Większość standardowych systemów płatności kartami na świecie, wykorzystuje tzw. „Four Corners model. Opiera się on na bezpiecznych środowiskach zapewnianych przez sprzętowe moduły bezpieczeństwa (HSM), które służą do ochrony wielu kluczy i operacji kryptograficznych w branży bankowej.

Koncepcja modelu „Four Corners”

 Zanim jednak zagłębimy się w temat, jak moduły HSM płatności wykorzystywane są w modelu „Four Corners”,  dowiedzmy się, czym właściwie są wspomniane „cornery”?

  1. Posiadacz Karty (lub Konsument) – właściciel karty płatniczej banku, który uprawniony jest do korzystania z niej. Zazwyczaj karta jest bezpośrednio powiązana z kontem Posiadacza karty, z wyjątkiem przypadków, gdy może być firmową kartą kredytową lub kartą flotową udostępnianą pracownikowi.
  2. Kupiec (lub Sprzedawca Detaliczny) np. sklep, restauracja lub inny przedsiębiorca, który akceptuje płatności kartami. Akceptowanie płatności kartą za dostarczone towary lub usługi jest podstawową rolą, jaką odgrywa Kupiec w ww. modelu. W takim przypadku również bankomat można uznać za „kupca”, ponieważ akceptuje karty płatnicze.
  3. Wydawca (lub Emitent) – zazwyczaj bank, który wydaje kartę płatniczą Posiadaczowi Karty. Wydawana karta może należeć do jednego z trzech typów:
    • Debetowa
    • Kredytowa
    • Przedpłacona

    Karty dostarczane są w imieniu określonej sieci płatności, takiej jak Mastercard, Visa, American Express, Discover, czy Europay.

  4. Dostawca – zazwyczaj bank lub inna instytucja finansowa, która zapewnia Kupcowi narzędzia (w tym sprzęt i oprogramowanie) potrzebne do realizacji transakcji kartami płatniczymi.

Model „Four Corners” jest stosunkowo prosty i obejmuje kilka przepływów pomiędzy każdym z jego elementów. Wyzwanie pojawia się tam, gdzie zapewnić należy odpowiednią ochronę wymienianych danych transakcyjnych.

Rola płatniczych HSM

Jak wspomnieliśmy już na początku, procesy transakcyjne związane z płatnościami kartami i bankowością detaliczną prowadzone w ramach „Four Corners” muszą odbywać się w bezpiecznym środowisku, które zapewniają moduły HSM. Jednak sposób zastosowania sprzętowych modułów bezpieczeństwa różni się nieco w każdym z czterech „cornerów”.

Dla Konsumenta, czyli Posiadacza Karty płatniczej z chipem wymaganej w transakcjach EMV, chip pełni funkcję mikro modułu HSM.

W przypadku Kupca sytuacja staje się nieco bardziej skomplikowana i zależy od wielkości jego działalności. Mniejszy – może posiadać terminale w punktach sprzedaży (POS) wyposażone w bezpieczną pamięć i sprzęt kryptograficzny. Taki sprzęt może działać jak mały moduł HSM. Jednak więksi kupcy, czyli sprzedawcy detaliczni mogą korzystać z centrum zarządzania swoimi terminalami płatniczymi, w którym mogą zbierać i grupować transakcje przed wysłaniem ich do bramki płatniczej. Takie koncentratory wymagają podłączonych do sieci modułów HSM, aby zapewnić bezpieczeństwo zebranych transakcji.

Wydawca, czyli Emitent potrzebuje modułów HSM z wielu powodów, począwszy od wydawania kart płatniczych, kluczy używanych do aktywacji i przetwarzania kart, po zarządzanie kartami podczas całego okresu ich życia. W tym przypadku, moduły HSM służą także do autoryzacji przepływu kryptograficznego.

Natomiast Dostawca, musi zarządzać wszystkimi kluczami terminali finansowych używanymi przez Kupców i przetwarzać przepływ kryptograficzny do Wydawcy, co wymaga już wielu modułów HSM klasy bankowej.

Dlatego moduły HSM są niezbędne do efektywnego zabezpieczania transakcji, które są zaszyfrowane i muszą być chronione niezależnie od tego, który z czterech „cornerów” jest w danym momencie aktywny. Wraz ze wzrostem liczby transakcji rośnie ryzyko naruszenia bezpieczeństwa danych, co stwarza konieczność stosowania modułów HSM w całym procesie.

Standardy bezpieczeństwa danych w branży kart płatniczych

Procesy zachodzące w modelu „Four Coners” są regulowane przez standardy branży kart płatniczych i inne organy normalizacyjne, tj.

PCI-DSS (Payment Card Industry Data Security Standard), czyli standardy i normy bezpieczeństwa danych branży kart płatniczych, które określają:

  • w jaki sposób budowane i utrzymywane są bezpieczne sieci i systemy,
  • w jaki sposób chronione są dane posiadaczy kart,
  • jak zarządza się lukami w zabezpieczeniach,
  • w jaki sposób wdrażana jest kontrola dostępu,
  • w jaki sposób sieci są monitorowane i testowane,
  • w jaki sposób należy utrzymywać politykę bezpieczeństwa informacji.

We wszystkich tych wymaganiach moduły HSM odgrywają kluczową rolę.

PCI PTS HSM (PCI PIN Transaction Security HSM), czyli standard który definiuje wymagania bezpieczeństwa stawiane modułom HSM w całym ich cyklu życia. PCI PTS HSM w dużej mierze opiera się na FIPS 140-2 (Federal Information Processing Standard), czyli Federalnym Standardzie Przetwarzania Informacji sformułowanym przez rząd Stanów Zjednoczonych.

ANSI x9.24-1-2017, czyli standard dotyczący zarządzania kluczami symetrycznymi w odniesieniu do bezpiecznych urządzeń kryptograficznych (SCD) dla detalicznych usług finansowych.

Common Criteria (CC), czyli uznawana na całym świecie norma/certyfikat (ISO/IEC 15408), która pomaga w wyborze maksymalnego poziomu bezpieczeństwa HSM.

Podsumowując moduły HSM firmy Utimaco spełniają wszystkie ww. międzynarodowe standardy bezpieczeństwa. Posiadają wysoki wskaźnik globalnego wdrożenia w sieciach bankowości detalicznej. Od lat 70. oddział Atalla firmy Utimaco jest pionierem w dziedzinie bezpieczeństwa we wszystkich czterech „cornerach”. A wiele przełomowych innowacji Atalla w zakresie modułów HSM, bloków kluczy i ochrony danych jest obecnie uwzględnionych w międzynarodowych standardach bezpieczeństwa płatności.

 

Jeżeli rozważasz zakup płatniczego HSM dla swojej organizacji i masz dodatkowe pytania – koniecznie skontaktuj się z nami!

  • +48 608 340 054