Delen
In 2011 werd een groot gamingnetwerk getroffen door een enorme fraude-aanval. Namen, adressen en betalingsgegevens van 77 miljoen gebruikers kwamen op straat te liggen. Dit was een ramp voor de reputatie van het bedrijf en schaadde het vertrouwen van gamers overal ter wereld. Het voorval spoorde de betalingssector aan om kritisch te kijken, niet alleen naaronline betalingen, maar ook naar de bescherming van kaart- en in-store betalingen.
Vanuit deze zelfreflectie ontstond het PCI P2PE-programma van de Payment Card Industry Security Standards Council (PCI SSC).
Dat klinkt als een afgerond verhaal, maar dat was het nog niet.
Bedrijven waren traag met het integreren van de nieuwe P2PE-technologie en in 2013 vond de volgende grote aanval plaats. Dit keer op een bekende Amerikaanse retailer, waarbij gegevens werden gestolen van 70 miljoen shoppers, allemaal uit een fysieke opslagruimte.
Inmiddels zijn bedrijven en betaalproviders P2PE steeds makkelijker en vaker gaan gebruiken om kaarthoudergegevens te beschermen. Daarmee kunnen zowel bedrijven als klanten opgelucht ademhalen. Wij hebben niet voor niets onze eigen end-to-end-encryptie (E2EE) ontwikkeld.
Adyen is P2PE-gecertificeerd en in deze blog leggen we je uit wat dat precies inhoudt. Ook bespreken we de voordelen en uitdagingen die P2PE met zich meebrengt.
Wil je meer weten over onze E2EE-oplossing? Kijk danhier.
Wat is P2PE?
P2PE beschermt de gegevens van kaarthouders wanneer een betaling wordt gedaan. In een milliseconden reist de informatie tussen hetpinapparaaten de acquirer, terwijl gevoelige kaartinformatie versleuteld wordt. Het gaat hier om de accountgegevens, zoals het rekeningnummer en de track data, van de klant. Met P2PE wordt de informatie, zodra deze is ontvangen door de P2PE-gevalideerde terminal, direct gecodeerd.
P2PE is voor merchants een manier om hunPCI-complianceminder complex te maken. PCI is een onafhankelijke organisatie die de veiligheid van online en in-store betalingen bewaakt en Adyen is een gevalideerde P2PE-oplossing.
Waarom gebruiken bedrijven P2PE?
Beveiliging
De P2P in P2PE staat voor point-to-point. Gevoelige betaalgegevens worden beschermd vanaf het moment dat de betaalkaart aan de betaalterminal wordt gepresenteerd, tot het moment dat ze de acquirer bereiken. In het geval van een poging tot fraude, betekent de E in P2PE, of Encryption, dat er geen impact is op de klant of zijn gegevens.
Makkelijker voldoen aan compliance
Om te voldoen aan PCI-compliance, moeten bedrijven een vragenlijst invullen, ook wel de SAQ (Self Assessment Questionnaire) genoemd. De SAQ is een soort checklist voor jouw acquirer, zodat deze kan zien dat jij de juiste beveiligingsmaatregelen neemt om gegevens veilig te houden en daarnaast aan de compliance voldoet.
Er zijn twee vragenlijsten. Eén voor bedrijven die P2PE hebben geïmplementeerd en de andere voor bedrijven die dat niet hebben gedaan. Dat brengt ons bij de belangrijkste voordelen van P2PE.
Geen klant van Adyen en maak je geen gebruik van P2PE?
De vragenlijst voor merchants diegeenklant zijn van Adyen engeengebruik maken van P2PE, bevat maximaal 12 vereisten en 329 vragen. Hier zijn een aantal voorbeelden van het jargon dat je tegenkomt bij het invullen van de SAQ:
- Zijn routerconfiguratiebestanden beveiligd tegen onbevoegde toegang? En zijn ze gesynchroniseerd?
- Wordt uw inventaris bijgehouden voor systeemcomponenten die onder PCI DSS vallen, inclusief een lijst met hardware- en softwarecomponenten met een afzonderlijke beschrijvingen van de functie en het gebruik?
- Is er een geschreven beleid voor toegangscontrole dat toegangsbehoeften en privilege-toewijzingen voor elke rol definieert, inclusief beperking van toegang op basis van verantwoordelijkheden, met gedocumenteerde goedkeuring en een beschrijving van de reden waarom deze rollen toegang nodig hebben.
Stel je nu eens voor dat je nog 326 van dit soort vragen moet beantwoorden. En dat iedere 12 maanden. Niet bepaald iets dat je erevenbij doet.
Gebruik je wel P2PE?
Als je een bedrijf bent dat P2PE gebruikt, hoef je slechts 35 vragen te beantwoorden. Dit betekent niet alleen dat je beter beschermd bent tegen kaartfraude, je compliance-vereisten zijn ook nog eens VEEL minder tijdrovend.
PCI goedkeuring
Aanbieders van P2PE-oplossingen moeten worden gevalideerd door de PCI SSC om ervoor te zorgen dat ze aan universele standaarden voldoen. Dit houdt in dat er een onafhankelijke, externe organisatie is die er op toe ziet dat de oplossing van jouw betaalprovider veilig is.
Bedrijven waarvan wij denken dat ze meteen profiteren van P2PE
We zien vaak gemeenschappelijke uitdagingen bij bedrijven die overgaan op P2PE:
Huidige uitdaging | Hoe P2PE kan helpen |
|---|---|
In meer gecentraliseerde bedrijven valt de taak om de P2PE-certificering te behouden onder de verantwoordelijkheid van de belangrijkste operationele teams. | Meer tijd om je te concentreren op jouw main business, omdat het voldoen aan de certificering minder tijd kost. |
Bedrijven die volledige operationele controle nodig hebben, kunnen moeite hebben om nieuw personeel steeds weer voor te lichten over de dreiging van breaches en om ze de juiste procedures voor gegevensverwerking te laten volgen. | Biedt meer structuur over de manier waarop winkelpersoneel omgaat met terminals, waardoor de blootstelling van gegevens met de juiste procedures wordt beperkt en processen worden gecentraliseerd. |
Risico-bewuste bedrijven maken zich vaak zorgen over niet-compliant zijn en het risico van financiële aansprakelijkheid. | P2PE biedt een onafhankelijk geverifieerde oplossing die het risico op een datalek verkleint. |
Bedrijven met oude, gecompliceerde legacy-systemen zijn vaak minder gericht op beveiliging. | P2PE introduceert technologie die compliant is met regelgeving en geconsolideerde data-overzichten geeft. |
Heeft P2PE ook nadelen?
Met alle voordelen op het gebied van gegevensbeveiliging die P2PE met zich meebrengt, moeten bedrijven zich ook bewust zijn van de operationele last die het soms op kan leveren. Hoewel het aantal vereisten voor de SAQ afneemt, is er omgekeerd een toename van de vereisten om ervoor te zorgen dat betaalterminals fysiek veilig zijn in de winkel. Dit gebeurt via de P2PE Instructiehandleiding, ook wel bekend als de PIM. Deze handleiding wordt aan bedrijven verstrekt door hun P2PE-leverancier, moet nauwgezet worden opgevolgd en correct worden geïmplementeerd om te voldoen aan PCI-compliance.
De PIM helpt bedrijven bij het beveiligen van betaalterminals in de winkel en omvat activiteiten en controles zoals:
- Een terugkerende inventariscontrole om de vereiste verwijdering of vervanging van apparaten te detecteren
- Beveiligingscamera's onder de juiste hoeken installeren om terminals te kunnen bekijken, zodat winkelpersoneel snel gewaarschuwd kan worden in geval van sabotage
- Maandelijkse controles en checks die door winkelpersoneel moeten worden uitgevoerd. Dit zijn visuele onderzoeken waarmee je kan kijken of er met het apparaat is geknoeid
- Er zeker van zijn dat de terminals de winkel bereiken in fraudebestendige, verzegelde dozen, met een serienummer dat afzonderlijk wordt gemaild.
Een volledig gedocumenteerde registratie van al deze activiteiten moet door merchants worden ingevuld. Hun acquirer moet meerdere audits per jaar uitvoeren om de naleving van de PIM te waarborgen. Dat doen wij ook als acquirer voor onze merchants.
Er is geen goed of fout, maar uiteindelijk is het aan jou en je bedrijf om de voordelen van P2PE af te wegen tegen de tijd en middelen die nodig zijn om de PIM na te leven.
De volgende stap
We krijgen steeds vaker vragen over tokenisatie en data-encryptie. Daarom wilden we deze blog graag gebruiken om te vertellen dat Adyen nu een P2PE-gevalideerde provider is, als aanvulling op onze bestaande E2EE-oplossing.
Meld je aan voor onze nieuwsbrief
Ik bevestig dat ik Adyen's Privacy Policy heb gelezen en geef toestemming voor datagebruik dat hiermee overeenkomt.