Ograniczenie zakresu PCI DSS: strategia w 3 krokach

Ograniczenie zakresu PCI DSS to strategia, która pozwala na radykalne zmniejszenie liczby systemów, procesów i sieci podlegających wymaganiom PCI DSS. Zamiast walczyć z rozległym CDE, najlepsze organizacje projektują swoje systemy tak, aby PAN nigdy nie trafiał do ich środowiska. Oto praktyczna strategia w 3 krokach.

Krok 1: Mapowanie CDE – gdzie jest PAN w Twojej organizacji

Przed podjęciem jakichkolwiek działań, musisz wiedzieć, gdzie PAN przepływa w Twojej organizacji. Sporządź szczegółową mapę przepływów danych karty obejmującą: wszystkie punkty wejścia PAN (formularze e-commerce, terminale POS, telefon/MOTO, API partnerów), systemy przetwarzające lub przechowujące PAN (serwery aplikacji, bazy danych, systemy ERP), sieci przesyłające PAN (LAN, WAN, internet), podmioty trzecie mające dostęp do PAN (PSP, procesorzy, dostawcy chmury). Każdy element mapy to potencjalny cel eliminacji lub izolacji.

Krok 2: Tokenizacja przepływów e-commerce i card-on-file

Po zmapowaniu CDE, priorytetem jest eliminacja PAN z przepływów e-commerce i card-on-file. Działania: zastąpienie własnych formularzy płatności hosted fields PCI Proxy EU (eliminacja PAN z serwera aplikacji), tokenizacja wszystkich istniejących rekordów PAN w bazie danych (migracja batch do vault PCI Proxy EU), konfiguracja przepływu transakcji przez token zamiast PAN. Rezultat: serwery aplikacji i baza danych wychodzą z zakresu CDE. Weryfikacja: skan bazy danych pod kątem residualnych PAN (narzędzia jak LGPD Finder, PANscan).

Krok 3: Eliminacja MOTO i telefonicznych przepływów PAN

Trzecim krokiem jest eliminacja PAN z przepływów telefonicznych (call center, MOTO). Działania: wdrożenie DTMF tokenization dla płatności telefonicznych (PCI Proxy EU przechwytuje PAN ze strumienia DTMF zanim trafi do systemu call center), wdrożenie IVR dla scenariuszy w pełni automatycznych, aktualizacja systemów call center do obsługi tokenów zamiast PAN. Rezultat: infrastruktura call center wychodzi z zakresu CDE. Weryfikacja: test DTMF workflow, weryfikacja brak PAN w nagraniach rozmów.

Weryfikacja redukcji zakresu: jak udowodnić brak PAN

Po wdrożeniu strategii ograniczenia zakresu, konieczna jest weryfikacja i dokumentacja. Narzędzia do weryfikacji: PANscan i podobne narzędzia do skanowania bazy danych i systemów plików pod kątem residualnych PAN, testy penetracyjne ukierunkowane na weryfikację braku PAN w systemach rzekomo wyłączonych z CDE, logi audytowe dokumentujące, że tokenizacja działała poprawnie od momentu wdrożenia. Dokumentacja weryfikacji jest wymagana przez PCI DSS i służy jako dowód dla QSA lub agenta rozliczeniowego.

Rezultat: od SAQ D do SAQ A

Organizacja, która pomyślnie wdrożyła 3 kroki strategii, może spodziewać się: eliminacji CDE z warstwy aplikacyjnej e-commerce, kwalifikacji do SAQ A zamiast SAQ D, redukcji liczby wymagań PCI DSS z 329 do 22, eliminacji konieczności corocznych testów penetracyjnych, redukcji kosztów compliance o 70-90%. Całkowity czas realizacji strategii to zazwyczaj 2-6 tygodni dla organizacji e-commerce, przy wsparciu technicznym PCI Proxy EU.

---