点对点加密 (P2PE) 是一种支付安全框架,它在数据接触任何商家的软件、网络或服务器之前,在读卡器内部对持卡人数据进行加密。P2PE 还会保持数据加密,直到其到达支付服务商的解密环境。它是缩小支付卡行业数据安全标准 (PCI DSS) 合规范围的基本要素,也是区分处理明文银行卡数据的商家环境与完全接触不到这些数据的商家环境的标准。
在加密方面,商家的风险很高。2025 年全球数据泄露的平均成本达到 440 万美元\。将持卡人数据保留在商家系统之外可降低泄露风险和潜在的责任。下面,我们将从技术层面探讨 P2PE 的工作原理,它与令牌化和一般加密有何不同,以及经过验证的实施需要什么。
要点
P2PE 在捕获点对持卡人数据进行加密,并且仅在支付服务商的基础设施内对其进行解密,因此商家的环境中绝不存在明文银行卡数据。
使用经过 PCI 验证的 P2PE 解决方案的商家通常有资格使用点对点加密自我评估问卷 (SAQ P2PE),这是一项更简短的合规评估。
P2PE 和令牌化解决不同的问题:P2PE 在捕获和传输时保护数据,而令牌化用替代值替换已存储的银行卡数据以供将来使用。
什么是点对点加密 (P2PE)?
P2PE 是一种支付安全标准,它在银行卡与读卡器交互的瞬间对持卡人数据进行加密。它发生在数据接触商家的软件或网络之前,并保持数据加密,直到它到达由支付服务商控制的安全解密环境。持卡人的主账号 (PAN) 和其他敏感数据绝不会在商家环境中的任何地方以可读形式暴露。
点对点加密 (P2PE) 在交易中如何运作?
当客户在经过认证的读卡器上拍卡、插卡或刷卡时就会发生 P2PE,读卡器在输出任何内容之前会在内部对数据进行加密。读取银行卡的瞬间,设备的安全加密模块会使用在制造期间或通过受控密钥注入流程注入的密钥对其进行加密。设备可以使用此密钥加密数据,但不能对其进行解密。解密需要一个仅由支付服务商持有的单独密钥。
加密的有效负载称为密文。它离开设备,穿过商家的销售点 (POS) 系统和网络,并穿过商家的软件和基础设施,但这些基础设施都无法读取它。密文到达支付服务商的安全解密环境,私钥在那里检索 PAN 并且交易得到处理。
商家的 POS 软件、网络交换机和服务器仅处理密文。该环境遭到破坏(例如受到攻击的服务器、恶意内部人员或网络入侵)不会产生任何可用信息,因为银行卡数据从未以可读形式出现过。
经过 PCI 验证和未经验证的点对点加密 (P2PE) 有何区别?
PCI 安全标准委员会维护着一份经过验证的 P2PE 解决方案的正式列表。它的工作原理如下。
经过 PCI 验证的 P2PE
只有在独立评估员审查了完整的堆栈(包括硬件、密钥管理、解密环境和运营控制)之后,解决方案才能获得此称号。该评估非常详尽,PCI 安全标准委员会在一个公开列表中发布经过验证的解决方案,供商家及其合格安全评估员 (QSA) 参考,QSA 是授权验证商家是否遵守 PCI DSS 的数据安全专家。
自我评估问卷 (SAQ) 的影响
正确使用经过验证的解决方案且没有其他银行卡数据存储的商家通常有资格完成 SAQ P2PE,该问卷包含 30 多个问题。SAQ D 是许多没有经过验证的 P2PE 的有卡 (CP) 环境的默认问卷,可能超过 300 个问题。
未经验证的 P2PE
这些实现遵循相同的总体概念:在捕获时加密并在商家环境之外解密,独立于 PCI 安全标准委员会的正式评估流程。在 PCI DSS 下,它们不附带自动缩小范围的优势。
未经验证的范围风险
使用未经验证的解决方案,商家可能仍会以缩小范围为由进行辩护,但他们需要在评估期间亲自证明控制措施,并且其收单行或 QSA 可能不接受该辩护。
为什么点对点加密 (P2PE) 对您的 PCI 合规范围很重要?
缩小 PCI DSS 范围是正确部署 P2PE 的一项财务优势。范围取决于哪些系统存储、处理或传输持卡人数据,或者哪些系统可能会影响执行这些操作的系统的安全性。
请考虑以下方面:
SAQ 资格:这是可用于 CP 环境的最短评估路径。
QSA 成本:范围越窄,意味着合格安全评估员需要审查的系统就越少。这对于多地点零售商来说有意义地降低了评估难度。
更简单的操作:当范围内的系统更少时,补丁管理、日志记录和访问控制要求适用于更小的区域。
虽然这些都不能消除对 PCI 合规的需求,但它确实重构了合规对您的要求。请记住,PCI DSS 合规解决了范围问题,但不能解决泄露的所有潜在后果。
点对点加密 (P2PE) 与单独的令牌化和加密相比如何?
P2PE、令牌化和加密旨在协同工作。P2PE 涵盖捕获和传输阶段,而令牌化涵盖存储和重用。这两种方法相辅相成,因为它们在支付生命周期的不同时间点解决不同的问题。
具体如下:
单独加密:标准的传输层安全 (TLS) 加密可保护系统间传输中的数据,但无法防止在端点处暴露。如果商家的服务器接收到加密传输并对其进行解密,明文数据现在就存在于服务器上。
P2PE:安全地捕获数据。持卡人数据在进入商家环境时已加密,在离开时仍处于加密状态;解密完全在商家基础设施之外进行。该环境永远不会保存可用的 PAN。
令牌化:安全地存储数据。在交易获得授权后,系统会返回一个令牌(即没有内在银行卡数据的替代值)并存储起来代替 PAN。如果商家需要处理重复交易或收取订阅费用,则会引用该令牌。
P2PE 专门应用于有卡 (CP) 交易,因为在线交易中没有物理设备。如果接单人员将银行卡数据输入到基于硬件的 P2PE 设备中,则它也可应用于邮购/电话订购 (MOTO) 交易。令牌化适用于在线和当面支付,而标准 TLS 加密适用于在线销售。
实施点对点加密 (P2PE) 实际需要什么?
部署经过验证的 P2PE 解决方案不仅仅是选择经过认证的读卡器。完整的解决方案包含多个组件。
硬件
只有 PCI 列出的设备才能成为经过验证的 P2PE 解决方案的一部分。这些设备内置有安全的加密模块,可防止密钥提取并检测篡改。如果设备被打开或其外壳被破坏,密钥将自动被擦除。
密钥管理
加密密钥必须在部署之前在一个安全的设施(通常由制造商或经过认证的密钥注入设施)注入设备中。密钥必须按既定时间表进行轮换。在密钥管理期间犯的错误可能会造成破坏整个流程的漏洞。
员工培训
员工需要了解设备处理方法,包括如果设备似乎被篡改该怎么办、如何报告异常,以及为什么他们绝不应接受来自未经验证来源的更换设备。针对硬件的物理侧录攻击已成为有记录的风险。
设备管理
设备需要固件更新、物理检查和库存跟踪。丢失或被盗的设备可能构成安全事件,具体取决于其密钥的状态。一些服务商将设备管理作为其服务的一部分来处理,而其他服务商则将其留给商家。
使用托管 P2PE 解决方案(由服务商处理密钥注入、设备认证和解密基础设施)的理由归结为商家希望将运营注意力集中在哪里。
Stripe Terminal 是托管 P2PE 解决方案的最清晰示例。Terminal 经过认证的读卡器(包括 BBPOS WisePOS E、Stripe Reader M2 及系列中的其他读卡器)在任何数据离开之前会在设备内部对持卡人数据进行加密。Stripe 负责密钥注入和解密。
Stripe Terminal 如何提供帮助
Stripe Terminal 让企业可以通过线下和线上渠道的一体化支付来增加收入。它支持新的支付方式,提供便捷的硬件物流服务,具备全球覆盖能力,并可与数百种销售点及商业平台集成,助力企业打造理想的支付堆栈。
Stripe 为 Hertz、URBN、Lands' End、Shopify、Lightspeed 和 Mindbody 等品牌的一体化商务提供支持。
Stripe Terminal 可以帮助您:
一体化商务:在一个全球平台上,借助一体化的支付数据管理线上和线下付款。
拓展全球业务规模:通过一套集成和主流的支付方式,将规模扩大到 24 个国家/地区。
自定义集成:开发自己的自定义销售点应用,或使用第三方销售点和商务集成与现有技术堆栈实现连接。
简化硬件物流:无论 Stripe 支持的读卡器位于何处,都能轻松订购、管理和监控这些读卡器。
本文中的内容仅供一般信息和教育目的,不应被解释为法律或税务建议。Stripe 不保证或担保文章中信息的准确性、完整性、充分性或时效性。您应该寻求在您的司法管辖区获得执业许可的合格律师或会计师的建议,以就您的特定情况提供建议。