El ambiente de dados del titular de la cartão, o CDE (Cardholder Data Environment), es el perímetro técnico e organizativo dentro del cual se tratan los dados de los titulares de cartão. Cualquier sistema que almacene, procese o transmita dados de cartão entra en el CDE e deve cumprir el conjunto completo de requisitos PCI DSS. Entender exactamente qué entra en este perímetro es el primer paso para comprender cuánto cuesta mantenerlo e como reducirlo.
Qué entra en el CDE: el mapa del perímetro PCI DSS
Por definição del PCI DSS, el CDE inclui todos los sistemas que almacenan, procesan o transmiten dados de cartão (PAN, fecha de vencimiento, CVV, dados de la pista magnética), além disso, de los sistemas que têm conectividade con esos sistemas. Este segundo punto es el que mais sorprende: un servidor que nunca toca un dato de cartão mas que está conectado en red a un servidor que sí lo faz entra igualmente en el perímetro.
Componentes que tipicamente entran en el CDE sin que los equipas de IT se den cuenta:
- Servidores de logs e SIEM si recogen logs de sistemas que tratan PAN
- Sistemas de backup si incluyen snapshots de bases de dados con dados de cartão
- Estaciones de trabajo de los administradores con acceso a los sistemas de pago
- Sistemas de monitorização e alertas conectados a la infraestrutura de pago
- Servidores de desarrollo e staging si usan dados de cartão reales para las testes
Cuánto cuesta manter un CDE conforme
El custo de mantenimiento de un CDE conforme no es apenas el custo del penetration test anual o del vulnerability scan trimestral. Inclui el custo del personal dedicado a la gestão de las políticas de acceso, el custo de las ferramentas de SIEM e logging, las horas de revisión anual de la documentação, los custos de consultoría para el SAQ o el QSA, e el custo de las modificaciones arquitectónicas necesarias cada vez que se añade un nuevo componente a la infraestrutura.
Para una PYME con un CDE de tamaño medio, estos custos se sitúan entre los 20.000 e los 60.000 euros al año. Para una empresa con infraestrutura distribuida e múltiples ambientes, los custos podem ser varios múltiplos de esta encripta. La variable que mais influye no es el tamaño de la empresa, sino la amplitud del CDE: cuantos mais sistemas estén en el ámbito, mais se multiplican las actividades de conformidade.
Como la tokenização reduz el CDE a quase cero
La lógica de la reducção del CDE con tokenização es directa: si ningún dato de cartão transita por tus sistemas, ninguno de tus sistemas está en el CDE. El vault certificado de PCI Proxy EU se convierte en el componente en el ámbito en lugar de tus servidores. Tus sistemas reciben e gerem apenas tokens opacos, que no têm valor para un atacante incluso en caso de brecha.
En la práctica, la arquitectura post-tokenização es esta: el checkout envía los dados de cartão directamente al vault através de un formulário hosted o un SDK client-side; el vault devuelve un token a tu backend; tu backend usa el token para cualquier operação posterior. Tus servidores de logs, tus sistemas de backup, tus CRM nunca ven un PAN. El resultado es un CDE reducido prácticamente a cero en el lado del comerciante, con todos los requisitos de segurança mais onerosos que se desplazan al fornecedor certificado.
Preguntas frecuentes
Un servidor de logs forma parte del CDE?
Depende de lo que recoja e de con qué esté conectado. Si el servidor de logs recoge logs de sistemas que tratan PAN, o está conectado en red a esos sistemas, entra en el perímetro CDE. Si el servidor de logs está completamente isolado de cualquier sistema de pago, pode considerarse fuera del ámbito, mas esta exclusión deve documentarse e ser verificable.
La segmentação de red elimina el CDE?
La segmentação de red no elimina el CDE: lo delimita. Los sistemas que tratan PAN siguen estando en el ámbito; la segmentação sirve para impedir que otros sistemas queden arrastrados al perímetro por la conectividade. La tokenização es el único enfoque que reduz el CDE en la raíz, eliminando la necesidade de tratar PAN en los sistemas del comerciante.
Con PCI Proxy EU mi base de dados sigue estando en el ámbito?
Si tu base de dados no armazena ni recibe nunca PAN, no entra en el CDE. Con PCI Proxy EU, tu base de dados apenas recibe tokens: no há razón técnica para incluirla en el perímetro PCI DSS, sempre que no tenga conectividade directa con sistemas que traten PAN e que esta segregação esté documentada.
Quieres mapear tu CDE e entender cuánto puedes reducirlo con la tokenização? Descubre PCI Proxy EU.
Precisa de apoio na conformidade PCI?
A nossa equipa ajuda a mapear o seu CDE, escolher o SAQ adequado e implementar tokenização com residência de dados na UE.
Contacte-nosNa prática europeia, cumprir o PCI DSS exige mapear fluxos de PAN, definir o CDE e documentar controlos para auditoria ou SAQ. A tokenização via PCI Proxy EU remove dados sensíveis do ambiente do comerciante, alinhando conformidade PCI e RGPD com residência de dados na UE, especialmente relevante para pci dss.