Crittografia point-to-point
Il PCI SSC (Payment Industry Security Standards Council, ente di standard di sicurezza nel settore delle carte di pagamento) definisce, articola e applica i requisiti di sicurezza per il settore dei pagamenti, tra cui gli standard P2PE (Point-to-Point Encryption). Tramite questi standard, il PCI SSC delinea in che modo i fornitori di soluzioni P2PE devono convalidare le proprie soluzioni e come, sfruttandole, i commercianti possono ridurre la portata delle valutazioni PCI DSS.
La P2PE è una tipologia di crittografia particolare a livello applicativo, dove la crittografia viene applicata selettivamente all’interno di un’applicazione aziendale, in questo caso un terminale POS di vendita al dettaglio. Se il processo di crittografia point-to-point viene implementato correttamente, ovvero se i dati dell’account sono crittografati all’interno di un SCD (Secure Cryptographic Device) approvato, come un terminale POS, e non vengono decifrati nell’ambiente del commerciante, quest’ultimo potrebbe essere completamente al di fuori della portata del PCI DSS.
Devono essere effettuati controlli rigorosi per la protezione e l’accesso alle chiavi di decifratura: infatti, la guida attuale richiede che un HSM (Hardware Security Module) con un livello adeguato di sicurezza protegga questi accessi. Gli acquirenti e altri operatori nella catena dei pagamenti hanno già iniziato a vendere servizi di valore aggiunto che utilizzano P2PE per ridurre i costi di messa in conformità per i commercianti. Dal punto di vista del PCI DSS, qualsiasi sistema che abbia la capacità di decifrare i dati di un account è immediatamente soggetto allo standard, dunque la possibilità di isolare i commercianti proteggendo le chiavi all’interno degli HSM può apportare benefici notevoli per tutte le parti.
- Sfide
- Soluzioni
- Vantaggi
Crittografia point-to-point: la sfida odierna
- Le organizzazioni che non proteggono i dati degli account con la crittografia point-to-point potrebbero non risultare adempienti rispetto agli obblighi del PCI DSS, rischiando multe e danni all’azienda.
- I malintenzionati possono sottrarre i dati dell’account di un cliente da molti luoghi all’interno di un’organizzazione tipo, poiché entrano, in maniera intenzionale o meno, attraverso svariati canali (siti web, call center e helpdesk, sistemi di posta elettronica, ecc.) e possono propagarsi rapidamente e ampiamente in tutta l’impresa aumentando i costi delle contromisure e dell’elaborazione dei rapporti di conformità.
- La crittografia può ridurre i rischi, ma le organizzazioni devono adottare delle misure per gestire le chiavi in modo adeguato. Le chiavi che esistono in un sistema completamente basato su software sono vulnerabili agli attacchi e spesso non rispondono agli obblighi di conformità.
- Anche se il PCI DSS non ha imposto l’uso della P2PE (Point-to-Point Encryption), le organizzazioni che non l’adottano per ridurre la portata dello standard possono ritrovarsi a dover sostenere costi di adeguamento non necessari.
Crittografia point-to-point: le soluzioni di Thales
Non solo Thales può aiutarti a conseguire la conformità al PCI DSS in modo efficace ed efficiente, ma può anche contribuire a ridurre la portata dello standard, e dunque i costi della messa in conformità, grazie alla P2PE (Point-to-Point Encryption). Gli HSM payShield vantano il certificato indipendente FIPS 140-2 livello 3 richiesto dalle linee guida della P2PE, e creano un ambiente affidabile in cui generare, archiviare e gestire le chiavi in maniera sicura proteggendo inoltre le operazioni di decifratura. L’utilizzo degli HSM in tal senso è analogo al modo in cui vengono protetti i PIN degli utenti nella rete di pagamenti. In entrambi i casi, gli HSM superano le vulnerabilità inerenti dei sistemi basati completamente su software che possono esporre le chiavi e i processi crittografici ad attacchi di scansione della memoria, monitoraggio del runtime o minacce dall’interno da parte di utenti privilegiati.
Che tu scelga di crittografare e decifrare i dati degli account utilizzando la CipherTrust Data Security Platform di Thales o possieda un software sviluppato internamente o applicazioni commerciali di terze parti, gli HSM payShield sono facili da implementare e possono supportare tecnologie innovative come la FPE (Format Preserving Encryption) per minimizzare l’impatto sui processi aziendali esistenti. I dispositivi di Thales sono già certificati per integrarsi direttamente con i prodotti dei nostri partner di settore e dei principali produttori di POS, garantendoti distribuzioni rapide e integrazioni perfette con i tuoi sistemi esistenti.
Utilizzando gli HSM di Thales puoi:
- Implementare P2PE (Point-to-Point Encryption) conforme agli standard PCI DSS per proteggere i dati degli account e ridurre i costi di messa in conformità.
- Accelerare i progetti di implementazione: gli HSM payShield sono pre-qualificati per integrarsi con i prodotti della CipherTrust Data Security Platform di rivenditori di crittografia leader di settore.
- Sfruttare una serie di livelli di prestazioni e fattori di forma, implementando esattamente ed esclusivamente ciò di cui hai bisogno con upgrade semplici con l’evoluzione delle necessità.
- Sfruttare FPE leader di settore per minimizzare l’impatto sui sistemi esistenti ora esposti a dati crittografati piuttosto che con testo in chiaro.