THALES CPL

Общая ИнформацияPayShield 9000PayShield 10KPayShield ManagerPayShield MonitorTrusted Management DeviceVormetric PlatformGemalto (SafeNet)

 

 

 

ООО «Потенциал» является партнером максимального уровня PLATINUM компании Thales CPL (Cloud Protection and Licensing), мирового лидера по продуктам и решениям в области криптографической защиты информации.

В 2019 году к линейке продуктов Thales добавились продукты компании Gemalto (SafeNet).

Решения Thales широко используются для криптографической защиты банковских и платежных систем, включая защиту электронных и мобильных платежей, Интернет-транзакций, операций с банковскими картами, для выпуска и обслуживания платежных карт, для систем строгой аутентификации, а также для построения систем безопасности любой сложности с целью защиты данных организации любого размера.

Потенциал поставляет и обслуживает:

  • Специализированный «платежный» HSM — Thales payShield 10K
  • Специализированный «платежный» HSM — Thales payShield 9000
  • Решение для удаленного управления HSM — payShield Manager
  • Решение для мониторинга HSM — payShield Monitor
  • Устройство управления ключами -payShield Trusted Management Device (TMD)
  • Программно-аппаратную платформу для криптографической защиты данных организации — Thales CipherTrust Data Security Platform
  • Оборудование и программное обеспечение компании Gemalto (SafeNet)

Специалисты компании оказывают услуги по интеграции и технической поддержке продукции Thales.
Потенциал проводит учебные курсы по HSM payShield 10K на русском языке.

payShield 9000 – самая популярная в мире линейка высокопроизводительных платежных HSM (Host Security Modules). Более 80% мировых транзакций по платежным картам проводится с использованием Thales payShield HSM.

Модули payShield 9000 служат криптографической основой построения инфраструктуры безопасности финансовых, платежных, биржевых и страховых систем, систем выпуска и обслуживания пластиковых карт, электронных и мобильных платежей.

  • Функциональность модулей payShield 9000 полностью покрывает потребности выпуска и обслуживания карт МПС Visa, MasterCard, Amex, Union Pay, JCB, МИР, а также других, включая локальных, национальных и частных платежных систем
  • Реализована поддержка HCE (Host Card Emulation) в «облачных» инфраструктурах MCBP, VCBP и им подобных
  • Поддерживаются применяемые в платежной индустрии алгоритмы шифрования: T-DES, RSA, AES
  • Производительность модулей изменяется лицензионно «на лету» и бывает 20, 50, 220, 800, 1500 транзакций в секунду (tps)
  • Thales payShield 9000 сертифицирован по международным стандартам безопасности FIPS 140-2 level 3 и PCI-HSM v1

 

Производительность модулей, их функциональность, набор криптографических алгоритмов, используемых HSM payShield 9000, полностью определяется лицензиями программного обеспечения модулей.

Модули поддерживают параллельные и конвейерные крипто-вычисления, а полная пропускная способность модулей может превышать 8500 tps!

Полная функциональность стандартных версий математики payShield 9000 содержит более 300 разнообразных команд, распределенных по нескольким пакетам и более чем по 50 лицензиям. Каждая же конкретная процессинговая система редко использует более 10% существующей функциональности HSM.

Богатейший опыт специалистов Потенциал позволит Вам выбрать оптимальную конфигурацию модулей как по соотношению цена-производительность-функциональность, так и с точки зрения безопасности.

 

 

 Data Sheet payShield 9000 (RUS)
Материал для разработчиков:
 Пример использования хостовых команд HSM PayShield 9000

payShield 10K – пятое поколение платежных HSM от Thales, пришедшее на смену модулям безопасности payShield 9000. На протяжении более чем 30 лет платежные модули Thales используются сервис-провайдерами, эквайерами, эмитентами, процессинговыми центрами, локальными и международными платежными системами для криптографической защиты банковских и платёжных систем.

Сценарии использования
  • Эмиссия платежных средств – платежные карты, мобильные устройства (secure element), носимые устройства, HCE (Host Card Emulation) в «облачных» инфраструктурах MCBP, VCBP и им подобных
  • Обработка ПИН-кода
  • Шифрование точка-точка (P2PE)
  • Токенизация (для соответствия PCI DSS)
  • EMV-токенизация
  • Авторизация карточных и мобильных платежей
  • Управление ключами POS, mPOS и SPoC
  • Проверка криптограмм EMV транзакций
  • Удаленная загрузка ключей
Поддержка карточных и мобильных платежей

payShield 10K обладает полным набором функций для работы с международными платежными системами (Visa, Mastercard, American Express, Discover, JCB, UnionPay, МИР), включая:

  • Проверка ПИН-кода и секретного кода карты (CVV, CVC)
  • Авторизация EMV-транзакций
  • Управление ключами и авторизация мобильных транзакций
  • Удаленная загрузка ключей (RKL) в банкоматы и платежные терминалы (ATM и POS)
  • Управление ключами Mastercard On-behalf (OBKM)
  • Подготовка данных и персонализация карт с магнитной полосой и EMV, включая персонализацию мобильных устройств
  • Генерация и печать ПИН-кодов
Криптографические алгоритмы
  • DES и Triple-DES с длиной ключа 112 и 168 бит
  • AES с длиной ключа 128, 192 и 256 бит
  • RSA (до 4096 бит)
  • ECC как определено в FIPS 186-3 (P-256, P-384 & P-521)
  • HMAC, MD5, SHA-1, SHA-2, SHA-224, SHA-256, SHA-384 и SHA-512
Стандарты финансовых сервисов
  • ISO: 9564, 10118, 11568, 13491, 16609
  • ANSI: X3.92, X9.8, X9.9, X9.17, X9.19, X9.24, X9.31, X9.52, X9.97
  • ASC X9 TR-31, X9 TR-34, X9 TG-3/TR-39
  • APACS 40 & 70
Аппаратная безопасность
  • Взломоустойчивый корпус в ответственном исполнении
  • Мгновенное удаление секретной информации при обнаружении атаки
  • Датчики тревоги на движение (встряску), напряжение тока и температуру
Логическая безопасность
  • Две схемы Локальных мастер ключей (LMK) – вариантная и ключевых блоков (variant и key block)
  • Двухфакторная аутентификация (2FA) офицеров безопасности с использованием смарт-карт
  • Авторизация с двойным контролем — физические ключи или смарт-карты
  • Максимальные настройки безопасности активированы по умолчанию
  • Детальный защищенный аудит-лог
  • Поддержка TLS (SSL)
Модели и опции
  • Производительность – 25, 60, 250, 1000, 2500 и 10000 вызовов в секунду (cps)
  • PS10-S два хостовых порта по 1 Гбит/с
  • PS10-D два хостовых порта по 10 Гбит/с, платиновые блоки питания
  • PS10-F FICON один хостовый порт, платиновые блоки питания
  • Два заменяемых «на лету» (hot-swappable) блока питания и вентилятора охлаждения
  • Удаленное графическое управление и мониторинг с payShield Manager и payShield Monitor
  • Безопасная работа с чистыми ключами с payShield Trusted Management Device (TMD)
  • Шифрование с сохранением формата (FPE)
  • Несколько LMK – до 20 отдельных LMK на один модуль (по умолчанию 2)
Сертификаты безопасности
  • FIPS 140-2 Level 3 (security sub-system)
  • PCI HSM v3 (выборочные версии ПО) включая RAP (удаленное управление)
  • PCI HSM v3 KLD (для payShield TMD) (устройство загрузки ключей)
Физические характеристики и условия эксплуатации
  • Форма-фактор: 1U 19″ (для монтажа в стойку)
  • Размеры: 482,6 x 736,6 х 44,5 мм (в коробке 60 х 98 х 24 см)
  • Вес: 15,9 кг (в коробке 22 кг)
  • Электропитание: от 90 до 264 В
  • Потребляемая мощность: 80 Вт (максимум)
  • Диапазон рабочих температур: от 0 °С до 40 °С
  • Диапазон транспортировочных температур: от -25 °С до 70 °С
  • Диапазон температур хранения: от -5 °С до 45 °С
  • Влажность: от 10% до 90% (без конденсата)

payShield Manager — это лицензия для удаленного и локального управления модулями payShield 9000 и payShield 10K через графический интерфейс стандартного web-браузера.

Решение предоставляет аналогичный уровень безопасности для работы с HSM, как и подключение по локальной консоли и позволяет осуществлять все доступные операции с модулями, находящимися в ЦОД-ах или на удаленных площадках, без необходимости физического доступа.

payShield Monitor — платформа мониторинга, разработанная Thales специально для линейки криптографических модулей payShield HSM, которая предоставляет централизованный графических интерфейс мониторинга HSM в режиме 24х7.

Платформа позволяет офицерам безопасности и обслуживающему персоналу в режиме реального времени получать данные о конфигурации, доступности, статусу и загрузке (утилизации ресурсов) как отдельного криптомодуля, так и любой настроенной группы модулей.

Особенности:

  • Мониторинг в режиме 24х7 всех модулей payShield HSM
  • Выявление узких мест в производительности системы (performance bottlenecks) для планирования повышения производительности или балансировки нагрузки модулей
  • Возможность быстрого реагирования на события (alerts) благодаря настроенной системе оповещения
  • Отсутствие необходимости в физическом доступе к модулям для снятия важной информации с HSM
  • Легкое развертывание и подключение мониторинга для парка HSM

payShield Trusted Management Device (TMD) – компактное защищенное криптографическое устройство (SCD) для безопасной загрузки криптографических ключей (Secure key loading device — KLD) в соответствии с новым требованиям PCI.

payShield TMD обеспечивает безопасное, гибкое и эффективное управление криптографическими ключами для платежных HSM.


Для обмена рабочими ключами (PVK, CVK, …) между сторонами (например Эквайером, Свитчем, МПС) используются Зональные Мастер Ключи (ZMK, KEK). Обмен ZMK производится путем разделения его на чистые компоненты (обычно 3) с дальнейшим индивидуальным вводом этих компонент в процессинговую систему доверенными сотрудниками.

Ранее для сборки ZMK было допустимо вводить чистые компоненты напрямую в HSM используя консольный интерфейс ПК. Однако текущий PCI PTS (v3) стандарт требует использования т.н. Безопасного Криптографического Устройства (SCD) для работы с чистыми компонентами, чтобы они никогда не появлялись в памяти ПК в открытом виде (вне secure key loading facility).

payShield TMD позволяет безопасно управлять ключами и их компонентами (генерировать, разбивать, собирать), что соответствует текущим PCI требованиям и стандартам (X9 TR-31, ANSI X9.24-1 и PCI PIN Security).


Обмен ключами между TMD и HSM происходит под т.н. Master ZMK (MZMK). TMD не требует доступа к LMK HSM.

ZMK из компонент можно собрать на самом TMD и сразу загрузить его криптограмму в БД процессинга (без сборки ZMK на HSM).

Одно устройство payShield TMD может управлять ключами сразу для нескольких платежных HSM, распределенных по ЦОДам, что позволяет процессинговым компаниям оперативно и безопасно генерировать и обмениваться сотнями ZMK и KEK, исключая ошибки при ручном вводе текстовых данных.

Особенности:

  • Сертифицировано как Key Loading Device (KLD) для PCI HSM v3
  • Secure cryptographic device (SCD) для PCI PIN Security
  • Способы обмена ключами: QR-код, смарт-карты, USB-токены и на бумажной печатной ленте
  • Совместимо с HSM, поддерживающими TR-31 / X9.143 (Thales payShield 10K и payShield 9000)
  • Удобный сенсорный дисплей 7 дюймов
  • До 20 MZMK на 1 TMD

Data Sheet Trusted Management Device

Vormetric Data Security Platform — программно-аппаратная платформа от Thales, позволяющая легко и эффективно управлять безопасностью всех хранимых и обрабатываемых данных организации.

Vormetric построена в виде модульного решения, состоящего из нескольких отдельных продуктов, которые могут быть развернуты по отдельности либо совместно для предоставления сервисов криптографической защиты данных (шифрования), маскирования, токенизации и централизованного управления ключами.

Функции управления криптографическими ключами вынесены отдельно в аппаратный модуль безопасности, сертифицированный по международному стандарту FIPS 140-2, либо в виртуальный модуль.

Основные компоненты решения:

  • Data Security Manager (DSM) – центральный модуль, отвечающий за хранение и предоставление ключей для работы приложений
  • Vormetric Transparent Encryption (VTE) agent – драйвер файловой системы для шифрования данных

Предоставление доступа к данным переходит от системных администраторов к офицерам безопасности, которые раздают доступ к ключам шифрования пользователям в соответствии с их бизнес-задачами

Дополнительные компоненты:

  • Live Data Transformation (LDT) – механизм, позволяющий исключить простой на время внедрения шифрования данных
  • Tokenization with Dynamic Data Masking – механизм для токенизации и динамического маскирования данных
  • Vormetric Application Encryption – SDK для встраивания шифрования в приложения
  • Vormetric Key Management (VKM) – KMIP-совместимый механизм управления ключами
  • Vormetric Security Intelligence — взаимодействие с SIEM решениями (LogRythm, IntelSecurity, SolarWind, FireEye, Splunk, HP ArcSight)
  • CipherTrust Cloud Key Manager – управление криптографическими ключами для Salesforce, Microsoft Azure, AWS

 

 

 

 

 

 

 

 

 

 

Криптографические модули «общего назначения»:

 

Аутентификация и Управление Доступом (Authentication & Access Management):

Построенный на титулованном сервисе многофакторной аутентификации от Gemalto, SafeNet Trusted Access предоставляет интуитивный сервис для управления доступом для облачных и web-приложений с single sign-on (SSO) и легко настраиваемыми на основе сценариев политикам доступа.

Gemalto предлагает полный спектр решений для строгой многофакторной аутентификации, а именно:

— Authentication as a Service (AaaS) / Аутентификация как Сервис
— Authentication Management / Сервер Аутентификации для развертывания внутри организации (On-Premises)
— Authenticators – Tokens, Smart Cards & Other Form Factors / Токены Аутентфикации (USB, Смарт-карты, OTP-токены (одноразовые пароли), Приложения для Мобильных устройств)