您当前的位置:   首页 > 新闻中心
PCI PTS HSM v1到期,向v3过渡的准则
发布时间:2019-10-16 08:47:15   阅读次数:

PCI PTS HSM v1到期,向v3过渡的准则

公司组织和银行通过使用电子商务扩展了其在全球的业务,该电子商务受到各种安全服务的保护,例如身份,应用程序之间的加密,解密和强身份验证。用于保护业务交易的主要密码安全控制是硬件安全模块HSM)。


企业部署HSM来保护客户和业务交易。明确认为,HSM在每个阶段都可以保护加密密钥的生命周期。HSM管理来自对手和未经授权的实践的加密密钥的逻辑和物理安全性。从HSM的部署是PCI DSS验证的强制性要求这一事实可以理解HSM的重要性。本文启发了PCI PTS HSM验证的1.0版到期以及最新的可用标准3.0版。


PCI SSC和PCI DSS

PCI SSC(支付卡行业安全标准委员会)是由万事达卡、美国运通、Visa、JCB International和Discover Financial Services合资成立的理事机构。它的任务是管理PCI的发展,并使公司的政策与PCI DSS(支付卡行业数据安全标准)保持一致,后者是一种信息安全标准,可防止信用卡诈骗和众多其他安全威胁与漏洞。信用卡/借记卡提供商公司/公司(例如MASterCard和Visa等)实施PCI DSS中指定和建议的机制和安全控制。存储,处理和传输卡信息的实体也实现PCI DSS。


PCI PTS和HSM验证

由于HSM是负责业务交易的数据机密性和/或完整性的最重要的组成部分,因此如果损害了HSM,整个业务的安全性便会受到威胁。PCI SSC提出了HSM在其整个生命周期(制造,交付,使用和退役)中的要求,HSM供应商应将其称为PCI PTS(引脚事务安全性)HSM“模块化安全性要求”。


PCI PTS是保护持卡人数据的操作/技术安全要求。所有存储,处理或传输持卡人数据的组织都必须遵守此标准。这些要求的主要目的不是消除业务欺诈的可能性,而是减少其可能性并限制其重要性。


它列出了所有安全要求,将根据该安全要求对HSM进行评估,以获得PCI PTS HSM设备认证/批准。HSM支持各种应用程序,例如持卡人身份验证,支付处理和加密密钥管理等。


PCI PTS HSM版本1.0到期

PCI PTS HSM版本1.0于2009年4月发布,各种HSM和加密模块已针对该标准进行了验证。但是PCI SSC发布了公众信息,指出针对PCI PTS HSM 1.0版进行了验证的设备的批准已于2019年4月30日到期。


由于HSM验证是在非常老的PCI PTS HSM 1.0版本上进行的,因此HSM设备可能无法承受最新一代的攻击,因此应尽快用具有最新标准验证的HSM代替。


PCI SSC网站还维护批准的PTS设备列表,并且过时的设备也已从批准的列表中删除。


PCI SSC还建议金融机构、贸易商、供应商(制造或使用HSM的每个点)和PTS HSM v1.0设备的用户协调其对提供最新批准的HSM模型的支持。


PCI PTS HSM版本3.0

PCI PTS HSM版本3.0是2016年6月发布的最新标准。


PCI PTS HSM要求和验证包括以下领域:

  1. PIN处理 

  2. 卡验证

  3. 3-D安全

  4. 远程FTP

  5. 卡制作和个性化

  6. ATM交换

  7. 数据的完整性

  8. 现金卡充值

  9. 密钥生成

  10. 芯片卡交易处理

  11. 钥匙注入

自从提出这些要求以来,它们一直被用作最低可接受标准,因为PCI已使用降低风险的方法定义了这些要求,该方法可根据设计和制造HSM设备的可接受成本来确定相关的收益。所有指定的要求均来自当前的ANSI,ISO和NIST标准,这些标准已被金融支付行业公认为/接受为最佳实践。



揽阁信息可提供的部分安全产品和解决方案信息

联系揽阁信息,您可以获取到更多满足全球合规性要求的信息安全产品资料,以及相关的整体解决方案的相关资料。如:


您还可以得到揽阁信息所提供的优质服务。

揽阁信息 · 值得您信赖的信息安全顾问!


相关阅读

购买咨询电话
021-54410609