), z restrykcyjnymi regułami firewall, można ograniczyć liczbę systemów wchodzących w zakres. Jednak segmentacja sieciowa wymaga ciągłej weryfikacji (testy penetracyjne segmentacji) i prawidłowego zarządzania regułami firewall – co samo w sobie generuje koszty compliance.

Tokenizacja jako najskuteczniejsza metoda ograniczenia CDE

Tokenizacja jest nadrzędną metodą ograniczenia CDE: jeśli żaden PAN nie trafia do systemów sprzedawcy, te systemy w ogóle nie wchodzą w zakres CDE. Hosted fields PCI Proxy EU hostowane na domenie certyfikowanej PCI DSS zbierają dane karty bez przejścia przez serwery sprzedawcy. Sprzedawca otrzymuje tylko token – jego systemy przetwarzają tokeny, nie PAN. Rezultat: CDE sprzedawcy może być zredukowane do niemal zera, kwalifikując do SAQ A.

Zredukuj swoje CDE do minimum z tokenizacją

PCI Proxy EU eliminuje PAN z Twojego środowiska. Skontaktuj się z nami po bezpłatną analizę CDE.

Porozmawiaj z ekspertem

Powiązane artykuły

Blog

Wszystkie artykuły

Przewodniki PCI DSS, tokenizacja i bezpieczeństwo płatności.

 Kontakt

Porozmawiaj z ekspertem PCI

Odpowiadamy w ciągu 24 godzin.