Двухточечное шифрование
Эта статья нуждается в дополнительных цитатах для проверки . ( ноябрь 2017 г. ) |
Двухточечное шифрование (P2PE) — это стандарт, установленный Советом по стандартам безопасности PCI . Платежные решения, которые предлагают аналогичное шифрование, но не соответствуют стандарту P2PE, называются решениями сквозного шифрования (E2EE). Целью P2PE и E2EE является предоставление решения по обеспечению безопасности платежей , которое мгновенно преобразует конфиденциальные данные и информацию платежной карты (кредитной и дебетовой карты ) в нерасшифрованный код в момент считывания карты, чтобы предотвратить взлом и мошенничество . Он предназначен для обеспечения максимальной безопасности транзакций по платежным картам в условиях все более сложной нормативно-правовой базы.
Стандарт
[ редактировать ]Стандарт P2PE определяет требования, которым должно соответствовать «решение», чтобы быть принятым в качестве решения P2PE, проверенного PCI. «Решение» — это полный набор оборудования, программного обеспечения, шлюза, дешифрования, обработки устройств и т. д. Только «решения» могут быть проверены; отдельные части аппаратного обеспечения, такие как устройства считывания карт, не могут быть проверены. Также распространенной ошибкой является называть проверенные P2PE решения «сертифицированными»; такого сертификата нет.
Определение того, соответствует ли решение стандарту P2PE, является обязанностью квалифицированного оценщика безопасности P2PE (P2PE-QSA). Компании P2PE-QSA — это независимые сторонние компании, которые нанимают оценщиков, которые соответствуют требованиям Совета по стандартам безопасности PCI в отношении образования и опыта и сдали необходимый экзамен. Совет по стандартам безопасности PCI не проверяет решения.
Как это работает
[ редактировать ]Когда платежная карта проходит через устройство считывания карт, называемое устройством точки взаимодействия (POI), в торговом месте или в торговой точке , устройство немедленно шифрует информацию о карте. Устройство, являющееся частью P2PE-решения, проверенного PCI, использует алгоритмические вычисления для шифрования конфиденциальных данных платежной карты. Из POI зашифрованные, нерасшифрованные коды отправляются в платежный шлюз или процессор для расшифровки. [ нужна ссылка ] Ключи для шифрования и дешифрования никогда не доступны продавцу, что делает данные карты полностью невидимыми для продавца. Как только зашифрованные коды попадают в безопасную зону данных платежной системы, коды расшифровываются до исходных номеров карт, а затем передаются в банк-эмитент для авторизации. Банк либо одобряет, либо отклоняет транзакцию, в зависимости от статуса платежного счета держателя карты. Затем продавец уведомляется, если платеж принят или отклонен, для завершения процесса вместе с токеном, который продавец может сохранить. Этот токен представляет собой уникальный номер, ссылающийся на исходную транзакцию, который продавец может использовать, если ему когда-либо понадобится провести исследование или вернуть деньги покупателю, даже не зная информации о карте клиента ( токенизация ). Существуют также компании-аттестованные интеграторы и реселлеры (QIR), которые являются предприятиями, уполномоченными «внедрять, настраивать и/или поддерживать проверенные» платежные приложения PA-DSS, а также выполнять квалифицированную установку. [1]
Поставщики решений
[ редактировать ]По данным Совета по стандартам безопасности PCI:
Поставщик решения P2PE — это сторонняя организация (например, процессор, эквайер или платежный шлюз), которая несет общую ответственность за разработку и внедрение конкретного решения P2PE и управляет решениями P2PE для своих торговых клиентов. Поставщик решения несет общую ответственность за обеспечение выполнения всех требований P2PE, включая любые требования P2PE, выполняемые сторонними организациями от имени поставщика решения (например, центрами сертификации и средствами внедрения ключей). [2]
Преимущества
[ редактировать ]Преимущества для клиентов
[ редактировать ]P2PE значительно снижает риск мошенничества с платежными картами за счет мгновенного шифрования конфиденциальных данных о держателях карт в момент считывания или «опускания» платежной карты, если это чиповая карта, в устройстве считывания карт (платежном терминале) или POI.
Преимущества для торговцев
[ редактировать ]P2PE существенно облегчает обязанности продавца:
- Благодаря проверенному P2PE решению торговцы экономят значительное время и деньги, поскольку требования PCI могут быть значительно снижены. Стандарт безопасности данных индустрии платежных карт (PCI DSS). Для организаций, которые используют проверенного поставщика решений P2PE, анкета для самооценки PCI сокращена с 12 разделов до 4 разделов, а количество элементов управления сокращено с 329 вопросов до 35. [3]
- В случае мошенничества поставщик решений P2PE, а не продавец, несет ответственность за потерю данных и связанные с этим штрафы, которые могут начисляться по брендам карт (American Express, Visa, MasterCard, Discover и JCB). Совет по стандартам безопасности PCI не налагает штрафы на поставщиков решений или продавцов. [ нужна ссылка ]
- Процесс оплаты с помощью P2PE происходит быстрее, чем другие процессы транзакций, что упрощает и ускоряет транзакции между клиентом и продавцом. [ нужна ссылка ]
Двухточечное шифрование против сквозного шифрования
[ редактировать ]Точка-точка
[ редактировать ]Соединение «точка-точка» напрямую связывает систему 1 (точку приема платежных карт) с системой 2 (точку обработки платежей). Настоящее решение P2PE определяется тремя основными факторами:
- Решение использует процесс межаппаратного шифрования и дешифрования вместе с устройством POI, в качестве функции которого указан SRED (безопасное чтение и обмен данными).
- Решение было проверено на соответствие стандарту PCI P2PE, который включает в себя особые требования к устройствам POI, такие как строгий контроль в отношении доставки, получения, упаковки с защитой от несанкционированного доступа и установки.
- Решение включает в себя обучение продавцов в форме Руководства по эксплуатации P2PE, которое дает продавцам инструкции по использованию, хранению и хранению устройств POI, возврату для ремонта и регулярной отчетности PCI.
Сквозной
[ редактировать ]Сквозное шифрование, как следует из названия, имеет преимущество перед P2PE, поскольку данные карты не шифруются между двумя конечными точками. Если конечными точками являются PIN-пад с проверкой PCI PED и POS-эквайер, возможность перехвата данных карты отсутствует. Очевидно, важно, чтобы конечные точки (PED и шлюз) предоставлялись организациями, аккредитованными PCI.
Требования к двухточечному шифрованию PCI
[ редактировать ]Требования включают в себя:
- Безопасное шифрование данных платежной карты в точке взаимодействия (POI),
- Приложения, проверенные P2PE, в точке взаимодействия,
- Безопасное управление устройствами шифрования и дешифрования,
- Управление средой расшифровки и всеми расшифрованными данными учетной записи,
- Использование методологий безопасного шифрования и операций с криптографическими ключами, включая генерацию, распространение, загрузку/внедрение ключей, администрирование и использование. [ нужна ссылка ]
Ссылки
[ редактировать ]- ^ Стандарты безопасности PCI: оценщики и решения
- ^ «Часто задаваемые вопросы по P2PE» (PDF) . Август 2012.
- ^ «Опросник P2PE-HW для самооценки стандарта безопасности данных индустрии платежных карт (PCI) и аттестация соответствия» . Проверено 19 апреля 2015 г.