Linkedin Xing
Main Menu
Main Menu
Kontakt

PCI P2PE

PCI P2PE

Der Point-to-Point Encryption (P2PE) Standard definiert eine PCI DSS konforme Umsetzung für Händlerumgebungen, in denen Card Present Transaktionen mit Kreditkarten durchgeführt werden.

Bei der beschriebenen Umsetzung werden Zahlungen ausschließlich über PCI PTS zertifizierte POS Terminals durchgeführt. Alle kritischen Transaktionsdaten werden direkt im Terminal verschlüsselt und erst in einem speziellen Backend-System wieder entschlüsselt. Die Terminal-Infrastruktur wird dabei von dem sogenannten P2PE Solution Provider bereitgestellt, der auch das PCI DSS validierte Backend-System betreibt. Der Händler selbst hat in diesem Szenario keinen Zugriff auf die kritischen Transaktionsdaten. Schließt sich der Händler der Lösung eines validierten P2PE Solution Providers an, so unterliegt dieser zwar grundsätzlich auch weiterhin dem PCI DSS, für seine Kassen- und Geschäftsinfrastruktur muss dieser aber nicht mehr umgesetzt werden.

Neben einer vollständigen Solution Provider Zertifizierung lässt der PCI P2PE auch eine eigenständige Zertifizierung von Payment Applikationen auf dem POS Terminal nach Domain 2 des PCI P2PE sowie eine modulare Zertifizierung für einzelne Domains zu, die sogenannten P2PE Components. Der P2PE v3 definiert unter anderem folgende P2PE Components, für die jeweils eine separate Validierung durchgeführt werden kann, sowie ein offizielles Listing durch das PCI Security Standards Council (PCI SSC) vorgenommen wird:

  • Encryption-management services (validiert nach Domains 1 und 5)
  • Decryption-management services (validiert nach Domains 4 und 5).
  • Key-Injection Facility services (validiert nach Domain 5).
  • Certification Authority/Registration Authority services (validiert nach Domain 5).

Leistungen von SRC

SRC bietet Beratung und Know-How bei der Umsetzung des P2PE Standard sowie beim Design, der Implementierung und der Evaluierung von P2PE Applikationen, P2PE Solutions und P2PE Components.
Das P2PE-Angebot der SRC umfasst den kompletten P2PE Lebenszyklus, unter anderem folgende Leistungen:

  • Einführungsworkshop P2PE: Vorstellung der grundlegenden Ideen, Einführung in die Anforderungen des P2PE Standards sowie des P2PE Programms, Abgrenzungen zum PCI DSS etc.
  • P2PE Scoping-Workshop: Analyse aller Terminal-Applikationen nach der Notwendigkeit einer P2PE Domain 2 Validierung, Abgrenzung zu den verwendeten Third-Party Service Providern, Dokumentation der relevanten P2PE Requirements etc.
  • Erarbeitung einer Zertifizierungs-Strategie für P2PE Solution Provider: Welche Märkte soll die P2PE Solution bedienen? Welche Leistungen sollen Dritten angeboten werden? Welche Teile (P2PE Applications und/oder P2PE Components) müssen dafür separat beim PCI SSC gelistet werden?
  • Gap-Analyse Workshops: Vorab Prüfung einzelner Teile einer P2PE Solution oder P2PE Component zur Feststellung von Abweichungen zum P2PE. Das Vorgehen zur Erstellung der Gap-Analyse ist identisch zum Vorgehen bei einem realen Audit. Als Ergebnis erhält der Kunde eine detaillierte Liste der identifizierten Abweichungen zum PCI P2PE Standard.
  • Validierung von P2PE Applikationen, P2PE Solutions und P2PE Components.
  • Prüfung und Unterstützung bei Changes an einer validierten P2PE Applikation, P2PE Solution und P2PE Component. Je nach Art der Änderung müssen diese vom P2PE Assessor nachgetestet und offiziell an das PCI SSC kommuniziert werden.
  • Unterstützung bei den jährlichen Interim Assessments, deren Ergebnisse ebenfalls an das PCI SSC gemeldet werden müssen.

SRC ist vom PCI SSC zugelassen als P2PE Assessor Company und verfügt über qualifizierte Mitarbeiter, die sowohl über Erfahrung im Umfeld der Payment Card Industry (PCI) Standards als auch im Umfeld von POS Terminals verfügen. Diese Mitarbeiter haben sowohl die Zulassung zur Durchführung von Solution Assessments (P2PE Assessor) als auch für Application Assessments (P2PE Application Assessor).

Ferner ist SRC weltweit eines von wenigen Unternehmen, die eine Zulassung des PCI SSC für Evaluierungen nach PCI PTS und nach PCI P2PE hat. Da POS Terminals eine zentrale Rolle in jeder P2PE Solution zukommt, kann SRC damit umfassend von der Zulassung von POS Terminals bis zum Einsatz des Terminals in P2PE Solutions und dem Management der Terminals unterstützen und beraten.

Alle Lösungen

Ihr Ansprechpartner

Jana Ehlers

Bereichsleiterin „PCI DSS“

Verwandte Themen

Informieren Sie sich über die Themenfelder, die wir mit unserer Dienstleistung unterstützen.

Alle Themen
PCI DSS – Payment Card Industry Data Security Standard
Mehr erfahren
PCI – PCI Security Standards Council
Mehr erfahren
Ihre Karriere bei SRC - Entdecken Sie Ihre Möglichkeiten!
Studierende & Absolventen
Berufserfahrene
Übersicht
Main Menu
Kontakt
SRC Security Research & Consulting GmbH
Emil-Nolde-Str.7, 53113 Bonn
  • Telefon
  • E-Mail
Linkedin Xing

© Copyright – SRC Security Research & Consulting GmbH

Neue Technologien nutzen.
Mit Sicherheit.

Main Menu
Kontakt
Icon-facebook Icon-twitter Icon-youtube-v Icon-instagram-1