承認された暗号化デバイス内でアカウントデータを暗号化し、加盟店をPCI DSSの範囲からほぼ完全に除外

ポイントツーポイント暗号化(P2PE)は、アプリケーションレベルの暗号化の特殊なケースであり、暗号化はビジネスアプリケーション(この場合は小売店頭(POS)端末)内で選択的に適用されます。ポイントツーポイント暗号化プロセスが正しく実装され、アカウントデータがPOS端末などの承認された安全な暗号化デバイス(SCD)内で暗号化され、加盟店の環境内でまったく復号化されない場合、加盟店はPCI DSSの範囲からほぼ完全に除外されてしまう可能性があります。復号化キーの保護とアクセスのための厳格な管理を実施する必要があります。実際、PCI Security Standards Councilの現在のガイダンスでは、これらのキーへのアクセスを保護するために、適切なセキュリティ評価のハードウェア・セキュリティ・モジュール(HSM)を使用する必要があります。ペイメントチェーンの買収者やその他の企業は、P2PEを活用して加盟店のコンプライアンスコストを削減する付加価値サービスの市場投入をすでに開始しています。PCI DSSの観点からは、アカウントデータを復号化する機能を備えたシステムはすぐに対象となるため、HSM内のキーを保護することで加盟店を隔離する機能は、関係者全員に大きなメリットをもたらします。

    課題

    今日の課題

    • アカウントデータを保護しない組織は、PCI DSSの義務に準拠できず、罰金やビジネスへの損害のリスクがあります。
    • 攻撃者は、多くのチャネル(Webサイト、コールセンター、ヘルプデスク、電子メールシステムなど)を介して意図的または意図せずに侵入し、組織全体に迅速かつ広範囲に拡散して伝播して、一般的な組織内の多くの場所から顧客アカウントデータを盗む可能性があり、対策とコンプライアンスレポートのコストを引き上げてしまいます。
    • 暗号化によってリスクを軽減できますが、組織はキーを適切に管理するための措置を講じる必要があります。純粋にソフトウェアベースのシステムに存在するキーは、攻撃に対して脆弱であり、しばしばコンプライアンス義務を果たしません。
    • PCI DSSはポイントツーポイント暗号化(P2PE)の使用を義務付けていませんが、このポイントツーポイント暗号化アプローチを利用してPCI DSSの範囲を縮小しない組織では、不必要なコンプライアンスコストが発生する可能性があります。

    ソリューション

    ポイントツーポイント暗号化(P2PE) Entrust nShield HSM

    Entrust nShield® HSMは、PCI DSSに効果的かつ効率的に準拠するための対策を実装するのに役立つだけでなく、範囲を縮小してコンプライアンスコストを削減するためのポイントツーポイント暗号化(P2PE)戦略において重要な役割を果たすことができます。Entrust nShield HSMは、P2PEガイドラインによって義務付けられているFIPS 140-2レベル3規格に対して独立して認定されています。Entrust nShield HSMは、キーマテリアルを安全に生成、保存、管理し、復号化操作を安全に実行可能な、信頼できる環境を構築します。この方法でのHSMの使用は、HSMが支払いネットワークを通過するときにユーザPINを保護するために使用される方法と直接類似しています。いずれの場合も、HSMは、暗号化キーとプロセスをメモリスキャン攻撃、ランタイムモニタリング、または悪意のある特権ユーザにさらす可能性のある、純粋にソフトウェアベースのシステムに固有の弱点を克服します。

    独自の社内開発のソフトウェアを使用してアカウントデータを暗号化および復号化する場合でも、サードパーティ製の商用アプリケーションを使用する場合でも、Entrust nShield HSMは簡単に導入でき、フォーマット保存暗号化(FPE)などの革新的なテクノロジーをサポートして既存のビジネスプロセスへの影響を最小限に抑えることができます。これらのデバイスは、業界パートナーや主要なPOSメーカーの製品と直接統合することがすでに認定されており、迅速な展開と既存のシステムとのシームレスな統合を保証します。

    メリット

    Entrust nShield HSMを使用すると、次のことが可能になります。

    • PCI DSS準拠のポイントツーポイント暗号化(P2PE)を導入して、アカウントデータを保護し、コンプライアンスコストを削減します。
    • 実装プロジェクトを加速します。Entrust nShield HSMは、主要な暗号化ベンダーの製品と統合するための事前認定を受けています。
    • パフォーマンスレベルとフォームファクタの選択を活用します。必要なものだけを正確に展開し、ニーズの変化に応じて簡単にアップグレードします。
    • 最先端のFPEを活用して、プレーンテキストのアカウントデータではなく暗号化されたアカウントデータにさらされている既存のシステムへの影響を最小限に抑えます。