PCI DSS-netwerksegmentatie is de praktijk waarbij systemen die kaartgegevens verwerken via fysieke of logische netwerkcontroles worden geïsoleerd van de rest van de bedrijfsinfrastructuur. Het is technisch gezien niet verplicht onder PCI DSS, maar zonder netwerksegmentatie valt het volledige bedrijfsnetwerk binnen de CDE-perimeter — een situatie die naleving voor elke middelgrote organisatie vrijwel onhoudbaar maakt. Begrijpen hoe het wordt geïmplementeerd, wat het kost en wanneer tokenisatie een efficiënter alternatief is, is essentieel voor een doordachte nalevingsstrategie.
Wat netwerksegmentatie is en waarom PCI DSS het vereist
Zonder segmentatie valt elk systeem dat verbonden is met het bedrijfsnetwerk en zelfs maar een indirecte verbinding heeft met betalingssystemen, binnen de CDE. Dit betekent dat werkstations op administratieve kantoren, videoconferentiesystemen, netwerkprinters en back-upservers allemaal aan de PCI DSS-vereisten kunnen worden onderworpen als ze hetzelfde netwerk delen als de betalingssystemen. De perimeter explodeert, en de nalevingskosten met hem mee.
Netwerksegmentatie lost dit probleem op door een duidelijke scheiding te creëren tussen de CDE en de rest van het netwerk. Via firewalls, VLANs, netwerktoegangscontroles en DMZ-zones worden betalingssystemen geïsoleerd in een gedediceerd segment met strikt gecontroleerde toegang. Alleen systemen met een gedocumenteerde technische noodzaak om te communiceren met de CDE mogen dit doen, en elke toegang wordt vastgelegd en gemonitord.
Kosten en complexiteit van een correcte segmentatie
Een correcte implementatie van netwerksegmentatie is niet triviaal. Het vereist toegewijde firewalls tussen segmenten, granulaire filterregels, volledige documentatie van de netwerktopologie, regelmatige tests van de segmentatie-effectiviteit (inclusief penetratietests die controleren of er geen ongeautoriseerde paden bestaan tussen segmenten) en voortdurend onderhoud wanneer systemen worden toegevoegd of gegevensstromen worden gewijzigd.
De kosten van een correcte segmentatie omvatten: toegewijde netwerkhardware (van € 5.000 tot € 30.000 voor een on-premise-infrastructuur), advieskosten voor ontwerp en implementatie, kosten voor voortdurende bewaking en onderhoud, en testkosten om te verifiëren dat de segmentatie in de loop van de tijd effectief blijft. In cloudomgevingen is segmentatie flexibeler, maar vereist toch een zorgvuldig ontwerp van VPC's, beveiligingsgroepen en routeringsregels.
Tokenisatie als alternatief voor hardwaresegmentatie
De logica van segmentatie is: isoleer de CDE van de rest van het netwerk om het risicooppervlak te beperken. Tokenisatie bereikt hetzelfde doel op radicalere wijze: in plaats van de CDE te isoleren, elimineert het de CDE aan de kant van de handelaar vrijwel volledig. Als uw systemen nooit PANs verwerken, hebt u geen CDE om te isoleren. Segmentatie wordt irrelevant, want op uw servers is niets meer te beschermen.
Voor organisaties die al hebben geïnvesteerd in netwerksegmentatie, voegt tokenisatie een tweede beschermingslaag toe: het verkleint de CDE verder en vereenvoudigt de topologie. Voor degenen die segmentatie nog niet hebben geïmplementeerd, kan het eerst invoeren van tokenisatie de investering in een toegewijde netwerkinfrastructuur volledig vermijden. De volgorde van prioriteiten hangt af van de bestaande architectuur en de nalevingstijdlijn.
Veelgestelde vragen
Is VLAN-segmentatie voldoende voor PCI DSS?
VLANs alleen worden door PCI DSS niet als voldoende beschouwd, tenzij ze worden ondersteund door firewalls die het verkeer tussen segmenten filteren. Een VLAN zonder firewall is een logische scheiding die kan worden omzeild via verkeerde configuraties of VLAN hopping-aanvallen. PCI DSS vereist dat segmentatie verifieerbaar is en wordt getest in de jaarlijkse penetratietest.
Moet ook de testomgeving worden gesegmenteerd?
Ja, als de testomgeving echte kaartgegevens gebruikt. PCI DSS vereist uitdrukkelijk dat testgegevens geen echte kaartgegevens zijn en dat ontwikkel- en testomgevingen gescheiden zijn van de productieomgeving. Als u deze regel naleeft, valt de testomgeving niet binnen de CDE en hoeft deze geen specifieke segmentatie te hebben.
Hoeveel firewalls zijn er nodig om de CDE te isoleren?
Er is geen vast getal: het hangt af van de netwerktopologie en het aantal toegangspunten tot de CDE. In een typische architectuur zijn minimaal één perimeterFirewall die de CDE van het internet scheidt en één die de CDE van het interne netwerk scheidt vereist. In complexe omgevingen met meerdere DMZ-zones en meerdere toegangsstromen kan het aantal hoger zijn. De regel is dat elke toegang tot de CDE een firewall met expliciete regels moet doorlopen.
Wilt u het PCI-bereik verkleinen zonder te investeren in segmentatie-infrastructuur?PCI Proxy EU ontdekken.
Hulp nodig bij PCI-naleving?
Ons team helpt u uw CDE in kaart te brengen, het juiste SAQ te kiezen en tokenisatie te implementeren met gegevensresidentie in de EU.
Neem contact op