Der Payment Card Industry Security Standards Council (PCI SSC) definiert und formuliert Sicherheitsanforderungen für die Zahlungsindustrie und setzt sie durch, einschließlich der PCI-Standards für Punkt-zu-Punkt-Verschlüsselung (P2PE). Mit diesen Standards beschreibt der PCI SSC, wie Anbieter von P2PE-Lösungen ihre Lösungen validieren und wie Händler durch den Einsatz dieser validierten Lösungen den Umfang ihrer PCI-DSS-Bewertungen reduzieren können.
P2PE ist ein Sonderfall der Verschlüsselung auf Anwendungsebene, bei dem die Verschlüsselung selektiv innerhalb einer Geschäftsanwendung angewendet wird – in diesem Fall innerhalb eines POS-Terminals (Point-of-Sale) im Einzelhandel. Wenn der Punkt-zu-Punkt-Verschlüsselungsprozess korrekt implementiert und die Kontodaten innerhalb eines zugelassenen, sicheren kryptographischen Geräts (SCD), wie z. B. einem POS-Terminal, verschlüsselt und in der Händlerumgebung überhaupt nicht entschlüsselt werden, besteht die Möglichkeit, dass der Händler fast vollständig aus dem Geltungsbereich des PCI-DSS ausgenommen wird.
Es müssen strenge Kontrollen für den Schutz von und den Zugriff auf Entschlüsselungsschlüssel vorhanden sein; tatsächlich verlangen die aktuellen Leitlinien den Einsatz von Hardware-Sicherheitsmodulen (HSMs) mit einer angemessenen Sicherheitsstufe, um den Zugriff auf diese Schlüssel zu schützen. Acquirer und andere Akteure in der Zahlungsverkehrskette haben bereits damit begonnen, Mehrwertdienste zu vermarkten, die P2PE nutzen, um die Compliance-Kosten für ihre Händler zu senken. Aus der Sicht des PCI DSS fällt jedes System, das in der Lage ist, Kontodaten zu entschlüsseln, sofort in den Geltungsbereich, sodass die Möglichkeit, Händler durch den Schutz von Schlüsseln in HSMs zu isolieren, für alle Beteiligten erhebliche Vorteile haben kann.
Punkt-zu-Punkt-Verschlüsselung: Lösungen von Thales
Thales kann Ihnen nicht nur dabei helfen, PCI-DSS-konform zu werden, sondern auch den PCI-DSS-Geltungsbereich und damit die Kosten für die Konformität durch Punkt-zu-Punkt-Verschlüsselung (P2PE) zu reduzieren. payShield-HSMs sind unabhängig gemäß dem Standard FIPS 140-2 Level 3 zertifiziert, der in den P2PE-Richtlinien vorgeschrieben ist. payShield-HSM schaffen eine vertrauenswürdige Umgebung, in der Schlüsselmaterial sicher erzeugt, gespeichert und verwaltet werden kann und in der Entschlüsselungsvorgänge sicher durchgeführt werden können. Diese Art der Verwendung von HSMs entspricht der Art und Weise, in der HSMs eingesetzt werden, um Benutzer-PIN zu schützen, während diese das Zahlungsnetz durchlaufen. In beiden Fällen umgehen HSMs die inhärenten Schwächen rein Software-basierter Systeme, die kryptographische Schlüssel und Prozesse für Angriffe durch Speicher-Scanning, Laufzeitüberwachung oder böswillige privilegierte Benutzer anfällig machen könnten.
Unabhängig davon, ob Sie sich für die Ver- und Entschlüsselung von Kontodaten mit der Thales CipherTrust Data Security Platform, Ihrer selbst entwickelten Software oder kommerziellen Anwendungen von Drittanbietern entscheiden, payShield-HSMs sind einfach bereitzustellen und können innovative Technologien wie Format Preserving Encryption (FPE) unterstützen, um die Auswirkungen auf bestehende Geschäftsprozesse zu minimieren. Diese Geräte sind bereits für die direkte Integration mit Produkten unserer Industriepartner und führender POS-Hersteller zertifiziert, was Ihnen eine schnelle Bereitstellung und nahtlose Integration in Ihre bestehenden Systeme garantiert.
Mit den HSMs von Thales können Sie: