Der Point-to-Point Encryption Standard (PCI P2PE) ist der jüngste der PCI Standards. Er wurde 2012 aus der Taufe gehoben, um vor allem Händlern mit einem weit verzweigten Filialnetz den Weg zu einer erfolgreichen PCI DSS Zertifizierung durch den Einsatz einer PCI P2PE-Lösung eines Service Providers zu erleichtern. Der Standard stellt sicher, dass Kartendaten vom Eingabepunkt (typischerweise eines POS-Terminals) bis zum Endpunkt (dem Service Provider oder Netzbetreiber) so verschlüsselt werden, dass die Übertragungswege und die dazwischen geschalteten Komponenten auf Seiten des Händlers für PCI keine weitere Rolle spielen.
Der Betreiber der PCI P2PE-Lösung nennt sich Solution Provider. Er ist für die ordnungsgemäße Funktion und die Abnahme der Gesamtlösung verantwortlich. Er sorgt an dezentraler Seite dafür, dass die richtigen POS-Terminals im Feld gemäß den Abnahmekriterien gemanagt werden. Auf zentraler Seite stellt er sicher, dass der Betreiberrechner mit den richtigen Hardware Security Modulen ausgestattet ist, um eine Entschlüsselung der Daten zu gewährleisten.
Um PCI P2PE Solution Provider werden zu können, muss zunächst eine PCI DSS Zertifizierung als Grundvoraussetzung vorliegen. Darüber hinaus müssen die Applikationen, die auf den POS Terminals eingesetzt werden, gemäß PA-P2PE abgenommen werden. Die Thematik ist relativ komplex und die Zertifizierungsschritte sind ineinander verwoben.
Um hier eine erfolgreiche Zertifizierung zu erreichen, beraten wir Sie gerne im Vorfeld und führen mit Ihnen die P2PE Zertifizierung durch. Es ist bei diesem Standard enorm wichtig, die einzelnen Schritte der P2PE Zertifizierung im Vorfeld sehr detailliert zu planen und alle Beteiligten (Terminalhersteller, Softwarehersteller, Certification Authority, Field-Service) von Anfang an in das Projekt einzubinden. Welche Schritte sollten wann und wie erfolgen? Welche Zertifizierungen sind wie und wann durchzuführen? Was sind günstige Rahmenbedingungen für eine erfolgreiche PCI P2PE-Zertifizierung? Alle Antworten auf diese Fragen werden Sie nicht in einem Dokument finden, da die Lösungen so individuell wie Ihr Unternehmen sind. Mit unseren Erfahrungen in solchen P2PE-Projekten stehen wir Ihnen gerne als Partner zur Verfügung und begleiten Sie bis zur Zertifizierung.