I början av 2010-talet inträffade flera stora dataattacker där miljontals användarkonton blev kapade. Alla, från privatkunder till fysiska butiker, drabbades. För att förebygga framtida attacker införde Payment Card Industry Security Standards Council (PCI SSC) programmet PCI P2PE.
Vad är P2PE (point-to-point encryption)?
P2PE står för point-to-point encryption. Det är ett sätt att skydda kortinnehavarens data när en betalning görs. Under de korta millisekunder som informationen transporteras mellan betalterminalen och kortinlösaren krypterar P2PE känslig information som kontonummer och spårningsdata.
Point to point encryption är också ett sätt för handlare att förenkla sinPCI-certifiering. PCI är en oberoende organisation som arbetar för att öka säkerheten för online- och butiksbetalningar. Självklart är Adyen en validerad PCI-lösning.
Vad är E2EE (end-to-end encryption)?
E2EE står för end-to-end encryption. I den krypteras hela betalprocessen, det är också Adyens standardkryptering för butiksbetalningar. Med end to end encryption lämnar kortinnehavarens data aldrig Adyens miljö, vilket innebär att datan krypteras från det att kortet har kontakt med kortläsaren. Sedan hanterar Adyen hela betalkedjan.
Det ger E2EE-betalningen ännu högre säkerhet – eftersom kortinnehavarens data aldrig kan läsas av en tredje part.
Vad är skillnaden mellan P2PE och E2EE?
P2PE och E2EE är båda mycket säkra krypteringsmetoder, med lite olika användningsområden. Den största skillnaden är att med end to end encryption är vi på Adyen ensam betalningspartner. Vi är gateway, processor och kortinlösare – paketerat i ett.
Så är det inte med point to point encryption. Där utförs ofta kryptering mellan olika leverantörer och varje handlare måste bevisa för sinkortinlösareatt de behandlar betalningar online och i butik på ett säkert sätt.
Eftersom vi är inlösare för våra kunder behöver de rapportera om PCI-efterlevnad till oss med något som kallas SAQ (self assessment questionnaire).
SAQ (self assessment questionnaire)
Det finns olika SAQ:s. För att använda vår E2EE-lösning behöver företaget bara slutföra SAQ B-IP, vilket är relativt enkelt. Eftersom Adyen står för hela betalkedjan behöver man då bara svara på två av kraven, vilket är 22 enkla frågor som till exempel:
- Enhetens märke och modell
- Enhetens plats (till exempel adressen till webbplatsen eller anläggningen där enheten finns)
- Enhetens serienummer eller annan metod för unik identifiering
För P2PE är det fler krav och andra frågor som gäller. Här är de tre krav och 35 frågor som behöver besvaras. Till exempel:
- Är datalagringsmängden och lagringstiden begränsad till det som krävs för lagliga, reglerande och/eller affärsmässiga krav?
- Finns det en kvartalsvis process för att identifiera och ta bort lagrad kortdata på ett säkert sätt?
- Är alla enheter fysiskt säkrade (inklusive men inte begränsat till datorer, flyttbara elektroniska medier, papperskvitton, pappersrapporter m.m.)?
Fysiska försäljningsterminaler
För fysiska försäljningsterminaler krävs ytterligare kontroller för att förbliPCI-certifierad. I alla fall för point to point encryption.
Ett dokument som heter P2PE Instruction Manual (PIM) behöver följas och dokumenteras årligen. Med E2EE behövs inget av ovanstående.
Om PIM inte efterlevs, så att företaget inte längre har enPCI-certifiering, kan följderna bli kostsamma. Utöver kraftiga böter kan företaget bli återbetalningsskyldigt till sina kunder och även bli av med möjligheten att ta emot kortbetalningar.
Adyens hantering av terminaler ser likadan ut, och är lika säker, oavsett om köparen väljer att använda point to point encryption eller inte.
Vilken lösning är bäst?
Vad som är bäst beror på situation, vilken säkerhetsnivå som krävs och vilka resurser som finns till förfogande. Behoven ser olika ut och i slutändan är det upp till varje företag att väga fördelarna med P2PE mot den tid och de resurser det tar att följa PIM, den kontroll för P2PE som behövs för att säkerställa PCI-efterlevnad.
E2EE-lösning
För moderna, decentraliserade företag kan vår E2EE-lösning vara mest effektiv. Det handlar till exempel om företag som inte behöver centralisera den operativa kontrollen, som franchisetagare eller scale-up företag med små team och stora tillväxtplaner.
P2PE-lösning
Stora företag föredrar ofta P2PE-lösningen eftersom det ger dem ett extra lager av kontroll kring den fysiska hanteringen av terminaler.
De är sannolikt villiga att betala mer perPOS-terminal för extra säkerhet. Stora företag har också ofta större möjlighet att avsätta resurser för att upprätthålla PIM.
PIM
PIM är en instruktionsmanual för P2PE, en handbok som tillhandahålls av företagets lösningsleverantör. Den behöver noggrant följas och implementeras korrekt för att företaget ska uppfylla sin PCI-certifiering.
PIM guidar företaget i att säkra betalterminaler och inkluderar punkter som:
- En regelbunden inventeringskontroll för att upptäcka nödvändigt avlägsnande eller byte av enheter
- Säkerhetskameror installerade i rätt vinklar för att se terminaler och möjlighet att varna butikspersonal vid manipulering
- Månatliga webbplatskontroller som ska utföras av butikspersonal
- Att terminalerna når butiken i förseglade lådor med serienummer som skickas separat
Ett fullständigt dokumenterat register över alla aktiviteter måste fyllas i av företaget. Kortinlösaren är sedan skyldig att genomföra flera revisioner per år för att säkerställa att allt stämmer överens med PIM.
Adyens lösningar
Vi ser många konversationer kringtokeniseringoch datakryptering. Så vi vill använda den här bloggen för att bekräfta att, ja, Adyen nu är en P2PE-validerad leverantör, ett komplement till vår befintliga E2EE-lösning.
Vi bygger för att hjälpa alla våra handlare, så om det finns en lösning som är säker, validerad och pålitlig, så vill vi kunna erbjuda den. Genom att använda point to point encryption hos oss får företaget fortfarande nyttan av att arbeta med en enda partner. Med det sagt tror vi bestämt på fördelarna med vår helhetslösning.
Vill du få fler insikter från Adyen?
Kontakta oss gärna gällande E2EE, P2PE eller risk.
Kontakta ossAnmäl dig till Adyens nyhetsbrev
Kontakta vårt kommunikationsteam
Jag bekräftar att jag har läst Adyens integritetspolicy och jag godkänner användandet av min data i enlighet med policyn.