PCI P2PE与E2EE加密技术解析——范围界定与合规指南

本文深入解析PCI P2PE与E2EE加密技术的本质区别,详细说明P2PE验证解决方案如何显著减少PCI DSS合规要求,以及E2EE方案在实际应用中的局限性和挑战。

PCI P2PE vs. E2EE – Scoping it Out

什么是P2PE项目?

P2PE标准定义了支付终端如何与处理器通信,包括加密过程和加密密钥管理过程。其目的是确保输入终端的支付卡账户数据立即被加密,且只有处理器能够解密卡数据,无论商户网络是否遭受入侵。理论上,P2PE终端面临的唯一重大威胁是物理篡改,例如安装侧录设备或未经授权用攻击者的终端替换终端。

PCI安全标准委员会(PCI SSC)发布的官方P2PE项目包括:

  • 定义处理器必须如何设计P2PE解决方案的标准
  • 验证程序,以便独立评估处理器的P2PE解决方案是否符合P2PE标准
  • 列出已验证P2PE解决方案的页面
  • 商户自评估问卷(SAQ),仅包含适用于已验证并列出的P2PE解决方案的PCI DSS要求

商户也可以创建自己管理的P2PE解决方案,但这很罕见。大多数P2PE解决方案由处理器创建、管理和验证。

P2PE标准独立于并建立在PCI PIN交易安全(PTS)交互点(POI)支付终端硬件标准之上。使用PTS验证的硬件不会带来任何PCI DSS合规范围或要求适用性方面的好处,但PTS验证的终端是P2PE解决方案的先决条件,并且无论是否使用P2PE解决方案,收单银行通常都要求使用PTS验证的终端。

已验证P2PE解决方案的好处

更少的适用PCI DSS要求

商户不需要使用P2PE解决方案,但使用已验证P2PE解决方案的商户可以满足SAQ P2PE的资格标准,该问卷仅包含15项适用要求(如果商户处理纸质记录,则另有6项附加要求,但这很罕见)。必须完成合规报告(ROC)但原本符合SAQ P2PE资格的商户也能受益,因为他们可以使用SAQ来确定ROC中要求的适用性,如PCI FAQ 1331所述。

对于非P2PE的互联网连接支付终端解决方案,商户可以使用的最小SAQ是SAQ B-IP,它包含37项适用要求(纸质记录另有15项),相对于SAQ P2PE,合规工作量增加了一倍多。SAQ B-IP还要求将支付终端与商户环境中的其他系统隔离(即网络分段),而SAQ P2PE则不需要。

与SAQ B-IP相比,SAQ P2PE中的适用要求(不包括纸质记录的要求)涉及:

  • 保护终端免受物理篡改和替换
  • 安全意识培训,包括篡改意识以及怀疑篡改时应采取的措施
  • 管理与第三方服务提供商的关系
  • 维护事件响应计划

SAQ B-IP包括SAQ P2PE中的所有要求,但增加了以下相关要求:

  • 保护支付终端的防火墙规则集
  • 传输支付卡账户数据的加密
  • 保护支付终端的防火墙的配置和漏洞管理
  • 限制用户访问并实施适当的识别和认证流程以访问支付终端和/或保护它们的防火墙
  • 包含支付终端的设施的物理安全
  • 内部渗透测试以确认支付终端的隔离和外部漏洞扫描

不符合SAQ P2PE或SAQ B-IP资格的商户需要使用SAQ D商户,其中包含所有234项可能适用于商户的PCI DSS要求,是SAQ P2PE中要求数量的15倍多。虽然其中许多要求可能不适用于简单的支付终端环境,但每个不适用的要求都需要在SAQ的附录C中单独记录和证明。此外,虽然使用SAQ D商户不需要隔离支付终端,但商户环境中未与支付终端隔离的任何设备也在PCI DSS合规范围内。

消除验证和报告要求

使用P2PE解决方案的另一个优势是有可能符合消除PCI DSS验证义务的项目。符合资格的商户仍需要遵守上述P2PE解决方案的PCI DSS要求(除非他们只接受万事达卡,在这种情况下也不需要PCI DSS合规),但不再需要完成年度SAQ或ROC。

每个卡品牌都有自己的略有不同的项目,但一个共同主题是至少75%的交易必须通过已验证并列出的P2PE解决方案才能符合资格。更多关于每个项目的信息可以在以下链接找到:

  • Visa技术创新项目(TIP)
  • 万事达卡合规与验证豁免项目(C-VEP)
  • 美国运通安全技术增强项目(STEP)

符合使用SAQ P2PE的资格

使用P2PE验证解决方案的商户需要确认他们满足SAQ P2PE第iii页的资格标准。请注意,服务提供商永远不能使用SAQ P2PE(或除D服务提供商外的任何SAQ),并且SAQ P2PE不能用于电子商务支付渠道。截至本文撰写时,SAQ P2PE的资格标准如下:

  • 所有支付处理均通过已验证的PCI列出的P2PE解决方案;
  • 商户环境中存储、处理或传输账户数据的唯一系统是来自已验证PCI列出的P2PE解决方案的支付终端;
  • 商户不以其他方式电子方式接收、传输或存储账户数据。
  • 商户可能保留的任何账户数据均在纸质上(例如打印的报告或收据),并且这些文档不是电子方式接收的;以及
  • 商户已实施P2PE解决方案提供商提供的P2PE指令手册(PIM)中的所有控制措施。

商户在这些标准方面面临的常见挑战包括:

  • 商户尝试使用SAQ P2PE,但使用的解决方案不是P2PE验证并列出的,通常是:
    • E2EE品牌解决方案
    • 验证已过期的P2PE解决方案,根据PCI FAQ 1483不再被视为已验证
  • 在P2PE终端解决方案之外电子方式接收、传输或存储账户数据:
    • 根据PCI FAQ 1153,VoIP流量与任何其他包含卡账户数据的IP网络流量一样在PCI DSS范围内,因此使用P2PE终端作为呼叫中心一部分并通过VoIP呼叫接收支付卡账户数据的商户在P2PE解决方案之外电子方式接收账户数据。
    • 已知至少一家主要处理器曾将CVV码从处理器环境发送回商户环境,导致额外的商户系统在P2PE解决方案之外电子方式接收账户数据。
  • 许多商户似乎不知道PIM,也没有遵循它。

获取P2PE解决方案

对SAQ P2PE的范围和要求适用性减少好处感兴趣的商户应联系他们的处理器,查看是否有可用的P2PE解决方案(以及他们是否已经在使用它)。P2PE解决方案通常需要额外费用,但相对于其他更长的SAQ,维护和评估合规性所需的工作量减少可能会多次抵消这一成本。

商户也可以在已验证P2PE解决方案列表中搜索他们的处理器,但处理器出现在此列表中并不意味着商户正在使用的支付解决方案是已验证的解决方案,即使商户正在使用的支付终端作为该解决方案的一部分受支持。商户仍需确认他们使用的解决方案是P2PE验证的解决方案。

许多不提供P2PE解决方案的处理器会转而推荐他们的E2EE解决方案,并可能声称“不需要P2PE”。虽然PCI DSS确实不要求P2PE,但如下所述,E2EE解决方案几乎总是给商户带来比P2PE解决方案更高的PCI DSS合规负担。认为自己正在使用P2PE解决方案的商户应始终要求提供P2PE参考编号,以确认他们正在使用已验证的P2PE解决方案。该编号分配给所有合法的已验证P2PE解决方案,并可以在已验证P2PE解决方案列表中查找。

如果商户的处理器没有可用的P2PE解决方案,商户需要更换处理器以获取P2PE解决方案。不幸的是,这可能需要更换支付终端,因为P2PE解决方案的关键部分是在终端发送给商户之前设置和加载加密密钥的过程。

E2EE的挑战

与P2PE的关系

E2EE不是官方的PCI术语,E2EE品牌与官方PCI P2PE项目品牌之间的相似性导致商户产生了很多混淆。E2EE是许多处理器在拥有不符合P2PE标准的解决方案,或者拥有他们认为符合标准但不想经过P2PE验证过程的解决方案时似乎使用的术语。无论哪种方式,这种缺乏验证的情况对使用E2EE解决方案的商户的PCI DSS合规项目产生了负面影响。

如上所述并在PCI FAQ 1247中所述,商户只有在满足资格标准(包括使用已验证的P2PE解决方案)时才能使用较短的SAQ P2PE。由于E2EE解决方案未经验证,使用它们的商户不符合使用SAQ P2PE的资格,必须使用包含更多商户可能未预期的要求之一的较长SAQ。无论处理器对他们惊人的加密技术多么热情,这都适用:因为解决方案未针对P2PE标准进行验证,QSA无法知道解决方案是否按预期工作,并且根据PCI FAQ 1246,QSA不能针对P2PE标准评估解决方案。

E2EE范围和要求适用性

许多商户认为使用加密应该减少PCI DSS范围或适用要求的数量,但支付终端传输支付卡账户数据的加密实际上是范围内设备的一项要求(PCI DSS v4.0.1要求4.2.1),而不是自动减少范围的方法(根据PCI FAQ 1086和PCI DSS要求和测试程序第4节的“加密持卡人数据及其对PCI DSS范围的影响”小节)。P2PE验证是一个特殊情况,其中范围可以减少,因为加密过程(包括密钥管理)已经过验证符合定义的标准。

使用E2EE解决方案的商户如果满足资格标准(包括将支付终端与商户环境中的其他系统隔离(通常通过网络分段)),可能符合SAQ B-IP的资格(相对于P2PE解决方案,适用要求增加一倍)。选择不隔离其支付终端或无法满足SAQ B-IP资格标准的商户将面临SAQ D商户的全部234项要求,适用于所有未与支付终端隔离的设备。这在上面“已验证P2PE解决方案的好处”下有更详细的描述。

特殊例外

对于E2EE,还有另一种潜在范围和要求适用性减少的途径:根据PCI FAQ 1162,使用未在PCI SSC网站上验证和列出的加密解决方案的商户可以联系他们的收单银行(对于Visa和万事达卡)和/或相关卡品牌(对于他们接受的其他支付卡)以确定他们将允许哪组要求。一些收单银行将允许使用特定E2EE解决方案的商户使用SAQ P2PE。更常见的是,商户被要求遵循某个版本的SAQ B-IP,其中一些要求被预先标记为不适用。

在获得收单银行和卡品牌许可使用比官方适用的PCI DSS要求减少的要求集方面存在注意事项:

  • 所有相关收单银行和卡品牌都需要就适用要求达成一致。收单银行(对于Visa和万事达卡)在这方面通常比卡品牌更宽松,特别是如果收单银行也提供E2EE解决方案,因此只接受Visa和万事达卡的商户可能在这种方法上取得更好的结果,而接受其他卡的商户可能会发现他们只能使用SAQ B-IP或D。
  • 收单银行和卡品牌可能会在商户可以使用减少的PCI DSS要求集之前引入超出PCI DSS的额外先决条件,这增加了合规负担。收单银行和卡品牌可能随时更改这些先决条件,导致合规项目出现意外中断。
  • 收单银行和卡品牌可能随时撤销他们使用减少的PCI DSS要求集的授权,使商户匆忙实施他们曾被豁免的额外PCI DSS控制措施。

管理E2EE解决方案

不幸的现实是,E2EE品牌不过是营销炒作,E2EE品牌解决方案通常不会以任何有意义的方式减少PCI DSS合规工作量。

使用E2EE解决方案的商户应准备满足SAQ B-IP的资格标准和要求,或者如果无法满足SAQ B-IP资格标准,则满足SAQ D商户的要求。这包括已获得收单银行和卡品牌许可实施减少要求集的商户,因为这种许可未来有被撤销的风险。

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次