Les données porteurs peuvent être amenées à traverser plusieurs composants internes (applicatifs, systèmes, réseaux, …) avant d’atteindre l'acquéreur ou le processeur de paiement. Ces modes de fonctionnement ou chiffrement, déchiffrement, re-chiffrement … créés potentiellement des failles prêtes à être exploitées.
Le chiffrement point à point (ou bout en bout) apportent un début de réponse en chiffrant le PAN ainsi que les données porteurs au niveau du point de vente. De l’acceptation de la carte à son traitement le PAN n’est jamais stockée en clair par le commerçant. Cependant le PAN reste une information nécessaire au commerçant, c’est donc là qu’une solution de chiffrement point à point associée à une solution de tokenization prend tout son sens dans le cadre d’un projet de réduction du périmètre PCI DSS.
Au passage bienvenue aux P2PE QSAs et P2PE PA-QSAs, auditeurs agréés par le PCI SSC pour réaliser les audits des solutions P2PE QSAs. Les P2PE PA-QSAs pour faire les audits des applications qu’embarquent ces solutions.
Je vous invite à en prendre connaissance de ces nouvelles exigences et d’identifier comment ces solutions peuvent réduire le périmètre PCI DSS !
Bonjour,
RépondreSupprimerJe découvre votre blog par hasard mais avec beaucoup d’intérêts. J'aimerai pour précision savoir si nous pouvons parler de P2PE comme un programme du PCI de façon à part entière comme le sont PCI DSS, PCI PA-DSS et maintenant PCI PTS?
Merci d'avance.
Julien