A HSM (Hardware Security Module) a fizetésbiztonság egyik legfontosabb fizikai eszköze: dedikált hardver, amely a titkosítási kulcsok létrehozását, tárolását és kezelését biztonságos, hamisításbiztos környezetben végzi. A PCI DSS és a kártyahálózatok megkövetelik a HSM-ek használatát a PIN-feldolgozásban és a kártyaadat-titkosításban.
Mi az a HSM és miért használják fizetésfeldolgozásban?
A HSM egy dedikált, FIPS 140-2 Level 3 vagy magasabb szinten tanúsított hardvereszköz, amely: titkosítási kulcsokat generál belső véletlenszám-generátorral; a kulcsokat fizikailag védett hardveren tárolja (hamisítás esetén önmegsemmisítő); kriptográfiai műveleteket (titkosítás, aláírás, ellenőrzés) végez anélkül, hogy a kulcs valaha elhagyná a hardvert; audit-naplót vezet minden kriptográfiai műveletről. A fizetésfeldolgozásban HSM-et alkalmaznak PIN-blokk titkosításhoz és visszafejtéshez; kártyaadatok titkosításához és tokenizációjához; digitális aláíráshoz; kulcscsere-protokollokhoz (key exchange).
PCI DSS és HSM kötelezettségek
A PCI DSS 3. követelménye (Protect stored account data) és a 8. követelménye (Identify users and authenticate access to system components) különböző HSM-vonatkozásokat tartalmaz. A PIN-Security Requirements (PSR) a PCI Security Standards Council kiegészítő szabványa, amely pontosan meghatározza az ATM- és PIN-feldolgozás HSM-követelményeit. A PCI PTS (PIN Transaction Security) a PIN-beviteli eszközök (PED) biztonsági tanúsítási kerete – ez is kapcsolódik a HSM-ekhez.
Szoftveralapú vs. hardveralapú kulcstárolás
A szoftveralapú kulcstárolás (pl. titkosítási kulcsok adatbázisban vagy fájlrendszerben) elfogadható alacsony kockázatú esetekben, de: kiszolgáltatott az operációs rendszer szintű sérülékenységekre; nem teljesíti a PIN-kezelés HSM-kötelezettségeit; nem nyújt FIPS 140-2 Level 3 védelmet. A PCI Proxy EU kulcskezelési infrastruktúrájában HSM-eket alkalmaz a kártyaadat-titkosítási kulcsok tárolásához, ami az ügyfelek számára azt jelenti, hogy nem kell saját HSM-et üzemeltetniük.
HSM-alapú kártyaadat-biztonság saját infrastruktúra nélkül
A PCI Proxy EU HSM-alapú tokenizációja lehetővé teszi, hogy a kereskedők a legmagasabb szintű kulcsvédelmet alkalmazzák saját HSM-befektetés nélkül.
Konzultáljon szakértőnkkel