End-to-end encryption o point-to-point encryption: cosa è meglio per la tua azienda?

Guardiamo le differenze tra end-to-end encryption (E2EE) e point-to-point encryption (P2PE) per aiutarti a decidere cosa è giusto per il tuo business

Se siete cresciuti negli anni '90, potreste ricordare che il negozio locale, la drogheria o l'edicola accettavano solo contanti o assegni, vi davano ricevute cartacee (solo su richiesta) e usavano penne speciali per individuare le banconote false.

Il mondo è un po' cambiato dai tempi in cui le firme scritte a mano erano il massimo della protezione dai rischi. Oggi, gli strumenti di gestione del rischio sono in costante evoluzione per identificare nuovi tipi di frode e combattere gli attacchi che compromettono l'integrità dei dati.

La crittografia è ora un requisito legale. La crittografia P2PE è stata sviluppata nel 2012: da allora, il dominio delle transazioni si è evoluto ulteriormente, così come il funzionamento della catena del valore dei pagamenti.

Questi cambiamenti forniscono ai rivenditori un modo più facile per crittografare i dati di pagamento mentre soddisfano i loro obblighi di conformità PCI. Quindi diamo uno sguardo più da vicino alla nostra crittografia E2EE, P2PE e cosa li rende diversi.

Le basi della crittografia E2EE e P2PE

Illustration of different types of keys

La crittografia end-to-end E2EE è un processo che cripta i dati di pagamento durante tutto il processo di pagamento. Adyen usa questo sistema di default per proteggere i pagamenti in negozio. Con la nostra crittografia E2EE, i dati del titolare della carta non lasciano mai il contesto di Adyen, il che significa che dal momento in cui la carta viene inserita o posizionata sul terminale di pagamento, i dati del titolare della carta sono criptati da Adyen, che rimane l'unico depositario. Dato che gestiamo l'intera catena del valore dei pagamenti, questo ci permette di proteggere meglio i vostri dati e di fornirvi un livello più alto di affidabilità per quanto riguarda l'inviolabilità dei dati del titolare della carta.

La crittografia P2PE è un tipo di crittografia che è stato sviluppato dal PCI Security Standards Council. Protegge i terminali e le transazioni con carta dalla manomissione dei dispositivi e dalla violazione dei dati. Vi diciamo di più sulla crittografia P2PE in questo articolo.

Adyen offre entrambi i tipi di crittografia.

Quali sono le differenze?

Ci sono tre elementi chiave che distinguono la nostra crittografia E2EE dalla crittografia P2PE:

Un solo interlocutore

Diagramma del flusso di pagamento P2PE
Diagramma del flusso di pagamento E2EE

Usare la crittografia E2EE significa che siamo il tuo unico partner di pagamento. Adyen è il tuo gateway, processore e acquirer tutto in uno. Con la crittografia P2PE, la crittografia è spesso supportata da diversi fornitori.

Il merchant deve dimostrare al suo acquirer che sta elaborando i pagamenti online e in negozio in modo sicuro. Poiché agiamo come acquirer per conto dei nostri merchant, essi sono tenuti a segnalarci la loro conformità PCI attraverso un questionario di autovalutazione (SAQ).

Il questionario di autovalutazione (SAQ)

Per garantire la conformità PCI, le aziende devono completare un questionario di autovalutazione, o SAQ.

Per la crittografia E2EE

Utilizzando la nostra crittografia E2EE, è sufficiente compilare il questionario B-IP, che è relativamente semplice. Come acquirer, ti chiediamo di compilare solo due requisiti e di rispondere a 22 semplici domande.

Ecco alcuni esempi di domande:

  • La marca e il modello del terminale
  • L'ubicazione del terminale (per esempio, l'indirizzo del sito o dei negozi dove si trova il terminale)
  • Il numero di serie del terminale o altro identificatore unico

Per la crittografia P2PE

Le aziende devono compilare un questionario diverso. Ha tre condizioni e 35 domande.

Ecco alcuni esempi di domande:

  • La quantità di dati archiviati e il periodo di conservazione sono limitati agli obblighi legali, normativi e/o aziendali? (Esaminare le politiche e le procedure di conservazione e smaltimento dei dati. Intervista al personale b) Ci sono processi definiti per la sicurezza?
  • Esiste un processo trimestrale per l'identificazione e la cancellazione sicura dei dati dei titolari di carta memorizzati che superano i requisiti di conservazione definiti?
  • Tutti i dispositivi sono fisicamente sicuri (compresi i computer, i dispositivi elettronici rimovibili, le reti, le ricevute e i rapporti cartacei e i fax)?

Sicurezza fisica dei terminali di pagamento

La crittografia P2PE richiede di seguire i passi di verifica delineati nel P2PE Instruction Manual (noto anche come PIM). Questo manuale viene fornito ai rivenditori dal loro fornitore di soluzioni P2PE per aiutarli a soddisfare la conformità PCI:

POS terminal security

Il supporto di Adyen per gli endpoint fornisce lo stesso livello di sicurezza sia che il merchant scelga o meno di usare la crittografia P2PE. Con la crittografia E2EE, potete ignorare i requisiti descritti sopra. Tutto quello che devi fare è ricevere la scatola sigillata, a prova di manomissione, in cui spediamo i nostri terminali.

Con la crittografia P2PE, il personale deve registrare accuratamente queste azioni in conformità con il PIM. In secondo luogo, il PCI SSC richiede che l'acquirer controlli questi registri ogni anno. Le aziende a volte mancano questi requisiti quando cercano di conformarsi allo standard PCI.

Qual è la soluzione giusta per la mia azienda?

Dipende dal livello di sicurezza di cui avete bisogno e da come voi e la vostra azienda gestite le vostre risorse.

E2EE

Crediamo nella sicurezza dei dati di alta qualità, senza tutto il lavoro extra. Per questo abbiamo costruito una soluzione di pagamento E2EE in modo da garantire la migliore sicurezza dei dati possibile.

Le imprese più agili e decentralizzate possono trovare il nostro E2EE più efficiente. Esempi di queste potrebbero essere le imprese che non hanno bisogno di centralizzare il controllo operativo, come i franchising, o le scale-up con team più piccoli e roadmap aggressive.

P2PE

Le aziende più grandi e con maggiori risorse, con un'avversione al rischio, preferiscono la soluzione P2PE perché dà loro un ulteriore livello di controllo sulla gestione fisica dei terminali.

Probabilmente sono disposti a pagare per ogni terminale POS per la maggiore sicurezza che fornisce. Spenderanno anche più tempo e risorse umane per mantenere il PIM.

Se avete E2EE, perché Adyen offre P2PE?

Costruiamo per beneficiare tutti i nostri merchant (non solo uno). Quindi, se c'è una soluzione là fuori che è sicura, convalidata e di cui la gente si fida, vogliamo essere sicuri di poterla offrire a voi. Usando P2PE con noi, si beneficia ancora di lavorare con un unico partner.

Detto questo, crediamo fermamente nelle qualità della nostra soluzione end-to-end.

Se avete domande su E2EE, P2PE o su risk, contattateci


Iscriviti alla newsletter


Are you looking for test card numbers?

Would you like to contact support?