PCI

Blog space

Diagram sieciowy i diagram przepływu danych w PCI DSS – wymagania, przykłady i 5 zasad dobrego diagramu

W tym artykule znajdziesz:

  • Po co w Twojej organizacji potrzebny jest diagram sieciowy i/lub przepływu danych
  • Co powinno się w nich znaleźć i dlaczego?
  • Jak powinien wyglądać idealny diagram?
diagram pci dss

Aktualizacja: 2 kwietnia 2026

Czym jest diagram sieciowy w PCI DSS? Diagram sieciowy (network diagram) oraz diagram przepływu danych (data flow diagram) to obowiązkowe dokumenty wymagane przez standard PCI DSS, opisane w punktach 1.2.3 i 1.2.4 wersji 4.0.1. Pokazują one, jakie systemy wchodzą w skład środowiska CDE (Cardholder Data Environment), jak przepływają przez nie dane kartowe oraz gdzie przebiegają granice zakresu certyfikacji. Bez aktualnych, czytelnych diagramów audyt PCI DSS nie może zostać przeprowadzony prawidłowo.

Diagram sieciowy i przepływu danych w PCI DSS – w skrócie:

  1. Standard PCI DSS 4.0.1 wymaga posiadania diagramu sieciowego (pkt 1.2.3) oraz diagramu przepływu danych (pkt 1.2.4)
  2. Diagram musi być aktualny – przeglądany minimum raz w roku oraz po każdej istotnej zmianie w środowisku IT
  3. Dobry diagram pozwala jednoznacznie zidentyfikować granicę między środowiskiem CDE a non-CDE
  4. Diagram przepływu danych musi pokazywać, czy dane kartowe przesyłane są w postaci jawnej czy zaszyfrowanej
  5. Jeden diagram może być wystarczający dla prostych środowisk – złożone wymagają kilku powiązanych dokumentów
  6. Diagram przydaje się nie tylko do PCI DSS – stosuje się go również przy ISO 27001, wymogach EBA i KNF

Dlaczego PCI DSS wymaga posiadania diagramu sieciowego i diagramu przepływu danych?

Obowiązek posiadania diagramów nie jest wymogiem formalnym dla samego wymogi – ma konkretny cel operacyjny. Standard PCI DSS w wersji 4.0.1 określa go w punktach 1.2.3 (diagram sieciowy) i 1.2.4 (diagram przepływu danych). W poprzedniej wersji 3.2.1 odpowiadały im punkty 1.1.2 i 1.1.3.

Diagram sieciowy odpowiada na pytanie: jakie systemy i sieci tworzą Twoje środowisko IT i które z nich wchodzą w skład zakresu certyfikacji PCI DSS.

Diagram przepływu danych odpowiada na pytanie: którędy, w jakiej formie i do kogo trafiają dane kartowe – czy są zaszyfrowane, czy przepływają w postaci jawnej, przez które systemy przechodzą i gdzie są przechowywane.

Z naszego doświadczenia w ponad 200 ukończonych projektach assessmentowych wynika, że firmy, które bagatelizują etap tworzenia diagramów, generują największe opóźnienia i dodatkowe koszty na późniejszych etapach audytu – QSA musi wówczas samodzielnie mapować środowisko, co wydłuża projekt o 2-4 tygodnie.

Diagram jest ponadto przydatny poza PCI DSS – stanowi punkt wyjścia do audytów ISO 27001, spełnienia wymogów EBA (European Banking Authority) i KNF (Komisja Nadzoru Finansowego).

Czym różni się diagram sieciowy od diagramu przepływu danych w PCI DSS?

Oba dokumenty są wymagane równolegle, ale pełnią różne funkcje. Poniższa tabela pokazuje kluczowe różnice:

ElementDiagram sieciowy (Network Diagram)Diagram przepływu danych (Data Flow Diagram)
Co pokazujeTopologię sieci, segmenty, urządzenia, VLANyPrzepływ danych kartowych przez systemy organizacji
Kluczowe elementyFirewalle, routery, serwery, segmenty CDE/non-CDEŹródło danych, pośredników, cel, szyfrowanie/jawna postać
Wymagany przez PCI DSS 4.0.1Punkt 1.2.3Punkt 1.2.4
Częstotliwość przegląduMin. raz w roku + po zmianachMin. raz w roku + po zmianach
Można połączyć?Tak – dla prostych środowisk jeden dokument wystarczyTak – dla prostych środowisk jeden dokument wystarczy

W praktyce oznacza to: dla środowisk chmurowych i hybrydowych niemal zawsze warto tworzyć osobne dokumenty – połączony diagram staje się nieczytelny przy dużej liczbie komponentów.

Jak powinien wyglądać idealny diagram PCI DSS – 5 obowiązkowych cech

Na podstawie ponad 200 projektów wyróżniamy 5 cech, które decydują o tym, czy diagram spełnia wymagania PCI DSS i ułatwia audyt:

1. Aktualność
Diagram musi odzwierciedlać rzeczywiste środowisko IT – nie to sprzed roku. Przeglądaj go minimum raz w roku i po każdej istotnej zmianie infrastruktury. Każda aktualizacja powinna być odnotowana (najlepiej bezpośrednio na diagramie – data, wersja, autor zmiany).

2. Przejrzystość
Zbyt szczegółowy diagram jest równie problematyczny co zbyt ogólny. Nie rysuj każdego serwera z osobna – pokazuj grupy lub role systemów. Odbiorca (QSA, audytor ISO, inspektor KNF) powinien w ciągu 2-3 minut zrozumieć topologię sieci bez dodatkowych pytań.

3. Czytelność wizualna
Używaj standardowych ikon (firewall, router, baza danych, serwer aplikacji) i kolorów do rozróżnienia stref:

  • Strefa CDE vs. non-CDE
  • Przepływ danych zaszyfrowanych vs. jawnych
  • Systemy w zakresie vs. poza zakresem certyfikacji

Dołącz legendę – nie zakładaj, że QSA odczyta Twoje nazewnictwo wewnętrzne (np. „DBSVRLAN321” nic nikomu nie mówi bez klucza).

4. Kompletność
Diagram musi zawierać:

  • Wszystkie systemy w zakresie CDE
  • Połączenia sieciowe (w tym zewnętrzne – do dostawców, procesorów płatności, chmury)
  • Granice segmentacji sieciowej
  • Dla diagramu przepływu danych: każdy punkt styku z danymi kartowymi, w tym systemy trzecich stron

5. Łatwość utrzymania
Diagram, którego aktualizacja zajmuje 3 tygodnie, nie będzie aktualizowany. Stosuj narzędzia umożliwiające szybkie zmiany – np. draw.io (bezpłatne), Lucidchart lub Microsoft Visio. Przechowuj diagram w systemie wersjonowania dokumentów.

Poniżej załączamy przykładowe dobre diagramy

PCI DSS diagram sieciowy
Diagram sieciowy dla środowiska PCI DSS
PCI DSS diagram
Diagram sieciowy i diagram przepływu danych w PCI DSS

Ile diagramów wystarczy do certyfikacji PCI DSS?

Standard PCI DSS 4.0.1 nie precyzuje wymaganej liczby diagramów – wymaga jedynie, żeby były aktualne, czytelne i kompletne. W praktyce:

  • Proste środowiska (np. e-commerce z jednym CDE, bez chmury) – 1-2 diagramy wystarczają
  • Środowiska hybrydowe (chmura + środowisko fizyczne) – warto rozdzielić na diagram wysokopoziomowy + diagramy szczegółowe dla każdego segmentu
  • Złożone środowiska wielolokalizacyjne – odrębne diagramy dla każdej lokalizacji lub segmentu + diagram poglądowy całości

Z naszego doświadczenia: nie liczba diagramów, ale ich aktualność i czytelność decyduje o przebiegu assessmentu.

FAQ

Czy diagram PCI DSS musi być sporządzony w konkretnym narzędziu?

Nie – standard PCI DSS 4.0.1 nie wskazuje żadnego konkretnego narzędzia. Możesz użyć draw.io (bezpłatne), Lucidchart, Microsoft Visio lub nawet narzędzi wbudowanych w platformy chmurowe (np. AWS Architecture Diagrams). Ważne, żeby diagram był eksportowalny do PDF lub PNG i żeby można go było łatwo aktualizować.

Jak często należy aktualizować diagram sieciowy zgodnie z PCI DSS?

Standard PCI DSS 4.0.1 wymaga przeglądu diagramów minimum raz w roku oraz po każdej istotnej zmianie w środowisku IT (np. dodanie nowego segmentu sieci, migracja do chmury, zmiana dostawcy przetwarzania płatności). Każda aktualizacja powinna być udokumentowana.

Czy diagram PCI DSS musi pokazywać adresy IP?

Nie jest to wymagane na poziomie ogólnego diagramu – szczegółowe adresy IP i VLANy można zawrzeć w osobnym dokumencie (inwentarzu systemów) powiązanym z diagramem. Przy złożonych środowiskach jest to wręcz rekomendowane, żeby nie przeładowywać głównego diagramu.

Co się stanie jeśli diagram jest nieaktualny podczas audytu PCI DSS?

Nieaktualny diagram to niezgodność z wymaganiami 1.2.3 i 1.2.4 PCI DSS 4.0.1. W praktyce: QSA musi wówczas poświęcić dodatkowy czas na samodzielne mapowanie środowiska, co opóźnia audyt i generuje dodatkowe koszty. W przypadku ROC (audyt poziomu 1) może to skutkować wydłużeniem projektu i wymaganiem dostarczenia zaktualizowanego diagramu przed zamknięciem raportu.

Czy diagram sieciowy PCI DSS można używać przy innych audytach?

Tak – dobry diagram sieciowy jest użyteczny przy wielu programach compliance. Diagram PCI DSS stosowany jest bezpośrednio lub z niewielkimi modyfikacjami przy audytach ISO 27001, wymogach EBA (European Banking Authority), wymogach KNF oraz przy ocenach bezpieczeństwa DORA. To inwestycja, która amortyzuje się przy kolejnych projektach.

Czym różni się diagram CDE od diagramu przepływu danych?

Diagram CDE (Cardholder Data Environment) to zazwyczaj element diagramu sieciowego – pokazuje, które systemy i segmenty sieci są w zakresie PCI DSS. Diagram przepływu danych (data flow diagram) idzie o krok dalej: pokazuje konkretne ścieżki, którymi dane kartowe przemieszczają się przez organizację, w jakiej formie (zaszyfrowane/jawne) i do jakich podmiotów zewnętrznych trafiają.

Diagram sieciowy PCI DSS – bezpłatna konsultacja

Nie masz pewności czy Twój diagram spełnia wymagania PCI DSS 4.0.1? Patronusec przeprowadził ponad 200 projektów assessmentowych – pomożemy ocenić aktualny diagram lub stworzyć go od podstaw przed audytem.
Umów krótką, niezobowiązującą rozmowę z naszym zespołem.

Bezpłatna konsultacja – kontakt
17 marca, 2025 PCI

Certyfikacja PCI DSS jako przewaga konkurencyjna – jak komunikować zgodność w procesie sprzedaży?

 Czytaj dalej →
22 kwietnia, 2025 PCI

Ile kosztuje certyfikat bezpieczeństwa PCI?

 Czytaj dalej →
verifiable intent płatności
30 marca, 2026 Cloud Security

Verifiable Intent (VI) – jak agenci AI będą autoryzować płatności bez Twojej zgody przy każdej transakcji

 Czytaj dalej →

Nie kupuj kota w worku -
umów się na bezpłatną konsultację i sprawdź, jak możemy Ci pomóc

Bezpłatna konsultacja
Formularz kontaktowy

Skorzystaj z formularza kontaktowego lub skontaktuj się z nami bezpośrednio.

Patronusec Sp z o. o.

Biuro:
ul. Święty Marcin 29/8
61-806 Poznań, Polska

KRS: 0001039087
REGON: 525433988
NIP: 7831881739
D-U-N-S: 989454390
LEI: 259400NAR8ZOX1O66C64

To top