Point-to-Point-versleuteling (P2PE)
Wat is point-to-point-versleuteling (P2PE)?
Point-to-point-codering (P2PE) is een technologiestandaard die is ontwikkeld om elektronische financiële transacties te beveiligen. Door deze richtlijnen te volgen, kunnen ontwikkelaars van software en hardware die betrokken zijn bij het elektronische betalingsnetwerk ervoor zorgen dat hun ontwerpen onderling compatibel en veerkrachtig zijn tegen mogelijke aanvallen van hackers.
Belangrijkste leerpunten
- P2PE is een technologiestandaard die is ontworpen om de veiligheid van elektronische financiële transacties te waarborgen.
- Het is ontwikkeld door een consortium van grote betalingsverwerkende bedrijven.
- De P2PE-normen blijven evolueren naarmate nieuwe technologieën beschikbaar komen.
Hoe Point-to-Point-versleuteling (P2PE) werkt
De P2PE-standaarden zijn ontwikkeld door de PCI Security Standards Council, een consortium van grote bedrijven die betrokken zijn bij het elektronische betalingsnetwerk. Het kerndoel van deze organisatie is het faciliteren van het steeds wijdverbreide gebruik van elektronische betalingen, die de afgelopen jaren jaarlijks tot enkele triljoenen dollars zijn gegroeid.1
Een van de belangrijkste factoren die nodig zijn om deze groei te ondersteunen, is het bestaan van robuuste beveiligingsmaatregelen ter bescherming tegen hackers. Immers, aangezien consumenten en handelaren steeds vaker online transacties uitvoeren, worden deze elektronische betalingen een steeds verleidelijker doelwit voor hackers. Betalingsverwerkers en andere belanghebbenden moeten daarom hun systemen continu onderhouden en verbeteren om potentiële dieven een stap voor te blijven.
Volgens de P2PE-normen worden transactiegegevens volledig gecodeerd vanaf het moment dat de klant zijn gegevens invoert tot het punt waarop die informatie wordt verzonden naar de betalingsverwerker. Na ontvangst decodeert de betalingsverwerker de gegevens en keurt of weigert de transactie.
Omdat de transactiegegevens gedurende het hele proces volledig versleuteld zijn, zijn ze niet kwetsbaar voor onderschepping en misbruik door onbevoegde derden. Zelfs als een hacker een bepaalde transactie zou onderscheppen, zou de verkregen informatie niet te ontcijferen zijn, aangezien deze nog steeds in zijn gecodeerde vorm zou zijn. Om de informatie te ontsleutelen, moet de gebruiker over de versleutelingssleutels beschikken, die alleen ter beschikking worden gesteld aan geautoriseerde partijen.
Voorbeeld uit de praktijk van Point-to-Point-versleuteling (P2PE)
Het staat individuele bedrijven vrij om nieuwe producten en diensten te ontwikkelen die in wisselwerking staan met het ecosysteem voor elektronische betalingen. Om ervoor te zorgen dat die bedrijven P2PE-conformiteit bereiken, moeten ze echter aantonen dat hun nieuwe aanbod de P2PE-normen handhaaft of overtreft. In de praktijk betekent dit dat ze ervoor moeten zorgen dat alle transactie-informatie volledig gecodeerd is, dat alle hardware die bij het aanbod betrokken is, veilig wordt beheerd en dat alle cryptografische sleutels die in het proces worden gebruikt, veilig worden gegenereerd, verzonden en opgeslagen.
Om degenen die betrokken zijn bij de financiële transactie-industrie te helpen op de hoogte te blijven van wijzigingen in deze normen, houdt de PCI Security Standards Council regelmatig evenementen en communicatie. Historisch gezien werd dit bestuursorgaan opgericht door grote betalingsmerken, waaronder American Express (AXP ), Discover Financial Services (DFS ), MasterCard (MA ) en Visa (V ). De handhaving van de naleving van de P2PE-normen is echter de verantwoordelijkheid van de individuele bedrijven die producten en diensten aanbieden die deze normen gebruiken, en niet de verantwoordelijkheid van de raad van bestuur zelf.