O ambiente de dados do titular do cartão, ou CDE (Cardholder Data Environment), é o perímetro técnico e organizativo dentro do qual se tratam os dados dos titulares de cartão. Qualquer sistema que armazene, processe ou transmita dados de cartão entra no CDE e tem de cumprir o conjunto completo de requisitos PCI DSS. Compreender exatamente o que entra neste perímetro é o primeiro passo para perceber quanto custa mantê-lo e como reduzi-lo.
O que entra no CDE: o mapa do perímetro PCI DSS
Por definição do PCI DSS, o CDE inclui todos os sistemas que armazenam, processam ou transmitem dados de cartão (PAN, data de validade, CVV, dados da banda magnética), bem como os sistemas que têm conectividade com esses sistemas. Este segundo ponto é o que mais surpreende: um servidor que nunca toca num dado de cartão, mas que está ligado em rede a um servidor que o faz, entra igualmente no perímetro.
Componentes que tipicamente entram no CDE sem que as equipas de TI se apercebam:
- Servidores de registos e SIEM se recolherem registos de sistemas que tratam PAN
- Sistemas de backup se incluírem snapshots de bases de dados com dados de cartão
- Postos de trabalho dos administradores com acesso aos sistemas de pagamento
- Sistemas de monitorização e alertas ligados à infraestrutura de pagamento
- Servidores de desenvolvimento e staging se usarem dados de cartão reais para os testes
Quanto custa manter um CDE conforme
O custo de manutenção de um CDE conforme não é apenas o custo do penetration test anual ou do vulnerability scan trimestral. Inclui o custo do pessoal dedicado à gestão das políticas de acesso, o custo das ferramentas de SIEM e logging, as horas de revisão anual da documentação, os custos de consultoria para o SAQ ou o QSA, e o custo das modificações arquitetónicas necessárias sempre que se adiciona um novo componente à infraestrutura.
Para uma PME com um CDE de dimensão média, estes custos situam-se entre os 20.000 e os 60.000 euros por ano. Para uma empresa com infraestrutura distribuída e múltiplos ambientes, os custos podem ser vários múltiplos deste valor. A variável que mais influencia não é a dimensão da empresa, mas sim a amplitude do CDE: quantos mais sistemas estiverem no âmbito, mais se multiplicam as atividades de conformidade.
Como a tokenização reduz o CDE a quase zero
A lógica da redução do CDE com tokenização é direta: se nenhum dado de cartão transitar pelos seus sistemas, nenhum dos seus sistemas está no CDE. O vault certificado da PCI Proxy EU passa a ser o componente no âmbito em vez dos seus servidores. Os seus sistemas recebem e gerem apenas tokens opacos, que não têm valor para um atacante mesmo em caso de violação.
Na prática, a arquitetura pós-tokenização é esta: o checkout envia os dados de cartão diretamente ao vault através de um formulário hosted ou de um SDK client-side; o vault devolve um token ao seu backend; o seu backend usa o token para qualquer operação posterior. Os seus servidores de registos, os seus sistemas de backup, os seus CRM nunca veem um PAN. O resultado é um CDE reduzido praticamente a zero do lado do comerciante, com todos os requisitos de segurança mais onerosos a passarem para o fornecedor certificado.
Perguntas frequentes
Um servidor de registos faz parte do CDE?
Depende do que recolhe e a que está ligado. Se o servidor de registos recolher registos de sistemas que tratam PAN, ou estiver ligado em rede a esses sistemas, entra no perímetro CDE. Se o servidor de registos estiver completamente isolado de qualquer sistema de pagamento, pode considerar-se fora do âmbito, mas esta exclusão deve ser documentada e verificável.
A segmentação de rede elimina o CDE?
A segmentação de rede não elimina o CDE: delimita-o. Os sistemas que tratam PAN continuam no âmbito; a segmentação serve para impedir que outros sistemas sejam arrastados para o perímetro pela conectividade. A tokenização é a única abordagem que reduz o CDE na raiz, eliminando a necessidade de tratar PAN nos sistemas do comerciante.
Com a PCI Proxy EU a minha base de dados continua no âmbito?
Se a sua base de dados nunca armazenar nem receber PAN, não entra no CDE. Com a PCI Proxy EU, a sua base de dados recebe apenas tokens: não há razão técnica para a incluir no perímetro PCI DSS, desde que não tenha conectividade direta com sistemas que tratam PAN e que esta segregação esteja documentada.
Quer mapear o seu CDE e perceber quanto o pode reduzir com a tokenização? Descubra a PCI Proxy EU.
Precisa de apoio na conformidade PCI?
A nossa equipa ajuda a mapear o seu CDE, escolher o SAQ adequado e implementar tokenização com residência de dados na UE.
Contacte-nosNa prática europeia, cumprir o PCI DSS exige mapear fluxos de PAN, definir o CDE e documentar controlos para auditoria ou SAQ. A tokenização via PCI Proxy EU remove dados sensíveis do ambiente do comerciante, alinhando conformidade PCI e RGPD com residência de dados na UE, especialmente relevante para pci dss.