Un HSM (Hardware Security Module, módulo de segurança de hardware) es un dispositivo físico dedicado a la generação, el armazenamento e la gestão de claves criptográficas. En el contexto de los pagos, la segurança HSM representa el nivel de proteção mais alto disponible: las claves nunca salen del perímetro físico del dispositivo e cualquier intento de manipulação activa mecanismos de autodestrucção de los dados sensíveis. Para la tokenização PCI DSS, el HSM es el componente que garantiza que ningún software pueda acceder a las claves de encriptação del vault en claro.
Qué es un HSM e por qué es el núcleo de la tokenização segura
El HSM está concebido para ser físicamente inviolable: su arquitectura inclui sensores de temperatura, tensión e luz que detectan intentos de apertura o sondeo, e borran automáticamente las claves almacenadas ante el mínimo indicio de compromiso. Las operaciones criptográficas (encriptação, descifrado, generação de tokens) se realizan dentro del dispositivo: los dados en claro entran, se procesan e salen ya transformados. Las claves de encriptação nunca abandonan el perímetro hardware.
En los sistemas de tokenização, el HSM custodia la clave maestra que protege las claves de encriptação del vault. Cuando un sistema autorizado solicita el descifrado de un PAN, la pedido se processa internamente por el HSM: el resultado se devuelve al solicitante, mas la clave permanece confinada en el hardware. Este diseño por compartimentos estancos elimina la superficie de ataque por software: embora se comprometa el servidor de aplicaciones, el atacante no obtiene las claves criptográficas.
FIPS 140-2 e la certificação hardware para pagos
La certificação FIPS 140-2 (Federal Information Processing Standard) es el estándar del NIST estadounidense que define los requisitos de segurança para los módulos criptográficos. Para los pagos, el nivel relevante es el FIPS 140-2 Nivel 3, que exige resistencia física a la manipulação con mecanismos de respuesta activa (destrucção de claves en caso de apertura). El Nivel 4 añade proteção frente a ataques ambientales e se utiliza para HSM de nivel bancario.
El PCI DSS no impone explícitamente el uso de HSM certificados FIPS 140-2 a todos los comerciantes, mas el Requisito 3.7 del estándar exige que las claves criptográficas estén protegidas contra divulgação e uso no autorizado. En la práctica, cualquier solução de tokenização que quiera superar una auditoría con un QSA experto deve poder demostrar que la gestão de claves se realiza en un ambiente hardware con garantías físicas verificables, lo que na prática equivale a un HSM certificado.
El HSM en el vault de PCI Proxy EU: como protege los PAN
PCI Proxy EU utiliza HSM certificados para gerir las claves criptográficas del token vault. Cuando un comerciante envía un PAN para la tokenização, los dados se cifran con claves generadas e custodiadas en el HSM. El token devuelto al comerciante es una referência opaca que no contiene informação derivable del PAN original. Cuando el comerciante precisa el PAN para una autorização, envía el token e recibe el PAN encriptação para el tránsito hacia el PSP, sin que el dato transite nunca en claro por su propio ambiente.
Para el comerciante, esto significa no ter que adquirir, instalar e gerir un HSM propio. El hardware es gestionado por PCI Proxy EU, e la certificação PCI DSS Level 1 cubre el stack completo, incluida la capa HSM. El comerciante delega la parte tecnológicamente mais crítica e costosa de la infraestrutura de tokenização, manteniendo el control sobre los tokens e los fluxos de aplicação.
Preguntas frecuentes
Debo comprar un HSM para cumprir con el PCI DSS?
No necesariamente. La obligação del PCI DSS es proteger las claves criptográficas con controles adecuados. Si utilizas un fornecedor de tokenização certificado PCI DSS Level 1 que gere el HSM por ti, no necesitas adquirir hardware propio. El AOC del fornecedor demuestra a tu adquirente que la gestão de claves cumple los requisitos. El HSM propio apenas resulta relevante si gestionas el vault internamente.
Cuál es la diferencia entre HSM e criptografía por software?
La criptografía por software gere las claves en la memoria del servidor de aplicaciones: si el servidor queda comprometido, las claves quedan expuestas. El HSM aísla físicamente las claves en un dispositivo dedicado con protecciones hardware frente a la manipulação. Aunque un atacante obtenga acceso root al servidor, las claves en el HSM permanecen inaccesibles. La brecha de segurança entre ambos enfoques es sustancial, no meramente formal.
Un token vault sin HSM cumple el PCI DSS?
Técnicamente pode superar una auditoría con controles compensatorios, mas es cada vez mais difícil con las versiones recientes del estándar. Un QSA experto solicitará evidencias específicas sobre la gestão de claves. En la práctica, las soluciones de tokenização certificadas PCI DSS Level 1 utilizan todas HSM dedicados: se ha convertido en el estándar de facto para cualquier vault de producção que gestione PAN reales.
Vault con HSM certificado, sin infraestrutura que gerir. Descubre PCI Proxy EU.
Precisa de apoio na conformidade PCI?
A nossa equipa ajuda a mapear o seu CDE, escolher o SAQ adequado e implementar tokenização com residência de dados na UE.
Contacte-nos