De CDE (Cardholder Data Environment) is de kern van de PCI DSS-nalevingsperimeter: het is het geheel van systemen, personen en processen die kaarthoudergegevens opslaan, verwerken of verzenden, evenals alle verbonden systemen. Hoe groter de CDE, hoe zwaarder de nalevingslast en hoe hoger de kosten van de jaarlijkse certificering. Begrijpen wat binnen de CDE valt en tokenisatie strategisch inzetten om de perimeter te verkleinen, is de meest effectieve aanpak voor nalevingsbeheer.
Wat in de CDE valt: systemen, gegevens en personen
De PCI DSS CDE omvat drie categorieën verbonden elementen. De eerste categorie zijn systemen die kaarthoudergegevens opslaan, verwerken of verzenden: databases met opgeslagen PAN's, toepassingsservers die betalingsformulieren verwerken, point-to-point-versleutelingshardware, netwerkapparaten die betalingsnetwerken doorsturen. De tweede categorie zijn personen met toegang tot deze systemen: systeembeheerders, ontwikkelaars die de betalingsapplicatie beheren, callcenteragenten die PAN's invoeren. De derde categorie zijn processen die deze systemen raken: back-upprocessen, patchbeheerbeleid, toegangsbeheerprocedures.
Elk element dat met een van deze systemen verbonden is en theoretisch toegang zou kunnen krijgen tot kaarthoudergegevens, valt eveneens in de CDE. Hieronder vallen systemen voor beheer op afstand van servers, beveiligingsbewakingssystemen, systemen voor logboekregistratie en alle diensten van derden die geprivilegieerde toegang tot de infrastructuur hebben. De CDE groeit van nature mee met de complexiteit van de infrastructuur: elke nieuwe dienst die wordt geïntegreerd zonder rekening te houden met de CDE-grenzen, vergroot de perimeter en daarmee de nalevingskosten.
Kosten van het onderhoud van de CDE: audits, scans en tests
De kosten voor het onderhoud van een PCI DSS-CDE zijn aanzienlijk en omvatten zowel directe als indirecte posten. Tot de directe kosten behoren: QSA-audit (Qualified Security Assessor, vereist voor Level-1-handelaren en -dienstverleners): tussen 20.000 en 100.000 euro, afhankelijk van de complexiteit; kwartaallijkse ASV-kwetsbaarheidscans (Approved Scanning Vendor): tussen 500 en 5.000 euro per kwartaal; jaarlijkse penetratietests: tussen 10.000 en 50.000 euro; kosten voor beveiligingscertificaten, WAF-firewalls en CDE-specifieke toegangsbeheersystemen.
Tot de indirecte kosten behoren personeelstijd voor het beheer van nalevingsdocumentatie, training voor medewerkers met toegang tot de CDE, toegewijde beveiligingssoftware en de naleving van PCI DSS-vereisten voor softwareontwikkeling. Een bedrijf met een middelgrote CDE kan gemakkelijk 150.000 tot 300.000 euro per jaar besteden om de standaard in stand te houden. Het verkleinen van de perimeter is daarmee direct rendabel.
Hoe tokenisatie de CDE bijna tot nul reduceert
Wanneer een handelaar PCI Proxy EU integreert, passeren kaartgegevens nooit de eigen infrastructuur. Het invoerformulier wordt gehost door PCI Proxy EU; de PAN wordt onderschept en vervangen door een token voordat die de systemen van de handelaar bereikt. Resultaat: in de systemen van de handelaar bevindt zich geen PAN, niet in databases, niet in logboeken, niet in de applicatiecode. Het bedrijf treedt uit de CDE.
In de praktijk betekent dit: geen kwartaallijkse ASV-scans (of minder uitgebreide, beperkt tot externe omgevingen), geen jaarlijkse QSA-audit (overgang naar SAQ A voor veel handelaren), geen netwerksegmentatie-eisen voor de CDE en een verminderd trainingsprogramma voor personeel. Alleen de PCI Proxy EU-kluis blijft in scope, die PCI DSS Level 1 gecertificeerd is en beheerd wordt door ons beveiligingsteam. De handelaar profiteert van de gecertificeerde perimeter van de aanbieder.
Veelgestelde vragen
Heeft u geen CDE meer als u alleen tokens opslaat?
In de meeste gevallen wel. Wanneer er geen echte PAN in uw systemen aanwezig is, niet in databases, niet in logboeken en niet in de applicatiecode, vallen uw systemen niet onder de CDE-definitie. Het is echter altijd noodzakelijk om de nalevingsstatus te bevestigen met de acquirer en het bijbehorende SAQ in te vullen. Sommige contextspecifieke verplichtingen kunnen overblijven, maar de totale omvang is aanzienlijk kleiner.
Wat zijn verbonden systemen in de CDE?
Verbonden systemen zijn alle systemen die communiceren met CDE-systemen en theoretisch toegang zouden kunnen krijgen tot kaarthoudergegevens, ook als ze die niet direct verwerken. Een beveiligingsbewakingssysteem met een agent op een server die PAN's bevat, is een verbonden systeem. Een e-mailserver die betalingsmeldingen stuurt met een referentietransactienummer is eveneens een verbonden systeem, als dat nummer koppelbaar is aan PAN's.
Hoe herken ik of ik een CDE heb?
Begin met het in kaart brengen van de gegevensstroom: waar voeren klanten kaartgegevens in? Welke servers ontvangen deze gegevens? Waar worden ze opgeslagen? Welke systemen zijn met deze servers verbonden? Elk onderdeel van die infrastructuur is de CDE. Als de betalingsstroom volledig beheerd wordt door een gecertificeerde aanbieder zoals PCI Proxy EU en uw systemen alleen tokens ontvangen, hebt u waarschijnlijk geen CDE.
Wilt u uw CDE verkleinen en nalevingskosten verlagen? Ontdek PCI Proxy EU.
Hulp nodig bij PCI-naleving?
Ons team helpt u uw CDE in kaart te brengen, het juiste SAQ te kiezen en tokenisatie te implementeren met gegevensresidentie in de EU.
Neem contact op