Мы занимаемся информационной безопасностью

Thales HSM

Аппаратные модули безопасности

HSM Thales payShield 9000

Thales payShield 9000 – HSM, разработанный Thales e-Security специально для платежных приложений. Этот модуль обеспечивает защиту таких операций как: проверка PIN-кодов, платежные транзакции, выпуск платежных карт, а также управление ключами шифрования. payShield 9000 – самый популярный в мире модуль защиты платежных систем, с его помощью осуществляется более 80% от мирового объема транзакций по платежным картам.

Thales payShield 9000 – это внешнее периферийное устройство для серверов и мейнфреймов, отвечающих за программные приложения для электронных платежей, обеспечивающее безопасность платежных транзакций через банкоматы или POS-системы. Криптографические механизмы шифрования и инструментарий управления, реализованные в payShield 9000, соответствуют требованиям безопасности, предъявляемым основными международными платежными программами, включая MasterCard, Visa, American Express, Discover и JCB, и даже превосходят эти требования.

Модуль payShield 9000 сертифицирован на соответствие стандарту FIPS 140-2 Level 3. Также доступна конфигурация, соответствующая спецификации PCI HSM v1.0, разработанной Советом по безопасности платежных систем PCI Security Standards Council.

thales_pay_shield.png


Возможности payShield 9000

  • Сертифицированная полноценная система безопасности, разработанная специально для платежных систем;
  • Готовое решение для обеспечения безопасности большинства наиболее распространенных платежных приложений;
  • Непрерывность бизнес-процессов благодаря резервированию ключевых узлов, возможности «горячей замены», поддержке кластеризации и отказоустойчивости высокого уровня;
  • Простая интеграция и эксплуатация, сокращение затрат на обслуживание системы благодаря возможности выбора опций лицензирования для эмитентов, процессинговых центров и покупателей;
  • Широкий выбор конфигураций и гибкая масштабируемость позволяют пользователям покупать только те функции, которые действительно нужны.

Функции обеспечения безопасности

  • Сертификация отдельных конфигураций по стандарту безопасности PCI HSM позволяет компаниям заранее спланировать переход к работе в инфраструктуре соответствующей требованиям данного стандарта, которые в скором будущем станут обязательными для платежной индустрии;
  • Возможность иметь множество локальных мастер-ключей (LMK) в пределах одного HSM обеспечивает криптографическую изоляцию различных приложений, использующих один модуль. Это идеально подходит для сервисных бюро банков, позволяя разделять базы ключей шифрования для разных клиентов;
  • Опционально доступно устройство управления ключами шифрования (KMD), которое позволяет сотрудникам службы безопасности управлять компонентами ключей, восстанавливать ключи шифрования и перемещать их в высокозащищенную среду модуля без необходимости физического контакта с HSM;
  • Возможности для аудиторской проверки по безопасности удовлетворяют современным стандартам в банковской индустрии и обеспечивают уверенность в том, что все действия, производимые в HSM, фиксируются и могут быть проанализированы.

Преимущества Thales payShield 9000

  • Опционально доступный режим удаленного доступа Remote HSM Manager позволяет сократить операционные расходы и дает возможность сотрудникам службы безопасности из центрального офиса управлять модулями на местах в удаленном режиме;
  • Статистика использования дает пользователям возможность контролировать выполненные в системе действия за любой период, помогая планировать производственные мощности и избегать узких мест в производительности;
  • Высокая гибкость использования модуля благодаря двойной системе энергоснабжения и двум портам Ethernet обеспечивает максимальный срок службы и и делает удобным использование в центрах обработки данных;
  • Обновление посредством апгрейда программной составляющей и возможность выбора необходимых функций позволяют организациям получить максимальную выгоду от их инвестиций в систему безопасности и удовлетворить самые специфические требования, предоставляя доступный, безопасный и надежный инструмент защиты.

Базовые программные пакеты

В payShield 9000 имеется ряд стандартных программных пакетов, что позволяет пользователю выбрать именно те функции, которые он планирует использовать. Сегодня базовые пакеты включают приложения для обработки транзакций, выпуска пластиковых карт с магнитной полосой и пластиковых карт стандарта EMV (Europay, MasterCard, Visa), а также реализации мобильных платежей.

Дополнительные программные лицензии

Помимо базовых программных пакетов, также доступны опциональные функции, которые можно добавить посредством покупки дополнительных лицензий. Дополнительные лицензии можно приобретать и инсталлировать на протяжении всего жизненного цикла модуля. Среди дополнительных функций можно назвать следующие: аутентификация пользователей, защита данных, улучшенная система управления ключами (включая поддержку нескольких ключей LMK на одном модуле), учет региональных особенностей платежных систем, печать PIN-конвертов.

Модификации

Для модуля payShield 9000 доступно несколько уровней производительности, определяемых установленными лицензиями. Поскольку объемы транзакций могут расти, у пользователей есть возможность добавить в систему дополнительные модули HSM в соответствии с изменившейся нагрузкой, либо, если это еще возможно, увеличить производительность существующих HSM посредством установки специальной лицензии. Апгрейд производится только в программной части модуля и не требует никаких изменений в самом оборудовании.

Удаленный менеджер HSM

Аппаратный модуль payShield 9000 может управляться как при помощи стандартного ПО Local HSM Manager, требующего непосредственного подключения к модулю, так и удаленно, при помощи программы Remote HSM Manager, устанавливаемой на удаленном компьютере или ноутбуке. Это позволяет выполнять все административные задачи удаленно, из центра управления данными.

Устройство управления ключами

Устройство управления ключами (KMD) – это портативный прибор, позволяющий формировать ключи из составных частей в высоко защищенной среде без необходимости устанавливать физическое соединение с модулем HSM.

Менеджер безопасности ресурсов (Security Resource Manager) для хост-систем Tandem

Tandem SRM – это программное приложение, которое работает в хост-системе Tandem. Tandem SRM – это интерфейс обмена данными между платежными приложениями и банковскими HSM. Основное назначение SRM – обеспечивать балансировку нагрузки и простой обмен данными между приложениями через простой интерфейс. При этом нет необходимости управлять комплексом HSM – создается единый логический ресурс для модулей, участвующих в процессе.

Менеджер безопасности ресурсов (Security Resource Manager) для хост-системы IBM

IBM SRM – это программное приложение, которое работает в хост-системе IBM. IBM SRM - это интерфейс обмена данными между платежными приложениями и банковскими HSM. Основное назначение SRM – обеспечивать балансировку нагрузки и простой обмен данными между приложениями через простой интерфейс. При этом нет необходимости управлять комплексом HSM – создается единый логический ресурс для модулей, участвующих в процессе.

Дополнительные смарт-карты

Каждый payShield 9000 поставляется с комплектом пустых смарт-карт для компонентов локальных мастер-ключей (LMK) и тестовыми картами с LMK. Также доступны дополнительные комплекты по 6 карт, позволяющие реализовать индивидуальные пользовательские конфигурации в случае, если необходимо большее количество карт для удовлетворения требований безопасности и операционной эффективности взаимодействия нескольких центров обработки данных. Смарт-карты совместимы со всеми платежными HSM семейства Thales – payShield 9000, HSM 8000, RG7000.

Стеллажи и комплект направляющих

Пользователи могут выбрать из широкого ассортимента стеллажей разной высоты наиболее подходящие под их требования. Также доступны комплекты направляющих для установки модулей payShield в стеллажи стандартных размеров.

Замена замков и ключей

payShield 9000 оснащен 2-мя высоконадежными замками, расположенными на передней панели. Замки тщательно контролируются и регистрируются на этапе производства и недоступны в свободной продаже. В гарантийное обслуживание payShield, предоставляемое Thales, входит замена замков и изготовление дополнительных ключей в том случае, если они повреждены или утеряны.

Кабели

На задней панели модуля payShield 9000 расположены USB-порты для подключения периферийных устройств, таких как консоли или принтеры. В аппаратных модулях HSM 8000 предыдущего поколения использовались порты для принтеров с интерфейсами RS-232 или Centronics . Для пользователей, желающих использовать кабели со старыми интерфейсами, Thales представляет адаптеры, которые позволят подсоединять их к USB-разъемам.

Управление ключами

  • Большое количество локальных мастер-ключей (LMK) для разделения типов ключей, приложений и клиентских данных
  • Тестовый LMK для не производственных задач
  • Блоки ключей Thales (в соответствие с ANSI X.9; X.9 TR-31)
  • Поддержка блоков ключей X.9 TR-31
  • Публичные ключи RSA
  • Ключи DUKPT для защиты PIN-кодов
  • Схема основного/сеансового ключей
  • Схема ключей транзакций Racal
  • Поддержка AS2805

Поддержка механизмов криптографии

  • DES и Triple-DES (2 и 3 ключа)
  • AES (128, 192 и 256 бит)
  • RSA (до 2048 бит)
  • FIPS 198-1, MD5, SHA-1, SHA-2

Производительность

  • Диапазон производительности до 1500 операций (Triple-DES операций с PIN блоками)
  • Многопоточный режим работы для оптимизации производительности
  • Кластеризация при помощи приложения Security Resource Manager

Подключение хостов

  • Асинхронное (v.24, RS-232)
  • TCP/IP и UDP (10/100/1000 Base-T)
  • FICON

Сертификация

  • 140-2 Level 3, 46, 81, 180-3, 186-3, 198
  • PCI HSM v1
  • APCA
  • MEPS
  • NIST SP800-20, SP800-90(A)

Поддержка стандартов финансовой индустрии

  • ISO 9564, 10118, 11568, 13491, 16609,
  • ANSI X3.92, X9.8, X9.9, X9.17, X9.24, X9.31, X9.52, X9.97
  • X9 TR-31, X9 TG-3/TR-39, APACS 40 & 70, AS2805 Pt 14
  • Список постоянно расширяется

Работа с платежными картами

  • Функции проверки PIN-кодов и карт American Express/MasterCard/VISA
  • Транзакции и сообщения EMV.3Х и 4Х (включая смену PIN)
  • Удаленная загрузка ключей в банкоматы NCR, Diebold и Wincor Nixdorf
  • Платформа безопасности Europay Security Platform
  • Интеграция с большинством существующих банковских приложений

Средства управления

  • Графический пользовательский интерфейс (GUI) для стандартного программного обеспечения через Ethernet; поддержка локальных и удаленных режимов
  • Кластеризация посредством приложения Security Resource Manager (SRM)
  • SNMP
  • Встроенный журнал ошибок

Функции безопасности

  • Двухфакторная аутентификация при помощи смарт-карт
  • Два физических замка и изменение режимов работы с помощью смарт-карт
  • Взломоустойчивый корпус, соответствующий требованиям FIPS 140-2 Level 3
  • Контроль попыток снятия крышки, датчики движения, напряжения и температуры
  • Возможность отключения хостовых команд, не востребованные приложениями
  • Журналы аудита

Физические характеристики

  • Габариты: 2U для монтажа в 19” серверную стойку
  • 85х478х417 мм
  • Вес 7.3 кг с одним блоком питания, 7.5 – с двумя
  • Напряжение: 100-240V
  • Частота: 40-63Гц
  • Потребляемая мощность: 100В
  • Температура эксплуатации: 10…40С°
  • Влажность: 10-90% (без конденсации)