Kontodaten innerhalb eines zugelassenen kryptographischen Geräts verschlüsseln und den Händler fast vollständig aus dem Geltungsbereich des PCI DSS herausnehmen

Bei der Point-to-Point-Verschlüsselung (P2PE) handelt es sich um einen Sonderfall der Verschlüsselung auf Anwendungsebene, bei dem die Verschlüsselung selektiv innerhalb einer Geschäftsanwendung angewendet wird – in diesem Fall ein Point-of-Sale-Terminal (POS) im Einzelhandel. Wenn der Point-to-Point-Verschlüsselungsprozess korrekt implementiert wird, d. h. die Kontodaten werden innerhalb eines zugelassenen, sicheren kryptographischen Geräts (SCD), z. B. einem POS-Terminal, verschlüsselt und in der Händlerumgebung überhaupt nicht entschlüsselt, besteht die Möglichkeit, dass der Händler fast vollständig aus dem Geltungsbereich des PCI DSS herausgenommen wird. Strenge Kontrollen für den Schutz von und den Zugriff auf Entschlüsselungsschlüssel müssen vorhanden sein; die aktuellen Leitlinien des PCI Security Standards Council fordern die Verwendung von Hardware-Sicherheitsmodulen (HSMs) mit einer entsprechenden Sicherheitseinstufung, um den Zugriff auf diese Schlüssel zu schützen. Erwerber und andere Akteure in der Zahlungskette haben bereits begonnen, Mehrwertdienste zu vermarkten, die P2PE nutzen, um die Compliance-Kosten für ihre Händler zu reduzieren. Gemäß PCI DSS fällt jedes System, das in der Lage ist, Kontodaten zu entschlüsseln, sofort in den Anwendungsbereich des Standards. Die Möglichkeit, Händler durch den Schutz von Schlüsseln innerhalb von HSMs zu isolieren, kann somit erhebliche Vorteile für alle Beteiligten haben.

    Herausforderungen

    Die Herausforderung von heute

    • Organisationen, die Kontodaten nicht schützen, verstoßen gegen die PCI DSS-Bestimmungen und riskieren Geldstrafen und Schäden für das Unternehmen.
    • Angreifer können Kundenkontodaten an vielen Stellen innerhalb einer typischen Organisation stehlen, da sie absichtlich oder unabsichtlich über zahlreiche Kanäle (Websites, Callcenter und Helpdesks, E-Mail-Systeme usw.) eingehen und sich schnell in der gesamten Organisation verbreiten können. Dies treibt die Kosten für Gegenmaßnahmen und Compliance-Berichte in die Höhe.
    • Die Verschlüsselung kann die Risiken reduzieren, Organisationen müssen jedoch Maßnahmen ergreifen, um die Schlüssel entsprechend zu verwalten. Schlüssel, die in rein softwarebasierten Systemen existieren, sind anfällig für Angriffe und entsprechen oft nicht den Compliance-Verpflichtungen.
    • Obwohl der PCI DSS-Standard den Einsatz von Point-to-Point-Verschlüsselung (P2PE) nicht vorschreibt, müssen Organisationen, die diesen Ansatz zur Reduzierung des PCI DSS-Umfangs nicht nutzen, möglicherweise mit unnötigen Compliance-Kosten rechnen.

    Lösungen

    Point-to-Point-Verschlüsselung: Entrust nShield HSMs

    Entrust nShield® HSMs helfen Ihnen nicht nur dabei, Maßnahmen für die PCI DSS-Compliance effektiv und effizient zu implementieren, sondern sie können auch eine wesentliche Rolle in einer Point-to-Point-Verschlüsselungsstrategie (P2PE) spielen, mit der der Umfang und somit die Kosten der Compliance reduziert werden. Entrust nShield HSMs sind unabhängig gemäß FIPS 140-2 Level 3 zertifiziert, der von den P2PE-Richtlinienvorgeschrieben ist. Entrust nShield HSMs schaffen eine vertrauenswürdige Umgebung, in der Schlüsselmaterial sicher generiert, gespeichert und verwaltet werden kann und Entschlüsselungsvorgänge sicher durchgeführt werden können. Die Verwendung von HSMs auf diese Weise ist direkt analog zu der Art und Weise der Verwendung von HSMs zum Schutz von Benutzer-PINs, während sie das Zahlungsnetzwerk durchlaufen. In beiden Fällen werden mit HSMs die Schwächen rein softwarebasierter Systeme überwunden, die kryptographische Schlüssel und Prozesse für Angriffe durch Speicherprüfung, Laufzeitüberwachung oder böswillige privilegierte Benutzer anfällig machen könnten.

    Unabhängig davon, ob Sie sich für die Ver- und Entschlüsselung von Kontodaten mit einer eigenen, intern entwickelten Software oder mit kommerziellen Anwendungen von Drittanbietern entscheiden, Entrust nShield HSMs lassen sich problemlos bereitstellen und können innovative Technologien wie formaterhaltende Verschlüsselung (Format Preserving Encryption, FPE) unterstützen, um die Auswirkungen auf bestehende Geschäftsprozesse zu minimieren. Diese Geräte sind bereits für die direkte Integration mit Produkten der Industriepartner von Entrust und führender POS-Hersteller zertifiziert, sodass eine schnelle Bereitstellung und nahtlose Integration mit bestehenden Systemen gewährleistet wird.

    Vorteile von Elliptic Curve Cryptography

    Mit Entrust nShield HSMs profitieren Sie von den folgende Vorteilen:

    • Bereitstellung PCI DSS-konformer Point-to-Point-Verschlüsselung (P2PE) zum Schutz von Kontodaten und zur Reduzierung von Compliance-Kosten
    • Schnellere Implementierungsprojekte; Entrust nShield HSMs sind vorqualifiziert für die Integration mit Produkten von führenden Verschlüsselungsanbietern.
    • Auswahl an Leistungsstufen und Formfaktoren – Setzen Sie genau das ein, was Sie benötigen, und rüsten Sie einfach auf, wenn sich Ihre Anforderungen ändern.
    • Hochmoderne FPE für minimale Auswirkungen auf bestehende Systeme, die nun mit verschlüsselten statt mit Klartext-Kontodaten konfrontiert sind.