银行和金融服务业面临着挑战-例如：PSD2。最重要的是，他们需要管理身份和访问管理、加密密钥管理、使用区块链、访问云并保持合规性。 

例如，用于支付HSMsis的技术在不断发展。出现了新的挑战，必须应对。由于支付系统是独特的，因此硬件供应商经常会发现自己在努力跟上市场发展的步伐。对于支付业，银行和金融服务公司而言，在不违反PCI法规要求的情况下对现有硬件安全模块（HSM）进行修改的需求已成为一种不可回避的现实。

本文介绍了什么是支付类HSM，它需要满足PCI硬件安全模块（HSM）规定的PCI合规性，以及获得PCI-HSM认证的重要性，并询问通用HSM之间的区别是否仍然存在及时

什么是支付类HSM？

支付行业，银行和金融服务公司依靠专门的支付HSM来安全地执行许多功能：

• 根据发卡机构持有的参考PIN验证用户输入的PIN

• 通过执行基于EMV的交易的主机处理职责或检查CSV来验证借记卡/信用卡交易

• 通过EMV支持crypto-API

• 重新加密PIN块以发送给另一个授权主机

• 执行安全密钥管理

• 支持POS ATM网络管理协议

• 支持主机-主机密钥/数据交换API标准

• 生成和打印“ PIN邮件”

• 生成磁条卡的PVV和CVV数据

• 生成卡密钥集并支持智能卡个性化过程

为什么要使用硬件安全模块？它的好处？

甲硬件安全模块（HSM）是一块计算机硬件的可添加到计算机或网络服务器。它通常以外部设备的硬件形式制成，可以通过电缆连接，也可以作为卡安装在计算机或服务内部。通常，这些设备不具有标准API。

一个HSM的功能是保护并与所需要的交易处理和通用功能的专用功能强大的认证管理数字密钥。它主要用于通过执行上一段中提到的活动来支持交易授权和支付卡个性化。

HSM通常保存在安全环境中。需要采取其他外部物理安全预防措施和保护措施，以防止可能危害HSM安全功能性质的未经授权的访问。

PCI安全标准

金融机构在十年前制定了一项安全标准，以提供一组有助于确保客户数据安全的最佳实践。该标准不是理论上的工作，而是通过实践证明的-它的每一行。如果执行该标准要求的所有过程，则可以达到相对较高的安全级别。确实，这并不意味着您不必思考……您仍然始终需要时刻注意安全！

如今，PCI对安全性的要求很高。所有与安全相关的设备以及工具和软件都必须满足这些要求。基于HSM的支付服务器必须满足支付卡行业安全标准委员会规定的PCI合规性安全要求。在PCI硬件安全模块（HSM）是从现有的ISO，ANSI，并与由金融业的适用于多芯片具有强大的安全和保障功能的设备，这其中包括公认的普遍接受和已知的最佳实践-沿着联邦制定的标准标准：

• 人身安全

• 逻辑安全

• 制造期间的设备安全性

• 制造商和初始密钥加载之间的设备安全性

为什么PCI-HSM认证至关重要？

如果我们有一些标准，我们还必须具有一些工具和实践以确保设备或软件符合要求。这些实践和工具需要应用于任何供应商的产品。这些工具和实践是名为“认证”的过程的一部分。认证过程是一个漫长的过程，包括以下步骤：

1. 根据详细规格构建的设备

2. 设备应通过所有测试 

3. 设备应能够抵抗任何可能的攻击

这是一项非常艰苦的工作。实际上，进行这些测试的独立实验室极大地提高了用户的安全性。但是，完成后，最终用户可以确定自己购买的是一款非常好的产品，可以满足高度的安全性要求。

处理卡付款需要极高的安全性，以防止破坏客户个人信息和收款人信息系统安全的违规行为。在PCI-HSM是解决这一问题早在2009年4月的第一个文档，它定义了一套HSM的支付行业特定的逻辑和物理安全标准。PCI HSM规范于2012年5月进一步更新。

除此之外，支付HSM市场上还有很多并购活动。旧的技术平台正在逐步淘汰，新的平台已引入。 

银行，保险提供商，二者之一的服务提供商以及Fintechs都必须保持最新，灵活并处理运行遗留系统的复杂性，同时节省成本-这几乎是不可能的任务。 

最重要的是，他们需要管理身份和访问管理，加密密钥管理，使用区块链，访问云并保持合规性。 

通用HSM 

当前，大多数通用HSM都遵循NIST开发的FIPS 140-2安全认证计划，以在整个支付基础架构中提供安全保证。

正式定义的安全级别

几年前，NIST创建了安全保证级别的正式定义。这些级别不足以完全满足当前的安全形势，但定义非常明确，并得到了实践证明。 

FIPS 1-4级

NIST的FIPS 140-2主张将最高级别应用于支付卡行业，银行和金融服务公司，以确保安全交易。此安全方案有四个级别，包括：

• Level 1：它是可应用于加密模块的最低安全性。此级别的安全性的唯一基础是它使用加密功能。

• Level 2：此级别下的模块具有篡改证据作为附加的安全功能。密码设备允许授权操作员在成功进行身份验证后打开封印并访问密钥。

• Level 3：此安全级别通过篡改检测和响应，对私钥对的增强保护以及基于身份的身份验证来衡量。 

• Level 4：这是最高级别的安全性，它适用于基于HSM的设备进行支付。为了被认证为4级设备，该模型必须具有防篡改功能，并在电压或温度等条件下提供环境故障保护。

支付类与通用类HSM的未来-或两者兼而有之？ 

从银行，行业的金融服务提供商或软件提供商，理想的HSM既可以做到，又可以做到：支付和通用功能。 

要做到这一点需要什么？ 

结论

目前，对PCI-HSM认证的需求对于保持PCI兼容基于HSM的支付系统并紧跟市场发展至关重要。支付类HSM认证为支付卡行业，银行和金融服务公司提供了维护信用卡和借记卡交易完整性的能力。随着支付处理行业不断发展以应对不断增长的安全问题，基于HSM的支付服务器和支付服务器将需要继续发展以解决这些问题。

揽阁信息可提供的部分安全产品和解决方案信息

联系揽阁信息，您可以获取到更多满足全球合规性要求的信息安全产品资料，以及相关的整体解决方案的相关资料。如：

• 数据库访问控制：揽阁LGPAC系统

• 通用HSM：Luna HSM、ProtectServer HSM

• 支付HSM：payShield 10K

• KMS产品：CipherTrust Manager、Vormetric、KeySecure

• 数据保护：应用层数据加密、数据库加密、令牌化（Tokenization）、透明加密

• 网络传输加密：Thales High Speed Encryption（HSE）

• 身份认证：STA、SAS、USB令牌、智能卡、OTP令牌、手机令牌、虚拟智能卡、FIDO2、读卡器

您还可以得到揽阁信息所提供的优质服务。

揽阁信息 · 值得您信赖的信息安全顾问！

相关阅读

• Luna HSM v7.8.4 和 Luna HSM Universal Client v10.7 现已推出

• 经验教训：2023年全球网络安全的五个要点

• 简化密钥和证书的审核和修复

• 揭示PKI动态：全球各地区技术趋势和监管见解

• 适合每位居民的欧盟数字身份钱包：利用HSM和开放标准SSCD