Шифрование от точки к точке

Эта статья требует дополнительных ссылок для проверки . Пожалуйста, помогите улучшить эту статью , добавив цитаты из надежных источников . Материал, не полученный от источника, может быть оспорен и удален.
Поиск источников: «Point to Point Encryption» - новости · газеты · книги · ученый · JSTOR ( ноябрь 2017 г. ) ( Узнайте, как и когда удалить это сообщение-шаблон )

Двухточечное шифрование (P2PE) - это стандарт, установленный Советом по стандартам безопасности PCI . Платежные решения, которые предлагают аналогичное шифрование, но не соответствуют стандарту P2PE, называются решениями сквозного шифрования (E2Ee). Цель P2PE и E2Ee - предоставить решение для обеспечения безопасности платежей, которое мгновенно преобразует конфиденциальные данные и информацию о платежных картах (кредитных и дебетовых картах ) в неразборчивый код во время считывания карты для предотвращения взлома и мошенничества . Он разработан для обеспечения максимальной безопасности транзакций с платежными картами во все более сложной нормативной среде.

Стандарт [ править ]

Стандарт P2PE определяет требования, которым должно соответствовать «решение», чтобы его можно было принять в качестве одобренного PCI решения P2PE. «Решение» - это полный набор оборудования, программного обеспечения, шлюза, дешифрования, управления устройствами и т. Д. Только «решения» могут быть проверены; отдельные компоненты оборудования, такие как устройства чтения карт, не могут быть проверены. Также распространенной ошибкой является называть проверенные P2PE решения «сертифицированными»; такой сертификации нет.

Определение того, соответствует ли решение стандарту P2PE, является обязанностью квалифицированного специалиста по оценке безопасности P2PE (P2PE-QSA). Компании P2PE-QSA - это независимые сторонние компании, которые нанимают оценщиков, которые выполнили требования Совета по стандартам безопасности PCI в отношении образования и опыта и сдали требуемый экзамен. Совет по стандартам безопасности PCI не проверяет решения.

Как это работает [ править ]

Когда платежная карта проходит через устройство для считывания карт, называемое устройством точки взаимодействия (POI), в местоположении продавца или в точке продажи , устройство немедленно шифрует информацию карты. Устройство, которое является частью решения P2PE, прошедшего проверку PCI, использует алгоритмические вычисления для шифрования конфиденциальных данных платежных карт. Из точки интереса зашифрованные, не поддающиеся расшифровке коды отправляются на платежный шлюз или процессор для расшифровки. ^{[ необходима цитата ]}Ключи для шифрования и дешифрования никогда не доступны продавцу, что делает данные карты полностью невидимыми для продавца. Как только зашифрованные коды попадают в зону защищенных данных платежного процессора, коды расшифровываются до исходных номеров карт и затем передаются в банк-эмитент для авторизации. Банк либо утверждает, либо отклоняет транзакцию, в зависимости от статуса платежного счета держателя карты. Затем продавец уведомляется, если платеж принят или отклонен, чтобы завершить процесс вместе с токеном, который продавец может хранить. Этот токен представляет собой уникальный номер, относящийся к исходной транзакции, который продавец может использовать, если они когда-либо понадобятся для проведения исследования или возврата средств покупателю, даже не зная данных карты покупателя ( токенизация). Существуют также компании квалифицированных интеграторов и торговых посредников (QIR), которые являются предприятиями, уполномоченными «внедрять, настраивать и / или поддерживать проверенные» платежные приложения PA-DSS и выполнять квалифицированные установки. ^[1]

Поставщики решений [ править ]

Согласно Совету по стандартам безопасности PCI:

Поставщик решения P2PE - это сторонняя организация (например, процессор, эквайер или платежный шлюз), которая несет общую ответственность за разработку и внедрение конкретного решения P2PE и управляет решениями P2PE для своих торговых клиентов. Поставщик решения несет общую ответственность за обеспечение выполнения всех требований P2PE, включая любые требования P2PE, выполняемые сторонними организациями от имени поставщика решения (например, центрами сертификации и средствами ввода ключей). ^[2]

Преимущества [ править ]

Преимущества для клиентов [ править ]

P2PE значительно снижает риск мошенничества с платежными картами за счет мгновенного шифрования конфиденциальных данных держателя карты в момент считывания или «погружения» платежной карты, если это карта с чипом, на устройстве для считывания карт (платежный терминал) или POI.

Торговые преимущества [ править ]

P2PE значительно облегчает обязанности продавца:

С проверенным решением P2PE продавцы значительно экономят время и деньги, поскольку требования PCI могут быть значительно снижены. Стандарт безопасности данных индустрии платежных карт (PCI DSS). Для организаций, использующих провайдер решений P2PE, вопросник для самооценки PCI сокращен с 12 до 4 разделов, а количество вопросов уменьшено с 329 до 35. ^[3]
В случае мошенничества поставщик решений P2PE, а не продавец, несет ответственность за потерю данных и связанные с этим штрафы, которые могут быть начислены брендами карт (American Express, Visa, MasterCard, Discover и JCB). Совет по стандартам безопасности PCI не применяет штрафы к поставщикам решений или продавцам. ^{[ необходима цитата ]}
Процесс оплаты с помощью P2PE быстрее, чем другие процессы транзакции; таким образом, создание более простых и быстрых транзакций между покупателем и продавцом. ^{[ необходима цитата ]}

Сравнение двухточечного шифрования и сквозного шифрования [ править ]

Точка-точка [ править ]

Соединение точка-точка напрямую связывает систему 1 (точка приема платежных карт) с системой 2 (точка обработки платежей). Истинное решение P2PE определяется тремя основными факторами:

Решение использует процесс аппаратного шифрования и дешифрования вместе с устройством POI, для которого в качестве функции указан SRED (безопасное чтение и обмен данными).
Решение было проверено на соответствие стандарту PCI P2PE, который включает в себя особые требования к устройствам POI, такие как строгий контроль в отношении доставки, получения, упаковки и установки с защитой от несанкционированного доступа.
Решение включает обучение продавцов в форме Руководства по эксплуатации P2PE, которое дает продавцам инструкции по использованию, хранению, возврату для ремонта и регулярной отчетности PCI.

Сквозной [ править ]

Сквозное шифрование, как следует из названия, имеет преимущество перед P2PE в том, что данные карты не шифруются между двумя конечными точками. Если конечными точками являются ПИН-панель, подтвержденная PCI PED, и эквайер POS, нет возможности для перехвата данных карты. Очевидно, что важно, чтобы конечные точки (PED и шлюз) были предоставлены организациями, аккредитованными PCI.

Требования к шифрованию точка-точка PCI [ править ]

Требования включают:

Безопасное шифрование данных платежной карты в точке взаимодействия (POI),
Подтвержденные P2PE приложения в точке взаимодействия,
Безопасное управление устройствами шифрования и дешифрования,
Управление средой дешифрования и всеми расшифрованными данными аккаунта,
Использование методологий безопасного шифрования и операций с криптографическими ключами, включая создание ключей, распространение, загрузку / внедрение, администрирование и использование. ^{[ необходима цитата ]}

Ссылки [ править ]

^ Стандарты безопасности PCI: оценщики и решения
^ «Вопросы и ответы по P2PE» (PDF) . Август 2012 г.
^ "Анкета для самооценки стандарта безопасности данных индустрии платежных карт (PCI) P2PE-HW и подтверждение соответствия" . Проверено 19 апреля 2015 . CS1 maint: обескураженный параметр ( ссылка )

[1] Стандарты безопасности PCI: оценщики и решения

[2] «Вопросы и ответы по P2PE» (PDF) . Август 2012 г.

[3] "Анкета для самооценки стандарта безопасности данных индустрии платежных карт (PCI) P2PE-HW и подтверждение соответствия" . Проверено 19 апреля 2015 . CS1 maint: обескураженный параметр ( ссылка )

[1]