End-to-end enkripcija može pomoći trgovcima da odu korak ispred trenutačnih zahtjeva industrije kartičnog plaćanja (PCI – Payment Card Industry), jer rješava mnoge ranjivosti u lancu procesuiranja naplate. End-to-end enkripcija (E2EE) usmjerena je na sigurnosne slabosti koje postoje kada su podaci vlasnika kartice zaprimljeni, ali još uvijek nisu procesuirani, dok je „tokenizacija“ usmjerena na sigurnosne ranjivosti nakon što je transakcija autorizirana. Kombinacija ove dvije tehnologije pruža jako snažan način osiguravanja podataka.
Što se tiče brige trgovaca, postoje dvije točke u procesu plaćanja u kojima su osjetljivi podaci vlasnika kartice izloženi riziku od izlaganja ili krađe:
1.Pred-autorizacija – Kada je trgovac zaprimio podatke potrošača i šalje ih ili čeka da budu poslani procesoru.
2.Post-autorizacija – Kada se podaci vlasnici kartice šalju natrag trgovcu s odgovorom o autorizaciji od strane procesora, te se nalaze u nekoj vrsti prostora za pohranu u trgovčevu okruženju.
Enkripcija je proces korištenja algoritamskih shema koje transformiraju jednostavni tekst u nečitljivi format – šifrirani tekst (ciphertext). Postoje razni pristupi enkripciji u procesu plaćanja. Trgovcu je potrebna evaluacija u vlastitom okruženju. Ključ (ili algoritam) je potreban kako bi dekriptirao informaciju i vratio se u originalni format jednostavnog teksta. Brojni su pristupi enkripciji u procesu plaćanja. Trgovac mora evaluirati vlastito okruženje kako bi se odredilo koji je pristup najusklađeniji s potrebama.
Sesijska enkripcija
Na sesijskoj razini enkripcije, komunikacijski put na kojem se odvija transakcija iz točke A u točku B je enkriptiran; npr. od POS terminala do središnjeg servera trgovine, ili od potrošačevog osobnog računala do internetske stranice e-trgovca. Sesijska enkripcija često se koristi kada trgovac ne kontrolira put sve do krajnjeg korisnika. Ovo je slučaj kada se kupovine obavljaju putem interneta. Za trgovce nije praktično enkriptirati podatke na potrošačevu računalu, no lako je uspostaviti enkripciju za komunikacijsku sesiju između osobnog računala i internetske stranice e-trgovine. To se obično naziva SSL (secure socket layer) i često se obilježava ikonom žutog lokota na internetskoj stranici. Korištenjem SSL-a, sve informacije koje se šalju između osobnog računala i servera domaćina putuju kroz enkriptirani tunel.
Enkripcija podataka
Ovisno o tome gdje su u procesu enkriptirani elementi podataka, trgovac može biti zaštićen od interne i vanjske prevare. Ako su podaci o kartici koje trgovac želi zaštititi u trenutku zaprimanja – npr. na uređaju za unošenje PIN-a u trgovini s više linija ili na stranici za unos podataka na stranici e-trgovca – i ako ti podaci ostaju enkriptirani dok ih ne primi procesor, podaci su zaštićeni cijelim putem. To je ono što se često naziva end-to-end enkripcijom. Čak i ako netko putem presretne transakciju, enkriptirani podaci o kartici su nečitljivi, te ne znače ništa nikome osim procesora koji ima ključ za dekripciju. Tamo gdje je to moguće i praktično, preferira se samo sesijska razina enkripcije. Naravno, trgovac može kombinirati sesijsku s enkripcijom podataka za “belt and suspenders” pristup sigurnosti. Enkriptirani podaci koji se kreću kroz enkriptirani tunel su dvostruko osigurani. Postoje različiti načini na koji se enkripcija podataka može primijeniti, a koja je metoda „najbolja“ ovisi o specifičnom okruženju svakog pojedinog trgovca.
Asimetrična enkripcija (javni i privatni ključ)
Asimetrična enkripcija koristi dva različita ključa, od kojih svaki ima specifičnu funkciju. Javni ključ enkriptira podatke, dok ih privatni ključ dekriptira. Javni se ključ može slobodno distribuirati bez izazova koje donosi upravljanje simetričnim ključevima, jer može samo enkriptirati, a ne i dekriptirati podatke.
Hardware za enkripciju podataka
Proces enkriptiranja podataka vlasnika kartice može se obaviti na hardwareu, na TRSM-u (tamper resistant security module). TRSM uređaj ima mogućnost da se samouništi i učiniti neupotrebljivima pohranjene ključeve, ukoliko se netko pokuša umiješati.
Enkripcija podataka u softwareu
Enkripcija podataka se može provesti koristeći softverski program. Ovaj pristup pruža više fleksibilnosti tamo gdje se enkripcija događa, jer se može nadodati u doslovno bilo koji terminal, POS uređaj ili server e-trgovine na kojem se nalaze podaci o karticama.
Brojni pristupi enkripciji su vitalni jer postoje brojni različiti načini na koji se pružaju informacije tijekom procesa sigurnog plaćanja. Primjena enkripcije mora se postaviti na pravo mjesto u procesu plaćanja, a to može varirati ovisno o vrsti plaćanja. Kako biste naučili više o sigurnim rješenjima, kontaktirajte nas na https://alfatec.hr/kontakt/.
