Criptografia de Ponto a Ponto
O Payment Card Industry Security Standards Council (PCI SSC) define, articula e executa os requisitos de segurança para o setor de pagamentos, incluindo os padrões PCI Point-to-Point Encryption (P2PE). Através destas normas, o PCI SSC detalha como os provedores de soluções P2PE podem validar suas soluções, e como, utilizando essas soluções certificadas, os comerciantes podem reduzir o escopo de suas avaliações PCI DSS.
O P2PE é um caso especial de criptografia de aplicativo, onde a criptografia é aplicada seletivamente dentro de uma aplicativo empresarial - nesse caso um terminal de ponto de venda (POS) de varejo. Se o processo de criptografia de ponto a ponto for implementado corretamente, com os dados da conta sendo criptografados dentro de um dispositivo criptográfico (SCD) aprovado e seguro, como um terminal POS, e não descriptografado de forma alguma dentro do ambiente do comerciante, há chance de que o comerciante seja retirado quase completamente do escopo do PCI DSS.
Controles rigorosos para proteção e acesso às chaves de decriptação devem estar em vigor; de fato, a orientação atual exige o uso de módulos de segurança de hardware (HSMs) com uma classificação de segurança apropriada para proteger o acesso a essas chaves. Adquirentes e outros participantes da cadeia de pagamentos já começaram a comercializar serviços de valor agregado que exploram o P2PE para reduzir os custos de conformidade para seus comerciantes. Da perspectiva do PCI DSS, qualquer sistema que tenha a capacidade de descriptografar dados de contas entra imediatamente no escopo, de modo que a capacidade de isolar os comerciantes protegendo as chaves dentro dos HSMs pode ter vantagens significativas para todos os envolvidos.
- Desafios
- Soluções
- Vantagens
Criptografia de Ponto a Ponto: O Desafio Atual
- As empresas que não protegem os dados de conta com criptografia de ponto a ponto podem deixar de cumprir com os mandatos do PCI DSS, arriscando multas e danos ao negócio.
- Os atacantes podem roubar dados de contas de clientes de muitos lugares dentro de uma empresa típica, já que podem entrar intencionalmente ou não intencionalmente através de inúmeros canais (sites, call centers, helpdesks, sistemas de e-mail etc.) e podem se propagar rapida e amplamente por toda a empresa, aumentando os custos com medidas e relatórios de conformidade.
- A criptografia pode reduzir os riscos, mas as empresas devem tomar medidas para gerenciar as chaves de forma apropriada. As chaves que existem em sistemas puramente baseados em software são vulneráveis a ataques e muitas vezes ficam aquém dos requisitos de conformidade.
- Embora o PCI DSS não tenha exigido o uso da criptografia de ponto a ponto (P2PE), as empresas que não utilizam esta abordagem de criptografia ponto a ponto para reduzir seu escopo do PCI DSS podem incorrer em custos de conformidade desnecessários.
Criptografia de Ponto a Ponto: Soluções da Thales
Não apenas a Thales pode ajudá-lo a tornar-se compatível com o PCI DSS de forma eficaz e eficiente, mas também pode ajudar a reduzir seu escopo do PCI DSS e, portanto, o custo de conformidade, através da criptografia de ponto a ponto (P2PE). Os HSMs payShield são certificados independentemente de acordo com o padrão FIPS 140-2 de nível 3 exigidos pelas diretrizes P2PE. Os HSMs payShield criam um ambiente confiável no qual o material das chaves pode ser gerado, armazenado e gerenciado com segurança e onde as operações de decriptação podem ser realizadas com segurança. O uso de HSMs desta forma é diretamente análogo à forma como os HSMs são usados para proteger os PINs de usuários ao passarem pela rede de pagamentos. Em ambos os casos, os HSMs superam as fraquezas inerentes aos sistemas puramente baseados em software que poderiam expor chaves e processos criptográficos a ataques de varredura de memória, monitoramento de tempo de execução ou usuários privilegiados mal intencionados.
Caso você optar por criptografar e descriptografar dados de conta usando a Plataforma CipherTrust Data Security da Thales, seu próprio software desenvolvido internamente ou aplicativos comerciais de terceiros, os HSMs payShield são fáceis de implementar e podem suportar tecnologias inovadoras como a Format Preserving Encryption (FPE) para minimizar o impacto nos processos comerciais existentes. Estes dispositivos já estão certificados para serem integrados diretamente com produtos de nossos parceiros industriais e fabricantes líderes de PDV, assegurando implantações rápidas e uma integração perfeita com seus sistemas existentes.
Usando os HSMs da Thales é possível:
- Implantar a criptografia de ponto a ponto (P2PE) compatível com PCI DSS para proteger os dados de contas e reduzir os custos de conformidade.
- Acelerar projetos de implementação; os payShield HSMs são pré-qualificados para serem integrados com os produtos da Plataforma CipherTrust Data Security dos principais provedores de criptografia.
- Aproveite uma escolha de níveis de desempenho e formatos - implante exatamente e apenas o que você precisa, e atualize facilmente conforme suas necessidades mudam.
- Aproveite a vantagem do FPE de ponta para minimizar o impacto nos sistemas existentes que agora estão expostos a dados criptografados em vez de dados de contas de texto simples.