Bluefin

ID TECH kooperiert mit Bluefin bei PCI-validierten P2PE-Lösungen

Im März 2014 Bluefin Payment Systems wurde zum ersten nordamerikanischen Unternehmen, das eine Payment Card Industry (PCI)-Validierung für eine Point-to-Point Encryption (P2PE)-Lösung erhielt.

Zum Zeitpunkt der Validierung von Bluefin hatten weltweit nur zwei weitere Unternehmen – beide in Europa – diese schwer errungene Zertifizierung erreicht.

Bluefin begann Mitte 2012 mit den Vorbereitungen für die begehrte P2PE-Validierung. Als Teilnehmerorganisation (PO) des PCI Security Standards Council (SSC) war es dem in Georgia ansässigen Zahlungsdienstleister wichtig, den neu eingeführten PCI-Standard für P2PE zu übernehmen.

Laut Miles verfolgen Händler und Unternehmen beim Thema Sicherheit häufig einen Ansatz des „Datenschutzes durch Abschottung" – sie bauen verstärkte Systeme und höhere Firewalls auf, um Hacker fernzuhalten. Das eigentliche Ziel von P2PE, ergänzt Ruston, besteht jedoch darin, Karteninhaberdaten bereits am Interaktionspunkt durch Verschlüsselung zu entwerten, sodass keine Klartextdaten in den Systemen von Händlern oder Unternehmen vorhanden sind und die Daten für Hacker wertlos werden.

Bluefin war der Überzeugung, dass die Zahlungsbranche den Weg der „Datenentwertung" einschlagen müsse und dass PCI-validiertes P2PE die beste Methode dafür sei.

Erste zertifizierte P2PE-Geräte mit ID TECH

Jeder PCI-validierte P2PE-Lösungsanbieter muss alle zugehörigen PCI P2PE-Geräte gemäß den strengen PCI-Standards zertifizieren. Eine vollständige Lösung kann ihre PCI P2PE-Listung nur aufrechterhalten, wenn alle Geräte der Lösung erfolgreich „validiert" wurden.

Die Validierungsbemühungen von Bluefin im Jahr 2014 konzentrierten sich auf die SecuRED und SREDKey Kartenlesegeräte von ID TECH. Innerhalb der ersten Monate führte Bluefin sein erstes größeres P2PE-Deployment mit The Hillman Group durch – unter Einsatz des SecuRED, eines sicheren Magnetstreifen-Lesegeräts für die verschlüsselte Datenerfassung und -übertragung (SRED).

ID TECH's SecuRED für den Einzelhandel

Die 1964 gegründete The Hillman Group bietet eine breite Palette an Produkten für gewerbliche und private Anwendungen und beliefert über 21.000 Unternehmen, darunter Lowe's, Home Depot, PetSmart, PETCO, Sears, Ace Hardware, True Value und Walmart. Hillman ist der Marktführer im Bereich Befestigungsmittel, Schlüssel, Buchstaben, Zahlen, Schilder (LNS) sowie Gravuren.

The Hillman Group entschied sich für Bluefins Lösung mit dem SecuRED von ID TECH für seinen automatisierten Kiosk zur individuellen Gravur – mit dem Ziel, die Anzahl der anwendbaren PCI DSS-Anforderungen für seine Karteninhaberdatenumgebung zu reduzieren und die Marke vor den potenziell hohen Kosten eines Kartendatendiebstahls zu schützen. Heute hat das Unternehmen mehr als 2.000 SecuRED-Geräte in seinen Kiosken im Einsatz.

„Eine gute Faustregel für Unternehmen lautet: Wenn Sie die Karte nicht anfassen müssen, tun Sie es auch nicht", sagt Ruston Miles von Bluefin. „Vermeiden Sie das heiße Eisen. EMV, P2PE und Tokenisierung sind die konkreten Ausprägungen dieses Prinzips. P2PE-Lösungen verschlüsseln die Daten an jedem Interaktionspunkt, während die Tokenisierung sie an jedem Speicherort schützt – was ihren Einsatz in Kombination mit anderen Technologien absolut unverzichtbar macht."

Abgesehen davon, dass PCI P2PE-Zahlungslösungen in erster Linie mehr Sicherheit bieten – was das Hauptziel ist –, erzielen sie für Händler auch einen besseren Return on Investment, da sie die Compliance-Kosten langfristig erheblich senken.

“„Mit P2PE entfallen 90 Prozent aller Maßnahmen, die Händler ergreifen müssen, um die PCI-Anforderungen zu erfüllen, da der Geltungsbereich deutlich reduziert wird. Das macht das Leben einfacher", betont Miles.

Neben dem SecuRED hat Bluefin seit der Validierung im Jahr 2014 mehr als 11.000 SREDKey-Geräte von ID TECH eingesetzt. Der SREDKey (der ein Tastenfeld mit einem Magnetstreifenleser kombiniert) ist eine ideale Lösung für Call Center und bestimmte kartenbasierte Umgebungen – wie Arztpraxen –, in denen EMV keine zwingende Voraussetzung ist.

Der SREDKey von ID TECH für Call Center

Im Jahr 2016 verband sich der Call-Center-Softwareanbieter Intelligent Contacts mit der Decryptx® -Lösung von Bluefin, die es Gateways und Softwareplattformen ermöglicht, die PCI-validierte P2PE-Lösung von Bluefin ohne Änderungen an der bestehenden Softwareintegration oder dem Zahlungsprozess anzubieten. Intelligent Contacts nutzte das SREDKey-Zahlungsterminal, um eine sichere Karteneingabe über eine einfache Tastenfeld-Schnittstelle zu gewährleisten.

„Call Center nehmen seit Jahrzehnten telefonische Zahlungen entgegen. Doch angesichts zahlreicher aufsehenerregender Datenpannen und deutlich strengerer Vorschriften für den Umgang mit Kreditkarteninformationen war die Branche auf der Suche nach externer Unterstützung, um die PCI-Zertifizierung aufrechtzuerhalten", sagte Jeff Mains, CEO von Intelligent Contacts. „Darüber hinaus ist ein Call Center nur so sicher wie sein unsicherstes Computersystem – jeden Terminal so abzusichern, dass er einem Man-in-the-Middle-Angriff oder auch einem PCI-Audit standhält, kann für die IT-Abteilung zum echten Alptraum werden."

Einer der ersten Kunden von Intelligent Contacts, der die P2PE-Lösung einführte, war ein führender Anbieter von Umsatzzyklustools und Back-Office-Abrechnungsunterstützung für das Gesundheitswesen. Mit über 1.000 Mitarbeitern, die täglich Kreditkartendaten in ihre Computer eingaben, war die jährlich erforderliche PCI-Zertifizierung ein aufwändiger und belastender Prozess.

Die Lösung bestand darin, die manuelle Eingabe von Kreditkartendaten in Computer vollständig zu eliminieren. Stattdessen erhielt jeder Mitarbeiter ein eigenes P2PE-Terminal.

„Durch den Einsatz PCI-zugelassener Geräte für alle Zahlungsvorgänge konnte das Unternehmen sein PCI-Risiko um rund 95 % reduzieren", so Mains.

Neue ID TECH Zahlungsgeräte für weitere Märkte

Bluefin hat kürzlich den Spectrum Pro und den Augusta S von ID TECH in seine Liste der zertifizierten P2PE-Geräteaufgenommen. Der Spectrum Pro – ein nach PCI-PTS 4.x und SRED zertifizierter Hybrid-MagStripe- und Chipkarten-Einschublese – ist dank seiner Robustheit, Langlebigkeit und einfachen Installation ideal für den Einsatz in unbeaufsichtigten Umgebungen im Außenbereich.

Die Augusta S ist ein kombinierter MagStripe- und EMV-Tischlesegerät, das einen unkomplizierten Umstieg auf EMV ermöglicht – ohne den Aufwand und die Komplexität einer vollständigen PIN-Pad-Lösung. Wie der Spectrum Pro ist auch der Augusta S SRED-zertifiziert und vereint durchgehende Verschlüsselung mit ausgefeilten Manipulationsschutzfunktionen.

ID TECH arbeitet derzeit gemeinsam mit Bluefin und einem Drittanbieter daran, den Spectrum Pro für den Flottenbereich einzuführen. Eine P2PE-validierte Lösung für die Kraftstoffbranche ist entscheidend, um Betrug an der Zapfsäule zu bekämpfen.

„ID TECH erkennt, dass der Bereich der unbeaufsichtigten Zahlungen große Chancen für unsere P2PE-zertifizierten EMV-Produkte bietet. Unsere langjährige Partnerschaft mit Bluefin hat es uns ermöglicht, unser Unternehmen und unsere Marke in diesem wettbewerbsintensiven Markt weiterzuentwickeln. Wir freuen uns darauf, im Bereich der unbeaufsichtigten Zahlungen und darüber hinaus denselben Erfolg zu erzielen", sagte Justin Ning, VP of Product Management and Marketing bei ID TECH. „Derzeit arbeiten wir mit einem renommierten Partner aus der Finanzbranche zusammen, um den Spectrum Pro an Zapfsäulen einzusetzen, wo Sicherheit und Robustheit an erster Stelle stehen. Wir sind sehr gespannt auf dieses neue Projekt und sein Wachstumspotenzial!"

Seit über 30 Jahren ist ID TECH führend in der Entwicklung sicherer Zahlungslösungen. Weitere Informationen zu ID TECH finden Sie unter www.idtechproducts.com.