Guider och rapporter

Guide: olika sÀtt att kryptera transaktioner

Idag finns det juridiska krav pÄ att kryptera transaktioner och det finns flera sÀtt att göra det pÄ. HÀr gÄr vi igenom de tvÄ viktigaste, P2PE och E2EE, som bÄda erbjuds av Adyen.

21 december, 2020
 ·  4 minuter
Abstrakt mönster med olika geometriska former som cirklar, kors och trianglar i blÄtt och grönt.

I början av 2010-talet intrÀffade flera stora dataattacker dÀr miljontals anvÀndarkonton blev kapade. Alla, frÄn privatkunder till fysiska butiker, drabbades. För att förebygga framtida attacker införde Payment Card Industry Security Standards Council (PCI SSC) programmet PCI P2PE.

Vad Àr P2PE (point-to-point encryption)?

P2PE stÄr för point-to-point encryption. Det Àr ett sÀtt att skydda kortinnehavarens data nÀr en betalning görs. Under de korta millisekunder som informationen transporteras mellan betalterminalen och kortinlösaren krypterar P2PE kÀnslig information som kontonummer och spÄrningsdata.

Point to point encryption Ă€r ocksĂ„ ett sĂ€tt för handlare att förenkla sinPCI-certifiering. PCI Ă€r en oberoende organisation som arbetar för att öka sĂ€kerheten för online- och butiksbetalningar. SjĂ€lvklart Ă€r Adyen en validerad PCI-lösning.

Symbol för sÀkerhet

Vad Àr E2EE (end-to-end encryption)?

E2EE stÄr för end-to-end encryption. I den krypteras hela betalprocessen, det Àr ocksÄ Adyens standardkryptering för butiksbetalningar. Med end to end encryption lÀmnar kortinnehavarens data aldrig Adyens miljö, vilket innebÀr att datan krypteras frÄn det att kortet har kontakt med kortlÀsaren. Sedan hanterar Adyen hela betalkedjan.

Det ger E2EE-betalningen Ă€nnu högre sĂ€kerhet – eftersom kortinnehavarens data aldrig kan lĂ€sas av en tredje part.

Vad Àr skillnaden mellan P2PE och E2EE?

P2PE och E2EE Ă€r bĂ„da mycket sĂ€kra krypteringsmetoder, med lite olika anvĂ€ndningsomrĂ„den. Den största skillnaden Ă€r att med end to end encryption Ă€r vi pĂ„ Adyen ensam betalningspartner. Vi Ă€r gateway, processor och kortinlösare – paketerat i ett.

Diagram av E2EE

SÄ Àr det inte med point to point encryption. DÀr utförs ofta kryptering mellan olika leverantörer och varje handlare mÄste bevisa för sinkortinlösareatt de behandlar betalningar online och i butik pÄ ett sÀkert sÀtt.

Diagram av P2PE-flöde

Eftersom vi Àr inlösare för vÄra kunder behöver de rapportera om PCI-efterlevnad till oss med nÄgot som kallas SAQ (self assessment questionnaire).

SAQ (self assessment questionnaire)

Det finns olika SAQ:s. För att anvÀnda vÄr E2EE-lösning behöver företaget bara slutföra SAQ B-IP, vilket Àr relativt enkelt. Eftersom Adyen stÄr för hela betalkedjan behöver man dÄ bara svara pÄ tvÄ av kraven, vilket Àr 22 enkla frÄgor som till exempel:

  • Enhetens mĂ€rke och modell
  • Enhetens plats (till exempel adressen till webbplatsen eller anlĂ€ggningen dĂ€r enheten finns)
  • Enhetens serienummer eller annan metod för unik identifiering

För P2PE Ă€r det fler krav och andra frĂ„gor som gĂ€ller. HĂ€r Ă€r de tre krav och 35 frĂ„gor som behöver besvaras. Till exempel:

  • Är datalagringsmĂ€ngden och lagringstiden begrĂ€nsad till det som krĂ€vs för lagliga, reglerande och/eller affĂ€rsmĂ€ssiga krav?
  • Finns det en kvartalsvis process för att identifiera och ta bort lagrad kortdata pĂ„ ett sĂ€kert sĂ€tt?
  • Är alla enheter fysiskt sĂ€krade (inklusive men inte begrĂ€nsat till datorer, flyttbara elektroniska medier, papperskvitton, pappersrapporter m.m.)?

Fysiska försÀljningsterminaler

För fysiska försĂ€ljningsterminaler krĂ€vs ytterligare kontroller för att förbliPCI-certifierad. I alla fall för point to point encryption.

Ett dokument som heter P2PE Instruction Manual (PIM) behöver följas och dokumenteras Ärligen. Med E2EE behövs inget av ovanstÄende.

Om PIM inte efterlevs, sÄ att företaget inte lÀngre har enPCI-certifiering, kan följderna bli kostsamma. Utöver kraftiga böter kan företaget bli Äterbetalningsskyldigt till sina kunder och Àven bli av med möjligheten att ta emot kortbetalningar.

Adyens hantering av terminaler ser likadan ut, och Àr lika sÀker, oavsett om köparen vÀljer att anvÀnda point to point encryption eller inte.

Vilken lösning Àr bÀst?

Vad som Àr bÀst beror pÄ situation, vilken sÀkerhetsnivÄ som krÀvs och vilka resurser som finns till förfogande. Behoven ser olika ut och i slutÀndan Àr det upp till varje företag att vÀga fördelarna med P2PE mot den tid och de resurser det tar att följa PIM, den kontroll för P2PE som behövs för att sÀkerstÀlla PCI-efterlevnad.

E2EE-lösning

För moderna, decentraliserade företag kan vÄr E2EE-lösning vara mest effektiv. Det handlar till exempel om företag som inte behöver centralisera den operativa kontrollen, som franchisetagare eller scale-up företag med smÄ team och stora tillvÀxtplaner.

P2PE-lösning

Stora företag föredrar ofta P2PE-lösningen eftersom det ger dem ett extra lager av kontroll kring den fysiska hanteringen av terminaler.

De Ă€r sannolikt villiga att betala mer perPOS-terminal för extra sĂ€kerhet. Stora företag har ocksĂ„ ofta större möjlighet att avsĂ€tta resurser för att upprĂ€tthĂ„lla PIM.

Vad Àr PCI DSS?

4 minuter

PIM

PIM Àr en instruktionsmanual för P2PE, en handbok som tillhandahÄlls av företagets lösningsleverantör. Den behöver noggrant följas och implementeras korrekt för att företaget ska uppfylla sin PCI-certifiering.

PIM guidar företaget i att sÀkra betalterminaler och inkluderar punkter som:

  • En regelbunden inventeringskontroll för att upptĂ€cka nödvĂ€ndigt avlĂ€gsnande eller byte av enheter
  • SĂ€kerhetskameror installerade i rĂ€tt vinklar för att se terminaler och möjlighet att varna butikspersonal vid manipulering
  • MĂ„natliga webbplatskontroller som ska utföras av butikspersonal
  • Att terminalerna nĂ„r butiken i förseglade lĂ„dor med serienummer som skickas separat

Ett fullstÀndigt dokumenterat register över alla aktiviteter mÄste fyllas i av företaget. Kortinlösaren Àr sedan skyldig att genomföra flera revisioner per Är för att sÀkerstÀlla att allt stÀmmer överens med PIM.

Adyens lösningar

Vi ser mÄnga konversationer kringtokeniseringoch datakryptering. SÄ vi vill anvÀnda den hÀr bloggen för att bekrÀfta att, ja, Adyen nu Àr en P2PE-validerad leverantör, ett komplement till vÄr befintliga E2EE-lösning.

Vi bygger för att hjÀlpa alla vÄra handlare, sÄ om det finns en lösning som Àr sÀker, validerad och pÄlitlig, sÄ vill vi kunna erbjuda den. Genom att anvÀnda point to point encryption hos oss fÄr företaget fortfarande nyttan av att arbeta med en enda partner. Med det sagt tror vi bestÀmt pÄ fördelarna med vÄr helhetslösning.

Vill du fÄ fler insikter frÄn Adyen?

Kontakta oss gÀrna gÀllande E2EE, P2PE eller risk.

Kontakta oss


AnmÀl dig till Adyens nyhetsbrev

Kontakta vÄrt kommunikationsteam