Chiffrement point à point
Le Payment Card Industry Security Standards Council (PCI SSC) définit, articule et met en application les exigences de sécurité pour l’industrie des paiements, y compris les normes PCI P2PE. Grâce à ces normes, PCI SCC décrit en détail comment les fournisseurs de solutions P2PE peuvent certifier leurs solutions et comment, en tirant parti de ces solutions certifiées, les vendeurs peuvent réduire la portée de leur conformité PCI DSS.
Le P2PE est un cas particulier de chiffrement au niveau de l’application, où le chiffrement est appliqué de manière sélective dans une application d’entreprise, dans ce cas un terminal de point de vente (POS). Si le processus de chiffrement point à point est mis en place correctement, les données du compte étant chiffrées dans un appareil cryptographique sécurisé approuvé, comme un terminal POS, et pas déchiffrées du tout dans l’environnement du vendeur, le vendeur peut être sorti presque entièrement de la portée PCI DSS.
Des contrôles stricts de protection et d’accès aux clés de déchiffrement doivent être en place. En effet, les conseils actuels nécessitent l’utilisation de HSM avec un niveau de sécurité approprié pour protéger l’accès à ces clés. Les acquéreurs et d’autres acteurs de la chaîne de paiement ont déjà commencé à proposer des services à valeur ajoutée qui tirent parti du chiffrement P2PE pour réduire les coûts de conformité de leurs vendeurs. Du point de vue de la norme PCI DSS, tout système ayant la capacité de déchiffrer des données de compte est immédiatement inclus dans la portée, la capacité à isoler les vendeurs en protégeant les clés dans des HSM peut donc avoir des avantages considérables pour toutes les parties concernées.
- Défis
- Solutions
- Avantages
Chiffrement point à point : les défis d’aujourd’hui
- Les organisations qui ne protègent pas les données de compte avec un chiffrement point à point peuvent constater l’échec de leur conformité aux mandats PCI DSS, et par conséquent risquer des amendes et des dommages commerciaux.
- Les acteurs malveillants peuvent voler les données de compte des clients depuis de nombreux emplacements au sein d’une organisation classique car elles peuvent être transmises par de nombreux canaux (sites Web, centres d’appels, support technique, systèmes de messagerie, etc.) et peuvent se propager rapidement et à grande échelle dans l’organisation, ce qui augmente considérablement le coût des contre-mesures et des rapports de conformité.
- Le chiffrement peut réduire les risques mais les organisations doivent prendre des mesures pour gérer les clés de manière appropriée. Les clés qui existent dans des systèmes logiciels à 100 % sont vulnérables aux attaques et souvent, ne parviennent pas à satisfaire les obligations en matière de conformité.
- Alors que la norme PCI DSS n’a pas mandaté l’utilisation du chiffrement P2PE (point à point), les organisations qui ne tirent pas parti de cette approche de chiffrement point à point pour réduire leur portée PCI DSS peuvent encourir des coûts de conformité inutiles.
Chiffrement point à point : solutions de Thales
Non seulement Thales peut vous aider à vous conformer à la norme PCI DSS avec efficacité, mais elle peut également vous aider à réduire votre portée PCI DSS et, par conséquent, le coût de la conformité, par le chiffrement P2PE. Les HSM payShield sont certifiés de manière indépendante à la norme FIPS 140-2 niveau 3 mandatée par les directives P2PE. Les HSM payShield créent un environnement sécurisé dans lequel le matériel de clé peut être généré, stocké et géré en toute sécurité, et dans lequel les opérations de déchiffrement peuvent être effectuées de manière sécurisée. Une telle utilisation des HSM est directement similaire à la manière dont les HSM sont utilisés pour protéger les codes PIN des utilisateurs dans le réseau de paiement. Dans les deux cas, les HSM surmontent les faiblesses intrinsèques des systèmes logiciels purs susceptibles d’exposer les clés de chiffrement et les processus aux attaques d’analyse de mémoire, à la surveillance d’exécution et aux utilisateurs privilégiés malveillants.
Que vous choisissiez de chiffrer ou de déchiffrer les données de compte à l’aide de CipherTrust Data Security Platform de Thales, de votre propre logiciel développé en interne ou d’applications commerciales tierces, les HSM payShield sont faciles à déployer et peuvent prendre en charge des technologies innovantes, comme le chiffrement préservant le format, pour réduire l’impact sur les processus commerciaux existants. Ces appareils sont déjà certifiés pour s’intégrer directement avec les produits de nos partenaires de l’industrie et de fabricants de POS majeurs, garantissant une rapidité de déploiement et une intégration transparente avec vos systèmes existants.
L’utilisation des HSM de Thales vous permet de :
- Déployer le chiffrement P2PE conforme PCI DSS pour protéger les données de compte et réduire les coûts de la conformité.
- Accélérer les projets de mise en place ; les HSM payShield sont pré-qualifiés pour s’intégrer avec les produits CipherTrust Data Security Platform de fournisseurs de chiffrement majeurs.
- Tirer parti d’une gamme de niveaux de performance et de facteurs de forme : déployez exactement ce dont vous avez besoin, pas plus, et procédez à des actualisations au besoin.
- Tirer parti du chiffrement préservant le format pour réduire l’impact sur les systèmes existants qui sont désormais exposés à des données de compte chiffrées et non pas en texte brut.