O que é um ambiente de dados de titulares?
O seu CDE é tudo o que armazena, processa ou transmite dados de cartão — e define o seu âmbito PCI DSS. Quanto menor for, mais barata e simples se torna a conformidade. Aqui está o que está dentro dele e como reduzi-lo.
O que conta como parte do seu CDE
O CDE são as pessoas, processos e tecnologia que armazenam, processam ou transmitem dados de titulares de cartão — mais qualquer sistema ligado a eles. Se pode tocar num número de cartão, está no âmbito.
Web e checkout
Sites, aplicações e páginas de pagamento onde os cartões são inseridos ou transmitidos.
Servidores e aplicações
Servidores de aplicações e serviços que recebem, encaminham ou processam dados de cartão.
Armazenamentos de dados
Bases de dados, ficheiros, registos e backups que contêm dados de titulares, mesmo temporariamente.
Redes
Segmentos de rede que os dados atravessam, e quaisquer sistemas que lhes possam aceder.
Pessoas e telefone
Pessoal e fluxos de call center que lidam com cartões por telefone ou num balcão.
Sistemas ligados
Qualquer coisa ligada ao acima referido também pode ser puxada para o âmbito.
Um CDE menor é o objetivo fundamental
Cada sistema no seu CDE tem de ser protegido, documentado e auditado. A forma mais eficaz de reduzir o custo e risco PCI é tornar o CDE menor. A tokenização faz exatamente isso: os cartões são capturados diretamente para um cofre externo PCI DSS Level 1, pelo que os seus próprios sistemas nunca guardam dados de cartão e saem do âmbito.
Como funciona a tokenizaçãoCapturar para o cofre
Os campos alojados enviam cartões diretamente para o cofre — nunca para os seus servidores.
Guardar tokens, não cartões
As suas aplicações e bases de dados armazenam tokens, que são inúteis em caso de fuga.
Avaliação mais pequena
Com os dados do cartão fora dos seus sistemas, a maioria dos comerciantes passa para SAQ A.
Ambiente de dados de titulares, respondido
01 O que é um ambiente de dados de titulares (CDE)?
O ambiente de dados de titulares é o conjunto de pessoas, processos e tecnologia que armazenam, processam ou transmitem dados de titulares de cartão — mais quaisquer sistemas ligados a eles. Inclui os seus servidores web, aplicações, bases de dados, redes e pessoal que toca dados de cartão, e define o âmbito da sua avaliação PCI DSS.
02 Porque é que o CDE é importante para o PCI DSS?
O PCI DSS aplica-se a tudo no seu CDE e a qualquer coisa ligada a ele. Quanto maior o seu CDE, mais sistemas tem de proteger, documentar e auditar. Reduzir o CDE é a forma mais eficaz de reduzir o custo, risco e esforço PCI.
03 Como é que a tokenização reduz o CDE?
A tokenização captura o cartão diretamente para um cofre externo PCI DSS Level 1 e devolve um token. Como os dados reais do cartão nunca chegam aos seus sistemas, esses sistemas saem do CDE — para a maioria dos comerciantes o ambiente encolhe dramaticamente e a validação passa de SAQ D para SAQ A.
04 O CDE pode alguma vez ser reduzido a zero?
Não pode remover completamente as obrigações PCI, mas pode chegar perto de um CDE mínimo. Com campos alojados e tokenização, o único lugar onde os dados do cartão existem é o cofre, e o seu âmbito restante é principalmente sobre como integra de forma segura — uma pegada muito pequena comparada com armazenar cartões você mesmo.
Reduza o seu ambiente de dados de titulares
Diga-nos como os dados do cartão fluem pelos seus sistemas hoje e mapearemos uma configuração que retira a maioria deles do âmbito.