Teilen
2011 wurde ein großes Gaming-Netzwerk Opfer eines massiven Betrugsangriffs. Die Namen, Adressen und Zahlungsdaten von 77 Millionen Benutzerkonten wurden gestohlen. Ein Vorfall, der den Ruf des Unternehmens und das Vertrauen der Gamer-Community nachhaltig beschädigte. Für Zahlungsanbieter war dies ein Anlass, Verfahren zur Datensicherung nicht nur bei Online-Zahlungen, sondern auch bei Zahlungen im Geschäft bzw. Card-Present-Transaktionen neu zu überdenken.
Ein unmittelbares Ergebnis war die PCI-P2PE-Initiative des Payment Card Industry Security Standards Council (PCI SSC). Doch damit war das ersehnte Happy End aber noch längst nicht erreicht.
Die neue P2PE-Technologie setzte sich zunächst nur sehr zögerlich durch. 2013 kam es dann zu einem massiven Angriff auf einen führenden US-Einzelhändler, bei dem Daten von 70 Millionen Kunden aus physischen Transaktionen in Ladengeschäften gestohlen wurden.
Inzwischen nutzen Unternehmen und Zahlungsdienstleister P2PE noch stärker, um Karteninhaber-Daten zu schützen und das Vertrauen der Unternehmen und Kunden zu stärken. Aus diesem Grund haben wir eine End-to-end encryption (Ende-zu-Ende-Verschlüsselung, E2EE) entwickelt.
In diesem Blogbeitrag möchten wir Ihnen erklären, was es mit unserer P2PE-Zertifizierung auf sich hat und welche Vorteile, aber auch Herausforderungen der Umstieg auf P2PE mit sich bringt.
Weitere Informationen zu unsererE2EE-Lösung finden Sie hier.
Was ist P2PE?
Mit P2PE (Punkt-zu-Punkt-Verschlüsselung) werden die Daten des Karteninhabers beim Zahlungsvorgang geschützt. Die Übertragung sensibler Karteninhaber-Daten vom Kartenlesegerät zum Acquirer dauert nur Millisekunden. Innerhalb dieser kurzen Zeitspanne werden sie von der P2PE-Lösung verschlüsselt. Dies betrifft die Kontonummer und weitere Kontodaten des Käufers sowie die Daten zur Nachverfolgung der Zahlung. Diese sensiblen Daten werden unmittelbar bei Eingang im P2PE-validierten Kartenlesegerät verschlüsselt.
Mithilfe einer P2PE-Lösung können Händler die Komplexität der PCI Compliance reduzieren. PCI ist eine unabhängige Organisation zur Gewährleistung der Sicherheit von Online- und In-Store-Zahlungen; Adyen ist eine P2PE-validierte Lösung. Schauen wir uns nun an, warum Unternehmen P2PE nutzen.
Warum nutzen Unternehmen P2PE?
Auf Nummer sicher gehen
„Punkt-zu-Punkt“ bedeutet, dass die sensiblen Kontodaten zum Zeitpunkt der Kartenzahlung am POS-Terminal sofort verschlüsselt und in verschlüsselter Form an den Acquirer übertragen werden. Selbst wenn sie bei der Übertragung gestohlen werden, sorgt die Verschlüsselung dafür, dass der Kunde und seine Daten von negativen Auswirkungen verschont bleiben.
Compliance einfach(er) gemacht
Zum Nachweis ihrer PCI Compliance müssen Unternehmen einen Fragebogen zur Selbstauskunft (Self Assessment Questionnaire, SAQ) ausfüllen. Ein SAQ ist eine Art Checkliste, anhand derer der Acquirer überprüfen kann, ob Ihr Unternehmen die gesetzlich vorgeschriebenen Maßnahmen zum Schutz von Kundendaten einsetzt.
Wie umfangreich dieser Fragebogen ist, hängt ganz davon ab, ob Ihr Unternehmen P2PE implementiert hat oder nicht. Damit wären wir schon beim ersten großen Vorteil von P2PE.
Sie sind kein Adyen-Kunde und arbeiten nicht mit P2PE?
Der entsprechende Fragebogen für Händler, die nicht mit Adyen arbeiten und nicht P2PE nutzen, umfasst bis zu 12 Anforderungen mit insgesamt 329 Fragen. Hier ein paar Beispielfragen, die Ihnen beim Ausfüllen des Fragebogens begegnen werden:
- Werden Router-Konfigurationsdateien vor unbefugtem Zugriff geschützt und synchronisiert?
- Liegt ein aktuelles Inventar aller Systemkomponenten vor, die in den Geltungsbereich des PCI DSS fallen, einschließlich einer Liste von Hardware- und Softwarekomponenten und einer Beschreibung der Funktion/Nutzung für jede Komponente?
- Gibt es eine schriftliche Richtlinie für die Zugriffskontrolle, die die Zugriffserfordernisse und die Zuweisung von Berechtigungen für jede Rolle definiert, einschließlich der Zugriffsbeschränkung auf der Grundlage von Zuständigkeiten mit dokumentierter Genehmigung und Begründung des Zugriffserfordernisses?
Nun stellen Sie sich 326 weitere Fragen dieser Art vor, die Sie alle zwölf Monate beantworten müssen. Das ist keine Aufgabe, die Sie mal eben so nebenbei erledigen können.
Sie nutzen bereits P2PE?
Unternehmen, die P2PE nutzen, brauchen nur 35 Fragen zu beantworten. Mit anderen Worten: Sie schützen Ihr Unternehmen nicht nur besser vor Zahlungskartenbetrug, sondern reduzieren auch den Zeitaufwand für den Nachweis Ihrer PCI-Compliance beträchtlich.
Das PCI-Gütesiegel
Für Anbieter von P2PE-Lösungen ist eine Validierung durch den PCI SSC erforderlich, damit die Erfüllung der international gültigen Normen gewährleistet ist. Sie können sich also darauf verlassen, dass die Lösung Ihres Zahlungsdienstleisters von einer unabhängigen externen Organisation auf ihre Sicherheit überprüft und entsprechend validiert wurde.
Für welche Unternehmen empfiehlt sich der Einsatz von P2PE?
Unternehmen, die sich für eine P2PE-Lösung entscheiden, kämpfen oft mit ähnlichen Herausforderungen:
| Aktuelle Herausforderung | Vorteile einer P2PE-Lösung |
|---|---|
| In Unternehmen mit stärkerer Zentralisierung obliegt die Verantwortung für die Aufrechterhaltung der P2PE-Zertifizierung in der Regel den Kernabteilungen im operativen Bereich. | Mehr Zeit für das Kerngeschäft, da die Komplexität der PCI Compliance reduziert wird. |
| Unternehmen, bei denen die operative Kontrolle einen hohen Stellenwert hat, tun sich teils schwer mit der Schulung sämtlicher neuen Mitarbeiter in Bezug auf Bedrohungen durch Sicherheitsverletzungen und der Durchsetzung richtlinienkonformer Verfahren zur Datenverarbeitung. | Klare Strukturen für die Handhabung von Zahlungsterminals durch die Mitarbeiter, Risikobegrenzung durch richtlinienkonforme Verfahren und Zentralisierungsprozesse. |
| Risikoaverse Unternehmen haben oft Angst, Vorschriften zu verletzen und in finanzielle Haftung genommen zu werden. | Mit P2PE steht eine unabhängig verifizierte Lösung zur Verfügung, die das Risiko von Datenverletzungen reduziert. |
| Unternehmen mit komplizierten Legacy-Systemen sind oft weniger auf Sicherheit bedacht. | Durch Implementierung einer P2PE-Lösung wird eine vorschriftenkonforme Technologie eingeführt und Risiko konsolidiert. |
Bringt P2PE auch Nachteile mit sich?
Bei allen Vorteilen, die P2PE für die Datensicherheit mit sich bringt, sollten sich Unternehmen auch der operativen Zusatzbelastung bewusst sein, die dadurch entstehen kann. Zwar sind einerseits weniger SAQ-Anforderungen zu erfüllen, andererseits nehmen jedoch die Anforderungen zur Gewährleistung der physischen Sicherheit von Zahlungsterminals im Geschäft zu. Zu diesem Zweck wird Unternehmen dasP2PE-Instruction Manual(PIM, P2PE- Bedienungsanleitung) von ihrem P2PE-Lösungsanbieter bereitgestellt. Zum Nachweis der PCI Compliance müssen die darin enthaltenen Anweisungen genau befolgt und ordnungsgemäß implementiert werden.
Die PIM enthält Leitlinien zur Sicherung von Zahlungsterminals im Laden und schreibt unter anderem folgende Aktivitäten vor:
- Regelmäßige Bestandsprüfung zur Identifizierung von Geräten, die entfernt oder ersetzt werden müssen
- Korrekte Installation von Sicherheitskameras zur Überwachung der Terminals mit Alarmfunktionen bei Manipulationsversuchen
- Monatliche Inspektionen durch das Ladenpersonal zur Sichtkontrolle auf Anzeichen von Manipulation an den Geräten
- Überprüfen, dass die Terminals in manipulationssicheren, versiegelten Behältnissen ins Geschäft gelangen und die dazugehörige Seriennummer separat per E-Mail verschickt wird
Händler müssen durch eine vollständige Dokumentation den Nachweis für die Durchführung dieser Aktivitäten erbringen. Der Acquirer ist dann zur Durchführung mehrerer Betriebsprüfungen pro Jahr verpflichtet, um die Einhaltung der PIM zu gewährleisten. Als Acquirer für unsere Händler übt Adyen auch diese Funktion aus.
Es gibt keine richtige oder falsche Antwort. Letztlich liegt es an Ihnen und Ihrem Unternehmen, die Vorteile von P2PE gegen den Zeit- und Ressourcenaufwand abzuwägen, der zur Einhaltung der PIM erforderlich ist.
Nächste Schritte
Tokenization und Datenverschlüsselung sind aktuell sehr wichtige Themen. Deswegen möchten wir Ihnen auf diesem Weg mitteilen, dass Adyen als Ergänzung unserer bisherigenE2EE-Lösungjetzt auch eine validierte P2PE-Lösung anbietet.
Weitere Informationen über die Unterschiede zwischen unseren P2PE- und E2EE-Lösungen finden Sie hier.
Möchten Sie mehr über unsere Lösung erfahren?
Melden Sie sich einfach bei uns
Hier nehmen Sie Kontakt auf
Holen Sie sich Payment-News direkt in Ihre Inbox.
Ich bestätige, dass ich die Datenschutzbestimmungen von Adyen gelesen habe und stimme der Verwendung meiner Daten im Einklang damit zu.