银行、收单方、处理方和涉及支付卡系统的所有其他参与者都必须遵守PCI PTS HSM。本文探讨了PCI PTS HSM标准的由来、历史、评估标准和最新版本。
支付卡行业安全标准委员会(PCI SSC)是一个国际理事机构,成立于2006年9月,代表万事达卡,美国运通,Visa,JCB International和Discover Financial Services等领先发卡机构的贡献。PCI SSC负责制定有关信息安全的标准。例如,PCI SSC开发的PCI DSS(支付卡行业数据安全标准)是一项全球公认的信息安全标准,用于防止信用卡欺诈和许多其他安全威胁/漏洞。PCI SSC的基础成员还强制遵守PCI标准。
硬件安全模块(HSM)是确保数字业务交易的数据机密性和/或完整性的最关键组件。如果损害了HSM,则整个业务解决方案的安全性和可信度将受到威胁。因此,为了保持对整个系统的信任,必须确保HSM和密钥管理生命周期是安全的。
HIPS安全评估的公认认证是FIPS 140-2(这是PCI PTS HSM要求的大部分依据),但是它仅涵盖使用过程中HSM的物理和逻辑安全要求。PCI SSC根据金融支付行业的安全需求设计了PCI PIN交易安全(PTS)HSM,这是在其整个生命周期(制造,交付,使用和退役)中保护HSM的标准。由HSM供应商同意。PCI PTS HSM提出了保护持卡人数据的操作和技术安全要求。它列出了所有安全要求,将根据该安全要求对HSM进行评估以获得PCI PTS HSM设备认证/批准。
PCI PTS HSM v3提出了各种安全要求,作为其验证/认证的最低可接受标准。所有指定的要求均来自相关的ANSI,ISO和NIST(FIPS)标准,这些标准已被金融支付行业接受为最佳实践,并被称为DTR(衍生测试要求)。PCI已使用降低风险的方法定义了这些要求,该方法可根据设计和制造HSM设备的可接受成本来确定相关收益。根据安全要求,HSM名称和型号会在PCI网站上列出。这些要求已分别分为四个不同的组和子组。
核心要求
物理安全要求
逻辑安全要求
政策与程序
密钥加载设备
远程管理
逻辑安全
具有消息认证功能的设备
具有密钥生成功能的设备
具有数字签名功能的设备
设备管理安全要求
制造期间的设备安全要求
制造商期间的设备安全要求和初始部署点
版本 | 描述 | 发布日期 |
1.0 | 初始发行 | 2009年4月 |
2.x | RFC版本 | 2012年2月 |
2.0 | 公开发布 | 2012年5月 |
3.x | RFC版本 | 2016年二月 |
3.0 | 公开发布 | 2016年六月 |
PCI PTS HSM 2.0版于2012年5月发布,目前正在积极使用中。随着现代威胁和漏洞的出现,PCI SSC感到需要通过在2016年6月发布更新的版本3.0来更新PCI PTS HSM。以下列表突出显示了更新后的规范中的主要且值得注意的变化:
为密钥加载设备和HSM平台的远程管理添加了批准类。
供应商提交的设备管理信息的验证。
HSM设备必须支持固件更新,并且固件必须对加载到设备中的应用程序(包括更新和配置更改)进行身份验证。
更新的指南规定必须使用NIST SP800-90A或ANSI X9.82的PRNG设计。
PCI PTS HSM通过提供指导和指导,在其整个生命周期中对HSM进行适当的保护来帮助HSM供应商,并且必须由HSM供应商来遵守。除了从制造阶段到初始部署的要求外,大多数PCI PTS HSM认证要求都源自FIPS 140-2。
PCI HSM认证合规性的范围涵盖了许多付款流程,包括PIN处理、卡生产/验证、ATM交换、现金卡重装和密钥生成。PCI PTS HSM的评估标准列出了各种安全要求,这些安全要求分为四个评估模块,分别称为核心要求、密钥加载设备、远程管理和设备管理安全要求。这些要求是PCI PTS HSM 3.0版认证的最低可接受标准。
联系揽阁信息,您可以获取到更多满足全球合规性要求的信息安全产品资料,以及相关的整体解决方案的相关资料。如:
数据库访问控制:揽阁LGPAC系统
通用HSM:Luna HSM、ProtectServer HSM
支付HSM:payShield 10K
您还可以得到揽阁信息所提供的优质服务。
揽阁信息 · 值得您信赖的信息安全顾问!