PCI P2PE
Point-to-Point Encryption
Der Point-to-Point Encryption (P2PE) Standard definiert eine PCI DSS konforme Umsetzung für Händlerumgebungen, in denen Card Present Transaktionen mit Kreditkarten durchgeführt werden.
Bei der beschriebenen Umsetzung werden Zahlungen ausschließlich über PCI PTS zertifizierte POS Terminals durchgeführt. Alle kritischen Transaktionsdaten werden direkt im Terminal verschlüsselt und erst in einem speziellen Backend-System wieder entschlüsselt. Die Terminal-Infrastruktur wird dabei von dem sogenannten P2PE Solution Provider bereitgestellt, der auch das PCI DSS validierte Backend-System betreibt. Der Händler selbst hat in diesem Szenario keinen Zugriff auf die kritischen Transaktionsdaten. Schließt sich der Händler der Lösung eines validierten P2PE Solution Providers an, so unterliegt dieser zwar grundsätzlich auch weiterhin dem PCI DSS, für seine Kassen- und Geschäftsinfrastruktur muss dieser aber nicht mehr umgesetzt werden.
Neben einer vollständigen Solution Provider Zertifizierung lässt der PCI P2PE auch eine eigenständige Zertifizierung von Payment Applikationen auf dem POS Terminal nach Domain 2 des PCI P2PE sowie eine modulare Zertifizierung für einzelne Domains zu, die sogenannten P2PE Components. Der P2PE v3 definiert unter anderem folgende P2PE Components, für die jeweils eine separate Validierung durchgeführt werden kann, sowie ein offizielles Listing durch das PCI Security Standards Council (PCI SSC) vorgenommen wird:
Leistungen von SRC
SRC bietet Beratung und Know-How bei der Umsetzung des P2PE Standard sowie beim Design, der Implementierung und der Evaluierung von P2PE Applikationen, P2PE Solutions und P2PE Components.
Das P2PE-Angebot der SRC umfasst den kompletten P2PE Lebenszyklus, unter anderem folgende Leistungen:
SRC ist vom PCI SSC zugelassen als P2PE Assessor Company und verfügt über qualifizierte Mitarbeiter, die sowohl über Erfahrung im Umfeld der Payment Card Industry (PCI) Standards als auch im Umfeld von POS Terminals verfügen. Diese Mitarbeiter haben sowohl die Zulassung zur Durchführung von Solution Assessments (P2PE Assessor) als auch für Application Assessments (P2PE Application Assessor).
Ferner ist SRC weltweit eines von wenigen Unternehmen, die eine Zulassung des PCI SSC für Evaluierungen nach PCI PTS und nach PCI P2PE hat. Da POS Terminals eine zentrale Rolle in jeder P2PE Solution zukommt, kann SRC damit umfassend von der Zulassung von POS Terminals bis zum Einsatz des Terminals in P2PE Solutions und dem Management der Terminals unterstützen und beraten.
Informieren Sie sich über die Themenfelder, die wir mit unserer Dienstleistung unterstützen.