pci-hsm-page-banners

Certification de conformité PCI HSM

Thales propose des HSM certifiés sous la norme PCI HSM, permettant aux clients de simplifier les efforts de conformité à la norme de carte et d’audit

PCI HSM

Test

La spécification PCI HSM définit un ensemble de normes de conformité de sécurité logiques et physiques pour les HSM, en particulier dans l’industrie des paiements. La certification de conformité dépend du respect de ces normes.

Le HSM payShield 9000 de Thales était l’un des premiers HSM à être certifié avec succès vis-à-vis de la norme PCI HSM, y compris les exigences fondamentales pour les processus de paiement, dont :

  • le traitement des codes PIN ;
  • la vérification des cartes ;
  • la génération des clés.
  • Réglementation
  • Conformité

Objectifs de certification

Les HSM jouent un rôle majeur dans la protection des transactions de paiement, il est donc essentiel que les HSM eux-mêmes soient protégés pendant l’intégralité de leur cycle de vie, de la production et la livraison au fonctionnement et à la mise hors service. La norme de certification de conformité PCI HSM propose aux fournisseurs de HSM un ensemble d’exigences de sécurité strict et un processus rigoureux pour l’évaluation des plateformes vis-à-vis de ces exigences.

Portée

La certification de conformité PCI HSM devient une exigence de plus en plus fondamentale pour plusieurs processus de paiement, y compris le traitement des codes PIN, la vérification des cartes, l’interchange des DAB, la recharge des cartes prépayées et la génération des clés.

Le HSM payShield 10K est doté d’un logiciel riche en fonctionnalités certifié PCI HSM. Il répond à tous les processus ci-dessous, et bien plus encore.

Matériel

Pour garantir sa conformité à la norme PCI HSM, une plateforme doit satisfaire les exigences de sécurité physique suivantes :

  • la détection des violations et l’application de mécanismes correctifs ;
  • la résistance face aux conditions environnementales et d’exploitation anormales ;
  • la protection des données sensibles dans l’appareil ;
  • la prévention de la divulgation des informations sensibles par des techniques de surveillance extérieures ;
  • la protection des clés de chiffrement à l’intérieur de l’appareil, même en cas de violation des barrières de sécurité.

Logiciels et configurations

Les logiciels, la configuration et la gestion des HSM doivent satisfaire les exigences de sécurité logiques suivantes :

  • la résistance face aux séquences de commande ou aux modes d’exploitation inattendus ;
  • une gestion sécurisée des micrologiciels ;
  • une authentification robuste avant d’exécuter les services sensibles ;
  • la gestion sécurisée des clés et la séparation des clés pour empêcher les abus d’utilisation et éliminer l’exposition des données sensibles et des codes PIN en clair ;
  • une piste d’audit sécurisée.

Chaîne d’approvisionnement

Le fournisseur de HSM doit fournir des preuves à l’équipe d’évaluation PCI HSM que des processus efficaces sont mis en place pour garantir que le HSM est protégé à tout moment, de la fabrication à l’emballage et à la livraison à l’utilisateur final.

  • Ressources associées
    • payShield 10K - Data Sheet

    payShield 10K - Data Sheet

    payShield 10K is a payment hardware security module (HSM) used extensively throughout the global payment ecosystem by issuers, service providers, acquirers, processors and payment networks. It plays a fundamental security role in securing the payment credential issuing, user...

    Download
    La gestion des transactions avec les HSM payShield - Brochure

    La gestion des transactions avec les HSM payShield - Brochure

    payShield de Thales est le leader en matière de HSM de paiement dans le monde, contribuant à sécuriser environ 80 % des transactions en point de vente dans le monde. HSM privilégié par les fournisseurs de solutions de paiement et les distributeurs de technologie de paiement,...

    Download

    Brochure : La protection des données sensibles au sein de l'écosystème des paiements par carte du commerce de détail

    Ce document fournit une vue d’ensemble de la manière dont les entreprises peuvent associer des solutions payShield HSM à la plateforme Vormetric Data Security Platform pour assurer une protection complète des données sensibles dans le cadre de leurs activités de traitement des...

    Download
    Payment Credential Issuing using payShield HSMs - Brochure

    Payment Credential Issuing using payShield HSMs - Brochure

    Thales HSMs have been used for years to prepare data for EMV chip cards, personalize the cards and help manage the complete lifecycle of the cryptographic keys and associated payment application credentials. payShield also supports the data preparation and provisioning of...

    Download
    payShield Manager - Data Sheet

    payShield Manager - Data Sheet

    payShield Manager from Thales is a remote management solution designed specifically for both payShield 10K and payShield 9000. It enables remote operation of HSMs via a standard browser interface, leveraging smart card access control to establish secure connections with HSMs....

    Download
    payShield Monitor - 데이터시트

    payShield Monitor - Data Sheet

    payShield Monitor from Thales is a comprehensive HSM monitoring platform that enables operations teams to gain 24x7 visibility into the status of all their payShield HSMs, including those residing across distributed data centers. With this solution, security teams can...

    Download
    payShield Trusted Management Device - Data Sheet

    payShield Trusted Management Device - Data Sheet

    The payShield Trusted Management Device (TMD) from Thales is a compact, intuitive, self-contained secure cryptographic device (SCD) that enables you to securely manage symmetric keys. TMD generates keys in a manner that is compliant with relevant security standards, including...

    Download

    Autres réglementations de protection des données et sécurité importantes

    RGPD

    RÉGLEMENTATION
    EN VIGUEUR

    Le RGPD est peut-être la norme de confidentialité des données la plus complète à ce jour. Elle concerne toute organisation qui traite les données personnelles des citoyens de l'UE - quel que soit le lieu du siège de l'organisation.

    En savoir plus

    PCI DSS

    MANDAT
    EN VIGUEUR

    Toute organisation qui joue un rôle dans le traitement des paiements par carte de crédit et de débit doit se conformer aux exigences strictes de conformité PCI DSS pour le traitement, le stockage et la transmission des données de compte.

    En savoir plus

    Lois sur la notification des brèches de données

    RÉGLEMENTATION
    EN VIGUEUR

    Partout dans le monde, des nouvelles exigences en matière de notification des brèches de données ont vu le jour suite à la perte d'informations personnelles. Elles varient selon les juridictions mais comprennent presque toutes une clause de "safe harbour".

    En savoir plus
    man with laptop

    Contactez un spécialiste compliance

    Nous contacter
    laptop

    Êtes-vous prêt pour le RGPD ?

    Explorer
    two men

    Découvrer le guide Solutions de mise en conformité et réglementations.

    Télécharger

    Solutions associées

    Partners Resources Blogs Sentinel Drivers