Sprzętowy moduł bezpieczeństwa (Hardware Security Module, HSM) jest fundamentalnym elementem każdej infrastruktury płatności certyfikowanej PCI DSS Level 1. To wyspecjalizowane urządzenie fizyczne, zaprojektowane do bezpiecznego generowania, przechowywania i zarządzania kluczami kryptograficznymi. Bez HSM nie ma prawdziwie bezpiecznej tokenizacji kart – to imperatyw architektoniczny, nie opcja.
Co to jest HSM i jak działa
HSM to dedykowane urządzenie sprzętowe z wbudowanym procesorem kryptograficznym i wzmocnioną fizyczną ochroną przed ingerencją (tamper-resistance). Przechowuje klucze kryptograficzne w izolowanym środowisku – klucze nigdy nie opuszczają urządzenia w postaci jawnej. Wszelkie operacje kryptograficzne (szyfrowanie, deszyfrowanie, podpisywanie) są wykonywane wewnątrz HSM. Jeśli ktoś próbuje fizycznie włamać się do urządzenia, HSM automatycznie usuwa klucze.
Certyfikacja FIPS 140-2 i jej poziomy
Standard FIPS 140-2 (Federal Information Processing Standard) definiuje wymagania bezpieczeństwa dla modułów kryptograficznych. Obejmuje cztery poziomy: Level 1 (podstawowe wymagania programowe), Level 2 (fizyczna ochrona i uwierzytelnianie oparte na rolach), Level 3 (silna ochrona fizyczna, identity-based authentication, zarządzanie kluczami), Level 4 (kompletna ochrona fizyczna). Dla vault PCI DSS Level 1 wymagany jest HSM certyfikowany co najmniej na poziomie FIPS 140-2 Level 3.
HSM w architekturze vault tokenów
W vault tokenów PCI Proxy EU HSM pełni kilka kluczowych funkcji: generowanie kluczy szyfrujących (KEK – Key Encryption Key, DEK – Data Encryption Key), szyfrowanie i deszyfrowanie numerów PAN przy tokenizacji i detokenizacji, podpisywanie kryptograficzne tokenów dla zapewnienia integralności, zarządzanie cyklem życia kluczy (rotacja, archiwizacja, niszczenie). Żaden klucz kryptograficzny nie jest nigdy przechowywany poza HSM w postaci jawnej.
HSM dedykowany vs. CloudHSM
Tradycyjny HSM fizyczny (np. Thales Luna, Utimaco) to dedykowane urządzenie instalowane w centrum danych. CloudHSM (np. AWS CloudHSM, Azure Dedicated HSM) oferuje te same gwarancje bezpieczeństwa w modelu chmurowym – klucze są zarządzane przez klienta, nie przez dostawcę chmury. PCI DSS v4.0 akceptuje oba modele, pod warunkiem że certyfikacja FIPS 140-2 Level 3 jest zachowana. CloudHSM oferuje korzyści skalowania i redundancji przy zachowaniu bezpieczeństwa dedykowanego urządzenia.
Jak zweryfikować HSM dostawcy usług tokenizacji
Przy wyborze dostawcy tokenizacji należy zweryfikować HSM: model i producent HSM (Thales, Utimaco, Entrust, IBM są liderami branżowymi), certyfikacja FIPS 140-2 – wymagaj kopii certyfikatu NIST, procedura zarządzania kluczami – podwójna kontrola (dual control) i rozdzielona wiedza (split knowledge) są wymagane przez PCI DSS, procedura disaster recovery – HSM musi mieć redundantny backup z zachowaniem tych samych gwarancji bezpieczeństwa. Te informacje powinny być ujęte w AOC dostawcy.
Vault z dedykowanym HSM certyfikowanym FIPS 140-2
PCI Proxy EU używa HSM certyfikowanych FIPS 140-2 Level 3 w europejskich centrach danych. Sprawdź nasze AOC.
Porozmawiaj z ekspertem