Carding 4 Carders
Professional
Независимо от того, являетесь ли вы разработчиком, ищущим интегрированное платежное решение, или владельцем бизнеса, ищущим партнера по обработке кредитных карт, безопасность данных держателей карт должна быть в верхней части вашего контрольного списка. При обработке и хранении данных кредитной карты через терминал стандарты безопасности обработки платежей могут меняться.
Ниже мы сравниваем два действующих стандарта защиты данных держателей карт: двухточечное шифрование и облачная токенизация.
Облачная токенизация удаляет данные карты и заменяет их строкой символов, известной как токен, которая не имеет ценности в случае нарушения. В облако передается токен, а не необработанные данные.
Только система токенизации распознает истинное значение токена и отвечает на запросы о взаимодействии с токеном при обработке транзакции. Системы токенизации кредитных карт также управляются сторонней организацией, такой как платежный процессор или платежный шлюз, а не поставщиком торговых счетов.
Необработанные данные карты могут быть обнаружены с помощью правильного ключа или расшифровки методом перебора. По мере того, как компьютеры становятся быстрее, атаки методом грубой силы становятся все более эффективными. В 2010 году исследователь безопасности смог взломать алгоритм шифрования менее чем за час. Если хакер проникнет и украдет ваши зашифрованные данные, насколько сложнее ему будет получить ключ, пока он находится в нем? Сильнейшее шифрование не защитит ваш бизнес в случае кражи данных, а в случае компрометации следует провести большую очистку.
Токенизация более безопасна, потому что данные удаляются на терминале, а не зашифровываются, прежде чем они будут переданы в облако. Даже если токен взломан, он не имеет отношения к данным карты.
Хотя двухточечное шифрование (P2PE) не дает бизнесу, выполняющему транзакции, доступ к секретному ключу, данные карты часто хранятся во внутренней сети компании. Это помещает бизнес в рамки PCI. Данные токенизированных карт хранятся только на серверах провайдера, что исключает внутреннюю сеть компании из сферы действия PCI. И компания, и поставщик не могут получить доступ к необработанным данным карты.
Рассмотрим сценарий, в котором используется интегрированное программное обеспечение, такое как система торговых точек. Если он интегрирован с проверенным поставщиком двухточечного шифрования, поставщик программного обеспечения также входит в сферу действия PCI. Однако при использовании платежного API с облачной токенизацией программное обеспечение остается за рамками PCI.
Проще говоря, двухточечное шифрование ограничивает область действия PCI, тогда как правильно выполненная токенизация может устранить его.
Ниже мы сравниваем два действующих стандарта защиты данных держателей карт: двухточечное шифрование и облачная токенизация.
Двухточечное шифрования против облачной токенизации
Двухточечное шифрование (P2PE) шифрует данные из точки A, когда карта протягивается или погружается в терминал, до тех пор, пока она не достигнет точки B, безопасной среды дешифрования провайдера. Когда данные зашифрованы, они замаскированы. Для его декодирования обычно требуется правильный ключ. Безопасная среда управляется поставщиком решения P2PE, который является «… сторонней организацией (например, процессором, эквайером или платежным шлюзом), которая несет общую ответственность за разработку и внедрение конкретного решения P2PE», согласно Совету по стандартам безопасности PCI.Облачная токенизация удаляет данные карты и заменяет их строкой символов, известной как токен, которая не имеет ценности в случае нарушения. В облако передается токен, а не необработанные данные.
Только система токенизации распознает истинное значение токена и отвечает на запросы о взаимодействии с токеном при обработке транзакции. Системы токенизации кредитных карт также управляются сторонней организацией, такой как платежный процессор или платежный шлюз, а не поставщиком торговых счетов.
Что лучше?
Двухточечное шифрование получает знак одобрения с проверкой PCI, однако это по-прежнему означает, что есть две конечные точки, подверженные уязвимости. Использование этой формы безопасности обработки платежей более рискованно, чем токенизация кредитной карты, потому что она обратима - данные можно вернуть в исходную форму. Как?Необработанные данные карты могут быть обнаружены с помощью правильного ключа или расшифровки методом перебора. По мере того, как компьютеры становятся быстрее, атаки методом грубой силы становятся все более эффективными. В 2010 году исследователь безопасности смог взломать алгоритм шифрования менее чем за час. Если хакер проникнет и украдет ваши зашифрованные данные, насколько сложнее ему будет получить ключ, пока он находится в нем? Сильнейшее шифрование не защитит ваш бизнес в случае кражи данных, а в случае компрометации следует провести большую очистку.
Токенизация более безопасна, потому что данные удаляются на терминале, а не зашифровываются, прежде чем они будут переданы в облако. Даже если токен взломан, он не имеет отношения к данным карты.
Хотя двухточечное шифрование (P2PE) не дает бизнесу, выполняющему транзакции, доступ к секретному ключу, данные карты часто хранятся во внутренней сети компании. Это помещает бизнес в рамки PCI. Данные токенизированных карт хранятся только на серверах провайдера, что исключает внутреннюю сеть компании из сферы действия PCI. И компания, и поставщик не могут получить доступ к необработанным данным карты.
Рассмотрим сценарий, в котором используется интегрированное программное обеспечение, такое как система торговых точек. Если он интегрирован с проверенным поставщиком двухточечного шифрования, поставщик программного обеспечения также входит в сферу действия PCI. Однако при использовании платежного API с облачной токенизацией программное обеспечение остается за рамками PCI.
Проще говоря, двухточечное шифрование ограничивает область действия PCI, тогда как правильно выполненная токенизация может устранить его.
Умный терминал PayJunction
Умный терминал использует облачную токенизацию для защиты данных держателей карт и имеет сертификат EMV уровня 3; он имеет высочайший уровень безопасности для всех типов платежей. Интеграция со смарт-терминалом позволяет вашему программному обеспечению обходить как аудиты PCI, так и тестирование на соответствие требованиям EMV. Как разработчик, отказ от области применения программного обеспечения дает вам два преимущества: это экономит время, необходимое для ежеквартальных и ежегодных аудитов PCI, а также затраты на сертификацию.
Last edited by a moderator:
