Payment Card Industry Data Security Standard(PCI DSS)は、クレジットカード/デビットカード情報の受領、処理、保存、送信を行う企業が安全な環境を維持し、カード所有者が個人情報を誤用されないようにするための一連のセキュリティ基準を定義しています。
PCI DSSに準拠する最も効率的な方法の1つは、HSMを使用することです。
ハードウェアセキュリティモジュール(HSM)とPCI
すべての決済HSMベンダーは、PCI PTS HSMで定義された標準に準拠することで、安全なハードウェアセキュリティモジュールを設計し決済取引を処理できる必要があります。PCI PTS認定HSMは、ユーザーがPCI DSSコンプライアンスを達成するための鍵になります。
PCI PTS HSM基準は、物理的セキュリティと論理的セキュリティの2つのグループに分類されます。HSMの物理的セキュリティを定義するいくつかの要件は、連邦情報処理規格140-2(FIPS 140-2)の要件に由来します。この認証は、アクティブな改ざん応答メカニズムを確保できるので、侵入およびサイドチャネル攻撃を受けたとしても機密データや秘密鍵を抹消することができます。
PCI HSM基準の対象となるHSMのライフサイクルは、デプロイメント環境の初期地点へ初めて提供するまでの期間です。HSMライフサイクルにおける以降の段階も引き続きPCIの対象範囲ですが、他のPCI基準によって管理されます。
PCI HSMのセキュリティ要件は、既存のISO、ANSI、およびNIST基準から導き出され、金融業界の決済で実績が認められている安全な手法に基づいています。要件は、以下に示すの4種類の評価ドメインに分類されます。
- 評価モジュール1 – このモジュールは、HSMの物理的および論理的セキュリティをはじめ、準拠すべきポリシーや手順など、軸となるセキュリティ要件を定義します。
- 評価モジュール2 - このモジュールは、HSMでキーの読み込みに使用するキー読み込み手順とデバイスを定義します。
- 評価モジュール3 - このモジュールは、HSMのリモート管理の側面をカバーしています。
- 評価モジュール4 - このモジュールは、製造中、および製造元と初期展開時点の間のデバイスセキュリティ要件をカバーしています。
Utimaco HSMとPCIコンプライアンス
Utimaco HSMは、PCI審議会、ISO、NIST、ANSIによって定義された基本原則に基づいて設計されています。これには、Atalla AT 1000とPaymentServerが含まれます。