Criptografe dados de conta com um dispositivo criptográfico aprovado e retire o comerciante quase completamente do escopo do PCI DSS

A criptografia ponta a ponta (P2PE) é um caso especial de criptografia no nível do aplicativo que é usada seletivamente dentro de um aplicativo comercial, neste caso um terminal de ponto de venda (PDV) de varejo. Se o processo de criptografia ponto a ponto for implementado corretamente, com os dados da conta sendo criptografados dentro de um dispositivo criptográfico (SCD) aprovado e seguro, como um terminal de PDV, e não decodificados de forma alguma no ambiente do lojista, é possível que o comerciante seja retirado quase completamente do escopo do PCI DSS. Controles rigorosos para proteção e acesso às chaves de decodificação devem estar ativos; na verdade, a atual diretriz do Conselho de Padrões de Segurança da PCI exige o uso de módulos de segurança de hardware (HSMs) com uma classificação de segurança apropriada para proteger o acesso a essas chaves. Compradores e outros atores da cadeia de pagamentos já começaram a comercializar serviços de valor agregado que usam a P2PE para reduzir os custos de conformidade para os comerciantes. Da perspectiva do PCI DSS, qualquer sistema que tenha a capacidade de decodificar dados de contas entra imediatamente no escopo, por isso a capacidade de isolar os comerciantes protegendo as chaves dentro dos HSMs pode ter benefícios significativos para todos os envolvidos.

    Confirmações

    O desafio atual

    • As organizações que não protegem os dados das contas não estarão em conformidade com os padrões PCI DSS, podendo sofrer multas e danos ao negócio.
    • Em uma organização normal, os invasores podem roubar dados de contas de clientes de muitos lugares, já que podem entrar de forma intencional ou não através de inúmeros canais (sites, centrais de atendimento e suporte ao usuário, sistemas de e-mail etc.) e podem rapidamente alcançar toda a organização, aumentando os custos das contramedidas e relatórios de conformidade.
    • A criptografia pode reduzir os riscos, mas as organizações devem tomar medidas para gerenciar as chaves corretamente. As chaves existentes em sistemas baseados somente em software são vulneráveis a ataques e muitas vezes não atendem as obrigações de conformidade.
    • Embora o PCI DSS não estabeleça o uso da criptografia de ponta a ponta (P2PE), as organizações que não utilizam esta abordagem de criptografia para reduzir seu escopo de PCI DSS podem incorrer em custos de conformidade desnecessários.

    Soluções

    Criptografia ponta a ponta: HSMs nShield da Entrust

    Os HSMs nShield® da Entrust podem não apenas ajudá‑lo a implementar medidas para se tornar compatível com o PCI DSS de forma eficaz e eficiente, mas também podem desempenhar um papel essencial em uma estratégia de criptografia de ponta a ponta (P2PE) para reduzir o escopo e, portanto, o custo da conformidade. Os HSMs nShield são certificados independentemente de acordo com a norma FIPS 140‑2 nível 3 que é regulada pelas diretrizes P2PE. Os HSMs nShield criam um ambiente confiável no qual o material de chaves pode ser gerado, armazenado e gerenciado com segurança, e onde as operações de decodificação podem ser realizadas com segurança. O uso de HSMs desta forma é análogo à forma como os HSMs são usados para proteger os PINs dos usuários ao passarem pela rede de pagamentos. Em ambos os casos, os HSMs superam as fraquezas inerentes aos sistemas baseados somente em software que poderiam expor chaves e processos criptográficos a ataques de varredura de memória, monitoramento de tempo de operação ou usuários privilegiados mal‑intencionados.

    Quer você opte por criptografar e decodificar dados de conta com um software desenvolvido internamente ou usando aplicativos comerciais de terceiros, os HSMs nShield da Entrust são fáceis de implantar e podem suportar novas tecnologias, como a criptografia de preservação de formato (FPE), para minimizar o impacto nos processos comerciais. Estes dispositivos já estão certificados para integração direta com produtos de nossos parceiros e fabricantes líderes de PDV, assegurando implantações rápidas e uma integração perfeita com os sistemas existentes.

    Benefícios

    Ao utilizar os HSMs nShield da Entrust, você pode:

    • Implantar uma criptografia de ponta a ponta (P2PE) compatível com PCI DSS para proteger os dados da conta e reduzir os custos de conformidade.
    • Acelerar projetos de implementação; os HSMs nShield são pré‑qualificados para integração com produtos dos principais fornecedores de criptografia.
    • Aproveite a possibilidade de escolher níveis de desempenho e fatores de forma implantando exatamente o que você precisa e somente o que você precisa, e atualizando facilmente conforme suas necessidades mudam.
    • Aproveite a FPE de vanguarda para minimizar o impacto nos sistemas que agora estão expostos a dados criptografados em vez de dados de texto simples.