发布日期:2026-03-25 浏览次数:
Thales payShield HSM(以硬件安全模块)为根信任,通过密钥永不明文落地、多方拆分生成、集中化生命周期管理、强审计、职责分离,完整覆盖 PCI DSS 4.0 对密钥从生成、存储、分发、使用、轮换、撤销到销毁的全生命周期要求,可直接通过支付机构 PCI PIN、PCI HSM 合规审计。
重点覆盖:
3.6 / 3.7:密钥的生成、分发、存储、使用、轮换、撤销、销毁
12.3.3:职责分离、访问控制、审计
以下将按密钥全生命周期逐条对应 payShield 能力。
PCI DSS 要求
必须使用强加密算法
必须使用密码学安全的随机数
根密钥 / 主密钥必须由多人参与生成,不可由单人掌握
payShield 实现
硬件真随机数发生器(NIST SP 800-90A/B)
支持 3DES、AES-128/256、RSA、ECC、SM4(国密)
LMK 本地主密钥多方智能卡拆分生成(如 3/5 门限)
明文密钥永不离开 HSM
合规结论:完全满足 3.6.1、3.6.2、3.6.3
PCI DSS 要求
密钥不能明文存储
主密钥必须加密存储,防窃取、防导出
备份必须安全、受控、离线
payShield 实现
所有密钥以 LMK 加密密文 存储在 HSM 安全存储区
密钥无法明文导出
备份密钥以组件拆分形式存在智能卡 / 加密介质
多 LMK 隔离,支持多租户密钥域
合规结论:完全满足 3.6.4、3.6.5
PCI DSS 要求
密钥传输必须加密
禁止明文网络传输
加载过程必须受控、可审计
payShield 实现
支持 TR-31 密钥块、TR-34 非对称安全分发
远程密钥加载 RKL,无需现场持卡
全程加密通道,密钥不落地
操作必须智能卡 + PIN + 权限三重校验
合规结论:完全满足 3.6.6
PCI DSS 要求
密钥用途必须严格区分(加密、PIN、MAC、签名等)
禁止越权使用
最小权限原则
payShield 实现
密钥类型强绑定:ZMK、PEK、PVK、IMK、MAC 等不可混用
硬件内执行 PIN 验证、加密、签名、验签
明文永不暴露给主机 / 操作系统
合规结论:完全满足 3.6.7、12.3.3
PCI DSS 要求
密钥必须定期轮换
轮换过程不能中断业务
保留历史密钥用于对账 / 回溯
payShield 实现
支持定时 / 自动轮换
多版本密钥共存,平滑切换
CKMS 集中化批量轮换
历史密钥可归档、不可篡改
合规结论:完全满足 3.6.8
PCI DSS 要求
密钥泄露 / 过期必须立即失效
必须记录撤销原因与时间
payShield 实现
一键标记密钥失效 / 撤销
HSM 立即拒绝使用
所有操作记入审计日志
合规结论:完全满足 3.6.9
PCI DSS 要求
销毁后不可恢复
必须有销毁记录
纸质 / 电子介质必须安全销毁
payShield 实现
HSM 安全擦除,数据不可恢复
密钥组件智能卡可物理销毁
销毁操作全审计留痕
合规结论:完全满足 3.6.10、3.6.11
PCI DSS 要求
密钥管理员、操作员、审计员必须分离
不能单人完成全流程
双因素认证
payShield 实现
RBAC 细粒度权限
操作必须双人授权
智能卡 + PIN + 角色三要素
审计员只读不可操作
合规结论:完全满足 12.3.3
PCI DSS 要求
所有密钥操作必须记录
日志不可篡改
保留至少 1 年
payShield 实现
硬件级防篡改日志
记录:谁、何时、何地、做了什么、结果
支持 syslog/SIEM 对接
合规结论:完全满足 10.2、10.7
揽阁信息是Thales的重要合作伙伴,已经为众多客户提供了payShield 10K HSM、payShield Cloud HSM产品和解决方案。想了解更多详情,欢迎联系我们。
揽阁信息 · 值得您信赖的信息安全顾问!
沪公网安备31011202021337号 网站地图
友情链接: Thales官网 芯片产品网站 服务热线
