联系我们

商业

p2pe-它仍然是早期

发表

阿迪娜艾哈迈德
什么商户和零售商需要知道
 
最近,一组卡支付行业从业者聚集在VENDORCOM特殊兴趣小组会议(SIG),讨论PCI的主题和卡数据的安全。该会议由Anderson Zaksat主持他们的办公室在Bracknell.a专注于点对点加密(P2PE).Anderson Zaks的运营总监的大量辩论中的辩论在这里解释了突出点。阿迪娜艾哈迈德
 
P2PE程序是可选的,为支付解决方案提供商提供全面的安全要求,以验证其基于硬件的解决方案,并可以帮助使用此类解决方案减少中国福利彩票的PCI DSS范围。*
 
这是为了确保从付款点(即您将卡详细信息插入或将卡详细信息插入或提供卡片详细信息)安全地传递卡信息,并且中国福利彩票不会保存卡信息。 即使他们没有拿到这一数据,中国福利彩票仍然必须提供他们遵守PCI标准的证据,但是,P2PE可能会显着降低其持卡人数据环境和年度PCI DSS评估的范围。
 
虽然它已经存在了几年,P2PE仍处于市场采用的早期阶段,以及解决各种要求的不同解决方案仍在发展。 在许多情况下,虽然较大的Tier 1和2位中国福利彩票/零售商与IT部门已经评估了P2PE的好处,但一些较小的中国福利彩票甚至可能无法意识到这种潜在的有利方法。 会议的共识是,P2PE的未来方向不应被视为石头上的铸造,因为目前才会变得充分变得完全明显 - 这两个解决方案供应商和零售商/中国福利彩票 - 评估它们可用的选项。这背景信息,与中国福利彩票和零售商更开放的辩论,了解技术可能采取的方向,并鼓励该技术。
 
讨论期间突出显示的突出点是:
•P2PE不是强制性的
•有不同形式的P2PE
•P2PE的未来方向不一定设置
•中国福利彩票和零售商应该向未来的证明现在进行任何购买
 
P2PE不是强制性的
目前存在潜在的误解,并且P2PE是强制性的事实是其中之一。 银行不坚持P2PE,这意味着中国福利彩票/零售商可以自由选择任何符合其卡处理要求的解决方案,只要它符合PCI DSS。 但是,对于他们选择的任何解决方案,中国福利彩票将是明智的,以确保它是未来的。 由此,我们的意思是其系统的组成部分可以在未来纳入P2PE解决方案。 
 
不同形式的p2pe
目前辩论之一是究竟是中国福利彩票/零售商系统中的“点”,从中需要加密数据。  正如要预期的不同部门,卡支付行业都有不同的情况。 终端制造商正在建设加密进入它们的PinPad,而软件解决方案提供者声称它们的方法是加密或掩盖中国福利彩票系统内的卡数据,并通过限量的细节,因此同样降低中国福利彩票的PCI的范围。 这些可能代表两个极端的意见,并且对于组合两种方法的元件的第三或中间路径,存在增加的地面膨胀。 
 
下图说明了两种方法。第一个图显示了中国福利彩票POS应用程序和支付提供商系统之间进行的加密。 PSP依次与PinPad和主机网关完全加密卡数据的接口。
 
p2pe1
此方法目前在PCI DSS合规性验证下批准。
第二图具有支付终端内的所有加密活动,但仍然将有限的交易数据发送回中国福利彩票POS系统。
p2pe2
该选项对中国福利彩票/零售商的感知利益是他们将大大减少其努力实现和维护PCI DSS遵从性。然而,这对于1级中国福利彩票来说,这实际上只有超过600万卡的中国福利彩票**。
 
两种方法都有好处。 通过在PinPad中具有P2PE,所有内容都是自包含的终端中国福利彩票/零售商提供简单的交钥匙解决方案。通过采用基于软件的方法中国福利彩票/零售商可以混合并匹配其支付硬件并仍然使用相同的支付处理解决方案,从而保持灵活性。
 
P2PE将发展哪个方向?
然而,上述两种方法都有他们的利弊,然而,在市场上没有获得主导地位,这就是为什么P2PE的未来尚未决定。  然而,由于第一代Pinpads到达生命结束并且需要更换,商人和零售商面临着他们必须更换系统的事实–根本没有“不做”选择。这就是为什么Vendorcom的成员建议讨论在所有利益攸关方中继续讨论,包括收购者,解决方案供应商,其他感兴趣的行业协会和标准机构,如付款委员会,EPC和PCI SSC,PSP,QSAS和中国福利彩票/零售商。最终目标是P2PE的发展应提供强大,灵活,未来的证明和市场的同志解决方案。
 
与此同时,我们等待在部署中看到QSA认证的PCI P2PE解决方案。
 
 
 
 
 

编辑&广告商披露

打电话给参赛作品

全球银行业and Finance Review Awards Nominations 2021
2021年奖项现在开放。 点击此处提名

通讯有秘密&分析。现在订阅

通讯有秘密&分析。现在订阅

通讯有秘密&分析。现在订阅