P2PE
P2PE (Point-to-Point Encryption, сквозное шифрование данных) — это технология защиты данных платежных карт, при которой информация о держателе карты (номер PAN, срок действия, код CVV2/CVC2) шифруется непосредственно на устройстве считывания (PIN-пад, POS-терминал) и остается в зашифрованном виде на всем пути до точки дешифрования, расположенной в безопасной среде процессингового центра. Основная цель P2PE — минимизировать риски компрометации данных в случае взлома торгового оборудования или сетей передачи данных, исключая возможность доступа к открытым данным со стороны торгово-сервисного предприятия (ТСП), хакеров или неавторизованных лиц.
История и предпосылки появления
Технология P2PE возникла как ответ на рост числа утечек данных платежных карт в 2000-х годах. Крупные инциденты (например, взломы систем Target, Home Depot, TJX Companies) показали, что даже при соблюдении стандарта безопасности индустрии платежных карт (PCI DSS) данные карт могут быть перехвачены на стороне продавца или в каналах связи. В 2009 году Совет по стандартам безопасности индустрии платежных карт (PCI SSC) опубликовал первую версию стандарта PCI P2PE (Point-to-Point Encryption Security Requirements and Testing Procedures). Этот стандарт определил требования к аппаратным и программным компонентам систем P2PE, а также к процедурам управления ключами шифрования.
Принцип работы
Шифрование на точке входа
Процесс начинается в момент считывания карты. Специализированное устройство (PIN-пад, POS-терминал с поддержкой P2PE) генерирует уникальный сеансовый ключ и шифрует данные карты с помощью симметричного алгоритма (например, AES-256). Ключ шифрования никогда не покидает защищенную область устройства. Важно, что в момент шифрования данные уже недоступны для программного обеспечения терминала или торговой системы — они передаются в зашифрованном виде.
Передача и маршрутизация
Зашифрованные данные передаются через сеть ТСП (локальную, Wi-Fi, Ethernet) к платежному шлюзу или непосредственно в процессинговый центр. На этом этапе данные остаются зашифрованными, и даже если злоумышленник перехватит трафик, он получит только нечитаемый блок данных. Для обеспечения целостности передаваемой информации могут использоваться дополнительные механизмы, такие как HMAC (код аутентичности сообщения).
Дешифрование в безопасной среде
Единственная точка, где происходит дешифрование, — это аппаратный модуль безопасности (HSM) в центре обработки данных процессинговой компании или платежной системы. HSM хранит мастер-ключи, с помощью которых расшифровываются сеансовые ключи, а затем и сами данные карты. После дешифрования данные передаются в платежную систему для авторизации транзакции. Все операции с ключами и дешифрованием строго аудируются.
Компоненты системы P2PE
Стандарт PCI P2PE выделяет несколько ключевых компонентов:
- Устройство считывания (P2PE Device) — сертифицированное PCI SSC устройство, которое выполняет шифрование. Оно должно быть защищено от физического взлома (тампер-защита) и иметь встроенное управление ключами.
- Приложение для шифрования (P2PE Application) — программное обеспечение, которое управляет процессом шифрования на устройстве. Оно должно быть изолировано от других приложений терминала.
- Модуль управления ключами (P2PE Key Management) — процедуры и системы для генерации, хранения, распространения и уничтожения ключей шифрования. Ключи делятся на мастер-ключи (хранятся в HSM) и сеансовые ключи (генерируются для каждой транзакции или группы транзакций).
- Модуль дешифрования (P2PE Decryption Environment) — безопасная среда (обычно HSM), в которой происходит расшифровка данных. Доступ к ней строго ограничен.
Виды и реализации P2PE
По области применения
- Локальное P2PE — шифрование происходит на терминале, который подключен к кассовому ПО через проводной интерфейс (USB, RS-232). Данные передаются в зашифрованном виде через кассу.
- Сетевое P2PE — терминал подключается к сети напрямую (через Ethernet или Wi-Fi) и передает зашифрованные данные сразу на платежный шлюз, минуя кассовое ПО.
- Мобильное P2PE — используется в мобильных терминалах (mPOS). Шифрование выполняется на небольшом устройстве, подключаемом к смартфону или планшету через Bluetooth или аудиоразъем.
По типу сертификации
- P2PE Validated — полное соответствие требованиям PCI P2PE. Решение сертифицировано PCI SSC как единый комплекс (устройство, приложение, процедуры). Это обеспечивает максимальное сокращение области аудита PCI DSS для ТСП.
- P2PE Component — сертифицированы только отдельные компоненты (например, только устройство или только приложение). Такие решения не дают полного сокращения области аудита, но повышают безопасность.
Преимущества и ограничения
Преимущества
- Снижение рисков утечек — данные карт недоступны для злоумышленников даже при взломе сетей или кассовых систем.
- Упрощение аудита PCI DSS — при использовании сертифицированного P2PE-решения область аудита для ТСП значительно сокращается. Продавец может не проходить проверки по многим требованиям, связанным с хранением и передачей данных карт.
- Защита от внутренних угроз — сотрудники ТСП не имеют доступа к открытым данным карт.
- Соответствие требованиям платежных систем — многие платежные системы (Visa, Mastercard) стимулируют внедрение P2PE, снижая комиссии или предоставляя льготы.
Ограничения
- Стоимость внедрения — P2PE-терминалы и HSM дороже обычных. Также требуются затраты на сертификацию и обслуживание.
- Зависимость от вендора — решение привязано к конкретному производителю устройств и процессинговому центру. Смена поставщика может потребовать замены оборудования.
- Ограниченная функциональность — некоторые функции (например, частичный возврат средств, работа с предоплаченными картами) могут быть недоступны или требовать дополнительных настроек.
- Не защищает от всех угроз — P2PE не защищает от атак на уровне приложений (например, от перехвата данных после дешифрования в процессинговом центре) и от физического доступа к терминалу до момента шифрования.
P2PE в России
В России технология P2PE активно внедряется с середины 2010-х годов. Основными драйверами стали требования Национальной системы платежных карт (НСПК) и крупнейших банков. Российские процессинговые центры (например, «Платежный сервис», «Юнистрим», «Банк Русский Стандарт») предлагают сертифицированные P2PE-решения.
Особенностью российского рынка является необходимость соответствия требованиям Федерального закона № 152-ФЗ «О персональных данных» и стандартам Банка России. P2PE помогает банкам и торговым предприятиям соблюдать требования к обработке данных платежных карт, особенно в части минимизации объема хранимых и передаваемых персональных данных. Однако полная сертификация по PCI P2PE в России встречается реже, чем в Европе и США, из-за высокой стоимости и сложности процедур.
Критика и альтернативы
Основная критика P2PE связана с тем, что технология не решает проблему безопасности на всех этапах обработки транзакции. Например, данные могут быть скомпрометированы до момента шифрования (при вводе PIN-кода на несертифицированном устройстве) или после дешифрования в процессинговом центре. Кроме того, P2PE не защищает от атак, направленных на кражу самих ключей шифрования.
Альтернативами P2PE являются:
- Токенизация — замена номера карты на уникальный токен, который не имеет ценности для злоумышленников. Токенизация часто используется совместно с P2PE.
- EMV-чипы — обеспечивают защиту на уровне карты, но не защищают данные в сети.
- 3-D Secure — протокол аутентификации держателя карты, не связанный с шифрованием данных.
Источники
- PCI Security Standards Council. Point-to-Point Encryption (P2PE) Security Requirements and Testing Procedures. Version 3.0.
- Visa Inc. Visa Data Security Program – P2PE Guide.
- Mastercard Worldwide. Mastercard P2PE Program Requirements.
- Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных».
- Положение Банка России № 682-П «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств».
BFOmetr — база данных и аналитика по компаниям России.
На главную BFOmetr →