Guide: olika sätt att kryptera transaktioner

I början av 2010-talet inträffade flera stora dataattacker där miljontals användarkonton blev kapade. Alla, från privatkunder till fysiska butiker, drabbades. För att förebygga framtida attacker införde Payment Card Industry Security Standards Council (PCI SSC) programmet PCI P2PE.

P2PE står för point-to-point encryption. Det är ett sätt att skydda kortinnehavarens data när en betalning görs. Under de korta millisekunder som informationen transporteras mellan betalterminalen och kortinlösaren krypterar P2PE känslig information som kontonummer och spårningsdata.

Point to point encryption är också ett sätt för handlare att förenkla sinPCI-certifiering. PCI är en oberoende organisation som arbetar för att öka säkerheten för online- och butiksbetalningar. Självklart är Adyen en validerad PCI-lösning.

E2EE står för end-to-end encryption. I den krypteras hela betalprocessen, det är också Adyens standardkryptering för butiksbetalningar. Med end to end encryption lämnar kortinnehavarens data aldrig Adyens miljö, vilket innebär att datan krypteras från det att kortet har kontakt med kortläsaren. Sedan hanterar Adyen hela betalkedjan.

Det ger E2EE-betalningen ännu högre säkerhet – eftersom kortinnehavarens data aldrig kan läsas av en tredje part.

P2PE och E2EE är båda mycket säkra krypteringsmetoder, med lite olika användningsområden. Den största skillnaden är att med end to end encryption är vi på Adyen ensam betalningspartner. Vi är gateway, processor och kortinlösare – paketerat i ett.

Så är det inte med point to point encryption. Där utförs ofta kryptering mellan olika leverantörer och varje handlare måste bevisa för sinkortinlösareatt de behandlar betalningar online och i butik på ett säkert sätt.

Eftersom vi är inlösare för våra kunder behöver de rapportera om PCI-efterlevnad till oss med något som kallas SAQ (self assessment questionnaire).

Det finns olika SAQ:s. För att använda vår E2EE-lösning behöver företaget bara slutföra SAQ B-IP, vilket är relativt enkelt. Eftersom Adyen står för hela betalkedjan behöver man då bara svara på två av kraven, vilket är 22 enkla frågor som till exempel:

För fysiska försäljningsterminaler krävs ytterligare kontroller för att förbliPCI-certifierad. I alla fall för point to point encryption.

Ett dokument som heter P2PE Instruction Manual (PIM) behöver följas och dokumenteras årligen. Med E2EE behövs inget av ovanstående.

Om PIM inte efterlevs, så att företaget inte längre har enPCI-certifiering, kan följderna bli kostsamma. Utöver kraftiga böter kan företaget bli återbetalningsskyldigt till sina kunder och även bli av med möjligheten att ta emot kortbetalningar.

Adyens hantering av terminaler ser likadan ut, och är lika säker, oavsett om köparen väljer att använda point to point encryption eller inte.

Vad som är bäst beror på situation, vilken säkerhetsnivå som krävs och vilka resurser som finns till förfogande. Behoven ser olika ut och i slutändan är det upp till varje företag att väga fördelarna med P2PE mot den tid och de resurser det tar att följa PIM, den kontroll för P2PE som behövs för att säkerställa PCI-efterlevnad.

För moderna, decentraliserade företag kan vår E2EE-lösning vara mest effektiv. Det handlar till exempel om företag som inte behöver centralisera den operativa kontrollen, som franchisetagare eller scale-up företag med små team och stora tillväxtplaner.

Stora företag föredrar ofta P2PE-lösningen eftersom det ger dem ett extra lager av kontroll kring den fysiska hanteringen av terminaler.

De är sannolikt villiga att betala mer perPOS-terminal för extra säkerhet. Stora företag har också ofta större möjlighet att avsätta resurser för att upprätthålla PIM.

PIM är en instruktionsmanual för P2PE, en handbok som tillhandahålls av företagets lösningsleverantör. Den behöver noggrant följas och implementeras korrekt för att företaget ska uppfylla sin PCI-certifiering.

Ett fullständigt dokumenterat register över alla aktiviteter måste fyllas i av företaget. Kortinlösaren är sedan skyldig att genomföra flera revisioner per år för att säkerställa att allt stämmer överens med PIM.

Vi ser många konversationer kringtokeniseringoch datakryptering. Så vi vill använda den här bloggen för att bekräfta att, ja, Adyen nu är en P2PE-validerad leverantör, ett komplement till vår befintliga E2EE-lösning.

Vi bygger för att hjälpa alla våra handlare, så om det finns en lösning som är säker, validerad och pålitlig, så vill vi kunna erbjuda den. Genom att använda point to point encryption hos oss får företaget fortfarande nyttan av att arbeta med en enda partner. Med det sagt tror vi bestämt på fördelarna med vår helhetslösning.