Guides und Reports
End-to-End-Encryption oder Point-to-Point-Encryption?
Erfahren Sie hier die Unterschiede zwischen End-to-End-Encryption (E2EE) und Point-to-Point-Encryption (P2PE), um bessere Entscheidungen für Ihr Unternehmen zu treffen
Ältere Generationen werden sich noch an die Zeiten erinnern, als die Zahlung im Tante-Emma-Laden, Supermarkt oder Zeitungskiosk nur mit Bargeld möglich war. Auf Wunsch wurden Kassenbons auf Papier ausgestellt, und dann gab es noch diese Geldscheinprüfstifte zur Erkennung von Falschgeld.
Seit damals, als man unter „Risikoschutz“ noch eine Unterschrift verstand, hat sich einiges geändert. Heute leben wir in einer Welt, in der sich Risikomanagement-Tools ständig weiterentwickeln müssen, um neuartigen Betrugsmaschen und Datenangriffen gewachsen zu sein.
Verschlüsselung ist mittlerweile gesetzlich vorgeschrieben. Seit der Einführung von P2PE im Jahr 2012 haben wir zahlreiche weitere Neuerungen im Zahlungsverkehr erlebt, die sich wiederum auf die traditionellen Wertschöpfungsketten auswirken.
Damit steht Einzelhändlern eine einfachere Möglichkeit zur Verschlüsselung von Zahlungsdaten unter Einhaltung der Verpflichtungen im Rahmen der PCI Compliance offen. Wir erklären Ihnen im Einzelnen, wie E2EE und P2PE funktionieren und wo die Unterschiede zwischen beiden liegen.
E2EE und P2PE: Grundlagen
Als End-to-End-Encryption (E2EE) wird die Verschlüsselung der Zahlungsdaten auf dem gesamten Übertragungsweg bezeichnet. Diese Methode kommt bei Adyen standardmäßig zum Schutz von Zahlungen im Ladengeschäft zum Einsatz. Mit unserer E2EE verlassen die Karteninhaber-Daten niemals die Adyen-Umgebung. Bei der Kartenzahlung am POS-Terminal werden die Daten von Adyen verschlüsselt und anschließend entlang der gesamten Wertschöpfungskette nur von Adyen gehandhabt. Dadurch können wir den Schutz Ihrer Daten am besten gewährleisten, da kein Unbefugter Zugriff auf die Daten hat.
Bei P2PE handelt es sich um eine Methode zur Verschlüsselung, die vom Payment Card Industry Security Standards Council (PCI SSC) entwickelt wurde. Sie bietet Schutz für POS-Terminals und Card-Present-Transaktionen.
Wir bieten beide Arten der Verschlüsselung an.
Worin unterscheiden sie sich?
Es gibt drei Hauptunterschiede zwischen unser E2EE- und P2PE-Lösung:
Ein Partner
Standard P2PE Ablauf
E2EE Lösung von Adyen
Beim Einsatz unserer E2EE sind wir Ihr einziger Zahlungspartner. Wir fungieren als Gateway, Processor und Acquirer in einem. Beim Einsatz von P2PE werden die Daten oft zur Übertragung zwischen unterschiedlichen Anbietern verschlüsselt.
Jeder Händler muss seinem jeweiligen Acquirer nachweisen, dass alle Zahlungen (online und im Laden) sicher verarbeitet werden. Da wir als Acquirer für unsere Händler auftreten, sind sie verpflichtet, zum Nachweis ihrer PCI Compliance einen Fragebogen zur Selbstauskunft (Self Assessment Questionnaire, SAQ) auszufüllen.
Der Fragebogen zur Selbstauskunft (SAQ)
Zum Nachweis ihrer PCI Compliance müssen Unternehmen einen Fragebogen zur Selbstauskunft (SAQ) ausfüllen.
Für E2EE
Beim Einsatz unserer End-to-End-Encryption muss nur der Fragebogen SAQ B-IP eingereicht werden. Das Ausfüllen ist relativ unkompliziert. Als Ihr Acquirer bitten wir Sie lediglich um die Erfüllung von zwei Anforderungen, das heißt Sie müssen nur 22 einfache Fragen beantworten.
Unter anderem müssen Sie folgende Angaben machen:
- Hersteller und Modell des Geräts
- Standort des Geräts (z.B. die Adresse des Standorts oder der Einrichtung, wo das Gerät sich befindet)
- Seriennummer des Geräts oder andere Angabe zur eindeutigen Identifizierung
Für P2PE
Unternehmen sind zum Ausfüllen eines längeren SAQ verpflichtet. Er besteht aus drei Anforderungen mit insgesamt 35 Fragen.
Unter anderem müssen Sie folgende Angaben machen:
- Sind die Datenspeicherung und Aufbewahrungszeit auf die gemäß den gesetzlichen, regulatorischen und/oder betriebswirtschaftlichen Anforderungen erforderliche Frist beschränkt? (Richtlinien und Verfahren für die Aufbewahrung und Vernichtung von Daten überprüfen. Mitarbeiter befragen (b) Gibt es feststehende Verfahren zur Gewährleistung der Sicherheit?)
- Gibt es ein vierteljährliches Verfahren zur Identifizierung und sicheren Löschung gespeicherter Karteninhaber-Daten, deren vorgeschriebene Aufbewahrungsfrist abgelaufen ist?
- Sind alle Datenträger physisch gesichert (insbesondere Computer, herausnehmbare elektronische Datenträger, Quittungen auf Papier, Berichte auf Papier und Faxe)?
Physische Sicherheit der POS-Terminals
Beim Einsatz von P2PE sind folgende Prüfungen gemäß der sogenannten P2PE Instruction Manual (PIM, P2PE-Gebrauchsanweisung) erforderlich, die Händlern von ihrem Anbieter zur Gewährleistung der PCI Compliance bereitgestellt wird:
Aspekte der physischen Sicherheit von POS-Terminals
Unabhängig davon, ob der Händler sich für P2PE entscheidet, gewährleistet Adyen das gleiche Sicherheitsniveau bei der Handhabung von POS-Terminals. Beim Einsatz von E2EE benötigen wir keine der oben genannten Voraussetzungen. Wir schicken Ihnen lediglich unsere POS-Terminals in manipulationssicheren, versiegelten Behältnissen.
Bei Einsatz von P2PE müssen die Mitarbeiter diese Handlungen genau gemäß den Anweisungen in der PIM protokollieren. Anschließend ist der Acquirer durch den PCI SSC zur jährlichen Prüfung dieser Unterlagen verpflichtet. Dies ist der Punkt, an dem Unternehmen manchmal das Ziel verfehlen, wenn sie diePCI-Konformitätanstreben.
Welche Lösung eignet sich für mein Unternehmen?
Das hängt davon ab, welches Sicherheitsniveau Sie benötigen und wie Sie und Ihr Unternehmen Ihre Ressourcen verwalten.
E2EE
Wir legen Wert auf qualitativ hochwertige Datensicherheit ohne unnötigen Mehraufwand. Deswegen ist unsere E2EE-Zahlungslösung auf maximale Datensicherheit ausgelegt.
Für agilere, dezentralisierte Unternehmen ist unsere E2EE-Lösung unter Umständen effizienter und praktischer. Das gilt beispielsweise für Franchise-Modelle oder Scaleup-Unternehmen mit kleinen Teams und ambitionierten Wachstumsplänen.
P2PE
Größere, risikoscheue Unternehmen mit hohen Finanzressourcen bevorzugen ggf. die P2PE-Lösung, die ihnen zusätzliche Kontrolle über die physische Handhabung der Terminals bietet.
Sie sind eher bereit, für die zusätzliche Sicherheit pro POS-Terminal zu zahlen. Außerdem können sie mehr Zeit und Aufwand für die gemäß PIM erforderlichen Prüfungen aufwenden.
Warum bietet Adyen P2PE zusätzlich zu E2EE an?
Wir entwickeln Lösungen, von denen alle Händler profitieren - nicht nur einzelne. Wenn es also eine Lösung gibt, die sicher und vorschriftenkonform ist und der die Menschen vertrauen, wollen wir sie Ihnen auch anbieten können. Wenn Sie unsere P2PE-Leistungen in Anspruch nehmen, genießen Sie weiterhin alle Vorteile der Zusammenarbeit mit einem einzigen Partner.
Das ändert nichts daran, dass wir fest von den Vorzügen unserer End-to-End-Encryption überzeugt sind und bleiben.
Möchten Sie mehr über unsere Lösung erfahren?
Bei Fragen zu E2EE, P2PE oder Risikomanagement-Lösungen können Sie sich jederzeit an uns wenden.
Kontaktieren Sie unsHolen Sie sich Payment-News direkt in Ihre Inbox.
Ich bestätige, dass ich die Datenschutzbestimmungen von Adyen gelesen habe und stimme der Verwendung meiner Daten im Einklang damit zu.