Процесс шифрования платежных систем

Все розничные продавцы по всему миру должны соответствовать стандарту безопасности данных индустрии платежных карт (PCI DSS). Соответствие должно быть достигнуто либо путем самооценки, либо посредством аудита безопасности, выполненного квалифицированным оценщиком (QSA). Целью PCI DSS является повышение уровня защиты данных и, тем самым, уменьшение количества возникающих утечек данных. К сожалению, преступники признали ценность номеров кредитных и дебетовых карт, что привело к огромным потерям в результате финансового мошенничества с номерами украденных карт. Процесс шифрования платежных систем идет полным ходом.

Двухточечное шифрование

Соответствие PCI DSS не является тривиальной задачей. Ритейлеры обнаружили, что он имеет широкий охват и требует серьезных организационных обязательств, ресурсов и инвестиций. Существуют различные способы уменьшить объем работы, которую необходимо выполнить, проще всего сократить количество мест, в которых хранятся данные карточки. Один из способов упростить соответствие PCI DSS - это ввести двухточечное шифрование (P2PE). Начальная точка - это шифрование данных карты в самом начале платежной транзакции, как только она будет прочитана. Шифрование происходит в модуле Secure Read Encrypting Device (SRED) на панели PIN-кода. В реализации STS программный продукт G8 связывается с этим модулем SRED, а затем обеспечивает связь с другой конечной точкой, которая размещается в безопасном центре обработки данных, где происходит дешифрование. Лишь немногие розничные продавцы знакомы с управлением модулями аппаратной защиты (HSM) и комплектами безопасности, и их отталкивает высокая стоимость. В процессе шифрования данных получается удаление прозрачных данных карты из среды магазина или офиса. Это может помочь сократить объем PCI DSS, хотя некоторые производители иногда приукрашивают возможную экономию. P2PE стремится упростить процесс аудита и соответствия, тем самым способствуя сокращению затрат и ускорению сертификации. Нет мандата, чтобы заставить ритейлеров принять P2PE.

Принятие P2PE

Контактные площадки должны быть одобрены PCI PTS SRED, и для ключей безопасности должна быть четкая «цепочка поставок» - с момента изготовления. В совокупности это часто приводит к принудительному обновлению PIN-кода у большинства продавцов, желающих перейти на P2PE. Подавляющее большинство существующих ПИН-кодов не может быть обновлено удаленно, отчасти из-за ключевых требований к загрузке, поэтому P2PE может быть лучше всего внедрена как часть более широкой стратегии обновления платежной инфраструктуры. Принятие P2PE не было легким путешествием для любой организации. PCI SSC постепенно уточняет стандарты и процесс утверждения, но это заняло больше времени, чем ожидалось. Внедрение шифрования требует строгого управления ключами; на самом деле это гораздо сложнее, чем процесс шифрования. Вы должны иметь возможность отслеживать и контролировать доступ к каждому устройству с момента изготовления до установки в магазине.