PCI P2PE (Payment Card Industry Point to Point Encryption) to standard bezpieczeństwa opracowany przez PCI Security Standards Council (PCI SSC), który określa wymagania techniczne i proceduralne dla dostawców rozwiązań lub komponentów rozwiązań P2PE.

Rozwiązanie P2PE składa się z terminala płatniczego zainstalowanego w lokalizacji akceptanta, aplikacji płatniczej na tym terminalu oraz środowiska deszyfrowania danych kartowych

Zamów bezpłatną konsultację

Wymogiem formalnym dla każdego rozwiązania P2PE jest stosowanie rozwiązań kryptograficznych (HSM) zgodnych ze standardem PCI PTS HSM lub FIPS 140-2 poziom 3 lub wyższy. Wdrożenie rozwiązania P2PE znacznie ogranicza zakres certyfikacji PCI DSS dla akceptanta, jednak nie zwalnia go z obowiązku spełnienia wymagań PCI DSS.

Jak możemy Ci pomóc?

Jeśli planujesz rozwiązanie, komponent lub aplikację P2PE, możemy pomóc w weryfikacji Twoich założeń, zaproponować odpowiednie rozwiązania, skonsultować i wyjaśnić zapisy standardu.

Posiadamy akredytację P2PE QSA (Qualified Security Assessor) i PA P2PE QSA, co pozwala nam przeprowadzać audyty certyfikujące zgodność z PCI P2PE zarówno dla rozwiązania, komponentu, jak i aplikacji.

Bezpłatna konsultacja

Jak będziemy z Tobą pracować?

Etap 1

Ustalenie rozwiązania
lub komponentu

Każda certyfikacja PCI P2PE rozpoczyna się od ustalenia zakresu rozwiązania. Minimum będzie to lista urządzeń PCI POI, aplikacji płatniczych, środowiska deszyfrowania, lokalizacji urządzeń HSM oraz procesów zarządzania kluczami kryptograficznymi.

Etap 2

Analiza
luk

Ten krok jest opcjonalny i najlepiej sprawdza się przy nowych klientach, którzy nie są pewni, czy są gotowi na audyt certyfikujący. Podczas analizy luk zasymulujemy, jak będzie wyglądał audyt certyfikujący, wskażemy niezgodności oraz obszary do poprawy. Pomogą Ci również nasze sugestie rozwiązań.

Etap 3

Konsulting

Poprowadzimy Cię przez cały proces certyfikacji. Będziesz miał wiele pytań i wątpliwości, a doświadczenie pokazuje, że lepiej jest zapytać doświadczonego partnera niż szukać odpowiedzi na własną rękę.

Etap 4

Audyt
certyfikujący

Audyt może być przeprowadzony zdalnie, na miejscu lub w formie hybrydowej. O dokładnym przebiegu audytu przeczytasz poniżej. Do dwóch tygodni po zakończeniu audytu otrzymasz od nas listę wymaganych dokumentów i dowodów, które będziesz musiał dostarczyć (dokument nazywamy trackerem).

Etap 5

Poprawki i
zbieranie dowodów

Masz do 90 dni na dostarczenie dowodów audytowych lub wdrożenie poprawek po uzyskanych obserwacjach. Im szybciej dostarczysz nam dowody, tym szybciej otrzymasz od nas dokumenty audytowe.

Etap 6

Raportowanie

Na podstawie dostarczonych dowodów i dokumentów przygotujemy raport zgodności. Raport to bardzo szczegółowy dokument, zawierający ponad 200 stron opisu Twojego środowiska kartowego, przygotowywany dla każdej domeny standardu. Dodatkowo przeprowadzimy proces QA przed wydaniem raportu klientowi. Cały proces trwa średnio do miesiąca. Na końcu otrzymasz od nas dokument Atestacji (AOV) do podpisu.

Etap 7

Wysłanie dokumentów
do PCI SSC

Na tym etapie rozwiązanie zostanie wpisane na stronę PCI SSC i poddane przeglądowi przez zespół AQM (Assessor Quality Management). Zespół ten przegląda naszą pracę i zatwierdza rozwiązanie lub zwraca je do nas w przypadku pytań. Proces ten trwa zazwyczaj do 3 miesięcy i jest niezależny od nas. Płatność do PCI SSC jest kluczowa na tym etapie, ponieważ umożliwia rozpoczęcie całego procesu.

Etap 8

Zakończenie

To etap, który lubimy najbardziej. Po zatwierdzeniu rozwiązania otrzymasz podpisany przez PCI SSC dokument AOV (Approval of Validation). Rozwiązanie pojawi się na stronie PCI SSC w ciągu kilku dni, a później otrzymasz od nas certyfikat marketingowy potwierdzający zakończenie procesu.

Wywiady z personelem Przed audytem otrzymasz od nas agendę z tematami, o których będziemy rozmawiać z Twoim personelem lub dostawcami. Celem rozmowy jest lepsze poznanie Twojej organizacji, zakresu obowiązków oraz metod pracy i zarządzania środowiskiem kartowym.

Przegląd konfiguracji Kolejnym krokiem jest weryfikacja konfiguracji Twojego środowiska. Poprosimy pracowników, aby pokazali konfigurację systemów, urządzeń, narzędzi i innych elementów, takich jak systemy kontroli dostępu czy alarmowe. Podczas przeglądu często będziemy prosili o zebranie dowodów audytowych.

Przegląd procesów zarządzania Zajmiemy się również przeglądem procesów, którymi zarządzasz swoim środowiskiem kartowym. Poprosimy o dokumentację, np. raporty zmian, dowody przeglądów logów, dowody przeprowadzonych sesji patchowania itd.

Przegląd dokumentacji Ten krok najczęściej realizujemy zdalnie. Poprosimy Cię o listę dokumentów opisujących Twoje środowisko kartowe, diagramy sieciowe, polityki i procedury. Pamiętaj, że dokumenty muszą być aktualne (tj. data ostatniego przeglądu nie może być starsza niż 12 miesięcy).

Obserwacje i testowanie Niektóre procesy związane z zarządzaniem zgodnością musimy zobaczyć na własne oczy. Będziemy obserwować procesy, takie jak generowanie i dystrybucja kluczy, ładowanie kluczy na terminale, rejestracja aplikacji płatniczych, wizyta w Secure Room itd. Musimy zasymulować procesy, zweryfikować je i potwierdzić ich zgodność z wymaganiami standardu.

Po audycie dostarczymy Ci dokument, który nazywamy trackerem. Zawiera on wszystkie nasze obserwacje, dokumenty i dowody. Po dostarczeniu tych wszystkich elementów zaczniemy przygotowywać raport.

FAQ – Certyfikacja PCI P2PE

Ile trwa proces certyfikacji PCI P2PE? ›

Średnio od 5 do 9 miesięcy, w zależności od złożoności rozwiązania i kompletności dostarczonych dowodów. W tym czasie realizowane są wszystkie etapy – od analizy luk po zatwierdzenie rozwiązania przez PCI SSC. Okres ten obejmuje także czas wymagany przez PCI SSC do akceptacji rozwiązania lub komponentu.

Ile kosztuje wdrożenie lub certyfikacja PCI P2PE? ›

Koszt jest ustalany indywidualnie. Zależy od rozmiaru rozwiązania, liczby urzadzeń POI, liczby komponentów, środowisk kryptograficznych oraz poziomu przygotowania dokumentacji. Szacunkową wycenę przedstawiamy po krótkiej, bezpłatnej konsultacji.

Kiedy można rozpocząć proces certyfikacji? ›

Proces może rozpocząć się natychmiast po ustaleniu zakresu rozwiązania i podpisaniu umowy. Warto jednak wcześniej wykonać analizę luk, która przyspieszy późniejszy audyt certyfikujący.

Jak będzie wyglądała współpraca z Patronusec? ›

Każdy projekt dzielimy na 8 etapów – od ustalenia zakresu rozwiązania, analizy luk i konsultingu, po audyt, raportowanie oraz finalne zatwierdzenie przez PCI SSC. Klient ma stałego konsultanta, który prowadzi go przez każdy krok.

Kiedy otrzymam certyfikat lub wpis na stronie PCI SSC? ›

Po zakończeniu audytu i przygotowaniu raportu, dokumenty trafiają do PCI SSC, gdzie są weryfikowane przez zespół AQM. Sam proces zatwierdzania trwa zwykle od 2 do 3 miesięcy. Po jego zakończeniu rozwiązanie zostaje opublikowane, a Ty otrzymujesz certyfikat AOV i marketingowy.

Czy wdrożenie P2PE zwalnia z obowiązku PCI DSS? ›

Nie, ale znacząco ogranicza jego zakres klientów korzystających z rozwiązania P2PE. Organizacja akceptująca płatności kartowe musi nadal utrzymywać zgodność z PCI DSS, jednak dzięki P2PE audyt obejmuje jedynie ograniczoną liczbę środowisk i systemów, jest tańszy i prostszy.

Jakie korzyści daje certyfikacja P2PE? ›

Certyfikacja weryfikuje bezpieczeństwo rozwiązania płatniczego poprzez zastosowanie silnego szyfrowania od punktu sprzedaży po autoryzację. Dodatkowo buduje zaufanie partnerów i klientów, redukuje ryzyko naruszeń oraz obciążenie regulacyjne z tytułu PCI DSS.

Formularz kontaktowy

Skorzystaj z formularza kontaktowego lub skontaktuj się z nami bezpośrednio.

Patronusec Sp z o. o.

Biuro:
ul. Święty Marcin 29/8
61-806 Poznań, Polska

KRS: 0001039087
REGON: 525433988
NIP: 7831881739
D-U-N-S: 989454390
LEI: 259400NAR8ZOX1O66C64

PCI P2PE

Certyfikacje PCI