We hebben nog steeds klanten die ons deze vraag van tijd tot tijd stellen. Helaas betekent het simpelweg versleutelen van kaarthoudergegevens (CHD) niet noodzakelijkerwijs vermindering van de scope ervan. Onder de meeste omstandigheden geldt, als gecodeerde CHD wordt opgeslagen, verwerkt of verzonden, valt dit nog steeds binnen het bereik van PCI DSS omdat de decoderingssleutels vaak in dezelfde omgeving worden bewaard als de gecodeerde CHD.
Uitzonderingen op deze regel
De PCI Security Standards Council (PCI SSC) heeft in juni 2013 een standaard uitgebracht met de naam Point-to-Point Encryption. De PCI P2PE-standaard is ontworpen voor de veilige encryptie van CHD op het moment van vastlegging totdat het een veilige decoderingsomgeving bereikt. Als organisaties een PCI SSC-gevalideerde P2PE-oplossing gebruiken, valt het netwerkverkeer niet onder PCI DSS, daarom is het netwerk dat wordt gebruikt ter ondersteuning van transmissie voor de Point-of-Interaction (POI) -apparaten (ook bekend als PED’s / PDQ’s) verkeer niet binnen de scope.
In een P2PE-omgeving komen alleen de betaalautomaten in aanmerking voor beoordelingsactiviteiten. De reden hiervoor is dat de codering zo is ontworpen dat alleen de decoderingsomgeving de gegevens haalbaar kan decoderen.
Hoe zit het met externe back-upproviders?
Meestal slaat de provider versleutelde back-upsets op; de provider heeft echter geen toegang tot de decoderingssleutels die alleen door de klant worden bewaard. Omdat de provider de gegevens niet kan ontsleutelen, valt de CHD niet onder het bereik van de provider. Dit wordt verder besproken in de volgende artikelen over PCI SSC Veelgestelde vragen; “How does encrypted cardholder data impact PCI DSS scope?” en “How does encrypted cardholder data impact PCI DSS scope for third-party service providers?“
Lees meer over encryptie in onze blogpost over Requirement 4 van PCI DSS
Lees meer over Encryptie en AVG