pci-hsm-page-banners

PCI HSMコンプライアンス認証

タレスはPCI HSMスタンダードの下で認証されたHSMを提供し、組織がカード標準への準拠と監査に対する取り組みを効率化できるようサポートします

PCI HSM

テスト

PCI HSM仕様は、特に決済業界向けのHSMに関する一連の論理的・物理的セキュリティコンプライアンス標準を定義しています。コンプライアンス認証は、これらの基準を満たすかどうかによって決定されます。

タレスのpayShield 9000 HSMは、PCI HSM標準に対して初めて認証されたHSMの1つで、次のような決済プロセスに関する基本要件が含まれます。

  • PINの処理
  • カードの検証
  • 鍵の生成
  • 規則
  • コンプライアンス

認証の目的

HSMは決済を保護する上で重要な役割を果たすため、HSM自体が製造から出荷、運用、廃止に至るまでのライフサイクル全体を通じて安全に保たれることが不可欠です。PCI HSMコンプライアンス認証標準はHSMベンダーに、一連の厳格なセキュリティ要件と、それらの要件に対してプラットフォームを評価するための厳格なプロセスを提供します。

スコープ

PCI HSMコンプライアンス認証は、PIN処理、カード検証、カード作成、ATM取引、キャッシュカードの再読み込み、鍵生成などさまざまな決済プロセスの基本要件になってきています。

payShield 10K HSMには、PCI HSM標準に認証された機能豊富なソフトウェアが搭載されており、以下のプロセスなどに対応しています。

ハードウェア

PCI HSMに準拠するには、プラットフォームは次の物理的セキュリティ要件を満たす必要があります。

  • 改ざん検出および応答メカニズム
  • 異常な環境および動作条件に対する回復性
  • デバイス内の機密データを保護
  • 外部監視技術による機密情報の漏洩防止
  • セキュリティ境界が破られた場合でもデバイス内の暗号鍵を保護

ソフトウェアと設定

HSMのソフトウェア、構成、管理は、次の論理的セキュリティ要件を満たす必要があります。

  • 予期しないコマンドシーケンスや動作モードに対する回復性
  • 安全なファームウェア管理
  • 機密性の高いサービスを実行する前の強力な認証
  • 悪用を防ぎ、機密データとPINのクリアテキストの漏洩リスクを排除するための安全な鍵管理と鍵分離
  • 安全な監査証跡

サプライチェーン

HSMベンダーは、製造から梱包、エンドユーザーへの出荷に至るまで、HSMが常に保護された状態を維持できるように、効果的なプロセスが実施されているという証拠をPCI HSM評価チームに提供する必要があります。

  • 関連リソース
    • payShield 10K - Data Sheet

    payShield 10K - Data Sheet

    payShield 10Kは、決済用ハードウェアセキュリティモジュール (HSM)として、カード発行会社、サービスプロバイダー、加盟 店契約会社、決済代行会社、決済ネットワークにより、グローバ ルな決済エコシステム全体にわたって広範に利用されています。 対面決済とデジタルリモート決済の両方において、決済クレデ ンシャルの発行、ユーザー認証、カード認証、機密データ保護プ ロセスの安全を実現する上で基盤となるセキュリティ確保の役 割を担います。

    Download
    Transaction processing using payShield HSMs - Brochure

    Transaction processing using payShield HSMs - Brochure

    payShield from Thales is the world’s leading payment HSM, helping to secure an estimated 80% of global point of sale (POS) transactions. As the HSM of choice for payment solution providers and payment technology vendors, it delivers proven integration with all of the leading...

    Download
    Sensitive Data Protection in the Retail Card Payments Ecosystem - Brochure

    Sensitive Data Protection in the Retail Card Payments Ecosystem - Brochure

    This document provides an overview of how organizations can leverage a mixture of the payShield HSM and Vormetric Data Security Platform solutions to provide complete protection of sensitive data as part of their retail card payment processing activities which are linked to a...

    Download
    Payment Credential Issuing using payShield HSMs - Brochure

    Payment Credential Issuing using payShield HSMs - Brochure

    Thales HSMs have been used for years to prepare data for EMV chip cards, personalize the cards and help manage the complete lifecycle of the cryptographic keys and associated payment application credentials. payShield also supports the data preparation and provisioning of...

    Download
    payShield Manager - Data Sheet

    payShield Manager - Data Sheet

    payShield Manager from Thales is a remote management solution designed specifically for both payShield 10K and payShield 9000. It enables remote operation of HSMs via a standard browser interface, leveraging smart card access control to establish secure connections with HSMs....

    Download
    payShield Monitor - 데이터시트

    payShield Monitor - Data Sheet

    payShield Monitor from Thales is a comprehensive HSM monitoring platform that enables operations teams to gain 24x7 visibility into the status of all their payShield HSMs, including those residing across distributed data centers. With this solution, security teams can...

    Download
    payShield Trusted Management Device - Data Sheet

    payShield Trusted Management Device - Data Sheet

    The payShield Trusted Management Device (TMD) from Thales is a compact, intuitive, self-contained secure cryptographic device (SCD) that enables you to securely manage symmetric keys. TMD generates keys in a manner that is compliant with relevant security standards, including...

    Download

    その他の主要なデータ保護とセキュリティ規制

    GDPR

    規制
    アクティブ ナウ

    これまでで最も包括的なデータプライバシー基準とされるGDPRは、組織がどこの国にあろうとも、EU市民の個人データを保持する全ての組織に対応を求められます。

    詳細を見る

    PCI DSS

    必須
    アクティブ ナウ

    クレジットカード及びデビットカードの決済処理事業者は、アカウントデータの処理、保存および送信に関する厳格なPCIDSSコンプライアンス要件に準拠する必要があります。

    詳細を見る

    データ漏えい通知法

    規制
    アクティブ ナウ

    個人情報漏えいが発生した場合に、データ侵害報告義務の要件は、世界中の国々によって制定されています。それは管轄国で違いはありますが、ほぼ全てに「セーフハーバー」条項が含まれています。

    詳細を見る
    man with laptop

    コンプライアンススペシャリストに問い合わせ

    お問い合わせ
    laptop

    GDPRに対応していますか?

    詳細を見る
    two men

    コンプライアンスと規制対応ソリューションハンドブックを購読

    ダウンロード

    関連ソリューション

    Partners Resources Blogs Sentinel Drivers