Чи російські банки проходять pci dss. Правила пентесту: аудит за стандартом PCI DSS

Бренди
23.04.2020

Про стандарт

PCI DSS (Payment Card Industry Data Security Standard) – стандарт безпеки даних індустрії платіжних карток, розроблений Радою зі стандартів безпеки індустрії платіжних карток (Payment Card Industry Security Standards Council, PCI SSC), яку заснували Visa, MasterCard, American Express, JCB та Discover.

Вимоги стандарту поширюються на всі компанії, що працюють із міжнародними платіжними системами: банки, торгово-сервісні підприємства, постачальників технологічних послуг та інші організації, діяльність яких пов'язана з обробкою, передачею та зберіганням даних про власників платіжних карток.

PCI DSS - комплексний посібник з безпеки

Стандарт PCI DSS висуває вимоги до захищеності компонентів інфраструктури, в якій передається, обробляється або зберігається інформація про платіжні картки. Перевірка платіжної інфраструктури на відповідність цим вимогам виявляє причини, які суттєво знижують рівень її захищеності. Тести на проникнення, які входять до списку обов'язкових заходів, регламентованих стандартом PCI DSS, показують реальний рівень захищеності інформаційних ресурсів компанії як з позиції зловмисника, що знаходиться за межами периметра, що досліджується, так і з позиції співробітника компанії, що має доступ «зсередини».

Рада PCI DSS сформулювала ключові вимоги щодо організації захисту даних у документі «Стандарт безпеки даних індустрії платіжних карток (PCI DSS). Вимоги та процедури оцінки безпеки. Версія 3.0». Ці вимоги згруповані таким чином, щоб спростити процедуру аудиту безпеки.

Завантажити PCI DSS російською мовою.

Вимоги та процедури оцінки безпеки PCI DSS

Побудувати та підтримувати захищені мережі та системи

  • Вимога 1. «Встановити та підтримувати конфігурацію міжмережевих екранів для захисту даних про власників карток».
  • Вимога 2. "Не використовувати паролі до систем та інші параметри безпеки, задані виробником за умовчанням".

Захищати дані про власників карток

  • Вимога 3. «Захищати збережені дані про власників карток».
  • Вимога 4. «Шифрувати дані про власників карток під час їх передачі через загальнодоступні мережі».

Підтримувати програму управління вразливістю

  • Вимога 5. «Захищати всі системи від шкідливого ПЗ та регулярно оновлювати антивірусне ПЗ».
  • Вимога 6. «Розробляти та підтримувати безпечні системи та програми».

Впроваджувати суворі заходи контролю доступу

  • Вимога 7. «Обмежувати доступ до даних про власників карток відповідно до службової необхідності».
  • Вимога 8. «Ідентифікувати та аутентифікувати доступ до системних компонентів».
  • Вимога 9. "Обмежувати фізичний доступ до даних про власників карток".

Здійснювати регулярний моніторинг та тестування мереж

  • Вимога 10. «Відслідковувати та вести моніторинг всього доступу до мережевих ресурсів та даних про власників карток».
  • Вимога 11. «Регулярно тестувати системи та процеси безпеки»

Підтримувати політику інформаційної безпеки

  • Вимога 12. "Підтримувати політику інформаційної безпеки для всіх працівників".

«Перспективний моніторинг» допомагає банкам, торговельно-сервісним підприємствам, розробникам фінансових сервісів підготується до аудиту на відповідність PCI DSS та надає експертну підтримку для виконання вимог стандарту.

Стандарт безпеки даних індустрії платіжних карток PCI DSS визначає вимоги щодо захисту інформації та застосовується до всіх організацій, що обробляє, зберігає та передає дані про власників платіжних карток Visa, MasterCard, JCB, Discover, American Express. До таких організацій належать банки, роздрібні магазини, системи електронної комерції, постачальники платіжних рішень, центри обробки даних та інші.

Схема сертифікації тієї чи іншої організації за стандартом PCI DSS залежить від її ролі в платіжному процесі та кількості даних про власників карток. Наприклад розглянемо сертифікацію постачальників послуг, яких ставляться банки, платіжні шлюзи і дата-центры. При обсязі оброблюваних карткових даних, що перевищує 300 000 транзакцій на рік, такі організації повинні проходити щорічний сертифікаційний QSA-аудит і виконати автоматизоване ASV-сканування вразливостей мережі. При меншій кількості транзакцій достатньо заповнити аркуш самооцінки (SAQ) та виконати ASV-сканування.

Однак, незалежно від способу підтвердження відповідності, вимоги стандарту необхідно виконати в повному обсязіу сегменті мережі, відведеному під платіжну інфраструктуру. Для вирішення цього завдання ми пропонуємо спеціалізований набір консультаційних послуг, об'єднаних метою впровадження PCI DSS в організації та подальшої її сертифікації за цим стандартом.

Друзі, ми розширюємо асортимент послуг, що надаються, і найближчим часом додамо на наш сайт можливість замовляти сервіси зі сканування сайтів на наявність шкідливого коду (ASV-сканування), які вимагає сертифікація PCI DSS. У зв'язку з цим ми розпочинаємо нову рубрику публікацій, пов'язаних зі стандартами та вимогами безпеки даних. І насамперед ми хочемо поговорити про сертифікацію PCI DSS. Використання оплати кредитними та дебетовими картамипередбачає можливу передачу, зберігання та обробку даних платіжних карток, що підвищує ризики кіберзлочинності. У зв'язку з цим MasterCard, Visa, American Express та інші платіжні системи висувають певні вимоги щодо безпеки до торгових підприємств та постачальників послуг, які працюють із даними платіжних карток. Ці вимоги описані у стандарті PCI DSS. Давайте розберемося, що таке сертифікація PCI DSS та які основні положення потрібно знати.

Що таке PCI DSS?

PCI DSS– це скорочення від Payment Card Industry Data Security Standard, що означає стандарт безпеки даних індустрії платіжних карт. Стандарт PCI DSS був розроблений порадою PCI SSC (Payment Card Industry Security Standards Council, що в перекладі означає Рада зі стандартів безпеки індустрії платіжних карток). Члени-засновники ради PCI SSC – міжнародні платіжні системи Visa, MasterCard, American Express, JCB International та Discover Financial Services – погодилися прийняти загальний стандартбезпеки в якості частини технічних вимогдля кожної з програм відповідності безпеки даних. Крім того, кожен член-засновник визнає кваліфікованих порадою PCI SSC аудиторів систем безпеки(Qualified Security Assessors, QSA) та затверджених постачальників послуг сканування(Approved Scanning Vendors, ASV). До останніх належить наш партнер Comodoчий ліцензований сервіс сканування HackerGuardian PCI Scanning Serviceнайближчим часом буде доступним для замовлення на нашому сайті.

Кому потрібна сертифікація PCI DSS?

Про безпеку даних платіжних карток повинні піклуватися всі, хто працює з платіжними картками або якимось чином впливає на їхню безпеку, а це можуть бути:
  • Торгово-сервісні компанії будь-якого розміру
  • Фінансові установи
  • Постачальники касових терміналів
  • Виробники технічних засобівЕОМ та програмного забезпечення, словом, всі хто створює та використовує міжнародну інфраструктуру для обробки платежів.

Таким чином, вимоги стандартів PCI DSS застосовуються до всіх організацій, незалежно від їх розміру або кількості транзакцій, що проводяться, які приймають, передають, обробляють або зберігають будь-яку інформацію власників кредитних картокабо якщо бізнес-процеси в цих організаціях можуть впливати на безпеку платіжних карток.

Вимоги стандарту PCI DSS

Сертифікація PCI DSS має на увазі відповідність стандарту, який складається з 12 розділів вичерпних вимог щодо забезпечення безпеки інформації про власників платіжних карток, з якими працюють торгово-сервісні підприємства та постачальники послуг. p align="justify"> Відповідність вимогам PCI стандарту передбачає комплексне вжиття заходів щодо забезпечення безпеки на кожному з кроків роботи з платіжними картками, від передачі даних до її зберігання в базах даних компанії.
Контрольні об'єкти Вимоги PCI DSS
Створення та підтримка безпечної мережі 1. Встановлення та підтримка конфігурації фаєрволу для захисту даних власників платіжних карток
2. Відмова від використання, параметрів за промовчанням для систем паролів та інших параметрів безпеки
Захист даних власників платіжних карток 3. Захист отриманих даних власників платіжних карток
4. Шифрування передачі даних власників платіжних карток за відкритими публічними мережами
Підтримка програми з управління вразливістю 5. Використання та регулярне оновлення антивірусного ПЗ на всіх системах, які зазвичай піддаються дії шкідливих програм
6. Розробка та підтримка захищених систем та додатків
Впровадження суворого контролю доступу 7. Обмеження доступу до даних власників платіжних карток за принципом службової необхідності
8. Присвоєння унікального ідентифікаційного номера кожній людині з доступом до ЕОМ
9. Обмеження фізичного доступу до даних власників платіжних карток
Регулярний моніторинг та перевірка мереж 10. Відстеження та моніторинг доступу до ресурсів мереж та даних власників платіжних карток
11. Регулярна перевірка систем та процесів безпеки
Підтримка політики безпеки інформації 12. Підтримка політики, адресованої забезпечення безпеки даних
Прочитати найбільш актуальні та повні стандарти PCI DSS можна на офіційному сайті Ради зі стандартів безпеки за посиланням: https://ua.pcisecuritystandards.org

Рівень сертифікації PCI DSS

Сертифікація PCI DSS визначає чотири рівні торгово-сервісних підприємстві два рівні постачальників послугзалежно від кількості транзакцій, що проводяться з платіжними картками Visa(включаючи кредитні, дебетові та передоплачені картки) протягом 12 місяців.

Visa визначає такі рівні торгово-сервісних підприємств:

Рівень Опис Сертифікація PCI DSS включає:
4 Торгово-сервісні підприємства, що обробляють менше 20 тис. транзакцій на рік у сфері електронної торгівлі, і навіть інші торгово-сервисные підприємства, не перелічені інших рівнях, які обробляють до 1 млн. транзакцій на рік, незалежно від каналу їх отримання. Щорічно: рекомендовано заповнення анкети самооцінки безпеки (SAQ); Щоквартально: рекомендовано ASV-сканування; Банк-екваєр визначає вимоги відповідності.
3 Торгово-сервісні підприємства, що обробляють 20 тис. – 1 млн. транзакцій у галузі електронної торгівлі на рік.
2 Торгово-сервісні підприємства, що обробляють 1-6 млн. транзакцій на рік, незалежно від каналу їх одержання. Щорічно: заповнення анкети самооцінки безпеки (SAQ); Щоквартально: рекомендовано ASV-сканування.
1 Торгово-сервісні підприємства, що обробляють понад 6 млн. транзакцій на рік, незалежно від каналу їх отримання. Щорічно: аудит, який виконує затверджений аудитор систем безпеки (QSA-аудит); Щоквартально: ASV-сканування на наявність уразливостей.

Мобільні платіжні рішення ще недостатньо широко представлені на світовому ринку та в нашій країні зокрема. Тим не менш, інтерес до подібних рішень з боку fintech-розробників, бізнесу та торгово-сервісних підприємств з кожним роком зростає.

Андрій Гайко
Сертифікований QSA-аудитор Digital Security

Що таке mPOS

Мобільне платіжне рішення (mPOS) складається з наступних основних компонентів:

  • мобільний пристрій – смартфон або планшет, до якого підключається пристрій для зчитування;
  • платіжний додатокдля мобільного пристрою – програмне забезпеченнячерез інтерфейс якого продавець здійснює введення даних для оплати та обмін даними з процесингом. Також через це можлива верифікація власника картки з використанням підпису;
  • зчитувальний пристрій – виділяються два види зчитувальних пристроїв: Pin Entry Device (PED), пристрій зчитування картки та введення PIN-коду. Підключається до мобільного пристрою через Bluetooth, через аудіороз'єм або mini-USB; Secure Card Reader (SCR), пристрій зчитування картки. Зазвичай підключається до мобільного пристрою через аудіороз'єм.

Під мобільним платіжним рішенням розумітимемо програмно-апаратну платформу для торгово-сервісних підприємств (далі – ТСП), що дозволяє приймати платежі від фізичних осібза допомогою смартфона/планшета і підключеного до нього пристрою, що зчитує. За допомогою mPOS можна приймати оплату як безконтактним способом (банківською карткою, завантаженою в мобільний телефонклієнта з підтримкою NFC (далі – NFC-картка), або безконтактною банківською картою), так і за звичайними пластиковим карткам(з магнітною смугою та/або EMV-чіпом).

Крім функцій захищеного читання карти та введення PIN-коду у mPOS має бути підтримка всіх основних способів верифікації власника картки, шифрування даних при передачі між компонентами та процесинговою частиною системи, а також можливість друку чеків або їх надсилання по SMS та електронній пошті.

На стороні сервіс-провайдера або банку-еквайєра, які займаються прийомом та подальшою обробкою даних при mPOS-платежах, використовується back-end система (платіжний шлюз), схожа на ті, що використовуються при інтернет- або звичайному POS-еквайрингу.

Для того, щоб зрозуміти, які вимоги безпеки повинні пред'являтися, технічно необхідно визначити основні компоненти екосистеми mPOS та існуючі інформаційні потоки. Для розуміння відповідальності суб'єктів екосистеми mPOS за безпеку платежів на бізнес-рівні необхідно визначити існуючі бізнес-моделі учасників платіжного процесу.

Схема інформаційних потоків містить 8 основних етапів (див. рис. 1):

  • етап 1. Співробітник ТСП підключає пристрій для зчитування до мобільного пристрою (смартфону або планшета), що має інтернет-з'єднання. Запускає спеціальний мобільний додаток та в ньому вводить відомості про купівлю та суму платежу;
  • етап 2. Клієнт вставляє, прокочує чи підносить банківську карткудо зчитувального пристрою. У випадку NFC-карти клієнт на своєму смартфоні відкриває додаток "Гаманець" (Walet), вибирає банківську карту, що діє, і підносить смартфон до зчитувального пристрою. Залежно від параметрів, заданих у картці, потрібно ввести PIN-код. У цьому випадку клієнт вводить PIN-код за допомогою PIN-pad, який може бути вбудований в пристрій для зчитування;
  • етап 3. Зчитуючий пристрій зчитує карткові дані, шифрує їх і передає мобільний пристрій співробітника ТСП;
  • етап 4. Мобільний пристрій співробітника відправляє зашифровані дані платіжний шлюз, і з платіжного шлюзу дані передаються в еквайрингову систему. Крім карткових даних, залежно від налаштувань, додатково можуть бути передані відомості про mPOS, транзакцію, товар, що купується або послугу;
  • етап 5. Авторизаційний запит з еквайрингової системи передається в МПС. Після обробки запиту результат (прийнято або відхилено) повертається до еквайрингової системи. Якщо картка, за якою відбувається оплата, випущена тим самим банком, через який здійснюється еквайринг, то запит до МПС не передається;
  • етап 6. Результат авторизаційного запиту передається на мобільний пристрій;
  • етап 7. Якщо для картки потрібен підпис її власника, то мобільному додаткувиводиться відповідна форма, і клієнт розписується (стилусом чи пальцем);
  • етап 8. Співробітник ТСП у мобільному платіжному додатку обирає метод відправки чека клієнту. Можливе надсилання по SMS, електронній пошті або на друк на локальний касовий пристрій.

У реалізації описаного вище процесу можуть брати участь такі компанії:

  • розробники mPOS-пристроїв – здійснюють розробку та випуск апаратних засобів, які безпечно зчитують карткові дані та PIN-код;
  • розробники платіжного ПЗ для мобільного пристрою та/або платіжного шлюзу – розробляють клієнтське ПЗ для ТСП і, можливо, ПЗ платіжного шлюзу;
  • розробники платформи – компанії-розробники, які створюють єдину апаратну та програмну частину mPOS-рішення для її подальшого продажу сервіс-провайдерам mPOS-рішень або еквайєрам;
  • сервіс-провайдери mPOS-рішень - компанії, що випускають кінцевий продукт для ТСП. Компаніями даного типує банки-еквайєри чи звані платіжні посередники (payment facilitators). Ці компанії можуть самостійно розробляти всі компоненти мобільного платіжного рішення, або ліцензувати окремі компоненти різних виробників і інтегрувати їх між собою. Платіжні посередники, за винятком банків-еквайєрів, є середнім між сервіс-провайдером і ТСП. Їх клієнтами є ТСП, котрим взаємодія з банком-эквайером стає прозорим процесом, оскільки відповідальність розрахунки з ТСП лягає на платіжного посередника;
  • дистриб'ютори – компанії, які просувають на ринку ті чи інші mPOS-рішення різних виробників та виконують функцію перепродажу mPOS-рішення ТСП;
  • платіжний сервіс-провайдер (процесингова компанія, платіжний шлюз) – компанія, яка є посередником між сервіс-провайдером mPOS-рішень та банком-екваєром. Він забезпечує інформаційну взаємодію між мобільним пристроєм ТСП та екваєром;
  • еквайєр – банк-еквайєр чи процесинговий центр, підключений до МПС, що забезпечує авторизацію платежів. Банки-еквайєри, з якими співпрацюють сервіс-провайдери mPOS-рішень, можуть використовуватись для розрахунків із ТСП.

Слід зазначити, що компанія може виконувати не лише одну із зазначених ролей. Можлива ситуація, коли компанія може повністю розробити всі програмні та апаратні компоненти mPOS-рішення. Залежно від того, які функції будуть виконуватися компанією, залежить, які вимоги щодо безпеки нею дотримуватимуться.

Переліки основних компонентів та типів бізнес-моделей наведені для того, щоб зрозуміти, як повинна розмежовуватись відповідальність за виконання вимог безпеки між усіма учасниками екосистеми mPOS.

Види сертифікації

Перші рекомендації щодо безпеки мобільних платіжних рішень були випущені Visa у 2011 р. загальні рекомендаціїдля розробників та ТСП щодо безпеки використання мобільних платіжних рішень. У 2012 р. Радою PCI SSC було випущено більш детальні рекомендації для розробників. На сьогоднішній день МПС та PCI SSC майже щороку випускають оновлені рекомендації щодо безпеки mPOS.

Окрім рекомендацій Visa та MasterCard розробили програми сертифікації постачальників мобільних платіжних рішень. По суті, обидві програми досить схожі, і з ймовірністю можна стверджувати, що розробка рішення відповідно до вимог однієї з МПС може бути сертифікована в іншої. Обидві МПС ведуть реєстри сертифікованих компаній та mPOS-рішень.

Стандарти PCI SSC

PCI DSS
У нової версіїстандарту з'явилися нові вимоги, які дуже доречно ставляться до безпеки mPOS. Зокрема, у розділі 9 додався пункт 9.9, згідно з яким необхідно вести облік пристроїв зчитування карток, а також проводити періодичне навчання співробітників/користувачів, які обслуговують пристрої, щоб вони вміли визначати заміну mPOS або інші ознаки скіммінгу. У випадку з сервіс-провайдерами mPOS-рішень або еквайрингами при наданні клієнтам пристроїв для зчитування вони повинні будуть розробити рекомендації та інструкції щодо захисту від скіммінгу і довести їх до відома співробітників ТСП. У рамках виконання вимоги 12.8 сервіс-провайдери та еквайєри на рівні договірних відносин можуть зобов'язати ТСП виконувати відповідні вимоги щодо безпеки mPOS.

Незважаючи на те, що виконання більшості вимог безпеки лягає на різних сервіс-провайдерів та банки, банки-еквайєри мають право вимагати від ТСП заповнення листів самооцінки (SAQ) відповідного типу (SAQ P2PE-HW у разі використання ТСП P2PE-рішення, SAQ B-IP у разі використання mPOS зі зчитувачем, сертифікованим PCI PTS). У таблиці наведено компоненти mPOS-рішень, відповідний стандарт, якому компонент повинен відповідати, та компанія, відповідальна за реалізацію вимог.

Вимога 12.8 також актуальна для тих випадків, коли програмне забезпечення mPOS-рішень для сервіс-провайдера розробляється сторонньою організацією. У цьому випадку виконання вимоги 6.5 повністю лягає на плечі компанії-розробника. При цьому якщо компанія-розробник не виконуватиме вимог, сервіс-провайдер не зможе пройти аудит на відповідність PCI DSS. У договорах між сервіс-провайдерами (еквайєрами) та розробниками слід передбачити питання проведення аудиту певних бізнес-процесів компанії-розробника у разі проходження сервіс-провайдером щорічної сертифікації PCI DSS, т.к. процес розробки буде включений до області аудиту сервіс-провайдера. Те саме актуально і у разі аутсорсингу інших послуг. У загальному випадку підтвердження третьою стороною відповідності вимогам PCI DSS у частині, що її стосується, може бути забезпечене шляхом самостійної сертифікації PCI DSS необхідних бізнес-процесів з подальшим наданням свідоцтв про успішно пройдену перевірку або шляхом надання можливості аудиту бізнес-процесу в рамках аудиту сервіс- провайдера (еквайєра).

Зазначимо, що в нашій країні аудит розробників у рамках аудиту компанії-замовника відбувається досить рідко. Розробники на словах можуть гарантувати знання та застосування методів безпечної розробки, але за фактом не володіти потрібними знаннямита не виконувати відповідних процедур. З виходом нової версії PCI DSS стан речей має змінитися, так як вимоги стали детальними, і вказані в тексті стандарту процедури перевірки зобов'язують QSA-аудитора проводити більш глибокі перевірки.

PCI PTS
Стандарт PCI PTS регламентує вимоги до безпеки для Point of interaction devices (POI) та Hardware Security Modules (HSM). Зчитувальний пристрій, що підключається до мобільного пристрою, є POI. Як згадувалося вище, в mPOS-рішеннях використовується два класи POI: PIN Entry Device (PED) та Secure Card Reader (SCR). Залежно від того, до якого типу POI відноситься зчитуючий пристрій, визначаються групи вимог PCI PTS, яким пристрій повинен відповідати.


На даний момент у деяких пропонованих на вітчизняному ринку mPOS-рішеннях використовуються зчитувачі no-name-виробників. Використання таких зчитувачів не гарантує безпечної передачі даних між пристроями і уможливлює передачу в мобільний пристрій номера картки у відкритому вигляді. Тому, вибираючи mPOS-рішення, необхідно переконатися, що сервіс-провайдер пропонує сертифікований PCI PTS зчитуючий пристрій.

Існують дві бізнес-моделі розробки клієнтського програмного забезпечення: розробка для власного проекту, коли розробник створює mPOS-рішення та виводить його на ринок під власним брендом: у цьому випадку розробник буде сервіс-провайдером mPOS-рішення; – та розробка кінцевого рішення для подальшого ліцензування компаніями, які інтегрують компоненти різних виробників між собою та на їх основі створюють свої mPOS-рішення.

PA-DSS
Для mPOS-рішень PA-DSS в обов'язковому порядкузастосуємо до прошивок пристроїв, які зчитують карткові дані. Для програмного забезпечення, яке встановлюється на мобільний пристрій співробітника ТСП, цей стандарт є рекомендаційним. Це пов'язано з тим, що мобільний пристрій є недовіреним і слабоконтрольованим середовищем. Наприклад, на пристрої може бути виконаний jailbreak, який на порядок знижує безпеку пристрою та не гарантує безпеки встановленої платіжної програми. Саме тому МПС забороняють використовувати мобільні пристрої для введення PIN-коду і вимагають, щоб дані від пристрою зчитування приходили в мобільне ПЗ в зашифрованому вигляді і далі в тому ж вигляді передавалися в еквайринг. У цьому випадку дані платіжних карток не будуть у відкритому вигляді оброблятися і зберігатися в мобільному пристрої, а значить, і вимоги PA-DSS не застосовуються.

У версії 3.0 стандарту з'явилися нові вимоги, на які розробникам прошивок для пристроїв зчитування і коробкових платіжних додатків слід звернути увагу в першу чергу. По-перше, кожне оновлення, що випускається, має проходити окрему сертифікацію. По-друге, тепер клієнти повинні використовувати лише ті версії (оновлення) ПЗ, які є сертифікованими та наведені на сайті Ради PCI.


PCI P2PE
Порівняно недавно вийшов у світ новий стандартбезпеки PCI P2PE. Стандарт призначений для рішень, що забезпечують криптографічний захист даних під час їх передачі між усіма компонентами платіжного рішення. У разі застосування шифрування досягається звуження області дії стандарту ТСП до мінімального рівня, так як ТСП немає можливості отримання даних про власників карт у відкритому вигляді.

До переліку всіх основних компонентів екосистеми mPOS входить:

  • зчитувальний пристрій;
  • платіжний додаток для мобільного пристрою;
  • платіжний шлюз;
  • еквайрингова система, підключена до МПС.

На відміну від PCI DSS, який поширюється тільки на інформаційну інфраструктуру, PCI P2PE є більш комплексним і поширюється не тільки на інфраструктуру, але і на пристрої для зчитування і програмне забезпечення POI-терміналів (у додатку до mPOS – це зчитувальні пристрої). Стандарт складається з 6 доменів, вимоги яких засновані на діючих стандартах PCI: пристрої для зчитування повинні задовольняти вимогам PCI PTS SRED; програмне забезпечення зчитувальних пристроїв – PA-DSS; керування ключами шифрування – PCI PIN Security Requirements; платіжна інформаційна інфраструктура ТСП – PCI DSS. Якщо рішення сертифіковано PCI P2PE, це означає, що дані між усіма підсистемами (від зчитувача до мобільного пристрою в ПЗ, від ПЗ в процесинг і далі) передаються в шифрованому вигляді, і всі підсистеми виконують вимоги відповідних стандартів PCI.

За вимогами P2PE можуть бути сертифіковані окремі компоненти, так і готові рішення.

МПС рекомендують використовувати P2PE-рішення для прийому mPOS-платежів. Однак складність полягає в тому, що на даний момент на ринку існує небагато рішень такого типу, тому МПС не вимагають, а рекомендують використовувати PCI P2PE-рішення та при розробці керуватися ними. Тим не менш, сервіс-провайдерам платіжного mPOS-рішення потрібно бути готовими до того, що МПС незабаром вимагатимуть обов'язкової сертифікації їх mPOS-рішень за вимогами PCI P2PE.