HSM-producten kunnen sinds april dit jaar niet meer tegen de eerste versie van de PCI HSM-standaard gecertificeerd worden. Daarom heeft Thales zijn nieuwe payShield 10k nu PCI HSM-v3.0 laten certificeren.
De Payment Card Industry (PCI) Security Standards Council beheert de PCI HSM beveiligingseisen waartegen HSM-producten gecertificeerd kunnen worden. De eerste versie van deze standaard dateert uit april 2009. Versie 2.0 verscheen in mei 2012 en de huidige versie 3.0 verscheen in juni 2016.
De PCI Security Standards Council staat sinds april dit jaar niet meer toe dat HSM’s nog gecertificeerd worden tegen versie 1.0 van de standaard. Bestaande PCI HSM-certificeringen die gebruikmaakten van versie 1.0 zijn sinds april zelfs niet meer geldig. Dit betekent ook dat de PCI HSM-certificering van de Thales payShield9000 HSM niet meer geldig is.
Het is echter aan de betreffende betaalorganisaties als Visa en Mastercard om te bepalen of – en zo ja, wanneer – de installed base actief vervangen moet worden. Volgens dit Mastercard-document is verplichte vervanging nog niet aan de orde. De HSM’s zijn namelijk niet opeens onveilig geworden, wat ook blijkt uit de nog wel geldende FIPS 140-2-level 3-certificering.
Mastercard staat echter niet langer toe dat nieuwe HSM-implementaties gedaan worden met HSM’s die gecertificeerd zijn tegen versie 1.0.
Thales payShield 10k
Thales heeft zijn payShield9000 echter een opvolger gegeven: de payShield 10k. Tijdens de introductie zat de PCI HSM-certificering nog in de pijplijn, maar nu is het dan zover: de payShield 10k is PCI HSM-v3.0 gecertificeerd. Het certificaatnummer is 4-40266. Volg de link voor meer details.
De laatste kolom in dit overzicht, “additional information”, geeft aan dat de HSM alleen gecertificeerd is voor “controlled environments”. Dit is een nieuw onderscheid dat wordt gemaakt in versie 3.0 van de PCI HSM-eisen. In de praktijk zullen HSM’s altijd in data centers staan, zodat aan deze eis wordt voldaan, Maar volgens de PayShield 10k Security Policy (zie ook bovenstaande link) volstaat ook het gebruik in een “server room”.
Transport en ingebruikname
Een andere heel goede ontwikkeling in de HSM-v3.0-specificaties, is de aandacht voor processen rondom het transport en de ingebruikname van een HSM. De laboratoria die HSM’s certificeren beoordelen documentatie op dit gebied.
Bevindingen op dit gebied betekenen echter nog niet dat een HSM niet gecertificeerd kan worden. PCI HSM blijft namelijk vooralsnog een certificering van hardware. In de PCI PIN Security-eisen wordt wel expliciet getoetst op deze aspecten.
Avensus speelt als leverancier in dit proces ook een belangrijke rol. Wilt u hierover meer weten? Neem dan contact op met Avensus High Grade Security.
[activecampaign]
