Двухточечное шифрование: актуальные проблемы

Защита данных в точке захвата (буквально при первой возможности, где вы можете защитить данные) может оказать огромное влияние в плане объема работ по соблюдению нормативов и стандартов безопасности. Хотя всегда лучшим советом будет «если вам не нужны данные, то или избавьтесь от них или не трогайте их из того места, где они сейчас находятся», но все же этот подход не всегда практичен; и вслед за ним может пойти следующий совет: «шифруйте данные по возможности сразу и храните их в зашифрованном виде, и передавайте их в зашифрованном виде только по одному каналу связи из конца в конец». Этот принцип может быть применен ко многим различным типам данных, но концепция снижения объема работы по соблюдению стандарта PCI DSS путем шифрования данных о держателях карт и их счетах предоставляет очень уместный пример того, насколько это важно; а это настолько важно, что «Совет стандартов безопасности PCI» дал этому процессу название «двухточечное шифрование» (P2PE) и в конце 2011 года издал специальное руководство для определения области его применения. В рамках этого подхода данные о счетах шифруются непосредственно в точке приема (в банкомате, в торговой точке, в ресторане или на вебсайте) и защищаются по мере того, как поток данных проходит через ИТ-системы торговых организаций и проходит дальше по цепи платежной системы. Эти данные лишаются защиты (расшифровываются), только когда это будет нужно в связи со специфическими бизнес-процессами, у которых нет иного выбора, как получить доступ к первоначальным данным о счетах, а в течение любых других периодов времени данные существуют только в защищенном состоянии.

Читать далее

P2PE – это действительно специальный случай шифрования на уровне приложения, где шифрование применяется селективно внутри бизнес-приложения – в данном случае это терминал, установленный в торговой точке (POS). Если процесс P2PE выполняется правильно, то в отношении данных, которые шифруются внутри безопасного криптографического устройства (SCD), такого как терминал POS, и не шифруются совсем внутри среды торговой организации, то у торговой организации есть потенциал быть полностью освобожденной от забот по соблюдению стандарта PCI DSS. В организации должен существовать строгий контроль защиты криптографических ключей и доступа к ним; фактически для защиты доступа к этим ключам современное руководство требует использования аппаратных защитных модулей (HSM) с соответствующим рейтингом безопасности. Приобретатели и другие участники цепи проведения платежей, уже начали выводить на рынок услуги с добавленной стоимостью, которые используют процесс P2PE для снижения затрат на соблюдение нормативов и стандартов безопасности для своих торговых организаций. С точки зрения стандарта PCI DSS, любая система, у которой есть возможности шифровать данные, немедленно подпадает под требования нормативов и стандартов безопасности, так что способность изолировать торговые организации путем защиты ключей внутри модулей HSM может иметь значительные преимущества для всех звеньев платежной цепи.

Скрыть раздел

Риски

  • Организации, которые не защищают данные счетов, не смогут соответствовать требованиям стандарта PCI DSS, и тогда они рискуют штрафами и потерями в бизнесе.
  • Взломщики могут украсть данные счетов клиентов из многих мест внутри типичной организации, поскольку данные могут намеренно или случайно перемещаться по многочисленным каналам (вебсайты, колл-центры справочные бюро, системы электронной почты, и т.д.); данные могут быстро и широко распространяться по организации, из-за чего растут затраты на контрмеры и составление отчетности по соблюдению нормативов и стандартов безопасности.
  • Шифрование может сократить риск, но организации должны принимать меры к тому, чтобы соответствующим образом управлять ключами защиты. Ключи, которые существуют в системах, относящихся чисто к программному обеспечению, уязвимы для атаки и часто обуславливают невозможность соблюдения нормативов и стандартов безопасности.
  • В то время как стандарт PCI DSS не предусматривает обязательного использования процесса P2PE, организации, которые не извлекают преимуществ из этого подхода для снижения объема своей работы по соблюдению стандарта r PCI DSS, могут без необходимости навлечь на себя лишние затраты на отчетность по соблюдению стандарта.

Двухточечное шифрование: решения компании Thales e-Security

Продукты и сервисы, предлагаемые компанией Thales e-Security, могут не только помочь вам принять меры к тому, чтобы ваша организация наиболее эффективным путем была приведена в соответствие с требованиями стандарта PCI DSS, но они также играют важную роль в стратегии P2PE для снижения объема работ по соблюдению стандарта, а поэтому и снижения затрат на соблюдение стандарта. Модули nShield и payShield HSM являются независимо сертифицированными по стандарту FIPS 140-2 уровень 3 соблюдение которого является обязательным в соответствии с «Указаниями по применению P2PE процесса. Модули nShield и payShield HSM создают надежную среду, в которой ключевой материал может быть безопасным образом создаваться и храниться, и в которой может быть осуществлено безопасное управление ключами, и где безопасным образом могут выполняться операции расшифровки. Использование модулей HSM в этом качестве прямо аналогично способу использования модулей HSM для защиты пользовательских пин-кодов по мере того, как они проходят по платежной сети. В обоих случаях модули HSM преодолевают слабость Интернета как чисто программных систем, - без применения этих модулей на криптографические ключи и процессы могут совершаться атаки, заключающиеся в сканировании памяти устройств, в мониторинге времени работы или в допуске привилегированных пользователей, которые на самом деле таковыми не являются.

Собираетесь ли вы шифровать и расшифровывать данные о счетах с помощью вашего собственного, разработанного вашими специалистами программного обеспечения и с помощью готовых коммерческих приложений, разработанных третьими сторонами, модули nShield и payShield HSM явятся для вас удачным приобретением; их легко применять и они могут поддерживать инновационные технологии, такие как «шифрование с сохранением формата» (FPE) для минимизации негативного влияния на существующие бизнес-процессы, Эти устройства уже сертифицированы и непосредственно интегрируются с продуктами, которые поставляют наши партнеры в этой отрасли и ведущие производители терминалов POS, что обеспечивает вам быстрое применение и беспроблемную интеграцию с существующими системами.

Преимущества:

  • Продукты компании Thales применяют двухточечное шифрование (процесс P2PE), выполненное в соответствии со стандартом безопасности PCI DSS, для защиты данных о счетах клиентов и снижения расходов на работы по соблюдению стандарта.
  • Ускоряют осуществление проектов; модули nShield и payShield HSM заранее отлажены для интеграции с продуктами, которые поставляют ведущие торговые организации в области ИТ и шифрования.
  • Воспользуйтесь преимуществами выбора уровней производительности и формирующих факторов – купите только то, что вам действительно нужно, а по мере изменения ваших нужд вы легко сможете модернизировать продукты компании Thales.
  • Воспользуйтесь преимуществами новейшего процесса шифрования FPE для минимизации негативного влияния на существующие системы, которые в настоящее время подвергаются шифрованию – для них польза от нового процесса даже еще выше, чем для данных о счетах, хранящихся в читаемом виде.