Kiezen tussen end-to-end encryptie of point-to-point encryptie

In dit artikel kijken we naar het verschil tussen end-to-end encryptie (E2EE) en point-to-point encryptie (P2PE), zodat jij de beste keuze kan maken voor jouw bedrijf.

Ben jij van vóór de jaren 90? Dan weet je misschien nog dat vrijwel alle betalingen contant of met cheques werden gedaan. Ook de acceptgiro beleefde zijn hoogtijdagen. En wat dacht je van het handgeschreven bonnetje na een aankoop, maar dan alleen als je er expliciet om vroeg.

De wereld is veranderd sinds de dagen waarin een handtekening werd gezien als het toppunt van beveiliging. Tegenwoordig worden risk management tools voortdurend veranderd en verbeterd, zodat ze nieuwe vormen van fraude en data attacks kunnen bijbenen.

Encryptie is nu een wettelijk vereiste. Sinds de ontwikkeling van P2PE in 2012 is de wereld van persoonlijke betalingen nog verder geëvolueerd, evenals de manier waarop waardeketens op het gebied van betalingen werken.

Deze veranderingen bieden retailers een eenvoudige manier om betaalgegevens te versleutelen, terwijl ze voldoen aan hun PCI compliance verplichtingen. We gaan daarom uitgebreid kijken naar de details van onze E2EE, P2PE en de verschillen tussen beide.

E2EE en P2PE: de basis

Illustratie van verschillende sleutels

End-to-end encryptie is het versleutelen van betaalgegevens binnen het volledige betaalproces. Dit is de manier waarop Adyen betalingen in fysieke winkels beschermt. Met onze E2EE verlaten de gegevens van kaarthouders nooit de Adyen-omgeving. Wanneer een kaart in een pinapparaat wordt gestoken of een klant contactloos betaalt, worden de kaartgegevens direct gecodeerd door Adyen. Dit kan doordat we de volledige waardeketen van betalingen beheren. Het stelt ons in staat om jouw gegevens beter te beschermen, zodat ze niet toegankelijk zijn voor derden.

P2PE is een type codering dat werd ontwikkeld door de Payment Card Industry Security Standards Council (PCI SSC). Dit biedt bescherming voor terminals en kaarttransacties tegen manipulatie van het apparaat en datalekken.

Adyen biedt beide soorten versleuteling aan.

Wat zijn de verschillen?

Er zijn drie belangrijke punten waarop onze P2PE en E2EE verschillen.

Eén partner

Diagram van de P2PE payment flow
Diagram van Adyens E2EE payment flow

Wanneer je onze E2EE gebruikt, worden wij jouw enige betaalpartner. We zijn jouw gateway, processor en acquirer in één. Bij P2PE wordt codering vaak uitgevoerd door verschillende providers.

Elke merchant moet aan zijn acquirer bewijzen dat hij online en in-store betalingen veilig verwerkt. Aangezien wij optreden als acquirer voor onze merchants, zijn zij verplicht om ons te rapporteren over hun PCI compliance, aan de hand van de zogenaamde SAQ.

De Self Assessment Questionnaire (SAQ)

Om aan te tonen dat ze PCI-compliance zijn, moeten bedrijven een vragenlijst invullen, ook wel een SAQ genoemd.

Voor E2EE

Als je onze E2EE gebruikt, is het voldoende om alleen de SAQ B-IP in te vullen. Dit is relatief eenvoudig. Als acquirer vragen we je om slechts twee van vereisten in te vullen. Dit gaat om 22 vragen.

Wat voor soort vragen kun je verwachten?

  • Het merk en model van het apparaat
  • Locatie van het apparaat (bijvoorbeeld het adres van de locatie of faciliteit waar het apparaat zich bevindt)
  • Serienummer van het apparaat of een andere unieke identificatiemethode

Voor P2PE

Voor P2PE moeten bedrijven een andere SAQ invullen. Deze heeft drie vereisten en 35 vragen.

Wat voor soort vragen kun je verwachten?

  • Is de hoeveelheid data die je kan opslaan en de retentietijd beperkt tot wat vereist is voor wettelijke, regelgevende en/of zakelijke vereisten? (Bekijk het beleid en de procedures voor het bewaren en verwijderen van data. Interview personeel en check of er gedefinieerde processen voor beveiliging zijn).
  • Is er een driemaandelijks proces voor het identificeren en veilig verwijderen van opgeslagen kaarthoudergegevens die de gedefinieerde bewaarvereisten overschrijden?
  • Is alle media fysiek beveiligd (inclusief maar niet beperkt tot computers, verwijderbare elektronische media, papieren bonnetjes, papieren rapporten en faxen)?

De fysieke beveiliging van point of sale terminals

P2PE vereist de volgende controles van een document dat de P2PE Instruction Manual (PIM) heet. Deze wordt verstrekt aan merchants door hun betaalprovider, om hen te helpen PCI-compliant te blijven:

POS terminal beveiliging

Het gebruik van terminals door Adyen is net zo veilig, of de merchant nu P2PE gebruikt of niet. Met E2EE is al het bovenstaande niet nodig. De enige toevoeging die je wél ziet, is de fraudebestendige, verzegelde doos waarin we onze terminals versturen.

Bij het gebruik van P2PE moet het bedrijf deze bovenstaande handelingen nauwkeurig vastleggen volgens de PIM. Daarna wordt de acquirer door de PCI SSC verplicht om deze dossiers jaarlijks te controleren. Op die manier wordt het voor bedrijven soms lastig om te voldoen aan de PCI-compliance.

Wat is de beste keuze voor jouw bedrijf?

Dat hangt af van het beveiligingsniveau dat jouw bedrijf nodig heeft. Ook de manier waarop je de goederen van je bedrijf beheert, speelt een rol.

E2EE

Wij geloven in hoogwaardige databeveiliging, zonder extra werk. Daarom hebben we een E2EE-betaaloplossing gebouwd. Deze garandeert de best mogelijke gegevensbeveiliging.

Vooral flexibele en gedecentraliseerde bedrijven vinden onze E2EE wellicht efficiënter. Voorbeelden hiervan zijn ondernemingen die de operationele controle niet hoeven te centraliseren, zoals franchises, of scale-ups met kleinere teams en agressieve roadmaps.

P2PE

Grotere bedrijven met meer resources die voorzichtiger zijn met het nemen van risico’s geven de voorkeur aan de P2PE-oplossing, omdat deze hen een extra controlelaag geeft rond de fysieke afhandeling van terminals.

Verder zijn grotere bedrijven waarschijnlijk eerder bereid om per pinapparaat te betalen voor de extra beveiliging die deze biedt. Ze hebben ook meer tijd en personeel dat aandacht kan besteden aan het onderhouden van de PIM.

Waarom biedt Adyen zowel E2EE als P2PE aan?

Wij bouwen voor alle merchants, niet slechts één. Dus als er een oplossing is die veilig en gevalideerd is, en die mensen vertrouwen, willen we die ook aanbieden. Door P2PE bij ons te gebruiken, profiteer je nog steeds van het werken met één partner.

Dat gezegd hebbende.. We geloven sterk in de kracht van onze eigen end-to-end-oplossing.

Heb je vragen over E2EE, P2PE of risicomanagement? Neem gerust contact met ons op.



Are you looking for test card numbers?

Would you like to contact support?