Szyfrowanie punkt-punkt (P2PE)
Co to jest szyfrowanie punkt-punkt (P2PE)?
Szyfrowanie punkt-punkt (P2PE) to standard technologiczny stworzony w celu zabezpieczenia elektronicznych transakcji finansowych. Postępując zgodnie z tymi wytycznymi, twórcy oprogramowania i sprzętu używanego w sieci płatności elektronicznych mogą zapewnić, że ich projekty są wzajemnie kompatybilne i odporne na potencjalne ataki hakerów.
Kluczowe wnioski
- P2PE to standard technologiczny mający na celu zapewnienie bezpieczeństwa elektronicznych transakcji finansowych.
- Został opracowany przez konsorcjum największych firm zajmujących się przetwarzaniem płatności.
- Standardy P2PE ewoluują wraz z pojawieniem się nowych technologii.
Jak działa szyfrowanie punkt-punkt (P2PE)
Standardy P2PE zostały opracowane przez PCI Security Standards Council, konsorcjum największych firm związanych z siecią płatności elektronicznych. Głównym celem tej organizacji jest ułatwienie coraz powszechniejszego korzystania z płatności elektronicznych, które w ostatnich latach wzrosły do kilku bilionów dolarów rocznie.1
Jednym z głównych czynników koniecznych do utrzymania tego wzrostu jest istnienie solidnych zabezpieczeń chroniących przed hakerami. W końcu, ponieważ konsumenci i sprzedawcy coraz częściej przeprowadzają transakcje online, te płatności elektroniczne stają się coraz bardziej kuszącym celem hakerów. Dlatego podmioty przetwarzające płatności i inne zainteresowane strony muszą stale utrzymywać i ulepszać swoje systemy, aby być o krok przed potencjalnymi złodziejami.
Zgodnie ze standardami P2PE dane transakcji są w pełni szyfrowane od momentu wprowadzenia danych przez klienta do momentu przesłania tych informacji do procesora płatności. Po ich otrzymaniu procesor płatności odszyfrowuje dane i zatwierdza lub odrzuca transakcję.
Ponieważ dane transakcji są w pełni zaszyfrowane w trakcie całego procesu, nie są narażone na przechwycenie i niewłaściwe wykorzystanie przez nieuprawnione osoby trzecie. Nawet gdyby haker przechwycił określoną transakcję, uzyskane informacje byłyby nieczytelne, ponieważ nadal byłyby w postaci zaszyfrowanej. Aby odszyfrować informacje, użytkownik musi posiadać klucze szyfrujące, które są udostępniane tylko upoważnionym osobom.
Prawdziwy przykład szyfrowania punkt-punkt (P2PE)
Poszczególne firmy mogą swobodnie opracowywać nowe produkty i usługi, które współdziałają z ekosystemem płatności elektronicznych. Aby jednak te firmy mogły osiągnąć zgodność z P2PE, muszą wykazać, że ich nowa oferta zachowuje lub przewyższa standardy P2PE. W praktyce oznacza to, że muszą zapewnić, że wszystkie informacje o transakcjach są w pełni zaszyfrowane, że sprzęt używany w ofercie jest bezpiecznie zarządzany, a wszelkie klucze kryptograficzne używane w tym procesie są bezpiecznie generowane, przesyłane i przechowywane.
Aby pomóc osobom zaangażowanym w branżę transakcji finansowych być na bieżąco ze zmianami w tych standardach, Rada Standardów Bezpieczeństwa PCI organizuje regularne wydarzenia i komunikację. Historycznie rzecz biorąc, ten organ zarządzający został założony przez główne marki płatnicze, w tym American Express (AXP ), Discover Financial Services (DFS ), MasterCard (MA ) i Visa (V ). Jednakże za egzekwowanie zgodności ze standardami P2PE odpowiedzialne są poszczególne firmy, które oferują produkty i usługi z wykorzystaniem tych standardów, a nie sama rada zarządzająca.