Системы Практической Безопасности / HSM ₽S

Модуль безопасности для систем платёжных карт (МБ СПК) выполнен в виде аппаратно-программного комплекса в единой конструкции, обеспечивающий уровень физической и логической защиты.

Посетить официальную страницу HSM ₽S

Модуль безопасности для систем платёжных карт (МБ СПК) выполнен в виде аппаратно-программного комплекса в единой конструкции, обеспечивающий уровень физической и логической защиты в соответствии с национальными «Требованиями к СКЗИ в платёжных устройствах с терминальным ядром, серверных компонентах платёжных систем (HSM модулях), платёжных картах и иных технических средствах информационной инфраструктуры платёжной системы, используемых при осуществлении переводов денежных средств, указанных в п. 2.20 положения БР от 09.06.12 г. №382-П» и требованиями PCI PTS HSM Modular Security Requirements 3.0.

МБ СПК предназначен для применения в Бэкенд системах банков и платёжных систем для обеспечения защиты персональных данных держателей карт в следующих процессах и механизмах систем платёжных карт:

  • Инициализация платёжных карт при их производстве,

  • Эмиссия платёжных карт, включая генерацию секретных величин, электрическую персонализацию и печать пин-конвертов,

  • Авторизация платёжных транзакций,

  • Эквайринг, обработка транзакций от платёжных устройств,

  • 3D-Secure,

  • Поддержку режима работы НСПК в качестве ОПКЦ,

  • Генерация, смена, резервирование, экспорт локальных, зональных, терминальных, транспортных мастер ключей, которые используются в вышеперечисленных процессах.

Конструктивно МБ СПК выполнен в виде моноблока форм-фактора 2U для установки в стандартную 19" стойку. Для защиты от несанкционированного подключения к неиспользуемым разъёмам на лицевой панели предусмотрены опечатываемые откидные крышки. Система охлаждения активная.

Структурно, в состав единой конструкции МБ СПК входят два блока: блок ввода-вывода и управления (ВВиУ) и криптоблок, соединённые оптическим интерфейсом Eth 10GbE.

Блок ВВиУ обеспечивает ввод-вывод и разбор формата команд, поступающих от прикладной HOST системы, взаимодействие с криптоблоком для выполнения критичных криптографических преобразований, а также предоставляет функции для удалённого управления устройством через защищённый TLS канал.

Криптоблок обеспечивает все операции по генерации, защищённому хранению, экспорту, созданию резервных локальных мастер ключей, а также расшифрование и зашифрование персональных данных владельцев карт (ключей, PIN, PIN блоков) на локальных мастер ключах.

МБ СПК (торговая марка SPB HSM PS) как аппаратная платформа выпускается в двух исполнениях:
1) High Рerformance (SPB HSM PS high) - производительность 40 000 tps и интерфейс подключения к HOST системе 10 GbE,
2) Base (SPB HSM PS base) - производительность 1000 tps и интерфейс подключения к HOST системе 1 GbE.

Встроенное ПО

 

Программное обеспечение SPB HSM PS входит в состав МБ СПК и устанавливается на предприятии изготовителе.

Основные функции:

  1. Создание защищённого удалённого подключения к изделию, аутентификацию администраторов безопасности и администраторов управления с использованием их идентификаторов (USB-токенов), которые записываются при инициализации изделия.
  2. Инициализацию, управление и настройку изделия в процессе его эксплуатации.
  3. Журналирование действий пользователей и работы системных сервисов.
  4. Реализацию основных криптографических механизмов:

- Выполнение криптографических операций с DES/3DES в соответствии c «NIST FIPS 46-3/NIST Special Publication 800-67» и «ISO/IEC 10116» (ECB, CBC).

- Выполнение криптографических операций с AES в соответствии c «NIST FIPS 197».

- Генерацию пары ключей RSA: закрытый ключ и открытый ключ в соответствии «RFC 3447» и «NIST FIPS 186-4».

- Вычисление хэш функций семейства SHA в соответствии c «RFC 3174», «NIST FIPS 180-4» и «ISO/IEC 10118-2».

- Вычисление функций MAC за данные в соответствии с «ISO 9797-1» MAC (DES, 3DES), CBC_MAC (AES), CMAC (AES).

- Вычисление функций HMAC в соответствии с «ISO/IEC 9797-2» (MAC Algorithm 2) и «NIST FIPS 198-1».

- Работу с ключами в формате key block в соответствии с «ASC X9 TR 31-2018».

- Трансляцию (перешифрование) PIN-блока, зашифрованного с помощью одного ключа, в PIN-блок, зашифрованный с использованием других ключей.

- Вывод мастер-ключа карты из соответствующего мастер-ключа эмитента (MKCL, MKIDN).

- Вывод мастер-ключей карты MKAC, MKSMC, MKSMI, MKIDN в соответствии с алгоритмами документа «Стандарт платежной системы «Мир».

- Зашифровывание чистой компоненты ключа.

- Трансляцию (перешифрование) ZPK.

- Реализацию функции для защищенного обмена с картой при производстве по протоколу «SCP-02», в том числе диверсификацию ключей, формирование сессионных ключей для защищенного обмена с картой, а также формирование криптограммы карты в соответствии с «Global Platform v.2.2.1» (Е.4.2.).

- Реализацию функции для защищенного обмена с картой при эмиссии в том числе:

  • с использованием алгоритма EMV CPS 1.1 в соответствии с документом «Стандарт платежной системы «Мир».
  • с использованием алгоритма Visa 2 в соответствии с документом «Стандарт платежной системы «Мир».

- Генерацию CVP (CVC/CVV)/ППК (Card Verification Parameter/Проверочный параметр карты). CVP/ППК в соответствии с документом «Требования к данным на магнитной полосе и EMV-эквиваленте карты платежной системы «Мир».

- Проверку Dynamic Card Verification Value (dCVV) или Card Verification Code (CVC3), в зависимости от типа платежной системы: «Мир», Visa, MasterCard, American Express, UnionPay, JCB.

- Генерацию и проверку криптовеличины PVV по алгоритму VISA PVV в соответствии с документом «Требования к данным на магнитной полосе и EMV-эквиваленте карты платежной системы «Мир».

- Проверку криптограммы ARQC и/или генерацию ARPC (EMV 3.1.1).

- Проверку криптограммы ARQC и/или генерацию ARPC (EMV 4.x).

- Вычисление и проверку American Express Card Security Codes (CSC): CSC3, CSC4 и CSC5.

- Проверку криптограммы ARQC и/или генерацию ARPC в соответствии с документацией Union Pay.

- Генерацию и проверку IDN (ICC Dynamic Number).

- Проверку Truncated Application Cryptogram (MasterCard CAP).

- Генерацию и проверку CAVV.

- Генерацию ключевой пары RSA (закрытый и открытый ключи) эмитента и соответствующего самоподписанного сертификата в соответствии с требованиями платежных систем и по стандарту «EMV 4.3».

- Проверки EMV-сертификата RSA-ключа эмитента, подписанного корневым ключом УЦ по стандарту «EMV 4.3».

- Импорт (с проверкой) EMV-сертификата корневого ключа УЦ.

- Генерацию PIN с возможностью печати.

- Трансляцию PIN-блока из одного формата в другой с возможностью перешифрования из-под одного ключа под другой. Допустимые форматы трансляции («ISO 9564-1»): ISO-0 (Format 0), ISO-1(Format 1), ISO-3(Format 3), ISO-4(Format 4).

- Генерацию, проверку и смену PIN-offset с использованием метода «IBM 3624».

- Обеспечение функции управления ключами (DUKPT).


Лицензии ПО SPB HSM PS

  • Основная лицензия Core (арт. 467339.004-99) - базовая лицензия основного функционала.
  • Лицензия совместимости Legacy (арт. 467339.004-98) - лицензия обеспечения совместимости.
  • Лицензия дополнительной совместимости Legacy Р3 (арт. 467339.004-97) - лицензия обеспечения дополнительной совместимости.

Хотите демонстрацию продукта? Обратитесь к нам по телефону или в любом мессенджере, указанным ниже. Также можно оставить запрос на электронную почту info@neosoft.pro.