Шифрование точка-точка - Point to Point Encryption

Двухточечное шифрование (P2PE) - это стандарт, установленный Совет по стандартам безопасности PCI. Платежные решения, которые предлагают аналогичное шифрование, но не соответствуют стандарту P2PE, называются сквозное шифрование (E2Ee) решения. Задача P2PE и E2Ee - обеспечить платеж решение безопасности что мгновенно преобразует конфиденциально платежная карта (кредитная и дебетовая карточка ) данные и информацию в неразборчивый код во время считывания карты, чтобы предотвратить взлом и мошенничество. Он разработан для обеспечения максимальной безопасности транзакций с платежными картами во все более сложной нормативной среде.

Стандарт

Стандарт P2PE определяет требования, которым должно соответствовать «решение», чтобы его можно было принять в качестве одобренного PCI решения P2PE. «Решение» - это полный набор оборудования, программного обеспечения, шлюза, дешифрования, управления устройствами и т. Д. Только «решения» могут быть проверены; отдельные компоненты оборудования, такие как устройства чтения карт, не могут быть проверены. Также распространенной ошибкой является называть проверенные P2PE решения «сертифицированными»; такой сертификации нет.

Определение того, соответствует ли решение стандарту P2PE, является обязанностью квалифицированного специалиста по безопасности P2PE (P2PE-QSA). Компании P2PE-QSA - это независимые сторонние компании, которые нанимают оценщиков, которые выполнили требования Совета по стандартам безопасности PCI в отношении образования и опыта и сдали необходимый экзамен. Совет по стандартам безопасности PCI не проверяет решения.

Как это устроено

Когда платежная карта проходит через устройство для чтения карт, называемое точка взаимодействия (POI) устройство в месте нахождения продавца или торговая точка, устройство сразу же зашифровывает информацию о карте. Устройство, которое является частью решения P2PE, подтвержденного PCI, использует алгоритмические вычисления для шифрования конфиденциальных данных платежных карт. Из точки интереса зашифрованные, не поддающиеся расшифровке коды отправляются на платежный шлюз или процессор для расшифровки.[нужна цитата ] Ключи для шифрования и дешифрования никогда не доступны продавцу, что делает данные карты полностью невидимыми для продавца. Как только зашифрованные коды попадают в зону защищенных данных платежного процессора, коды расшифровываются до исходных номеров карт и затем передаются в банк-эмитент для авторизации. Банк либо утверждает, либо отклоняет транзакцию, в зависимости от статуса платежного счета держателя карты. Затем продавец уведомляется, если платеж принят или отклонен, чтобы завершить процесс вместе с токеном, который продавец может хранить. Этот токен представляет собой уникальный номер, относящийся к исходной транзакции, который продавец может использовать, если они когда-либо понадобятся для проведения исследования или возврата средств покупателю, даже не зная данных карты покупателя (токенизация ). Существуют также компании квалифицированных интеграторов и торговых посредников (QIR), которые являются предприятиями, уполномоченными «внедрять, настраивать и / или поддерживать проверенные» платежные приложения PA-DSS и выполнять квалифицированные установки.[1]

Поставщики решений

Согласно Совету по стандартам безопасности PCI:

Поставщик решения P2PE - это сторонняя организация (например, процессор, эквайер или платежный шлюз), которая несет общую ответственность за разработку и реализацию конкретного решения P2PE и управляет решениями P2PE для своих торговых клиентов. Поставщик решения несет общую ответственность за обеспечение выполнения всех требований P2PE, включая любые требования P2PE, выполняемые сторонними организациями от имени поставщика решения (например, центрами сертификации и средствами ввода ключей).[2]

Преимущества

Преимущества для клиентов

P2PE значительно снижает риск мошенничества с платежными картами за счет мгновенного шифрования конфиденциальных данных держателя карты в момент считывания или «погружения» платежной карты, если это карта с чипом, на устройстве считывания карт (платежный терминал) или в точке доступа.

Торговые преимущества

P2PE значительно облегчает обязанности продавца:

  • С проверенным решением P2PE продавцы значительно экономят время и деньги, поскольку требования PCI могут быть значительно снижены. Стандарт безопасности данных индустрии платежных карт (PCI DSS). Для организаций, использующих провайдер решений P2PE, анкета самооценки PCI сокращена с 12 до 4 разделов, а количество вопросов сокращено с 329 до 35.[3]
  • В случае мошенничества поставщик решений P2PE, а не продавец, несет ответственность за потерю данных и связанные с этим штрафы, которые могут быть начислены брендами карт (American Express, Visa, MasterCard, Discover и JCB). Совет по стандартам безопасности PCI не налагает штрафы на поставщиков решений или продавцов.[нужна цитата ]
  • Процесс оплаты с помощью P2PE происходит быстрее, чем другие процессы транзакции; таким образом, создание более простых и быстрых транзакций между покупателем и продавцом.[нужна цитата ]

Сравнение двухточечного шифрования и сквозного шифрования

Точка-точка

Соединение точка-точка напрямую связывает систему 1 (точка приема платежных карт) с системой 2 (точка обработки платежей). Истинное решение P2PE определяется тремя основными факторами:

  1. Решение использует процесс аппаратного шифрования и дешифрования вместе с устройством POI, для которого в качестве функции указан SRED (безопасное чтение и обмен данными).
  2. Решение было проверено на соответствие стандарту PCI P2PE, который включает в себя особые требования к устройствам POI, такие как строгий контроль доставки, получения, упаковки и установки с защитой от несанкционированного доступа.
  3. Решение включает обучение продавцов в форме Руководства по эксплуатации P2PE, которое направляет продавца по использованию, хранению, возврату для ремонта и регулярной отчетности PCI.

Концы с концами

Сквозное шифрование, как следует из названия, имеет преимущество перед P2PE в том, что данные карты не передаются в незашифрованном виде между двумя конечными точками. Если конечными точками являются ПИН-клавиатура, подтвержденная PCI PED, и эквайер POS, нет возможности для перехвата данных карты. Очевидно, что важно, чтобы конечные точки (PED и шлюз) были предоставлены организациями, аккредитованными PCI.

Требования к шифрованию точка-точка PCI

Требования включают:

  1. Безопасное шифрование данных платежной карты в точке взаимодействия (POI),
  2. Подтвержденные P2PE приложения в точке взаимодействия,
  3. Безопасное управление устройствами шифрования и дешифрования,
  4. Управление средой дешифрования и всеми расшифрованными данными аккаунта,
  5. Использование безопасных методологий шифрования и операций с криптографическими ключами, включая генерацию ключей, распространение, загрузку / внедрение, администрирование и использование.[нужна цитата ]

Рекомендации

  1. ^ Стандарты безопасности PCI: эксперты и решения
  2. ^ «Часто задаваемые вопросы по P2PE» (PDF). Август 2012 г.
  3. ^ «Анкета для самооценки стандарта безопасности данных индустрии платежных карт (PCI) P2PE-HW и подтверждение соответствия». Получено 2015-04-19.