Современные технологии защиты конфиденциальных
данных в платежных системах
О решениях Thales для
защиты данных держателей карт в комплексе инфраструктурных
решений, а также о разработках компании для хранения
данных рассказывает Олег Смирнов, специалист по криптографическим
системам компании DNA Distribution – официального дистрибьютора
Thales DIS в России.
Как известно, платежи, осуществляемые с помощью кредитной
или дебетовой карты в POS-терминале, через интернет
или мобильное приложение, включают в себя различные
элементы данных учетной записи. Последние являются конфиденциальными
и должны быть надежно защищены, чтобы снизить риск мошенничества
– как в настоящий момент, так и в будущем. Несмотря
на то что основные компоненты данных держателя карты,
включая основной номер счета (PAN), имя держателя карты
и дату истечения срока действия карты, нанесены на физической
платежной карте, их несанкционированный перехват, особенно
в ходе масштабных утечек данных, может предоставить
злоумышленникам информацию, необходимую для мошеннических
действий.
Существует два различных аспекта обеспечения сквозной защиты платежной транзакции. Первый из них относится к безопасности инфраструктуры платежных систем, в частности, к взаимодействию между участниками по мере того, как транзакция перемещается от точки совершения платежа к его целевой точке, где он либо подтверждается, либо отклоняется эмитентом или платежным оператором. Задачи платежной инфраструктуры в этой части включают в себя в первую очередь предотвращение возможности компрометации общих для всех участников криптографических ключей, обеспечение только авторизованного доступа к аппаратным модулям безопасности (HSM) доверенных приложений и персонала и сокращение времени нахождения HSM в неактивном состоянии до абсолютного минимума.
Второй аспект относится к постоянной защите данных, включая периоды нахождения HSM в неактивном состоянии, что касается большинства участников, таких как эмитенты, продавцы, покупатели, платежные операторы, платежные шлюзы и платежные сети. Задачи защиты данных в нерабочем состоянии оборудования в первую очередь связаны с обеспечением надежной защиты от мошеннического воздействия на любые данные, разрешенные для хранения в соответствии с PCI DSS. Некоторые из самых проблематичных областей в защите данных включают в себя ограничение распространения данных, ограничение доступа к конфиденциальным данным, распространяемым по нескольким различным каналам, а также снижение риска компрометации данных доверенными инсайдерами.
Платежная индустрия использует три основные технологии для защиты данных держателей карт в комплексе инфраструктурных решений и решений для хранения данных: двухточечное шифрование (P2PE), шифрование данных в неактивном состоянии и токенизация.
Существует два различных аспекта обеспечения сквозной защиты платежной транзакции. Первый из них относится к безопасности инфраструктуры платежных систем, в частности, к взаимодействию между участниками по мере того, как транзакция перемещается от точки совершения платежа к его целевой точке, где он либо подтверждается, либо отклоняется эмитентом или платежным оператором. Задачи платежной инфраструктуры в этой части включают в себя в первую очередь предотвращение возможности компрометации общих для всех участников криптографических ключей, обеспечение только авторизованного доступа к аппаратным модулям безопасности (HSM) доверенных приложений и персонала и сокращение времени нахождения HSM в неактивном состоянии до абсолютного минимума.
Второй аспект относится к постоянной защите данных, включая периоды нахождения HSM в неактивном состоянии, что касается большинства участников, таких как эмитенты, продавцы, покупатели, платежные операторы, платежные шлюзы и платежные сети. Задачи защиты данных в нерабочем состоянии оборудования в первую очередь связаны с обеспечением надежной защиты от мошеннического воздействия на любые данные, разрешенные для хранения в соответствии с PCI DSS. Некоторые из самых проблематичных областей в защите данных включают в себя ограничение распространения данных, ограничение доступа к конфиденциальным данным, распространяемым по нескольким различным каналам, а также снижение риска компрометации данных доверенными инсайдерами.
Платежная индустрия использует три основные технологии для защиты данных держателей карт в комплексе инфраструктурных решений и решений для хранения данных: двухточечное шифрование (P2PE), шифрование данных в неактивном состоянии и токенизация.
Аппаратные модули Thales payShield HSM – жизненно
важный компонент в повышении уровня безопасности
Двухточечное шифрование
(P2PE)
Стандарт P2PE (Point to Point Encryption) используется для защиты уязвимых зон в платежной инфраструктуре. Традиционные POS-системы все чаще используют P2PE, чтобы избежать уязвимостей, связанных с передачей данных с использованием магнитной полосы и чипа карты в открытом виде. Пользователи решений для мобильных точек продаж (mPOS) на самом деле не имеют иного выбора, кроме как развертывать P2PE, поскольку они включают в себя ненадежные устройства (мобильные телефоны или планшеты) и ненадежные сети (интернет). P2PE шифрует данные в точке захвата (то есть в POS-терминале или считывателе mPOS), после чего эти данные поддерживаются в зашифрованном состоянии и могут быть дешифрованы только в HSM на платежном шлюзе или получателе.
Аппаратные модули безопасности Thales payShield HSM представляют собой жизненно важный компонент в повышении уровня безопасности, снижая риск компрометации ключей благодаря использованию проверенных аппаратных технологий генерации, распределения и управления ключами в рамках реализации стандарта PCI P2PE. Thales payShield HSM соответствуют самым строгим требованиям управления ключами PCI, реализуя это простым и экономичным способом, а также облегчают безопасную обработку ПИН-кода в соответствии с требованиями безопасности PCI, используя стандартные функции управления ПИН-кодами, доступные в HSM.
Стандарт P2PE (Point to Point Encryption) используется для защиты уязвимых зон в платежной инфраструктуре. Традиционные POS-системы все чаще используют P2PE, чтобы избежать уязвимостей, связанных с передачей данных с использованием магнитной полосы и чипа карты в открытом виде. Пользователи решений для мобильных точек продаж (mPOS) на самом деле не имеют иного выбора, кроме как развертывать P2PE, поскольку они включают в себя ненадежные устройства (мобильные телефоны или планшеты) и ненадежные сети (интернет). P2PE шифрует данные в точке захвата (то есть в POS-терминале или считывателе mPOS), после чего эти данные поддерживаются в зашифрованном состоянии и могут быть дешифрованы только в HSM на платежном шлюзе или получателе.
Аппаратные модули безопасности Thales payShield HSM представляют собой жизненно важный компонент в повышении уровня безопасности, снижая риск компрометации ключей благодаря использованию проверенных аппаратных технологий генерации, распределения и управления ключами в рамках реализации стандарта PCI P2PE. Thales payShield HSM соответствуют самым строгим требованиям управления ключами PCI, реализуя это простым и экономичным способом, а также облегчают безопасную обработку ПИН-кода в соответствии с требованиями безопасности PCI, используя стандартные функции управления ПИН-кодами, доступные в HSM.
Шифрование данных в неактивном состоянии
Как мы уже отмечали, еще одно принципиально важное направление использования шифрования – защита данных в неактивном состоянии оборудования. Его развертывание было ускорено растущими требованиями PCI DSS и стремлением обесценить данные в случае их кражи.
Платформа шифрования Thales Vormetric упрощает процесс добавления функции шифрования в существующие приложения.
Vormetric Data Security обеспечивает операционную эффективность при централизованном управлении ключами и политиками защиты данных в облачных средах.
Решения Vormetric Key включают в себя облачное и корпоративное управление ключами для шифрования баз данных (TDE), клиентов KMIP и управления полным жизненным циклом ключей для облачных данных.
Шифрование Vormetric Transparent обеспечивает шифрование структурированных и неструктурированных файлов, а также является высокопроизводительным средством управления доступом пользователей.
Как мы уже отмечали, еще одно принципиально важное направление использования шифрования – защита данных в неактивном состоянии оборудования. Его развертывание было ускорено растущими требованиями PCI DSS и стремлением обесценить данные в случае их кражи.
Платформа шифрования Thales Vormetric упрощает процесс добавления функции шифрования в существующие приложения.
Vormetric Data Security обеспечивает операционную эффективность при централизованном управлении ключами и политиками защиты данных в облачных средах.
Решения Vormetric Key включают в себя облачное и корпоративное управление ключами для шифрования баз данных (TDE), клиентов KMIP и управления полным жизненным циклом ключей для облачных данных.
Шифрование Vormetric Transparent обеспечивает шифрование структурированных и неструктурированных файлов, а также является высокопроизводительным средством управления доступом пользователей.
Решения Thales позволяют удовлетворить все требования
к безопасности данных для всех участников платежных
систем
Токенизация карточных данных
Существует два основных типа токенизации, используемых для защиты карточных платежей, – токенизация эмитента и токенизация эквайера. Оба метода подразумевают подмену номера счета PAN суррогатным значением (или токеном), но они имеют разные цели и используются различными участниками экосистемы: соответственно, эмитентами либо эквайрерами.
Токенизация эмитента используется для разделения каналов осуществления платежей, гарантируя, что любые данные, утечка которых могла произойти в одном канале, недопустимы для использования в другом. Как правило, эмитент создает отдельный, логически уникальный токен для каждого типа платежа или метода, связанного с той же учетной записью потребителя. Основное преимущество использования токена, а не реального PAN для учетной записи состоит в том, что в случае компрометации необходимо заменить только токен, а не PAN и связанную с ним платежную карту. Одним из основных преимуществ является то, что созданные токены имеют структуру, аналогичную исходному PAN, поэтому транзакция может маршрутизироваться через сеть обычным способом без необходимости каких-либо изменений в системах продавца или покупателя.
Эмитенты и их исполнители могут использовать функциональность модулей Thales payShield для генерации токенов из PAN и извлечения PAN из токенов в рамках предложений поставщика услуг безопасного токена (TSP) от ведущих международных платежных систем. Предоставляется стандартная поддержка для следующих решений: Служба токенизации American Express, Служба токенизации Mastercard – как часть службы цифровой активации Mastercard (MDES), а также Visa Token Service (VTS).
Токенизация эквайрера предназначена для защиты продавца от взлома данных. Продавцу даже не нужно хранить зашифрованный PAN, что уменьшает его ответственность для соответствия PCI DSS. Как правило, реальный PAN используется для платежной транзакции вплоть до стадии авторизации. В момент, когда торгово-сервисному предприятию необходимо хранить данные учетной записи клиента, чтобы выполнить такие бизнес-процессы, как возврат платежей, послепродажный возврат и программы лояльности, используется токен, а не реальный PAN. Обычно токен генерируется и контролируется покупателем или платежной системой и предоставляется продавцу в качестве замены PAN в ответ на запрос авторизации. Основными преимуществами этой системы являются то, что ТСП сужают рамки своей ответственности для соответствия PCI DSS, бизнес-процессы не подлежат каким-либо изменениям, а риск раскрытия конфиденциальных данных значительно снижается.
Токенизация с помощью решения Thales Vormetric Vaultless с динамическим маскированием данных существенно сужает границы области соответствия PCI DSS и предоставляет возможности для токенизации баз данных и динамического безопасного отображения. Теперь можно эффективно решать свои задачи по обеспечению безопасности и анонимности конфиденциальных данных, независимо от того, находятся ли эти данные в центрах обработки данных, контейнерах, облачных средах или являются большими данными (Big Data).
Решения Thales позволяют удовлетворить все требования к безопасности данных для всех участников платежных систем и всех типов платежей, обеспечивая современную криптографическую защиту данных в рамках действующих стандартов платежной индустрии PCI и безопасное хранение всех ключей шифрования в изолированной среде аппаратных модулей шифрования HSM. Это исключает возможность компрометации секретных данных не только злоумышленниками извне, но и инсайдерами, имеющими непосредственный и легитимный доступ к системам.
Существует два основных типа токенизации, используемых для защиты карточных платежей, – токенизация эмитента и токенизация эквайера. Оба метода подразумевают подмену номера счета PAN суррогатным значением (или токеном), но они имеют разные цели и используются различными участниками экосистемы: соответственно, эмитентами либо эквайрерами.
Токенизация эмитента используется для разделения каналов осуществления платежей, гарантируя, что любые данные, утечка которых могла произойти в одном канале, недопустимы для использования в другом. Как правило, эмитент создает отдельный, логически уникальный токен для каждого типа платежа или метода, связанного с той же учетной записью потребителя. Основное преимущество использования токена, а не реального PAN для учетной записи состоит в том, что в случае компрометации необходимо заменить только токен, а не PAN и связанную с ним платежную карту. Одним из основных преимуществ является то, что созданные токены имеют структуру, аналогичную исходному PAN, поэтому транзакция может маршрутизироваться через сеть обычным способом без необходимости каких-либо изменений в системах продавца или покупателя.
Эмитенты и их исполнители могут использовать функциональность модулей Thales payShield для генерации токенов из PAN и извлечения PAN из токенов в рамках предложений поставщика услуг безопасного токена (TSP) от ведущих международных платежных систем. Предоставляется стандартная поддержка для следующих решений: Служба токенизации American Express, Служба токенизации Mastercard – как часть службы цифровой активации Mastercard (MDES), а также Visa Token Service (VTS).
Токенизация эквайрера предназначена для защиты продавца от взлома данных. Продавцу даже не нужно хранить зашифрованный PAN, что уменьшает его ответственность для соответствия PCI DSS. Как правило, реальный PAN используется для платежной транзакции вплоть до стадии авторизации. В момент, когда торгово-сервисному предприятию необходимо хранить данные учетной записи клиента, чтобы выполнить такие бизнес-процессы, как возврат платежей, послепродажный возврат и программы лояльности, используется токен, а не реальный PAN. Обычно токен генерируется и контролируется покупателем или платежной системой и предоставляется продавцу в качестве замены PAN в ответ на запрос авторизации. Основными преимуществами этой системы являются то, что ТСП сужают рамки своей ответственности для соответствия PCI DSS, бизнес-процессы не подлежат каким-либо изменениям, а риск раскрытия конфиденциальных данных значительно снижается.
Токенизация с помощью решения Thales Vormetric Vaultless с динамическим маскированием данных существенно сужает границы области соответствия PCI DSS и предоставляет возможности для токенизации баз данных и динамического безопасного отображения. Теперь можно эффективно решать свои задачи по обеспечению безопасности и анонимности конфиденциальных данных, независимо от того, находятся ли эти данные в центрах обработки данных, контейнерах, облачных средах или являются большими данными (Big Data).
Решения Thales позволяют удовлетворить все требования к безопасности данных для всех участников платежных систем и всех типов платежей, обеспечивая современную криптографическую защиту данных в рамках действующих стандартов платежной индустрии PCI и безопасное хранение всех ключей шифрования в изолированной среде аппаратных модулей шифрования HSM. Это исключает возможность компрометации секретных данных не только злоумышленниками извне, но и инсайдерами, имеющими непосредственный и легитимный доступ к системам.
Контакты
Олег Смирнов
специалист по криптографическим системам компании DNA Distribution – официального дистрибьютора Thales DIS в России
специалист по криптографическим системам компании DNA Distribution – официального дистрибьютора Thales DIS в России
Тел.: +7 495 120 6090
E-mail: Osmirnov@dnadis.ru
E-mail: Osmirnov@dnadis.ru