Двухточечное шифрование (P2PE)

[Carding]

Что такое Двухточечное шифрование - Point-To-Point Encryption (P2PE)?
Двухточечное шифрование (P2PE) - это стандарт шифрования, созданный для обеспечения надежного решения безопасности для электронных финансовых транзакций.

ПРЕРЫВАНИЕ двухточечного шифрования (P2PE)
Двухточечное шифрование (P2PE) - это стандарт шифрования, установленный Советом по стандартам безопасности PCI и предназначенный для обеспечения надежного решения безопасности для электронных финансовых транзакций. В рамках P2PE данные транзакции шифруются с использованием стандарта PCI с момента сбора данных о клиенте в точке продажи до их передачи процессору платежей, который расшифровывает данные и утверждает транзакцию.

P2PE шифрование обеспечивает повышенную безопасность электронных финансовых транзакций. Благодаря этому надежному шифрованию продавцы и потребители снижают риск раскрытия личных и финансовых данных во время транзакции.

Зашифрованные данные не поддаются расшифровке третьим лицам, поэтому даже в случае утечки данных данные бесполезны для любой стороны без ключей шифрования. Ключи шифрования никогда не предоставляются продавцу. Хотя существует множество доступных решений для защиты данных клиентов и транзакций, включая токенизацию и аутентификацию EMV для транзакций с чип-картами, P2PE высоко оценен заинтересованными сторонами в отрасли, поскольку он управляется Советом по стандартам безопасности PCI.

Поставщики P2PE включают сторонние аппаратные и программные решения для шифрования, в том числе эквайеры, платежные шлюзы и процессоры карт. Поставщики P2PE должны предоставлять надежные, мгновенные услуги в электронных транзакциях, чтобы поддерживать сертификацию P2PE.

P2PE и Совет по стандартам безопасности PCI
Хотя на рынке доступны другие формы шифрования для защиты передачи электронной информации, только поставщики решений P2PE соответствуют стандартам, установленным ПК!

Чтобы соответствовать стандартам PCI, решение P2PE должно отвечать следующим требованиям:

• Безопасное шифрование данных платежной карты в точке взаимодействия
• Подтвержденные P2PE приложения в точке взаимодействия
• Безопасное управление устройствами шифрования и дешифрования
• Управление средой дешифрования и всеми расшифрованными данными аккаунта
• Использование методологий безопасного шифрования и операций с криптографическими ключами, включая создание ключей, распространение, загрузку / внедрение, администрирование и использование.

Совет по стандартам безопасности PCI - это глобальный форум индустрии финансовых транзакций, созданный для разработки и повышения стандартов безопасности финансовых транзакций. Совет по стандартам безопасности PCI был основан пятью платежными брендами, включая American Express, Discover Financial Services, JCB International, MasterCard и Visa, для создания и внедрения стандарта безопасности данных PCI. Хотя Советом управляют пять членов-учредителей, а также стратегические члены, обеспечение соблюдения стандартов, а также определение штрафов за несоблюдение является обязанностью отдельных платежных брендов, а не Совета.

 

[Jollier]

Оглавление

1. P2PE определение
2. Что такое решение P2PE, прошедшее проверку PCI?
3. Как работает P2PE?
4. В чем разница между P2PE и E2EE?
5. Решения для двухточечного шифрования и соответствие стандарту PCI DSS
6. Заключительное слово

Данные о держателях карт часто становятся целью взломов и утечек данных, и, согласно блогу IT Governance UK Blog, в январе 2020 года было взломано 1,5 миллиарда записей. Проще говоря, предприятиям, принимающим кредитные карты, необходимо проявлять особую осторожность, когда дело доходит до их процессы защиты данных и борьбы с мошенничеством.
Любой, кто отвечает за соответствие требованиям PCI DSS в своем бизнесе, может быть заинтересован в шифровании точка-точка (P2PE), методе шифрования, который обеспечивает наилучшую защиту платежной информации ваших клиентов. Получите подробную информацию о решениях для двухточечного шифрования, от соответствия требованиям P2PE до разницы между двухточечным и сквозным шифрованием.

P2PE определение
Итак, что такое P2PE? Проще говоря, двухточечное шифрование - это стандарт шифрования, установленный Советом по стандартам безопасности индустрии платежных карт. Он предусматривает, что информация о держателе карты шифруется сразу после того, как карта используется в торговом терминале продавца, и не дешифруется до тех пор, пока не будет обработана платежным оператором. Этому стандарту соответствуют решения для двухточечного шифрования - комплексные услуги, предоставляемые специализированными поставщиками, включающие все программное обеспечение и устройства, необходимые для соответствия требованиям P2PE.

Что такое решение P2PE, прошедшее проверку PCI?
Стоит отметить, что не все решения P2PE проходят проверку PCI. Чтобы двухточечное решение получило валидацию - подтверждающую, что оно соответствует строгим требованиям, определенным в стандарте PCI P2PE, - оно должно пройти оценку и аудит у квалифицированного специалиста по безопасности P2PE (QSA). После этого он будет внесен на рассмотрение Совета PCI. Итак, что должно включать в себя решение P2PE, прошедшее проверку PCI? Согласно PCI Council, должны присутствовать следующие требования PCI P2PE:
· Шифрование информации о карте в POI / платежном терминале
· Безопасное управление всеми устройствами шифрования и дешифрования
· Приложения P2PE в POI
· Безопасное управление описательной средой и расшифрованными данными
· Использование методологий шифрования и операций с криптографическими ключами

Как работает P2PE?
По сути, P2PE шифрует информацию о карте, как только она получена от платежного процессора, используя алгоритм, который превращает информацию в нечитаемый код. Затем этот код передается в платежную систему, где расшифровывается с помощью безопасного ключа. Поскольку дешифрование происходит в электронном виде, продавец никогда не контактирует с финансовой информацией своих клиентов, что делает ее более или менее невидимой.

В чем разница между P2PE и E2EE?
Хотя решения для двухточечного шифрования и сквозного шифрования (E2EE) похожи, между ними есть ключевое различие. А именно, что решения E2EE не соответствуют стандартам Совета PCI, в основном потому, что между POI и точкой обработки есть другие системы, что увеличивает вероятность взлома или взлома. Напротив, решения P2PE передают данные напрямую, без каких-либо промежуточных систем. Также стоит помнить, что P2PE поддается оценке, в то время как нет никаких стандартов, связанных с решениями шифрования, которые позиционируются как сквозные.

Решения для двухточечного шифрования и соответствие стандарту PCI DSS
Предполагая, что вы используете решение для двухточечного шифрования, которое соответствует требованиям PCI P2PE, вы не будете соответствовать требованиям PCI DSS. Проще говоря, ответственность за соблюдение требований будет лежать на провайдере P2PE, и в маловероятном случае утечки данных к ответственности будет привлечен провайдер, а не вы. Это означает, что вам не нужно беспокоиться о каких-либо потенциальных штрафах, связанных с PCI DSS, таких как штрафы, лишение вас возможности получать платежи по кредитным картам и расходы на замену кредитной карты.

Заключительное слово
Обеспечивая, чтобы ваш бизнес никогда не касался данных карт, двухточечное шифрование (P2PE) помогает вам избежать последствий утечки данных, будь то ущерб вашей репутации или финансовые санкции. Итог: если вы сохраните данные своих клиентов в безопасности, вы сохраните и свой бизнес.