POS&支付

作者： 超级管理员 时间：2022-12-11 16:40:33 阅读：163

　　在诉讼高发的信息时代，支付技术和支付接口都在飞速发展，日新月异。特别是在支付技术面前，支付卡和支付终端需要有严格的安全要求和配套的标准规范接口，以保障行业的安全。

　　在这部分安全规范和标准中，主要是指PCI SSC的CONTENT。PCI SSC安全标准协会是一个开放的全球论坛，致力于账户数据安全标准的持续发展、完善、存储、普及和实施。

　　核心价值：

　　Utimaco产品可以帮助用户符合PCI PIN，PCI DSS，P2PE，CPOC认证。

　　这将对想要拓展海外业务的中国企业有很大帮助。

　　--------------硬件安全模块 (HSM) 和 PCI----------------

　　所有支付 HSM 供应商都必须遵守 PCI PTS HSM 中定义的标准，才能设计出合规且安全的硬件安全模块并处理支付交易。经 PCI PTS 认证的 HSM 是允许其用户实现 PCI DSS 合规性的关键。

　　PCI PTS HSM 标准分为两部分：物理安全和逻辑安全。一些定义 HSM 物理安全性的要求源自联邦信息处理标准 140-2 (FIPS 140-2) 中的要求。该认证可确保主动篡改响应机制，以在渗透和侧信道攻击期间将秘密和私钥归零。

　　PCI HSM 标准涵盖 HSM 的生命周期，直至其首次交付至初始部署点。HSM 生命周期的后续阶段继续受到 PCI 的关注，并由其他 PCI 标准控制。

　　PCI HSM 安全要求源自现有的 ISO、ANSI 和 NIST 标准；以及金融支付行业认可的公认/已知良好做法。这些要求分为四个不同的评估域：

• 评估模块 1 – 该模块定义了核心安全要求，包括 HSM 的物理和逻辑安全性以及必须遵循的政策和程序。

• 评估模块 2 – 该模块定义了密钥加载程序和用于在 HSM 中加载密钥的设备。

• 评估模块 3 – 该模块涵盖 HSM 的远程管理方面。

• 评估模块 4 – 该模块涵盖制造期间以及制造商与初始部署点之间的设备安全要求。

Utimaco HSM 和 PCI 合规性

　　Utimaco HSM 是根据 PCI 委员会、ISO、NIST 和 ANSI 定义的基本原则设计的。这包括我们的 Atalla AT1000 和 PaymentServer。

　　PCI PIN方案设计实例：

　　所有的PCI标准文件和规范都可以在：https://www.pcisecuritystandards.org/document_library找到