payShield 9000 - модуль безопасности для платежных систем

payShield 9000 - модуль безопасности для платежных систем

payShield 9000 - модуль безопасности  для платежных систем

payShield 9000 - модуль безопасности для платежных систем

Thales payShield 9000 – HSM, разработанный Thales e-Security специально для платежных приложений. Этот модуль обеспечивает защиту таких операций как: проверка PIN-кодов, платежные  транзакции, выпуск платежных карт, а также управление ключами шифрования. payShield 9000 – самый популярный в мире модуль защиты платежных систем, с его помощью осуществляется более 80% от мирового объема транзакций по платежным картам. 

В payShield 9000 воплотились более чем 25-летний опыт Thales e-Security в разработке систем безопасности и новейшие технологии, и это сочетание обеспечивает безупречную надежность и простоту управления системой.

payShield 9000 – это внешнее периферийное устройство для серверов и мейнфреймов, отвечающих за программные приложения для электронных платежей, обеспечивающее безопасность платежных транзакций через банкоматы или POS-системы. Криптографические механизмы шифрования и инструментарий управления, реализованные в payShield 9000, соответствуют требованиям безопасности, предъявляемым основными международными платежными программами, включая MasterCard, Visa, American Express, Discover и JCB, и даже превосходят эти требования.

Модуль payShield 9000 сертифицирован на соответствие стандарту FIPS 140-2 Level 3. Также доступна конфигурация, соответствующая спецификации PCI HSM v1.0, разработанной Советом по безопасности платежных систем PCI Security Standards Council.

Возможности payShield 9000

  • Сертифицированная полноценная система безопасности, разработанная специально для платежных систем;
  • Готовое решение для обеспечения безопасности большинства наиболее распространенных платежных приложений;
  • Непрерывность бизнес-процессов благодаря резервированию ключевых узлов, возможности «горячей замены», поддержке кластеризации и отказоустойчивости высокого уровня;
  • Простая интеграция и эксплуатация, сокращение затрат на обслуживание системы благодаря возможности выбора опций лицензирования для эмитентов, процессинговых центров и покупателей;
  • Широкий выбор конфигураций и гибкая масштабируемость позволяют пользователям покупать только те функции, которые действительно нужны. 
Преимущества

Функции обеспечения безопасности

  • Сертификация отдельных конфигураций по стандарту безопасности PCI HSM позволяет компаниям заранее спланировать переход к работе в инфраструктуре соответствующей требованиям данного стандарта, которые в скором будущем станут обязательными для платежной индустрии;
  • Возможность иметь множество локальных мастер-ключей (LMK) в пределах одного HSM обеспечивает криптографическую изоляцию различных приложений, использующих один модуль. Это идеально подходит для сервисных бюро банков, позволяя разделять базы ключей шифрования для разных клиентов;
  • Опционально доступно устройство управления ключами шифрования (KMD), которое позволяет сотрудникам службы безопасности управлять компонентами ключей, восстанавливать ключи шифрования и перемещать их в высокозащищенную среду модуля без необходимости физического контакта с HSM;
  • Возможности для аудиторской проверки по безопасности удовлетворяют современным стандартам в банковской индустрии и обеспечивают уверенность в том, что все действия, производимые в HSM, фиксируются и могут быть проанализированы.

Преимущества Thales payShield 9000

  • Опционально доступный режим удаленного доступа Remote HSM Manager позволяет сократить операционные расходы и дает возможность сотрудникам службы безопасности из центрального офиса управлять модулями на местах в удаленном режиме;
  • Статистика использования дает пользователям возможность контролировать выполненные в системе действия за любой период, помогая планировать производственные мощности и избегать узких мест в производительности;
  • Высокая гибкость использования модуля благодаря двойной системе энергоснабжения и двум портам Ethernet обеспечивает максимальный срок службы и и делает удобным использование в центрах обработки данных;
  • Обновление посредством апгрейда программной составляющей и возможность выбора необходимых функций позволяют организациям получить максимальную выгоду от их инвестиций в систему безопасности и удовлетворить самые специфические требования, предоставляя доступный, безопасный и надежный инструмент защиты.
Опции

Базовые программные пакеты

В payShield 9000 имеется ряд стандартных программных пакетов, что позволяет пользователю выбрать именно те функции, которые он планирует использовать. Сегодня базовые пакеты включают приложения для обработки транзакций, выпуска пластиковых карт с магнитной полосой и пластиковых карт стандарта EMV (Europay, MasterCard, Visa), а также реализации мобильных платежей.

Дополнительные программные лицензии

Помимо базовых программных пакетов, также доступны опциональные функции, которые можно добавить посредством покупки дополнительных лицензий. Дополнительные лицензии можно приобретать и инсталлировать на протяжении всего жизненного цикла модуля. Среди дополнительных функций можно назвать следующие: аутентификация пользователей, защита данных, улучшенная система управления ключами (включая поддержку нескольких ключей LMK на одном модуле), учет региональных особенностей платежных систем, печать PIN-конвертов. 

Модификации

Для модуля payShield 9000 доступно несколько уровней производительности, определяемых установленными лицензиями. Поскольку объемы транзакций могут расти, у пользователей есть возможность добавить в систему дополнительные модули HSM в соответствии с изменившейся нагрузкой, либо, если это еще возможно, увеличить производительность существующих HSM посредством установки специальной лицензии. Апгрейд производится только в программной части модуля и не требует никаких изменений в самом оборудовании.

Удаленный менеджер HSM

Аппаратный модуль payShield 9000 может управляться как при помощи стандартного ПО Local HSM Manager, требующего непосредственного подключения к модулю, так и удаленно, при помощи программы Remote HSM Manager, устанавливаемой на удаленном компьютере или ноутбуке. Это позволяет выполнять все административные задачи удаленно, из центра управления данными.

Устройство управления ключами

Устройство управления ключами (KMD) – это портативный прибор, позволяющий формировать ключи из составных частей в высоко защищенной среде без необходимости устанавливать физическое соединение с модулем HSM.

Менеджер безопасности ресурсов (Security Resource Manager) для хост-систем Tandem

Tandem SRM – это программное приложение, которое работает в хост-системе Tandem. Tandem SRM – это интерфейс обмена данными между платежными приложениями и банковскими HSM. Основное назначение SRM – обеспечивать балансировку нагрузки и простой обмен данными между приложениями через простой интерфейс. При этом нет необходимости управлять комплексом HSM – создается единый логический ресурс для модулей, участвующих в процессе. 

Менеджер безопасности ресурсов (Security Resource Manager) для хост-системы IBM

IBM SRM – это программное приложение, которое работает в хост-системе IBM. IBM SRM - это интерфейс обмена данными между платежными приложениями и банковскими HSM. Основное назначение SRM – обеспечивать балансировку нагрузки и простой обмен данными между приложениями через простой интерфейс. При этом нет необходимости управлять комплексом HSM – создается единый логический ресурс для модулей, участвующих в процессе. 

Дополнительные смарт-карты

Каждый payShield 9000 поставляется с комплектом пустых смарт-карт для компонентов локальных мастер-ключей (LMK) и тестовыми картами с LMK. Также доступны дополнительные комплекты по 6 карт, позволяющие реализовать индивидуальные пользовательские конфигурации в случае, если необходимо большее количество карт для удовлетворения требований безопасности и операционной эффективности взаимодействия нескольких центров обработки данных. Смарт-карты совместимы со всеми платежными HSM семейства Thales – payShield 9000, HSM 8000, RG7000.

Стеллажи и комплект направляющих

Пользователи могут выбрать из широкого ассортимента стеллажей разной высоты наиболее подходящие под их требования. Также доступны комплекты направляющих для установки модулей payShield в стеллажи стандартных размеров.

Замена замков и ключей

payShield 9000 оснащен 2-мя высоконадежными замками, расположенными на передней панели. Замки тщательно контролируются и регистрируются на этапе производства и недоступны в свободной продаже. В гарантийное обслуживание payShield, предоставляемое Thales, входит замена замков и изготовление дополнительных ключей в том случае, если они повреждены или утеряны.  

Кабели

На задней панели модуля payShield 9000 расположены USB-порты для подключения периферийных устройств, таких как консоли или принтеры. В аппаратных модулях HSM 8000 предыдущего поколения использовались порты для принтеров с интерфейсами RS-232 или Centronics . Для пользователей, желающих использовать кабели со старыми интерфейсами, Thales представляет адаптеры, которые позволят подсоединять их к USB-разъемам. 

Технические характеристики

Функциональные возможности 

Управление ключами

• Большое количество локальных мастер-ключей (LMK) для разделения типов ключей, приложений и клиентских данных
• Тестовый LMK для не производственных задач
• Блоки ключей Thales (в соответствие с ANSI X.9; X.9 TR-31)
• Поддержка блоков ключей X.9 TR-31
• Публичные ключи RSA
• Ключи DUKPT для защиты PIN-кодов
• Схема основного/сеансового ключей
• Схема ключей транзакций Racal
• Поддержка AS2805

 

Поддержка механизмов криптографии

• DES и Triple-DES (2 и 3 ключа)
• AES (128, 192 и 256 бит)
• RSA (до 2048 бит)
• FIPS 198-1, MD5, SHA-1, SHA-2

Производительность

• Диапазон производительности до 1500 операций (Triple-DES операций с PIN блоками)
• Многопоточный режим работы для оптимизации производительности
• Кластеризация при помощи приложения Security Resource Manager

Подключение хостов

• Асинхронное (v.24, RS-232)
• TCP/IP и UDP (10/100/1000 Base-T)
• FICON

Сертификация

• 140-2 Level 3, 46, 81, 180-3, 186-3, 198
• PCI HSM v1
• APCA
• MEPS
• NIST SP800-20, SP800-90(A)

Поддержка стандартов финансовой индустрии

• ISO 9564, 10118, 11568, 13491, 16609,
• ANSI X3.92, X9.8, X9.9, X9.17, X9.24, X9.31, X9.52, X9.97
• X9 TR-31, X9 TG-3/TR-39, APACS 40 & 70, AS2805 Pt 14
• Список постоянно расширяется

Работа с платежными картами

• Функции проверки PIN-кодов и карт American Express/MasterCard/VISA
• Транзакции и сообщения EMV.3Х и 4Х (включая смену PIN)
• Удаленная загрузка ключей в банкоматы NCR, Diebold и Wincor Nixdorf
• Платформа безопасности Europay Security Platform
• Интеграция с большинством существующих банковских приложений

Средства управления

• Консольный интерфейс для «немых» терминалов
• Графический пользовательский интерфейс (GUI) для стандартного программного обеспечения через Ethernet; поддержка локальных и удаленных режимов
• Кластеризация посредством приложения Security Resource Manager (SRM)
• SNMP
• Встроенный журнал ошибок

Функции безопасности

• Двухфакторная аутентификация при помощи смарт-карт
• Два физических замка и изменение режимов работы с помощью смарт-карт
• Взломоустойчивый корпус, соответствующий требованиям FIPS 140-2 Level 3
• Контроль попыток снятия крышки, датчики движения, напряжения и температуры
• Возможность отключить функции безопасности, не востребованные хостовыми приложениями
• Журналы аудита

Физические характеристики

• Габариты: 2U для монтажа в 19” серверную стойку
85х478х417 мм
Вес 7.3 кг с одним блоком питания, 7.5 – с двумя
• Напряжение: 100-240V
• Частота: 40-63Гц
• Потребляемая мощность: 100В
• Температура эксплуатации: 10…40С°
• Влажность: 10-90% (без конденсации)

 payshield9000

payShield 9000 - модуль безопасности для платежных систем

Thales payShield 9000 – HSM, разработанный Thales e-Security специально для платежных приложений. Этот модуль обеспечивает защиту таких операций как: проверка PIN-кодов, платежные  транзакции, выпуск платежных карт, а также управление ключами шифрования. payShield 9000 – самый популярный в мире модуль защиты платежных систем, с его помощью осуществляется более 80% от мирового объема транзакций по платежным картам. 

В payShield 9000 воплотились более чем 25-летний опыт Thales e-Security в разработке систем безопасности и новейшие технологии, и это сочетание обеспечивает безупречную надежность и простоту управления системой.

payShield 9000 – это внешнее периферийное устройство для серверов и мейнфреймов, отвечающих за программные приложения для электронных платежей, обеспечивающее безопасность платежных транзакций через банкоматы или POS-системы. Криптографические механизмы шифрования и инструментарий управления, реализованные в payShield 9000, соответствуют требованиям безопасности, предъявляемым основными международными платежными программами, включая MasterCard, Visa, American Express, Discover и JCB, и даже превосходят эти требования.

Модуль payShield 9000 сертифицирован на соответствие стандарту FIPS 140-2 Level 3. Также доступна конфигурация, соответствующая спецификации PCI HSM v1.0, разработанной Советом по безопасности платежных систем PCI Security Standards Council.

Возможности payShield 9000

  • Сертифицированная полноценная система безопасности, разработанная специально для платежных систем;
  • Готовое решение для обеспечения безопасности большинства наиболее распространенных платежных приложений;
  • Непрерывность бизнес-процессов благодаря резервированию ключевых узлов, возможности «горячей замены», поддержке кластеризации и отказоустойчивости высокого уровня;
  • Простая интеграция и эксплуатация, сокращение затрат на обслуживание системы благодаря возможности выбора опций лицензирования для эмитентов, процессинговых центров и покупателей;
  • Широкий выбор конфигураций и гибкая масштабируемость позволяют пользователям покупать только те функции, которые действительно нужны. 

Функции обеспечения безопасности

  • Сертификация отдельных конфигураций по стандарту безопасности PCI HSM позволяет компаниям заранее спланировать переход к работе в инфраструктуре соответствующей требованиям данного стандарта, которые в скором будущем станут обязательными для платежной индустрии;
  • Возможность иметь множество локальных мастер-ключей (LMK) в пределах одного HSM обеспечивает криптографическую изоляцию различных приложений, использующих один модуль. Это идеально подходит для сервисных бюро банков, позволяя разделять базы ключей шифрования для разных клиентов;
  • Опционально доступно устройство управления ключами шифрования (KMD), которое позволяет сотрудникам службы безопасности управлять компонентами ключей, восстанавливать ключи шифрования и перемещать их в высокозащищенную среду модуля без необходимости физического контакта с HSM;
  • Возможности для аудиторской проверки по безопасности удовлетворяют современным стандартам в банковской индустрии и обеспечивают уверенность в том, что все действия, производимые в HSM, фиксируются и могут быть проанализированы.

Преимущества Thales payShield 9000

  • Опционально доступный режим удаленного доступа Remote HSM Manager позволяет сократить операционные расходы и дает возможность сотрудникам службы безопасности из центрального офиса управлять модулями на местах в удаленном режиме;
  • Статистика использования дает пользователям возможность контролировать выполненные в системе действия за любой период, помогая планировать производственные мощности и избегать узких мест в производительности;
  • Высокая гибкость использования модуля благодаря двойной системе энергоснабжения и двум портам Ethernet обеспечивает максимальный срок службы и и делает удобным использование в центрах обработки данных;
  • Обновление посредством апгрейда программной составляющей и возможность выбора необходимых функций позволяют организациям получить максимальную выгоду от их инвестиций в систему безопасности и удовлетворить самые специфические требования, предоставляя доступный, безопасный и надежный инструмент защиты.

Базовые программные пакеты

В payShield 9000 имеется ряд стандартных программных пакетов, что позволяет пользователю выбрать именно те функции, которые он планирует использовать. Сегодня базовые пакеты включают приложения для обработки транзакций, выпуска пластиковых карт с магнитной полосой и пластиковых карт стандарта EMV (Europay, MasterCard, Visa), а также реализации мобильных платежей.

Дополнительные программные лицензии

Помимо базовых программных пакетов, также доступны опциональные функции, которые можно добавить посредством покупки дополнительных лицензий. Дополнительные лицензии можно приобретать и инсталлировать на протяжении всего жизненного цикла модуля. Среди дополнительных функций можно назвать следующие: аутентификация пользователей, защита данных, улучшенная система управления ключами (включая поддержку нескольких ключей LMK на одном модуле), учет региональных особенностей платежных систем, печать PIN-конвертов. 

Модификации

Для модуля payShield 9000 доступно несколько уровней производительности, определяемых установленными лицензиями. Поскольку объемы транзакций могут расти, у пользователей есть возможность добавить в систему дополнительные модули HSM в соответствии с изменившейся нагрузкой, либо, если это еще возможно, увеличить производительность существующих HSM посредством установки специальной лицензии. Апгрейд производится только в программной части модуля и не требует никаких изменений в самом оборудовании.

Удаленный менеджер HSM

Аппаратный модуль payShield 9000 может управляться как при помощи стандартного ПО Local HSM Manager, требующего непосредственного подключения к модулю, так и удаленно, при помощи программы Remote HSM Manager, устанавливаемой на удаленном компьютере или ноутбуке. Это позволяет выполнять все административные задачи удаленно, из центра управления данными.

Устройство управления ключами

Устройство управления ключами (KMD) – это портативный прибор, позволяющий формировать ключи из составных частей в высоко защищенной среде без необходимости устанавливать физическое соединение с модулем HSM.

Менеджер безопасности ресурсов (Security Resource Manager) для хост-систем Tandem

Tandem SRM – это программное приложение, которое работает в хост-системе Tandem. Tandem SRM – это интерфейс обмена данными между платежными приложениями и банковскими HSM. Основное назначение SRM – обеспечивать балансировку нагрузки и простой обмен данными между приложениями через простой интерфейс. При этом нет необходимости управлять комплексом HSM – создается единый логический ресурс для модулей, участвующих в процессе. 

Менеджер безопасности ресурсов (Security Resource Manager) для хост-системы IBM

IBM SRM – это программное приложение, которое работает в хост-системе IBM. IBM SRM - это интерфейс обмена данными между платежными приложениями и банковскими HSM. Основное назначение SRM – обеспечивать балансировку нагрузки и простой обмен данными между приложениями через простой интерфейс. При этом нет необходимости управлять комплексом HSM – создается единый логический ресурс для модулей, участвующих в процессе. 

Дополнительные смарт-карты

Каждый payShield 9000 поставляется с комплектом пустых смарт-карт для компонентов локальных мастер-ключей (LMK) и тестовыми картами с LMK. Также доступны дополнительные комплекты по 6 карт, позволяющие реализовать индивидуальные пользовательские конфигурации в случае, если необходимо большее количество карт для удовлетворения требований безопасности и операционной эффективности взаимодействия нескольких центров обработки данных. Смарт-карты совместимы со всеми платежными HSM семейства Thales – payShield 9000, HSM 8000, RG7000.

Стеллажи и комплект направляющих

Пользователи могут выбрать из широкого ассортимента стеллажей разной высоты наиболее подходящие под их требования. Также доступны комплекты направляющих для установки модулей payShield в стеллажи стандартных размеров.

Замена замков и ключей

payShield 9000 оснащен 2-мя высоконадежными замками, расположенными на передней панели. Замки тщательно контролируются и регистрируются на этапе производства и недоступны в свободной продаже. В гарантийное обслуживание payShield, предоставляемое Thales, входит замена замков и изготовление дополнительных ключей в том случае, если они повреждены или утеряны.  

Кабели

На задней панели модуля payShield 9000 расположены USB-порты для подключения периферийных устройств, таких как консоли или принтеры. В аппаратных модулях HSM 8000 предыдущего поколения использовались порты для принтеров с интерфейсами RS-232 или Centronics . Для пользователей, желающих использовать кабели со старыми интерфейсами, Thales представляет адаптеры, которые позволят подсоединять их к USB-разъемам. 

Функциональные возможности 

Управление ключами

• Большое количество локальных мастер-ключей (LMK) для разделения типов ключей, приложений и клиентских данных
• Тестовый LMK для не производственных задач
• Блоки ключей Thales (в соответствие с ANSI X.9; X.9 TR-31)
• Поддержка блоков ключей X.9 TR-31
• Публичные ключи RSA
• Ключи DUKPT для защиты PIN-кодов
• Схема основного/сеансового ключей
• Схема ключей транзакций Racal
• Поддержка AS2805

 

Поддержка механизмов криптографии

• DES и Triple-DES (2 и 3 ключа)
• AES (128, 192 и 256 бит)
• RSA (до 2048 бит)
• FIPS 198-1, MD5, SHA-1, SHA-2

Производительность

• Диапазон производительности до 1500 операций (Triple-DES операций с PIN блоками)
• Многопоточный режим работы для оптимизации производительности
• Кластеризация при помощи приложения Security Resource Manager

Подключение хостов

• Асинхронное (v.24, RS-232)
• TCP/IP и UDP (10/100/1000 Base-T)
• FICON

Сертификация

• 140-2 Level 3, 46, 81, 180-3, 186-3, 198
• PCI HSM v1
• APCA
• MEPS
• NIST SP800-20, SP800-90(A)

Поддержка стандартов финансовой индустрии

• ISO 9564, 10118, 11568, 13491, 16609,
• ANSI X3.92, X9.8, X9.9, X9.17, X9.24, X9.31, X9.52, X9.97
• X9 TR-31, X9 TG-3/TR-39, APACS 40 & 70, AS2805 Pt 14
• Список постоянно расширяется

Работа с платежными картами

• Функции проверки PIN-кодов и карт American Express/MasterCard/VISA
• Транзакции и сообщения EMV.3Х и 4Х (включая смену PIN)
• Удаленная загрузка ключей в банкоматы NCR, Diebold и Wincor Nixdorf
• Платформа безопасности Europay Security Platform
• Интеграция с большинством существующих банковских приложений

Средства управления

• Консольный интерфейс для «немых» терминалов
• Графический пользовательский интерфейс (GUI) для стандартного программного обеспечения через Ethernet; поддержка локальных и удаленных режимов
• Кластеризация посредством приложения Security Resource Manager (SRM)
• SNMP
• Встроенный журнал ошибок

Функции безопасности

• Двухфакторная аутентификация при помощи смарт-карт
• Два физических замка и изменение режимов работы с помощью смарт-карт
• Взломоустойчивый корпус, соответствующий требованиям FIPS 140-2 Level 3
• Контроль попыток снятия крышки, датчики движения, напряжения и температуры
• Возможность отключить функции безопасности, не востребованные хостовыми приложениями
• Журналы аудита

Физические характеристики

• Габариты: 2U для монтажа в 19” серверную стойку
85х478х417 мм
Вес 7.3 кг с одним блоком питания, 7.5 – с двумя
• Напряжение: 100-240V
• Частота: 40-63Гц
• Потребляемая мощность: 100В
• Температура эксплуатации: 10…40С°
• Влажность: 10-90% (без конденсации)

 payshield9000