End-to-End-Encryption oder Point-to-Point-Encryption?

Ältere Generationen werden sich noch an die Zeiten erinnern, als die Zahlung im Tante-Emma-Laden, Supermarkt oder Zeitungskiosk nur mit Bargeld möglich war. Auf Wunsch wurden Kassenbons auf Papier ausgestellt, und dann gab es noch diese Geldscheinprüfstifte zur Erkennung von Falschgeld.

Seit damals, als man unter „Risikoschutz“ noch eine Unterschrift verstand, hat sich einiges geändert. Heute leben wir in einer Welt, in der sich Risikomanagement-Tools ständig weiterentwickeln müssen, um neuartigen Betrugsmaschen und Datenangriffen gewachsen zu sein.

Verschlüsselung ist mittlerweile gesetzlich vorgeschrieben. Seit der Einführung von P2PE im Jahr 2012 haben wir zahlreiche weitere Neuerungen im Zahlungsverkehr erlebt, die sich wiederum auf die traditionellen Wertschöpfungsketten auswirken.

Damit steht Einzelhändlern eine einfachere Möglichkeit zur Verschlüsselung von Zahlungsdaten unter Einhaltung der Verpflichtungen im Rahmen der PCI Compliance offen. Wir erklären Ihnen im Einzelnen, wie E2EE und P2PE funktionieren und wo die Unterschiede zwischen beiden liegen.

Als End-to-End-Encryption (E2EE) wird die Verschlüsselung der Zahlungsdaten auf dem gesamten Übertragungsweg bezeichnet. Diese Methode kommt bei Adyen standardmäßig zum Schutz von Zahlungen im Ladengeschäft zum Einsatz. Mit unserer E2EE verlassen die Karteninhaber-Daten niemals die Adyen-Umgebung. Bei der Kartenzahlung am POS-Terminal werden die Daten von Adyen verschlüsselt und anschließend entlang der gesamten Wertschöpfungskette nur von Adyen gehandhabt. Dadurch können wir den Schutz Ihrer Daten am besten gewährleisten, da kein Unbefugter Zugriff auf die Daten hat.

Bei P2PE handelt es sich um eine Methode zur Verschlüsselung, die vom Payment Card Industry Security Standards Council (PCI SSC) entwickelt wurde. Sie bietet Schutz für POS-Terminals und Card-Present-Transaktionen.

Wir bieten beide Arten der Verschlüsselung an.

Es gibt drei Hauptunterschiede zwischen unser E2EE- und P2PE-Lösung:

Beim Einsatz unserer E2EE sind wir Ihr einziger Zahlungspartner. Wir fungieren als Gateway, Processor und Acquirer in einem. Beim Einsatz von P2PE werden die Daten oft zur Übertragung zwischen unterschiedlichen Anbietern verschlüsselt.

Jeder Händler muss seinem jeweiligen Acquirer nachweisen, dass alle Zahlungen (online und im Laden) sicher verarbeitet werden. Da wir als Acquirer für unsere Händler auftreten, sind sie verpflichtet, zum Nachweis ihrer PCI Compliance einen Fragebogen zur Selbstauskunft (Self Assessment Questionnaire, SAQ) auszufüllen.

Zum Nachweis ihrer PCI Compliance müssen Unternehmen einen Fragebogen zur Selbstauskunft (SAQ) ausfüllen.

Für E2EE

Beim Einsatz unserer End-to-End-Encryption muss nur der Fragebogen SAQ B-IP eingereicht werden. Das Ausfüllen ist relativ unkompliziert. Als Ihr Acquirer bitten wir Sie lediglich um die Erfüllung von zwei Anforderungen, das heißt Sie müssen nur 22 einfache Fragen beantworten.

Unter anderem müssen Sie folgende Angaben machen:

Für P2PE

Unternehmen sind zum Ausfüllen eines längeren SAQ verpflichtet. Er besteht aus drei Anforderungen mit insgesamt 35 Fragen.

Unter anderem müssen Sie folgende Angaben machen:

Beim Einsatz von P2PE sind folgende Prüfungen gemäß der sogenannten P2PE Instruction Manual (PIM, P2PE-Gebrauchsanweisung) erforderlich, die Händlern von ihrem Anbieter zur Gewährleistung der PCI Compliance bereitgestellt wird:

Unabhängig davon, ob der Händler sich für P2PE entscheidet, gewährleistet Adyen das gleiche Sicherheitsniveau bei der Handhabung von POS-Terminals. Beim Einsatz von E2EE benötigen wir keine der oben genannten Voraussetzungen. Wir schicken Ihnen lediglich unsere POS-Terminals in manipulationssicheren, versiegelten Behältnissen.

Bei Einsatz von P2PE müssen die Mitarbeiter diese Handlungen genau gemäß den Anweisungen in der PIM protokollieren. Anschließend ist der Acquirer durch den PCI SSC zur jährlichen Prüfung dieser Unterlagen verpflichtet. Dies ist der Punkt, an dem Unternehmen manchmal das Ziel verfehlen, wenn sie diePCI-Konformitätanstreben.

Das hängt davon ab, welches Sicherheitsniveau Sie benötigen und wie Sie und Ihr Unternehmen Ihre Ressourcen verwalten.

Wir legen Wert auf qualitativ hochwertige Datensicherheit ohne unnötigen Mehraufwand. Deswegen ist unsere E2EE-Zahlungslösung auf maximale Datensicherheit ausgelegt.

Für agilere, dezentralisierte Unternehmen ist unsere E2EE-Lösung unter Umständen effizienter und praktischer. Das gilt beispielsweise für Franchise-Modelle oder Scaleup-Unternehmen mit kleinen Teams und ambitionierten Wachstumsplänen.

Größere, risikoscheue Unternehmen mit hohen Finanzressourcen bevorzugen ggf. die P2PE-Lösung, die ihnen zusätzliche Kontrolle über die physische Handhabung der Terminals bietet.

Sie sind eher bereit, für die zusätzliche Sicherheit pro POS-Terminal zu zahlen. Außerdem können sie mehr Zeit und Aufwand für die gemäß PIM erforderlichen Prüfungen aufwenden.

Wir entwickeln Lösungen, von denen alle Händler profitieren - nicht nur einzelne. Wenn es also eine Lösung gibt, die sicher und vorschriftenkonform ist und der die Menschen vertrauen, wollen wir sie Ihnen auch anbieten können. Wenn Sie unsere P2PE-Leistungen in Anspruch nehmen, genießen Sie weiterhin alle Vorteile der Zusammenarbeit mit einem einzigen Partner.

Das ändert nichts daran, dass wir fest von den Vorzügen unserer End-to-End-Encryption überzeugt sind und bleiben.