Punkt-zu-Punkt-Verschlüsselung
Der Payment Card Industry Security Standards Council (PCI SSC) definiert und formuliert Sicherheitsanforderungen für die Zahlungsindustrie und setzt sie durch, einschließlich der PCI-Standards für Punkt-zu-Punkt-Verschlüsselung (P2PE). Mit diesen Standards beschreibt der PCI SSC, wie Anbieter von P2PE-Lösungen ihre Lösungen validieren und wie Händler durch den Einsatz dieser validierten Lösungen den Umfang ihrer PCI-DSS-Bewertungen reduzieren können.
P2PE ist ein Sonderfall der Verschlüsselung auf Anwendungsebene, bei dem die Verschlüsselung selektiv innerhalb einer Geschäftsanwendung angewendet wird – in diesem Fall innerhalb eines POS-Terminals (Point-of-Sale) im Einzelhandel. Wenn der Punkt-zu-Punkt-Verschlüsselungsprozess korrekt implementiert und die Kontodaten innerhalb eines zugelassenen, sicheren kryptographischen Geräts (SCD), wie z. B. einem POS-Terminal, verschlüsselt und in der Händlerumgebung überhaupt nicht entschlüsselt werden, besteht die Möglichkeit, dass der Händler fast vollständig aus dem Geltungsbereich des PCI-DSS ausgenommen wird.
Es müssen strenge Kontrollen für den Schutz von und den Zugriff auf Entschlüsselungsschlüssel vorhanden sein; tatsächlich verlangen die aktuellen Leitlinien den Einsatz von Hardware-Sicherheitsmodulen (HSMs) mit einer angemessenen Sicherheitsstufe, um den Zugriff auf diese Schlüssel zu schützen. Acquirer und andere Akteure in der Zahlungsverkehrskette haben bereits damit begonnen, Mehrwertdienste zu vermarkten, die P2PE nutzen, um die Compliance-Kosten für ihre Händler zu senken. Aus der Sicht des PCI DSS fällt jedes System, das in der Lage ist, Kontodaten zu entschlüsseln, sofort in den Geltungsbereich, sodass die Möglichkeit, Händler durch den Schutz von Schlüsseln in HSMs zu isolieren, für alle Beteiligten erhebliche Vorteile haben kann.
- Herausforderungen
- Lösungen
- Vorteile
Punkt-zu-Punkt-Verschlüsselung: Eine moderne Herausforderung
- Unternehmen, die ihre Kontodaten nicht mit einer Punkt-zu-Punkt-Verschlüsselung schützen, erfüllen möglicherweise nicht die PCI DSS-Vorgaben und riskieren Geldstrafen und Schäden für das Unternehmen.
- Angreifer können Kundenkontodaten an vielen Stellen innerhalb eines typischen Unternehmens stehlen, da sie absichtlich oder unabsichtlich über zahlreiche Kanäle (Websites, Callcenter und Helpdesks, E-Mail-Systeme usw.) eindringen und sich schnell und umfassend im gesamten Unternehmen verbreiten können, was die Kosten für Gegenmaßnahmen und Compliance-Berichte in die Höhe treibt.
- Verschlüsselung kann diese Risiken verringern. Unternehmen müssen jedoch Maßnahmen ergreifen, um die Schlüssel angemessen zu verwalten. Schlüssel, die in rein Software-basierten Systemen vorhanden sind, sind anfällig für Angriffe und entsprechen oft nicht den Compliance-Vorschriften.
- Obwohl PCI DSS die Verwendung von Punkt-zu-Punkt-Verschlüsselung (P2PE) nicht vorschreibt, können Unternehmen unnötige Kosten für die Einhaltung von Vorschriften entstehen, wenn sie diesen Punkt-zu-Punkt-Verschlüsselungsansatz nicht nutzen und so in den Geltungsbereich des PCI DSS fallen.
Punkt-zu-Punkt-Verschlüsselung: Lösungen von Thales
Thales kann Ihnen nicht nur dabei helfen, PCI-DSS-konform zu werden, sondern auch den PCI-DSS-Geltungsbereich und damit die Kosten für die Konformität durch Punkt-zu-Punkt-Verschlüsselung (P2PE) zu reduzieren. payShield-HSMs sind unabhängig gemäß dem Standard FIPS 140-2 Level 3 zertifiziert, der in den P2PE-Richtlinien vorgeschrieben ist. payShield-HSM schaffen eine vertrauenswürdige Umgebung, in der Schlüsselmaterial sicher erzeugt, gespeichert und verwaltet werden kann und in der Entschlüsselungsvorgänge sicher durchgeführt werden können. Diese Art der Verwendung von HSMs entspricht der Art und Weise, in der HSMs eingesetzt werden, um Benutzer-PIN zu schützen, während diese das Zahlungsnetz durchlaufen. In beiden Fällen umgehen HSMs die inhärenten Schwächen rein Software-basierter Systeme, die kryptographische Schlüssel und Prozesse für Angriffe durch Speicher-Scanning, Laufzeitüberwachung oder böswillige privilegierte Benutzer anfällig machen könnten.
Unabhängig davon, ob Sie sich für die Ver- und Entschlüsselung von Kontodaten mit der Thales CipherTrust Data Security Platform, Ihrer selbst entwickelten Software oder kommerziellen Anwendungen von Drittanbietern entscheiden, payShield-HSMs sind einfach bereitzustellen und können innovative Technologien wie Format Preserving Encryption (FPE) unterstützen, um die Auswirkungen auf bestehende Geschäftsprozesse zu minimieren. Diese Geräte sind bereits für die direkte Integration mit Produkten unserer Industriepartner und führender POS-Hersteller zertifiziert, was Ihnen eine schnelle Bereitstellung und nahtlose Integration in Ihre bestehenden Systeme garantiert.
Mit den HSMs von Thales können Sie:
- PCI-DSS-konforme Punkt-zu-Punkt-Verschlüsselung (P2PE) zum Schutz von Kontodaten und zur Senkung der Konformitätskosten bereitstellen.
- Implementierungsprojekte beschleunigen: payShield-HSMs sind für die Integration mit den Produkten der CipherTrust Data Security Platform von führenden Verschlüsselungsanbietern vorqualifiziert.
- von einer umfassenden Auswahl an Leistungsstufen und Formfaktoren profitieren: Stellen Sie genau die Produkte bereit, die Sie benötigen, und ergänzen Sie es problemlos, wenn sich Ihre Anforderungen ändern.
- die Vorteile der modernsten FPE nutzen, um die Auswirkungen auf bestehende Systeme zu minimieren, die nun mit verschlüsselten Kontodaten statt mit Klartextdaten arbeiten.