A redução do âmbito PCI DSS é a alavanca mais eficaz para reduzir os custos de conformidade. Cada sistema, aplicação ou componente de rede que toca em dados de cartão entra no perímetro PCI e deve ser controlado, documentado e auditado. Reduzir o âmbito significa reduzir o número de componentes no perímetro e, por conseguinte, o custo e a complexidade de todo o programa de conformidade. Existem 3 alavancas concretas para o conseguir, aplicáveis por qualquer comerciante ou PSP.
O que é o âmbito PCI DSS e por que convém reduzi-lo
O âmbito PCI DSS compreende todos os sistemas e processos que armazenam, processam ou transmitem dados de cartões de pagamento, bem como todos os componentes que se ligam a estes sistemas ou que poderiam afetar a sua segurança. Na prática, isto inclui servidores de aplicações, bases de dados, firewalls, sistemas de autenticação, redes, estações de trabalho de operadores e muito mais. Para uma empresa de dimensão média, o âmbito não gerido pode chegar facilmente a 50-100 componentes distintos, cada um dos quais exige controlos específicos.
O custo de uma auditoria QSA (Qualified Security Assessor) para um perímetro alargado mede-se em dezenas de milhares de euros, aos quais há que acrescentar os custos internos de preparação, documentação e remediação. Reduzir o âmbito em 70-80% não é incomum com as técnicas adequadas, e a redução de custos é proporcional.
As 3 alavancas para reduzir o âmbito: tokenização, segmentação, externalização
A primeira alavanca é a tokenização: substituir os PAN em texto não cifrado por tokens opacos antes de entrarem nos sistemas empresariais. Um token não tem valor para um atacante e não entra no perímetro PCI DSS. Todos os sistemas que anteriormente geriam dados de cartão (bases de dados CRM, sistemas de faturação, registos de aplicações) podem continuar a operar com os tokens sem estar em âmbito.
A segunda alavanca é a segmentação de rede: isolar física ou logicamente os sistemas que processam dados de cartão do resto da infraestrutura. Uma rede plana onde todos os sistemas comunicam entre si multiplica o âmbito: basta que um servidor se ligue a um componente em perímetro para entrar no próprio perímetro. A segmentação com firewalls dedicadas, VLAN separadas e controlos de acesso granulares reduz drasticamente o número de componentes incluídos na auditoria. A terceira alavanca é a externalização do CDE para um fornecedor certificado PCI DSS Level 1: delegar todo o vault de dados de cartão a um serviço externo retira da própria infraestrutura o componente mais crítico e mais dispendioso de manter em conformidade.
Como a PCI Proxy EU aplica as três em simultâneo
A PCI Proxy EU combina as três alavancas numa única solução integrada. O vault certificado PCI DSS Level 1 recebe os dados de cartão em vez da empresa, cifra-os e devolve um token. A infraestrutura do comerciante nunca vê um PAN em texto não cifrado: a tokenização ocorre antes de o dado entrar no perímetro empresarial. A segmentação de rede já está incorporada na arquitetura do serviço, que opera sobre um CDE isolado e certificado.
O resultado prático para a maioria dos comerciantes é a possibilidade de completar um SAQ A ou SAQ A-EP em vez de um Report on Compliance completo. A documentação a preparar reduz-se de centenas para dezenas de páginas. Os controlos técnicos a implementar descem para uma fração dos exigidos por um perímetro não otimizado. A equipa interna pode concentrar-se no negócio em vez da gestão contínua de um complexo programa de segurança.
Perguntas frequentes
Reduzir o âmbito PCI significa estar isento de todos os controlos?
Não. Reduzir o âmbito significa que menos componentes entram no perímetro a auditar, mas os componentes que permanecem em âmbito devem igualmente cumprir todos os requisitos PCI DSS aplicáveis. A redução baixa os custos e a complexidade, não elimina a conformidade.
Quanto se poupa com um âmbito reduzido?
Depende da dimensão da empresa e do ponto de partida. Em média, um comerciante que passa de um perímetro alargado para um SAQ A graças à tokenização reduz os custos de conformidade em 60-80%. A poupança inclui tanto os custos diretos da auditoria como os custos internos de preparação, documentação e remediação.
A redução do âmbito deve ser documentada?
Sim. O QSA ou o próprio comerciante deve documentar como e por que razão determinados componentes foram excluídos do perímetro. Para a tokenização, isto significa demonstrar que nenhum PAN em texto não cifrado transita nem é armazenado nos sistemas fora do âmbito. A documentação faz parte do SAQ ou do ROC.
Quer reduzir o âmbito PCI do seu perímetro com tokenização, segmentação e externalização numa única integração? Descubra a PCI Proxy EU.
Precisa de apoio na conformidade PCI?
A nossa equipa ajuda a mapear o seu CDE, escolher o SAQ adequado e implementar tokenização com residência de dados na UE.
Contacte-nos