Le
PCI Council a récemment publié une FAQ pour répondre aux questions les plus
fréquentes autour du chiffrement bout en bout P2PE. En effet après la
publication des exigences PCI P2PE en début d’année le PCI SSC se devait de
clarifier et d’expliquer ce sujet qui n’est pas sans impact pour un commerçant.
En synthèse voici quelques une des questions que j’ai pris le soin de commenter :
En synthèse voici quelques une des questions que j’ai pris le soin de commenter :
Qu’est ce qu’une solution de chiffrement bout en
bout P2PE (Point-to-Point Encryption) ?
Une solution de
chiffrement bout en bout P2PE est une combinaison de dispositifs de sécurité,
d’applications et de processus permettant de chiffrer les données du point
d’interaction (ou d’acceptation de la transaction) jusqu'au tiers fournissant le
service et l’environnement de déchiffrement.
Une solution de
chiffrement bout en bout P2PE doit nécessairement inclure les éléments
suivants :
- Un chiffrement robuste et sécurisé des données de paiement par carte au point d’interaction,
- Une application P2PE validée par le PCI SSC installée sur le point d’interaction (il s’agit généralement des applications embarquées dans les terminaux),
- Une gestion sécurisée des dispositifs de chiffrement et de déchiffrement,
- Une gestion de l'environnement de déchiffrement et de l’ensemble des données de paiements déchiffrées,
- L’utilisation de méthodes de chiffrement et de gestion opérationnelle des clés robustes, notamment dans le cadre de la génération, la distribution, le chargement ou l’injection, l’administration et l’utilisation des clés (DUKPT semble faire l’unanimité en terme de gestion des clés pour du P2PE, en revanche la mise en œuvre reste complexe pour les non initiés).
Qu’est ce qu’un fournisseur de solution de
chiffrement bout en bout P2PE ?
Un fournisseur de solution P2PE est une entité tierce (par exemple un
processeur, acquéreur, ou même encore une passerelle de paiement) qui la responsabilité globale de la conception et de la mise en œuvre de la solution, et gère des solutions P2PE pour ses commerçants. Le
fournisseur de la solution doit également veiller à ce que toutes les exigences
P2PE sont remplies, y compris les exigences P2PE effectuées par des organismes
tiers pour le compte du fournisseur (par exemple les autorités de
certification ou les injections de clés dans les dispositifs de sécurité lorsque cela est
applicable).
Qu’est ce que le standard Point-to-Point
Encryption (P2PE) ?
Le standard PCI P2PE est une liste d'exigences de
sécurité associée à des procédures de tests des applications et des solutions P2PE. L'objectif est de s'assurer que les applications et les solutions P2PE peuvent
répondre aux exigences nécessaires à la protection des données de cartes de
paiement.
Est-ce que les commerçants qui utilisent des solutions P2PE sont considérés hors périmètre PCI ?
Les commerçants qui utilisent des solutions P2PE ne sont pas considérés comme hors périmètre
PCI. Cependant l’utilisation de solutions P2PE peut réduire considérablement leur
périmètre, plusieurs éléments sont à prendre en compte notamment la solution
P2PE mise en œuvre et le travail de préparation réalisé en amont.
L'environnement du commerçant reste donc dans le périmètre PCI dans la
mesure où les données porteurs y sont toujours présentes. Dans un
environnement carte présente les commerçants ont un généralement toujours accès physique aux cartes
de paiement afin de compléter une transaction par exemple, ainsi qu'aux tickets commerçants avec le numéro de carte en clair.
Est-ce la version des exigences P2PE est applicable aux commerçants qui ont développé leur propre solution P2PE ?
La version 1.1 du standard P2PE s'applique uniquement aux fournisseurs de solutions
P2PE et non aux commerçants qui ont développé leur propre solution P2PE. Dans ce cadre toutes les opérations de chiffrement et de déchiffrement, ainsi que toutes
les clés sont gérées par un fournisseur de solution tierce.
Cependant le PCI SSC précise que les prochaines phases du standard P2PE traiteront les scénarios où les commerçants géreront leurs propres clés de chiffrement ainsi que leurs données.
Mis à part quelques exception, Je doute que les commercants se soucient de cette problèmatique, refaire une campagne de 10 ans pour remettre les centaines de milliers de terminaux à niveau comme pour le standard EMV, . Sans compter tous les couts à imputer aux banques, aux commercants, aux prestataires de service, constructeurs, va falloir attendre un petit peu, donc si ce n'est pas une contrainte, ca restera marginal pendant un bon moment, peut etre utile pour les nouveau terminaux ip, gprs, mobile.
RépondreSupprimerSurtout qu'il suffit de mettre un lecteur camouflé dans un dac ou un dab pour copier la carte et une micro webcam pour lire le code utilisateur. ou un virus troyen sur un pc ou un mobile avec keylogger/sniffer. il existe déjà pletor de solution de cryptage pour le transport. si je suis un hacker, c'est pas la que j'attaquerai, j'attaquerai à la source à l'acquisition des données avant encodage/crypto, tous les pays ne sont pas hautement sécurisés.
C'est comme pour le scheme européen, remis aux calandres grecques. déjà le standard SEPA,EPAS, ca va pas vite, on entend presque plus parler.
On est pas dans une période ou on peut faire des folies, c'est l'heure de l'austérité et les solution actuelles sont satisfaisante, ca n'empeche pas les prototypes et les workarounds.