Co to jest środowisko danych posiadaczy kart?
Twoje CDE to wszystko, co przechowuje, przetwarza lub przekazuje dane kart — i definiuje Twój zakres PCI DSS. Im mniejsze, tym tańsza i prostsza zgodność. Oto co wchodzi w jego skład i jak je zmniejszyć.
Co wchodzi w skład Twojego CDE
CDE to ludzie, procesy i technologie, które przechowują, przetwarzają lub przekazują dane posiadaczy kart — oraz wszelkie systemy z nimi połączone. Jeśli może dotknąć numeru karty, jest w zakresie.
Sieć i checkout
Strony, aplikacje i strony płatności, gdzie karty są wprowadzane lub przekazywane.
Serwery i aplikacje
Serwery aplikacji i usługi, które odbierają, kierują lub przetwarzają dane kart.
Magazyny danych
Bazy danych, pliki, logi i kopie zapasowe przechowujące dane posiadaczy kart, nawet tymczasowo.
Sieci
Segmenty sieci, przez które przechodzą dane, oraz wszelkie systemy, które mogą do nich dotrzeć.
Ludzie i telefon
Pracownicy i przepływy call center obsługujący karty przez telefon lub przy biurku.
Połączone systemy
Wszystko połączone z powyższymi może być również wciągnięte w zakres.
Mniejsze CDE to cała gra
Każdy system w Twoim CDE musi być zabezpieczony, udokumentowany i audytowany. Najpotężniejszym sposobem na obniżenie kosztów PCI i ryzyka jest zmniejszenie CDE. Tokenizacja robi właśnie to: karty są przechwytywane bezpośrednio do zewnętrznego sejfu PCI DSS Level 1, więc Twoje własne systemy nigdy nie przechowują danych kart i wypadają z zakresu.
Jak działa tokenizacjaPrzechwytuj do sejfu
Hostowane pola wysyłają karty bezpośrednio do sejfu — nigdy na Twoje serwery.
Przechowuj tokeny, nie karty
Twoje aplikacje i bazy danych przechowują tokeny, które są bezwartościowe w razie wycieku.
Mniejsza ocena
Gdy dane kart opuszczają Twoje systemy, większość sprzedawców przechodzi na SAQ A.
Środowisko danych posiadaczy kart — odpowiedzi
01 Co to jest środowisko danych posiadaczy kart (CDE)?
Środowisko danych posiadaczy kart to zbiór ludzi, procesów i technologii, które przechowują, przetwarzają lub przekazują dane posiadaczy kart — wraz z wszelkimi systemami z nimi połączonymi. Obejmuje Twoje serwery internetowe, aplikacje, bazy danych, sieci i pracowników obsługujących dane kart, i definiuje zakres Twojej oceny PCI DSS.
02 Dlaczego CDE ma znaczenie dla PCI DSS?
PCI DSS dotyczy wszystkiego w Twoim CDE i wszystkiego z nim połączonego. Im większe CDE, tym więcej systemów musisz zabezpieczyć, dokumentować i audytować. Zmniejszenie CDE jest najskuteczniejszym sposobem na obniżenie kosztów, ryzyka i wysiłku związanego z PCI.
03 Jak tokenizacja redukuje CDE?
Tokenizacja przechwytuje kartę bezpośrednio do zewnętrznego sejfu PCI DSS Level 1 i zwraca token. Ponieważ prawdziwe dane karty nigdy nie trafiają do Twoich systemów, te systemy wypadają z CDE — dla większości sprzedawców środowisko znacznie się kurczy, a walidacja przechodzi z SAQ D do SAQ A.
04 Czy CDE można kiedykolwiek zredukować do zera?
Nie możesz całkowicie wyeliminować obowiązków PCI, ale możesz zbliżyć się do minimalnego CDE. Przy hostowanych polach i tokenizacji jedynym miejscem, gdzie istnieją dane kart, jest sejf, a Twój pozostały zakres dotyczy głównie bezpiecznej integracji — bardzo mały ślad w porównaniu z samodzielnym przechowywaniem kart.
Zmniejsz swoje środowisko danych posiadaczy kart
Powiedz nam, jak dziś przepływają dane kart przez Twoje systemy, a pomożemy zaplanować setup, który wyłączy większość z nich z zakresu.