Point To Point Encryption

Point to Point Encryption (P2PE) — стандарт, установленный Советом по стандартам безопасности PCI (Payment Card Industry Data Security Standard) для повышения безопасности электронных финансовых транзакций. Благодаря этому стандарту как продавцы, так и покупатели имеют меньший риск потери личных и финансовых данных. Шифрование платежей аналогичными методами, но не соответствующие стандарту P2PE, осуществляется с помощью стандарта E2EE (End to End Encryption). Целью P2PE и E2EE является обеспечение безопасности платежей и переводов с помощью банковских карт.[1]

Стандарт

Стандарт P2PE определяет требования, подтвержденные Советом по стандартами безопасности PCI, которым должен соответствовать полный набор аппаратных средств, программного обеспечения, шлюза, дешифрования, обработки устройства и т. д. Если данная платежная система, удовлетворяет стандарту P2PE, то её называют решением P2PE. Только решение P2PE может быть проверено; отдельные части оборудования, такие как устройства чтения карт, проверены быть не могут. Также распространенной ошибкой является утверждение, решение P2PE является сертифицированными, но на самом деле такой сертификации нет.

За определение соответствия решения P2PE стандарту отвечает квалифицированный эксперт безопасности P2PE (P2PE-QSA). Компании P2PE-QSA являются независимыми сторонними компаниями, которые нанимают экспертов, которых определяет Совет по стандартам безопасности PCI по образованию, опыту и результатам экзамена. Сам Совет по стандартам безопасности PCI не проверяет решения P2PE.[2]

Принцип работы

Когда платежная карта проходит через устройство считывания карт, называемое устройством точки взаимодействия (POI), в точке продажи, устройство немедленно шифрует информацию карты. Устройство, которое является частью решения P2PE, использует алгоритмы шифрования для защиты конфиденциальных данных платежной карты. Из POI зашифрованный код отправляется на платежный шлюз или процессор для расшифровки. Ключи для шифрования и дешифрования никогда не доступны продавцу, что делает данные карты полностью невидимыми для продавца. Как только зашифрованный код находится в безопасной зоне обработчика данных платежей, код дешифруется до исходного номера карты и затем передается в банк-эмитент для авторизации. Банк одобряет или отклоняет транзакцию в зависимости от состояния платежного счета держателя карты. Затем продавец уведомляется о том, что платеж принят или отклонен для завершения процесса, вместе с токеном, который продавец может сохранить. Этот токен является уникальным номером ссылки на исходную транзакцию, которую продавец может использовать, если он когда-либо понадобится для проведения исследования или возврата денег клиенту, даже не зная информацию о карте клиента (токенизация). Существуют также квалифицированные компании-интеграторы и посредники (QIR), которые являются компаниями, уполномоченными «внедрять, настраивать и / или поддерживать проверенные» платежные приложения PA-DSS и выполнять квалифицированные установки.[2]

Поставщики решения

Согласно Совету по стандартам безопасности PCI, поставщик решений P2PE — это сторонняя организация, которая несет общую ответственность за разработку и реализацию конкретного решения P2PE и управляет решениями P2PE для своих торговых клиентов. Поставщик решения несет общую ответственность за обеспечение того, чтобы все требования P2PE были выполнены, включая любые требования P2PE, выполняемые сторонними организациями от имени поставщика решения (например, центрами сертификации и средствами ввода ключей).[3]

Преимущества

Преимущества для клиентов

P2PE значительно снижает риск мошенничества с платежными картами, мгновенно зашифровывая конфиденциальные данные держателя карты в тот момент, когда платежная карта считывается или «прикладывается», если она является чип-картой в устройстве считывания карт (платежном терминале) или POI.

Преимущества для продавцов

P2PE значительно облегчает обязанности продавца:

  • С проверенным решением P2PE, продавцы экономят значительное время и деньги, поскольку требования PCI могут быть значительно снижены. Стандарт безопасности данных индустрии платежных карт (PCI DSS). Для организаций, использующих проверенного поставщика решений P2PE, вопросник самооценки PCI сокращен с 12 до 4, а элементы управления — с 329 вопросов до 35.
  • В случае мошенничества поставщик решений P2PE, а не продавец, несет ответственность за потерю данных и штрафы, которые могут быть оценены брендами карт (American Express, Visa, MasterCard, Discover и JCB). Совет по стандартам безопасности PCI не оценивает штрафы для поставщиков решений или продавцов.
  • Процесс оплаты с P2PE быстрее, чем другие процессы транзакций; таким образом, создавая более простые и более быстрые транзакции покупателя-продавца.[4]

Сравнение P2PE и E2EE

P2PE

P2PE напрямую связывает систему 1 (точка приема платежной карты) с системой 2 (точка обработки платежа). Следовательно, без участия каких-либо других систем платежные транзакции не только занимают меньше времени, но и обеспечивают большую безопасность и конфиденциальность. Истинное решение P2PE определяется тремя основными факторами:

  1. В решении используется процесс аппаратного шифрования и дешифрования вместе с устройством POI, в котором в качестве функции указан SRED (безопасное чтение и обмен данными).
  2. Решение было подтверждено стандартом PCI P2PE, который включает в себя особые требования к устройствам POI, такие как строгий контроль в отношении доставки, получения, несанкционированного доступа к упаковке и установке.
  3. Решение включает в себя обучение продавцов в форме Руководства по P2PE, которое направляет продавца на использование устройства POI, хранение, возврат для ремонта и регулярную отчетность по PCI.

E2EE

Многие провайдеры предлагают E2EE, которое не является частью решения P2PE, подтвержденного PCI. Сквозное соединение может косвенно связывать систему 1 (точка приема платежной карты) с системой 2 (точка обработки платежа), но с несколькими промежуточными системами, что увеличивает возможность перехвата информации; может использовать программное шифрование; или может не соответствовать требованиям P2PE. Хотя это и не типично, решение E2EE может позволить расшифровать данные карты продавцом, поскольку не существует стандарта, которому можно было бы соответствовать. Если данные платежной карты существуют где-то в среде продавца в незашифрованном виде, это опасно как для держателей карт, так и для продавцов, поскольку незашифрованные данные можно легко прочитать и украсть.[5]

Требования к P2PE от PCI(Payment Card Industry)

Требования включают в себя:

  1. Безопасное шифрование данных платежной карты в точке взаимодействия (POI),
  2. P2PE утвержденное приложение или приложения в точке взаимодействия,
  3. Безопасное управление устройствами шифрования и дешифрования,
  4. Управление средой дешифрования и всеми расшифрованными данными аккаунта,
  5. Использование методов безопасного шифрования и операций с криптографическими ключами, включая генерацию, распространение, загрузку или внедрение ключей, администрирование и использование ключей.[6]

Текущие задачи для организаций, использующих P2PE

  • Организации, которые не защищают данные учетной записи с помощью двухточечного шифрования, могут не соответствовать требованиям PCI DSS, рискуя получить штрафы и нанести ущерб бизнесу.
  • Злоумышленники могут похищать данные учетных записей клиентов из разных мест в типичной организации, поскольку они могут преднамеренно или непреднамеренно вводить данные по многочисленным каналам (веб-сайты, центры обработки вызовов и службы поддержки, системы электронной почты и т. д.) И могут быстро и широко распространяться по всей организации, что способствует расходы на контрмеры и соблюдение отчетности.
  • Шифрование может снизить риски, но организации должны принять меры для надлежащего управления ключами. Ключи, существующие в чисто программных системах, уязвимы для атак и часто не соответствуют обязательствам по обеспечению соответствия.
  • Хотя PCI DSS не предписывает использование двухточечного шифрования (P2PE), организации, которые не используют этот подход двухточечного шифрования для сокращения своей области PCI DSS, могут нести ненужные затраты на соответствие.[7]

Литература

  1. Julia Kagan. Point-To-Point Encryption (P2PE) (англ.). Investopedia. Дата обращения: 10 декабря 2019. Архивировано 9 декабря 2019 года.
  2. 1 2 Payment Card Industry (PCI). Frequently Asked Questions for PCI Point-toPoint Encryption (P2PE). — 2012. — С. 3. Архивировано 7 сентября 2019 года.
  3. Payment Card Industry (PCI). Frequently Asked Questions for PCI Point-toPoint Encryption (P2PE). — 2012. — С. 4. Архивировано 7 сентября 2019 года.
  4. Payment Card Industry (PCI). Hardware Payment Terminals in a PCI-Listed P2PE Solution Only — No Electronic Cardholder Data Storage. — 2014. — С. 4. Архивировано 15 июля 2021 года.
  5. What is the difference between Point-to-Point Encryption and End-to-End Encryption? - Paya  (неопр.). support.paya.com. Дата обращения: 10 декабря 2019. Архивировано 10 декабря 2019 года.
  6. Payment Card Industry (PCI). Frequently Asked Questions for PCI Point-toPoint Encryption (P2PE). — 2012. — С. 2. Архивировано 7 сентября 2019 года.
  7. Point-to-Point Encryption: Challenges, Risks, and Solutions (англ.). www.thalesesecurity.com. Дата обращения: 10 декабря 2019. Архивировано 19 июля 2019 года.