A biztonságos kártyatárolás felhőben az egyik leggyakrabban feltett kérdés a fizetésbiztonság területén. Hogyan működik egy PCI-megfelelő vault technikai szinten? Milyen tanúsítványok szükségesek? Mi a különbség a különböző megoldások között? Ez a cikk technikai mélységgel válaszol ezekre a kérdésekre.
A PCI vault technikai architektúrája
Egy PCI DSS Level 1 tanúsított kártyavault a következő rétegekből áll: fizikai biztonsági réteg (HSM – Hardware Security Module, FIPS 140-2 tanúsítvánnyal); titkosítási réteg (AES-256 szimmetrikus titkosítás, kulcsrotációval); tokenizációs motor (PAN – token bijekció és token-névtér kezelése); API-réteg (REST API a tokenizációhoz, detokenizációhoz és fizetési hívásokhoz); naplózási és monitorozási réteg (minden hozzáférési esemény naplózása valós időben); hálózati biztonsági réteg (szegmentált DMZ, WAF, DDoS-védelem).
Szükséges tanúsítványok
A biztonságos felhőalapú kártyatároláshoz elengedhetetlen tanúsítványok: PCI DSS Level 1 – a legmagasabb szintű PCI-tanúsítvány, akkreditált QSA általi éves audittal; ISO 27001 – az információbiztonsági menedzsment rendszer tanúsítványa; SOC 2 Type II – a biztonsági, rendelkezésre állási és bizalmasságra vonatkozó kontrollok független auditja; FIPS 140-2 – a kriptográfiai modul (HSM) tanúsítványa; PCI PIN – ha a vault PIN-feldolgozást is végez.
Token vs. titkosítás: miért jobb a tokenizáció?
A PAN titkosítva való tárolása és a tokenizáció alapvető különbsége: titkosítás esetén a PAN megmarad a rendszerben, csak olvashatatlan formában – a titkosítási kulcs kompromittálása a teljes adatbázis kompromittálódását jelenti; tokenizáció esetén a PAN kivesz a kereskedő rendszeréből, és csak a vaultban marad – a token önmagában értéktelen, nincs mit megfejteni. A PCI DSS preferálja a tokenizációt a titkosítással szemben a kártyaadatok kereskedői rendszerekből való eliminálásához.
Felhőplatformok és PCI DSS: AWS, Azure, GCP
A PCI DSS-megfelelő vault felhőplatformokon is megvalósítható, de speciális konfigurációt igényel. Az AWS, Microsoft Azure és Google Cloud Platform mindegyike rendelkezik PCI DSS-megfelelő infrastruktúra-elemekkel, de ezek a "shared responsibility model" alapján csak az infrastruktúra-rétegre vonatkoznak – az alkalmazásréteg és az adatkezelés PCI DSS-megfelelősége a vault üzemeltetőjének felelőssége. A PCI Proxy EU dedikált, EU-s felhőinfrastruktúrán üzemel, 99,9%-os SLA-val.
Tároljon kártyaadatokat PCI DSS Level 1 tanúsított vaultban
A PCI Proxy EU FIPS 140-2 HSM-mel és PCI DSS Level 1 tanúsítvánnyal védi az Ön kártyaadatait. Lépjen kapcsolatba velünk.
Konzultáljon szakértőnkkel