HSM security

CASESTUDY - FIRMA ŻYWNOŚCIOWA

Jeden z największych skandynawskich detalistów żywnościowych, inwestuje w sprzęt aby zabezpieczyć dane płatności

Supermarket employee putting vegetables in shelves - Połączenie EMV i PCI

Motywacja: Ochrona danych płatności firmy i konsumenta

Jeden z największych detalistów żywnościowych w Skandynawii dokonuje wielu transakcji przy pomocy kart płatniczych, bo aż 80 procent wszystkich klientów sieci. Tymczasem cyberprzestępczość staje się coraz bardziej złożona i często zostaje naruszone bezpieczeństwo poufnych informacji w różnych branżach, od gigantów detalicznych do szpitali. Dla przedsiębiorstwa sprawą pierwszorzędną powinno być zapewnienie bezpieczeństwa wszystkim danym płatniczym klientów jak i firmy.

Wyzwanie: Połączenie EMV i PCI, czy to jest możliwe…?

Firma szybko wprowadziła technologie EMV, które jest zbiorem przemysłowych standardów, które obejmują osadzenie procesora w karcie płatniczej która używa klucza kryptograficznego w celu ochrony przed oszustwami w punkcie sprzedaży, oraz aby karty były trudniejsze do podrobienia. Procesory i kody PIN w kartach znacząco utrudniają fałszowanie kart w porównaniu do tradycyjnych kart z paskiem magnetycznym. Jednak kontrola bezpieczeństwa nadal jest potrzebna w celu ochrony danych właścicieli kart płatniczych, nie tylko w trakcie użycia karty, lecz także przez cały okres przeprowadzania transakcji .

…bez utraty szybkości i skalowalności

Wraz z przemysłowym Standardem Bezpieczeństwa Danych Kart Płatniczych (eng. PCI DSS – Payment Card Industry’s Data Security Standard) zapewnia się bezpieczeństwo danych nabywców, wymienianych miedzy 450 placówkami a klientem , w trakcie trasakcji, przedsiębiorstwo poszukuje rozwiązania które pozwoli szyfrować i rozszyfrowywać ogromne ilości danych płatniczych na porządku dziennym bez utraty szybkości i skalowalności.

Rozwiązanie: Wzmacnianie bezpieczeństwa z HSM

Po sześciomiesięcznym okresie testowania różnych oprogramowań i rozwiązań sprzętowych, wybrano Sprzętowy Moduł Bezpieczeństwa. Sprzętowe Moduły Bezpieczeństwa, certyfikowane przez FIPS generują i przechowują sygnatury kryptograficzne, które są potrzebne do autoryzacji połączenia pomiędzy terminalem punktu sprzedaży, sklepem a klientem. Każda sygnatura jest tworzona przez losowy generator liczb, który zapewnia że klucze kryptograficzne są unikatowe i nie ma do nich dostępu osoba trzecia. Dla porównania, klucze tworzone przez oprogramowanie mogą zostać przechwycone w momencie odblokowywania – oferując napastnikowi możliwość przejęcia oprogramowania, wykorzystywanie luk oraz uruchomienie ataku zdalnego.


Techniczne rozwiązanie: Symetryczne klucze do ochrony danych konsumenta.

Zdecydowano się na rozwiązanie sprzętowe, ponieważ HSM pozwala sprawdzić czy żądana transakcja konsumenta jest prawdziwa. Aby to zrobić należy sprawdzić kartę na której bazuje transakcja. Do tego potrzebna jest weryfikacja danych przez respektowany bank. W trakcie tego procesu dane są szyfrowane przez cały czas zgodnie z wymogami  EMV/PCI. Dzięki takiemu działaniu zostaje wyeliminowana możliwość udziału osób trzecich.

Wdrożenie: Pomyślnie i szybko tylko w 6 miesięcy

 

Dzięki wielu markom i lokalizacją sklepów, przedsiębiorstwo zarządza ogromną ilością danych, ale było w stanie skutecznie zmienić swoją infrastrukturę i wprowadzić HSM w całej organizacji w jedyne 6 miesięcy. Nadzór nad implementacją systemu miał kierownik rozwoju IT „Inżynierowie pracowali z nami nad szybkim wzmocnieniem bezpieczeństwa. Posiadali dużą wiedzę, umiejętności, oraz bardzo chętnie współpracowali i służyli pomocą.”

1. Motywacja: Ochrona danych płatności firmy i konsumenta

Jeden z największych detalistów żywnościowych w Skandynawii dokonuje wielu transakcji przy pomocy kart płatniczych, bo aż 80 procent wszystkich klientów sieci. Tymczasem cyberprzestępczość staje się coraz bardziej złożona i często zostaje naruszone bezpieczeństwo poufnych informacji w różnych branżach, od gigantów detalicznych do szpitali. Dla przedsiębiorstwa sprawą pierwszorzędną powinno być zapewnienie bezpieczeństwa wszystkim danym płatniczym klientów jak i firmy.

2. Wyzwanie: Połączenie EMV i PCI, czy to jest możliwe…?

Firma szybko wprowadziła technologie EMV, które jest zbiorem przemysłowych standardów, które obejmują osadzenie procesora w karcie płatniczej która używa klucza kryptograficznego w celu ochrony przed oszustwami w punkcie sprzedaży, oraz aby karty były trudniejsze do podrobienia. Procesory i kody PIN w kartach znacząco utrudniają fałszowanie kart w porównaniu do tradycyjnych kart z paskiem magnetycznym. Jednak kontrola bezpieczeństwa nadal jest potrzebna w celu ochrony danych właścicieli kart płatniczych, nie tylko w trakcie użycia karty, lecz także przez cały okres przeprowadzania transakcji .

3. …bez utraty szybkości i skalowalności

Wraz z przemysłowym Standardem Bezpieczeństwa Danych Kart Płatniczych (eng. PCI DSS – Payment Card Industry’s Data Security Standard) zapewnia się bezpieczeństwo danych nabywców, wymienianych miedzy 450 placówkami a klientem , w trakcie trasakcji, przedsiębiorstwo poszukuje rozwiązania które pozwoli szyfrować i rozszyfrowywać ogromne ilości danych płatniczych na porządku dziennym bez utraty szybkości i skalowalności.

4. Rozwiązanie: Wzmacnianie bezpieczeństwa z HSM

Po sześciomiesięcznym okresie testowania różnych oprogramowań i rozwiązań sprzętowych, wybrano Sprzętowy Moduł Bezpieczeństwa. Sprzętowe Moduły Bezpieczeństwa, certyfikowane przez FIPS generują i przechowują sygnatury kryptograficzne, które są potrzebne do autoryzacji połączenia pomiędzy terminalem punktu sprzedaży, sklepem a klientem. Każda sygnatura jest tworzona przez losowy generator liczb, który zapewnia że klucze kryptograficzne są unikatowe i nie ma do nich dostępu osoba trzecia. Dla porównania, klucze tworzone przez oprogramowanie mogą zostać przechwycone w momencie odblokowywania – oferując napastnikowi możliwość przejęcia oprogramowania, wykorzystywanie luk oraz uruchomienie ataku zdalnego.


Techniczne rozwiązanie: Symetryczne klucze do ochrony danych konsumenta.

Zdecydowano się na rozwiązanie sprzętowe, ponieważ HSM pozwala sprawdzić czy żądana transakcja konsumenta jest prawdziwa. Aby to zrobić należy sprawdzić kartę na której bazuje transakcja. Do tego potrzebna jest weryfikacja danych przez respektowany bank. W trakcie tego procesu dane są szyfrowane przez cały czas zgodnie z wymogami  EMV/PCI. Dzięki takiemu działaniu zostaje wyeliminowana możliwość udziału osób trzecich.


5. Wdrożenie: Pomyślnie i szybko tylko w 6 miesięcy

Dzięki wielu markom i lokalizacją sklepów, przedsiębiorstwo zarządza ogromną ilością danych, ale było w stanie skutecznie zmienić swoją infrastrukturę i wprowadzić HSM w całej organizacji w jedyne 6 miesięcy. Nadzór nad implementacją systemu miał kierownik rozwoju IT „Inżynierowie pracowali z nami nad szybkim wzmocnieniem bezpieczeństwa. Posiadali dużą wiedzę, umiejętności, oraz bardzo chętnie współpracowali i służyli pomocą.”