Crittografa i dati dell'account all'interno di un dispositivo crittografico approvato e porta il commerciante quasi completamente fuori dall'ambito dello standard PCI DSS

La crittografia point-to-point (P2PE) è un caso speciale di crittografia a livello di applicazione, in cui la crittografia viene applicata selettivamente all'interno di un'applicazione aziendale, in questo caso un terminale POS (point-of-sale) di vendita al dettaglio. Se il processo di crittografia point-to-point è implementato correttamente, con i dati dell'account crittografati all'interno di un dispositivo crittografico (SCD) approvato e sicuro come un terminale POS, e non decrittografati affatto all'interno dell'ambiente del commerciante, vi è il potenziale per il commerciante di essere quasi completamente fuori dall'ambito dello standard PCI DSS. Devono essere predisposti controlli rigorosi per la protezione e l'accesso alle chiavi di decrittografia; infatti, le attuali linee guida del Consiglio per gli standard di sicurezza del PCI (Consiglio per gli standard di sicurezza del settore delle carte di pagamento) richiedono l'uso di moduli di sicurezza hardware (HSM) con un livello di sicurezza appropriato per proteggere l'accesso a tali chiavi. Gli acquirenti e altri attori nella catena dei pagamenti hanno già iniziato a commercializzare servizi a valore aggiunto che sfruttano P2PE per ridurre i costi di conformità per i loro commercianti. Dal punto di vista dello standard PCI DSS, qualsiasi sistema che abbia la capacità di decrittografare i dati dell'account entra immediatamente nel campo di applicazione, quindi la capacità di isolare i commercianti proteggendo le chiavi all'interno degli HSM può avere vantaggi significativi per tutti gli interessati al trattamento.

    Sfide

    La sfida di oggi

    • Le organizzazioni che non proteggono i dati degli account non rispetteranno le disposizioni di PCI DSS, rischiando multe e danni all'azienda.
    • I malintenzionati possono rubare i dati degli account dei clienti da molti luoghi all'interno di un'organizzazione tipica poiché possono entrare intenzionalmente o involontariamente attraverso numerosi canali (siti web, call center ed helpdesk, sistemi di posta elettronica, ecc.) e possono propagarsi rapidamente e ampiamente in tutta l'organizzazione, aumentando i costi delle contromisure e dei rapporti di conformità.
    • La crittografia può ridurre i rischi, ma le organizzazioni devono adottare misure per gestire le chiavi in modo appropriato. Le chiavi che esistono in sistemi puramente basati su software sono vulnerabili agli attacchi e spesso non soddisfano gli obblighi di conformità.
    • Sebbene PCI DSS non abbia imposto l'uso della crittografia point-to-point (P2PE), le organizzazioni che non sfruttano questo approccio di crittografia point-to-point per ridurre il proprio ambito per lo standard PCI DSS possono incorrere in costi di conformità non necessari.

    Soluzioni

    Crittografia point-to-point: HSM nShield Entrust

    Gli HSM nShield® Entrust non solo possono aiutarti a implementare misure per diventare conformi allo standard PCI DSS in modo efficace ed efficiente, ma possono altresì svolgere un ruolo essenziale in una strategia di crittografia point-to-point (P2PE) per ridurre l'ambito e quindi il costo della conformità. Gli HSM nShield Entrust sono certificati in modo indipendente in base allo standard FIPS 140-2 Livello 3, imposto dalle Linee guida P2PE. Gli HSM nShield Entrust creano un ambiente affidabile in cui il materiale chiave può essere generato, archiviato e gestito in modo sicuro e in cui le operazioni di decrittografia possono essere eseguite in modo sicuro. L'utilizzo degli HSM in questo modo è direttamente analogo al modo in cui vengono utilizzati gli HSM per proteggere i PIN degli utenti mentre passano attraverso la rete di pagamento. In entrambi i casi gli HSM superano le debolezze intrinseche dei sistemi puramente basati su software che potrebbero esporre le chiavi e i processi crittografici ad attacchi di scansione della memoria, monitoraggio del runtime o utenti privilegiati malintenzionati.

    Sia che tu scelga di crittografare e decrittografare i dati dell'account utilizzando il tuo software sviluppato internamente o utilizzando applicazioni commerciali di terze parti, gli HSM nShield Entrust sono facili da distribuire e possono supportare tecnologie innovative come la crittografia con conservazione del formato (format preserving encryption, FPE) per ridurre al minimo l'impatto sui processi aziendali esistenti. Questi dispositivi sono già certificati per integrarsi direttamente con i prodotti dei nostri partner industriali e dei principali produttori di POS, assicurandoti distribuzioni rapide e una perfetta integrazione con i tuoi sistemi esistenti.

    Vantaggi

    Utilizzando HSM nShield Entrust è possibile:

    • Distribuire la crittografia point-to-point (P2PE) conforme allo standard PCI DSS per proteggere i dati dell'account e ridurre i costi di conformità.
    • Accelerare i progetti di distribuzione; gli HSM nShield Entrust sono prequalificati per l'integrazione con i prodotti dei principali fornitori di crittografia.
    • Approfitta di una scelta di livelli di prestazioni e fattori di forma: distribuisci esattamente ciò di cui hai bisogno e soltanto ciò di cui hai bisogno, e aggiorna facilmente quando le tue esigenze cambiano.
    • Sfrutta i vantaggi di FPE all'avanguardia per ridurre al minimo l'impatto sui sistemi esistenti che sono ora esposti a dati di account in testo crittografato anziché normale.