这将是一个轻描淡写地说,即将发布的 PCI DSS 版本4在今年的PCI北美社区会议上产生了最大的反响,并成为了最热门的话题. 然而, 委员会还设法推出了即将发布的点对点加密(P2PE)标准版本3.0. 预计将于2019年12月发布,该委员会吹嘘“P2PE v3”.标准和程序已进行了精简,以便为行业利益相关者提供更大程度的灵活性,并改进评估过程.“P2PE是商家中最容易被误解和误用的概念之一, 因此,任何符合标准的新发展都会引起评估人员的注意.
什么是P2PE标准?
建立P2PE标准是为了更好地保护支付数据和, 作为一个额外的好处, 为商家提供减少其合规范围的机会. 通过使用有效的P2PE解决方案, 可以想象,商家可以从范围中除去除了交互点(POI)设备之外的网络环境的每一部分. 注意句子的关键部分是单词validated. 除非解决方案经过了严格的第三方评估过程,并发现符合PCI P2PE标准, 不能利用它来减少遵从性的范围. 商人和, 可悲的是, 解决方案提供者通常会误解这一需求, 将范围缩减应用于未经过正式验证的产品和解决方案. 可以验证POI设备是否符合P2PE解决方案. 这意味着它们可以执行足以满足P2PE解决方案的数据加密. 然而, 除非它们是完整的P2PE解决方案的一部分, 它们本身不能用于缩小范围. 可以将P2PE解决方案视为包含多个组件的打包产品, 包括POI设备, 加密密钥管理服务, 以及支付解密提供商. 为了应用范围缩减,您必须使用包含所有经过验证的组件的包.
P2PE 3发生了什么变化.0?
请记住,新的P2PE v3.0标准的目标是提供P2PE生态系统(P2PE解决方案提供商)的公司, 密钥管理服务提供商, 加密/解密管理提供商),而不是消费这些产品和服务的商家. 如果您是P2PE组件提供商或在商户管理的P2PE环境下的自我认证, 那么这个更新就是给你的. 第一个, 作为修订的一部分, 委员会已经创建了额外的组件供应商子类别,可以根据P2PE标准独立评估. 这将允许P2PE解决方案提供商或自我认证商家采用模块化方法来选择他们编译完整的P2PE解决方案所需的组件. 第二个, 验证报告, 相当于商人的合规报告或自我评估问卷, 都要简化. 这将减少组件和解决方案提供者验证其解决方案的开销.
变更时间线
安理会的P2PE v2清单.经过验证的解决方案提供者和组件提供者将在一段时间内保持有效. 除了, 将有18个月的过渡时间,在此期间解决方案和组件提供商可以根据这两种标准进行验证. 需要再次强调的是,尽管这些发展不会直接影响商家如何实现或使用P2PE解决方案, 他们将有望通过推动创新和降低成本来扩大解决方案组件的市场. 这应该是P2PE解决方案, 而且,它们的范围缩小使各种规模和细分市场的商家更容易获得好处. 如果您正在考虑实现P2PE解决方案, 让LBMC经验丰富的评审员团队在这个过程中指导您. 我们已经用他们的P2PE实现指导了领先的商家, 我们对技术了如指掌.