暗号鍵の「配送」や「受領」をセキュアかつ効率的に管理
ペイメント業界の標準では、ハードウェア・セキュリティ・モジュール(HSM)キー・コンポーネントを手動で入力するための、より安全なソリューションが求められます。HSMにアクセスして共通鍵の配布または受領プロセスを行うためにデータセンター内で物理的なセキュリティを構築することは、時間もコストもかかります。payShield Trusted Management Device(TMD)は、本番用HSMから離れた場所で重要な鍵を管理・共有するための効率的で柔軟かつ安全なアプローチを提供します。
TMDはコンパクトで直感的な自己完結型のセキュア暗号デバイス(SCD)また、Key Loading Deviceとして、共通鍵を安全に受領および配布することができます。また、X9 TR-31、ANSI X9.24-1、PCI PIN Securityなどの関連セキュリティ標準に準拠した方法で鍵を生成可能です。
重要な鍵管理タスクは、HSMに物理的に接続することなく実行できるため、セキュリティを損なうことなく、運用の柔軟性を高めることができます。1つのTMDで複数のデータセンターに分散する複数の決済用HSMの鍵を形成できるため、大規模な決済処理業者などでは、データの手入力エラーを排除し、タイムリーかつ安全な方法で何千もの共通鍵を作成・配布することができます。
TMDで生成した鍵はテキスト(画面または印刷)、QRコード、USBトークンなど、さまざまな形式で暗号化された状態で生成されるため、ロケーション間の移動で持ち運びは容易なのはもちろんですが、例え紛失したとしても、センシティブな情報ではないため安心です。
特長
スマートな操作運用性
・直感的なタッチスクリーンで取り扱いが容易
・一回の充電(12時間)で1日分の作業が可能
・TMD内蔵のプリンターとカメラを使って、QRコードを使用した迅速な鍵共有が可能(手入力によるミスを軽減)
(作成する鍵はテキスト(画面または印刷)、QRコード、USBトークンなど、さまざまな形式で暗号化された状態で生成)
柔軟性
・TMDはデータセンター外の離れた場所からどこからでも操作が可能
・物理的なHSMやネットワーク接続が不要なためより柔軟な展開が可能
・最大20個のMZMKをサポート
– マスターキーを共有しているからこそ、PS10Kに触れずにTMDで鍵生成や管理を実現
・PIN制御付きのスマートカードに所有権(ロール)を付与し、各操作者が利用できる役割を個別に設定できる柔軟性
高いセキュリティ
・TMD内部に保存された機密データは、改ざん攻撃があった場合に即座に消去
・TMDを構成するハードウェアおよびソフトウェア・ソリューションは、PCI HSM v3キー・ローディング・デバイス(KLD)規格に準拠(最新のセキュリティ監査に対応)
・鍵管理および各種操作は、スマートカードによるデュアルコントロールにて実現
・TMDの操作は二重認証プロセス中に使用されたスマートカードのシリアルナンバーと共に確実に記録(監査ログ機能)
導入例
・本社オフィスにあるTMDで鍵生成&エクスポートします。その後、リモートからPS10Kへ鍵をインポートします。
・PS10Kが設置されているデータセンターがP2PE(Point-to-Point Encryption)の設備要件32-9を満たしていない場合、平文鍵コンポーネントを取り扱うことができません。平文鍵を取り扱える様にTMDを導入した例です。
仕様