NL +31 (0)20 4232420 / SP +34 937 379 542 info@fortytwo.nl
Het reduceren van de PCI DSS scope is een effectieve manier om kosten te besparen op de PCI-audits. Officieel is het niet nodig om het netwerk te segmenteren of systemen te isoleren die creditcardgegevens verwerken, verzenden of opslaan. Zonder de juiste netwerksegmentatie en isolatie van kaarthoudergegevens (“CHD”) -systemen, vallen alle systemen die op een netwerk zijn aangesloten echter onder de PCI DSS-vereisten. Hoe meer systemen er zijn, hoe meer werk het kost om compliant te worden, aangezien het toepassen van alle PCI DSS-vereisten een arbeidsintensief proces is.
Wij vinden dat het een belangrijke prioriteit moet zijn voor IT-managers.

 

Waarom zou het een prioriteit moeten zijn?

 

Bedrijfsgegevens vormen in het algemeen een bedreiging voor iedereen die ze opslaat of verwerkt. Daarom: als u het niet nodig heeft, berg het dan niet op! We zien vaak partijen die honger hebben naar het opslaan van data, niet nadenken over de risico’s die eraan verbonden zijn. Als een organisatie erin slaagt om de hoeveelheid kaarthoudergegevens die in hun bezit zijn te verminderen, is de impact van gegevensverlies beperkt. Wat resulteert in:

  • Besparing kosten
  • Minder stress
  • Regelgevingsupdates hebben minder snel invloed op processen
  • Datalekken worden geminimaliseerd
  • PCI compliance wordt makkelijker

 

Definiëren van de CHE

 

De belangrijkste stap naar PCI DSS-compliance is het definiëren van de kaarthoudergegevensomgeving (CDE). Het is een beetje een pijnpunt geworden bij het bepalen van de scope sinds de introductie van PCI DSS versie 3.0. Latere versies zorgden voor extra complexiteit door een nieuwe controle toe te voegen die multi-factor authenticatie vereist voor alle niet-consolebeheerders in CDE-systemen, inclusief systemen zoals webapplicaties.

 

Reduceren van de PCI scope

 

Wanneer er een duidelijk overzicht van de CDE is bepaald, kunnen de volgende tips u helpen om de reikwijdte te verkleinen.

1. Netwerk isolatie

Een van de duidelijkste manieren om de scope te reduceren, is door minder apparaten toegang te geven tot de CDE. In het algemeen geldt: hoe meer apparaten toegang hebben tot het CDE, hoe groter de administratieve last. Het verminderen van het aantal apparaten met toegang is echter niet altijd mogelijk vanwege aangewezen bronnen die toegang nodig hebben tot het CDE om hun dagelijkse taken uit te voeren.

Apparaten die zijn aangesloten op CDE-systemen of die de beveiliging van die systemen kunnen beïnvloeden, worden binnen het toepassingsgebied beschouwd vanuit een PCI DSS-perspectief. De beste manier om het bereik van PCI DSS te verkleinen en vergroting van het bereik te voorkomen, is door die apparaten fysiek en / of logisch te scheiden van de rest van de systemen in de omgeving. Het voordeel is hier tweeledig:

• Biedt een duidelijke afbakening tussen in scope en out of scope systemen
• Geeft gebieden aan waar controles moeten worden geïmplementeerd om de toegang tot de omgeving te beperken

2. Toegewijde devices

Een aanvullende oplossing om de reikwijdte van de naleving te minimaliseren, is het gebruik van speciale apparaten op geïsoleerde netwerksegmenten die alleen worden gebruikt om kaarthouderbetalingen te verwerken of administratieve functies uit te voeren binnen de geïsoleerde omgeving. Deze apparaten worden doorgaans aangetroffen in de vorm van verkooppuntterminals in winkellocaties of callcenterwerkstations in het geval van telefonische verkoopprocessen. Deze speciale apparaten werken samen met systemen binnen de grenzen van de CDE en hebben geen toegang tot systemen buiten de geïsoleerde CDE. Het nadeel van deze benadering is de introductie van extra apparaten om de functionaliteit tussen twee omgevingen te behouden, mogelijk te dupliceren (bijv. Twee antivirusservers, twee gecentraliseerde logboekservers, enz.). Afhankelijk van de betalingsprocessen en applicatieworkflows, kan deze oplossing in sommige gevallen gemakkelijker te realiseren zijn.

3. Tokenisatie

In veel scenario’s moet een systeem weten dat er een legitiem kaartnummer is opgegeven, maar hoeft het niet de volledige 16 cijfers van het primaire accountnummer (PAN) te zien of er interactie mee te hebben. In deze scenario’s kan de PAN worden “tokenized” met weinig of geen invloed op het proces of systeem dat het token gebruikt. Het voordeel van deze tokenisatie is dat alleen de systemen die oorspronkelijk de PAN zelf ontvangen, het tokenisatiesysteem en eventuele tussenliggende systemen in de PCI scope zitten. Elk ander systeem dat alleen het token opslaat of ermee communiceert, kan buiten het bereik van naleving worden beschouwd als het op de juiste manier is geïsoleerd van andere kaartverwerkingssystemen. Het is belangrijk op te merken dat zonder de juiste segmentatie en isolatie, de token-afhandelingssystemen nog steeds in de scope kunnen worden gehouden, waardoor het belangrijkste voordeel van tokenisatie wordt weggenomen.

4. Point to Point Encryptie

Point-to-point-encryptie (P2PE) kan de PCI DSS-scope binnen de omgeving drastisch verminderen. Deze techniek, die doorgaans wordt aangetroffen in Point of Interaction (POI) -apparaten, zal de gegevens van kaarthouders rechtstreeks op de terminal versleutelen, en die gegevens worden pas ontsleuteld als ze de betalingsverwerker bereiken. De eigenaar van het betaalautomaat heeft geen toegang tot de coderingssleutels, en daarom kunt u er vanuitgaan dat de omgeving waar gecodeerde gegevens doorheen stromen uit het bereik wordt verwijderd.
Maar vergeet niet dat hoewel dit kan helpen om de scope te verminderen, alle andere creditcardverwerkingsprocessen zullen nog steeds in overweging moeten worden genomen bij het definiëren van de volledige CDE. Als er bijvoorbeeld een bedrijfsproces is om kaarthouderinformatie op te schrijven en die informatie later te verwerken, moet uw bereik die processen en alle bijbehorende systemen omvatten.

Conclusie

Door het gebruik van netwerkisolatie, speciale apparaten, tokenisatie, P2PE of een combinatie, kunnen verkopers de scope van hun CDE effectief verkleinen terwijl ze toch essentiële zakelijke functies bieden. Elk van deze benaderingen moet in overweging worden genomen bij het evalueren van de totale kosten van PCI DSS-compliance en zullen de kosten van PCI-scope helpen verlagen.

Fortytwo Security’s PCI compliance services kunnen uw organisatie helpen. Neem contactop om te horen hoe wij kunnen helpen

Lees meer over Tokenisatie