You are here:

Standard PCI

Contact us

free consultation

PCI P2PE


PCI P2PE (point-to-point encryption) to standard bezpieczeństwa, który wymaga natychmiastowego zaszyfrowania informacji o karcie kredytowej po pierwszym przesunięciu/włożeniu w terminalu płatniczym, a następnie bezpiecznym przesłaniu ich bezpośrednio do procesora płatności, zanim będzie można je odszyfrować i przetworzyć. Technologia Point-to-Point Encryption (P2PE) sprawia, że dane są nieczytelne, więc nie mają wartości dla przestępców, nawet jeśli zostaną skradzione w wyniku włamania.

Rozwiązanie szyfrowania typu P2PE obejmuje sprawdzony sprzęt, oprogramowanie oraz środowisko i procesy dostawcy rozwiązań. Może również obejmować zwalidowane usługi dostawcy komponentów. Wszystkie zatwierdzone przez PCI rozwiązania, aplikacje i komponenty są wymienione na stronie internetowej PCI SSC. Walidacja jest przeprowadzana przez wykwalifikowanego przez PCI asesora P2PE.


SC2labs jest akredytowane przez  PCI SSC do przeprowadzania walidacji

w zakresie  PCI QSA (P2PE) oraz  PA-QSA (P2PE).


P2PE ma zastowowanie u :

  • P2PE Solution Providers
  • P2PE Application Vendors
  • Encryption Management Component Provider
  • Decryption Management Component Provider
  • Key Injection Facility
  • Certification Authority/Registration Authority

P2PE  jest programem 3 letnim, jednak każdego roku vendor ma obowiązek potwierdzić status walidowanego rozwiązania. Audyt  jest prowadzony przez audytora PCI P2PE.

Wymagania standardu PCI P2PE (domains):

Domain 1 – Encryption Device and Application Management ( Secure encryption of payment card data at the point of interaction (POI). The secure management of the PCI-approved POI devices and the resident software.

  Requirements:

  • 1A Account data must be encrypted in equipment that is resistant to physical and logical compromise.
  • 1B Logically secure POI devices.
  • 1C Use P2PE applications that protect PAN and SAD.
  • 1D Implement secure application-management processes.
  • 1E Component providers ONLY: report status to solution providers.


Domain 2 – Application Security (P2PE validated application(s) at the point of interaction). The secure development of payment applications designed to have access to clear-text account data intended solely for installation on PCI-approved POI devices.

  Requirements:

  •  2A Protect PAN and SAD.
  •  2B Develop and maintain secure applications.
  •  2C Implement secure application-management processes


Domain 3 – P2PE Solution Management (Secure management of encryption and decryption devices),Overall management of the P2PE solution by the solution provider, including third-party relationships, incident response, and the P2PE Instruction Manual (PIM).

Requirements:
    3A P2PE solution management.
    3B Third-party management.
    3C Creation and maintenance of P2PE Instruction Manual for merchants

Domain 4 – Decryption Environment (Management of the decryption environment and all decrypted account data). The secure management of the environment that receives encrypted account data and decrypts it.

Requirements:
    4A Use approved decryption devices.
    4B Secure the decryption environment.
    4C Monitor the decryption environment and respond to incidents.
    4D Implement secure, hybrid decryption processes.
    4E Component providers ONLY: report status to solution providers.

Domain 5 – P2PE Cryptographic Key Operations and Device Management (Use of secure encryption methodologies and cryptographic key operations, including key generation, distribution, loading/injection, administration and usage).Establish and administer key-management operations for account-data encryption POI devices and decryption HSMs.

Requirements:

  • Control Objective 1 Account data is processed using equipment and methodologies that  ensure they are kept secure.
  • Control Objective 2 Account data keys and key-management methodologies are created using processes that ensure it is not possible to predict any key or determine that certain keys are more probable than other keys.
  • Control Objective 3 Keys are conveyed or transmitted in a secure manner.
  • Control Objective 4 Key loading is handled in a secure manner.
  • Control Objective 5 Keys are used in a manner that prevents or detects their unauthorized usage.
  • Control Objective 6 Keys are administered in a secure manner.
  • Control Objective 7 Equipment used to process account data and keys is managed in a secure manner.

   5A Account data is processed using algorithms and methodologies that ensure they are kept secure.

    5H For hybrid decryption solutions: Implement secure hybrid-key management.
    5I Component providers ONLY: report status to solution providers.
   

Appendix A – Merchant-managed Solutions (Separation between Merchant encryption and Decryption Environments. Separate duties and functions between merchant encryption and decryption environments.

Requirements:

    MM-A Restrict access between the merchant decryption environment and all other networks/systems.
    MM-B Restrict traffic between the encryption environment and any other CDE.
    MM-C Restrict personnel access between the encryption environment and the merchant decryption environment


  • P2PE Solution - Obejmuje środowiska szyfrowania i deszyfrowania typu point-to-point, ich konfigurację oraz wszelkie komponenty P2PE stosowane w tych środowiskach. W ramach rozwiązania P2PE dane kartowe są zawsze wprowadzane bezpośrednio do zatwierdzonego przez PCI urządzenia POI z włączoną funkcją bezpiecznego odczytu i wymiany danych (SRED). Takie podejście minimalizuje ekspozycję danych w postaci czystego tekstu i chroni przed exploitami w terminalach, takimi jak złośliwe oprogramowanie  typu "memory scraping".
  • P2PE Application - Oprogramowanie/ aplikacja z dostępem do jawnych danych kartowych, przeznaczone do zainstalowania na zatwierdzone przez PCI urządzenie typu POI i wykorzystywane jako część rozwiązania P2PE.
  • P2PE Component - Zestaw usług P2PE, w tym zarządzanie szyfrowaniem, zarządzanie deszyfrowaniem oraz importowaniem kluczy, które są świadczone przez dostawcę komponentu P2PE i znajdują się na liście komponentów P2PE na stronie internetowej  PCI SSC.​
  • P2PE Solution Provider - Podmiot, zazwyczaj będący stroną trzecią, taki jak procesor, acquirer (bank handlowy) lub bramka płatnicza, który projektuje, wdraża i zarządza rozwiązaniem P2PE. Dostawca rozwiązania może zlecić pewne obowiązki na zewnątrz, ale zawsze zachowuje ogólną odpowiedzialność za rozwiązanie P2PE. W przypadku P2PE v2 akceptanci mogą również zdecydować się na działanie jako własny dostawca rozwiązania, wdrażając rozwiązanie zarządzane przez akceptanta (MMS).


Links:

https://www.pcisecuritystandards.org/document_library
https://www.pcisecuritystandards.org/assessors_and_solutions/point_to_point_encryption_solutions