THALES PAYSHIELD 9000

Краткое описание

Thales payShield 9000 - HSM, разработанный Thales e-Security специально для платежных приложений. Этот модуль обеспечивает защиту таких операций как: проверка PIN-кодов, платежные транзакции, выпуск платежных карт, а также управление ключами шифрования.

Thales PayShield 9000 - самый популярный в мире модуль защиты платежных систем, с его помощью осуществляется более 80% от мирового объема транзакций по платежным картам.
PayShield 9000 - это внешнее периферийное устройство для серверов и мейнфреймов, отвечающих за программные приложения для электронных платежей, обеспечивающее безопасность платежных транзакций через банкоматы или POS-системы.
Криптографические механизмы шифрования и инструментарий управления, реализованные в PayShield 9000, соответствуют требованиям безопасности, предъявляемым основными международными платежными программами, включая MasterCard, Visa, American Express, Discover и JCB, и даже превосходят эти требования.
Модуль PayShield 9000 сертифицирован на соответствие стандарту FIPS 140-2 Level 3. Доступна конфигурация, соответствующая спецификации PCI HSM v1.0, разработанной Советом по безопасности платежных систем PCI Security Standards Council.

Возможности payShield 9000

• Сертифицированная полноценная система безопасности, разработанная специально для платежных систем.
• Готовое решение для обеспечения безопасности большинства платежных приложений.
• Непрерывность бизнес-процессов благодаря резервированию ключевых узлов, возможности «горячей замены», поддержке кластеризации и отказоустойчивости высокого уровня.
• Простая интеграция и эксплуатация, сокращение затрат на обслуживание системы благодаря возможности выбора опций лицензирования для эмитентов, процессинговых центров и покупателей.
• Широкий выбор конфигураций и гибкая масштабируемость позволяют пользователям покупать только те функции, которые действительно нужны.

Преимущества

Thales payShield 9000

• Опционально доступный режим удаленного доступа Remote HSM Manager позволяет сократить операционные расходы и дает возможность сотрудникам службы безопасности из центрального офиса управлять модулями на местах в удаленном режиме.
• Статистика использования дает пользователям возможность контролировать выполненные в системе действия за любой период, помогая планировать производственные мощности и избегать узких мест в производительности.
• Высокая гибкость использования модуля благодаря двойной системе энергоснабжения и двум портам Ethernet обеспечивает максимальный срок службы и делает удобным использование в центрах обработки данных.
• Обновление программной составляющей и возможность выбора необходимых функций позволяют организациям получить максимальную выгоду от их инвестиций в систему безопасности и удовлетворить самые специфические требования, предоставляя доступный, безопасный и надежный инструмент защиты.

Функции обеспечения безопасности

Сертификация отдельных конфигураций по стандарту безопасности PCI HSM. Позволяет компаниям заранее спланировать переход к работе в инфраструктуре, соответствующей требованиям данного стандарта, которые в скором будущем станут обязательными для платежной индустрии.
Возможность иметь множество локальных мастер-ключей (LMK) в пределах одного HSM. Обеспечивает криптографическую изоляцию различных приложений, использующих один модуль. Это идеально подходит для сервисных бюро банков, позволяя разделять базы ключей шифрования для разных клиентов.
Устройство управления ключами шифрования (KMD). Позволяет сотрудникам службы безопасности управлять компонентами ключей, восстанавливать ключи шифрования и перемещать их в высокозащищенную среду модуля без необходимости физического контакта с HSM.
Возможности для аудиторской проверки по безопасности. Удовлетворяют современным стандартам в банковской индустрии и обеспечивают уверенность в том, что все действия, производимые в HSM, фиксируются и могут быть проанализированы.

Функции

Функциональные возможности

• Большое количество локальных мастер-ключей (LMK) для разделения типов ключей, приложений и клиентских данных.
• Тестовый LMK для непроизводственных задач.
• Блоки ключей Thales (в соответствие с ANSI X.9; X.9 TR-31).
• Поддержка блоков ключей X.9 TR-31.
• Публичные ключи RSA / Ключи DUKPT для защиты PIN-кодов.
• Схема основного/сеансового ключей / Схема ключей транзакций Racal / Поддержка AS2805.

Поддержка механизмов криптографии. DES и Triple-DES (2 и 3 ключа) / AES (128, 192 и 256 бит) / RSA (до 2048 бит) / FIPS 198-1, MD5, SHA-1, SHA-2
Производительность Диапазон производительности до 1500 операций (Triple-DES операций с PIN блоками). Многопоточный режим работы для оптимизации производительности. Кластеризация при помощи приложения Security Resource Manager.
Подключение хостов. Асинхронное (v.24, RS-232). TCP/IP и UDP (10/100/1000 Base-T). FICON.
Сертификация. 140-2 Level 3, 46, 81, 180-3, 186-3, 198 / PCI HSM v1 / APCA / MEPS / NIST SP800-20, SP800-90(A).

Поддержка стандартов финансовой индустрии

• ISO 9564, 10118, 11568, 13491, 16609.
• ANSI X3.92, X9.8, X9.9, X9.17, X9.24, X9.31, X9.52, X9.97.
• X9 TR-31, X9 TG-3/TR-39, APACS 40&70, AS2805 Pt 14.
• Список постоянно расширяется.

Работа с платежными картами

• Функции проверки PIN-кодов и карт American Express/MasterCard/VISA.
• Транзакции и сообщения EMV.3Х и 4Х (включая смену PIN).
• Удаленная загрузка ключей в банкоматы NCR, Diebold и Wincor Nixdorf.
• Платформа безопасности Europay Security Platform.
• Интеграция с большинством существующих банковских приложений.

Функции безопасности

• Двухфакторная аутентификация при помощи смарт-карт.
• Два физических замка и изменение режимов работы с помощью смарт-карт.
• Взломоустойчивый корпус, соответствующий требованиям FIPS 140-2 Level 3.
• Контроль попыток снятия крышки, датчики движения, напряжения и температуры.
• Возможность отключить функции безопасности, не востребованные хостовыми приложениями.
• Журналы аудита.

Физические характеристики

• Габариты: 2U для монтажа в 19 серверную стойку / 85х478х417 мм.
• Вес: 7.3 кг с одним блоком питания, 7.5 - с двумя.
• Напряжение: 100-240V.
• Частота: 40-63Гц.
• Потребляемая мощность: 100В.
• Температура эксплуатации: 10...40С.
• Влажность: 10-90% (без конденсации).

Опции

Thales payShield 9000

Базовые программные пакеты. В payShield 9000 есть ряд стандартных программных пакетов, что позволяет пользователю выбрать именно те функции, которые он планирует использовать. Базовые пакеты включают приложения для обработки транзакций, выпуска пластиковых карт с магнитной полосой и пластиковых карт стандарта EMV (Europay, MasterCard, Visa), а также реализации мобильных платежей.

Дополнительные программные лицензии. Дополнительные лицензии можно приобретать и инсталлировать на протяжении всего жизненного цикла модуля. Среди дополнительных функций: аутентификация пользователей, защита данных, улучшенная система управления ключами (включая поддержку нескольких ключей LMK на одном модуле), учет региональных особенностей платежных систем, печать PIN-конвертов.

Модификации. Для модуля payShield 9000 доступно несколько уровней производительности, определяемых установленными лицензиями. У пользователей есть возможность добавить в систему дополнительные модули HSM в соответствии с изменившейся нагрузкой, либо, если это еще возможно, увеличить производительность существующих HSM посредством установки специальной лицензии. Апгрейд производится только в программной части модуля и не требует никаких изменений в самом оборудовании.

Удаленный менеджер HSM. Аппаратный модуль payShield 9000 может управляться как при помощи стандартного ПО Local HSM Manager, требующего непосредственного подключения к модулю, так и удаленно, при помощи программы Remote HSM Manager, устанавливаемой на удаленном компьютере или ноутбуке. Это позволяет выполнять все административные задачи удаленно, из центра управления данными.

Устройство управления ключами (KMD). Это портативный прибор, позволяющий формировать ключи из составных частей в высоко защищенной среде без необходимости устанавливать физическое соединение с модулем HSM.

Менеджер безопасности ресурсов (Security Resource Manager) для хост-систем Tandem. Tandem SRM - это программное приложение, которое работает в хост-системе Tandem. Это интерфейс обмена данными между платежными приложениями и банковскими HSM. Основное назначение SRM - обеспечивать балансировку нагрузки и простой обмен данными между приложениями через простой интерфейс. При этом нет необходимости управлять комплексом HSM - создается единый логический ресурс для модулей, участвующих в процессе.

Менеджер безопасности ресурсов для хост-системы IBM. IBM SRM - это программное приложение, которое работает в хост-системе IBM. Это интерфейс обмена данными между платежными приложениями и банковскими HSM.

Дополнительные смарт-карты. Доступны дополнительные комплекты по 6 карт, позволяющие реализовать индивидуальные пользовательские конфигурации в случае, если необходимо большее количество карт для удовлетворения требований безопасности и операционной эффективности взаимодействия нескольких центров обработки данных.

Стеллажи и комплект направляющих. Пользователи могут выбрать из широкого ассортимента стеллажей разной высоты наиболее подходящие под их требования. Доступны комплекты направляющих для установки модулей payShield в стеллажи стандартных размеров.

Замена замков и ключей. PayShield 9000 оснащен 2-мя высоконадежными замками, расположенными на передней панели. Замки тщательно контролируются и регистрируются на этапе производства и недоступны в свободной продаже. В гарантийное обслуживание payShield, предоставляемое Thales, входит замена замков и изготовление дополнительных ключей в том случае, если они повреждены или утеряны.

Кабели. На задней панели модуля payShield 9000 расположены USB-порты для подключения периферийных устройств, таких как консоли или принтеры. В аппаратных модулях HSM 8000 предыдущего поколения использовались порты для принтеров с интерфейсами RS-232 или Centronics. Для пользователей, желающих использовать кабели со старыми интерфейсами, Thales представляет адаптеры, которые позволят подсоединять их к USB-разъемам.

Thales PayShield 9000