第三方支付正火紅 全景KMS+HSM助業者PCI-DSS認證過關 打造鋼鐵級安全防護
2015-03-13 *人氣 387*
本案客戶是一家第三方支付平台,提供網路交易所需要的代收款服務及工具,收款介面包含「信用卡」、「ATM轉帳」、「超商付款」等常見的方式。其中「信用卡」因牽涉到持卡人的資料安全,支付平台必須遵循並通過PCI-DSS這項國際認證,才能合乎發卡銀行的安全標準,一方面確保持卡人資料的安全,也能提供商家和買家放心交易的環境。
那麼,PCI-DSS認證如何判定第三方支付平台在金流交易上的可靠性呢?
當消費者使用第三方支付平台、並選擇信用卡為付款方式時,支付平台必須將信用卡持有人的資料,包含卡號及有效日期等數據做到全程加密保護,而加密的方法即PCI-DSS認證單位所審查的重點。
本案客戶選擇了全景的「KMS加解密安控伺服系統」來執行加密動作,KMS的功能包括金鑰產製、備份管理、金鑰授權、加解密、系統稽核紀錄等,而金鑰及加密資料則交由HSM(硬體安全模組)伺服器來加以儲存管理,藉由整合KMS與HSM兩大工具,成功打造可靠的金流交易環境。
HSM是一套能附加在網路上的硬體安全模組。經由TCP/IP協定,它可與單台電腦或一個完整的網路(LAN)相連接,作為中央加密子系統,來執行對稱、非對稱加密。所有加密函數均在物理安全的環境下執行,以確保敏感的密鑰數據受到嚴密保護。
值得一提的是,本案導入的HSM本身即通過高強度的資安標準-FIPS 140-2 Level 3 認證。
與FIPS 140-2 Level 1/Level 2相較,FIPS 140-2 Level 3 這個等級增加了防止拆卸、竄改的實體防護機制,不僅難以入侵,若偵測到竄改行為,裝置會清除重要的敏感資料。
本案客戶能快速通過PCI-DSS認證的最大關鍵,在於KMS的金鑰被儲存保管在具有FIPS 140-2 Level 3認證 的HSM主機內,滿足PCI-DSS認證標準對安全性的要求,對「信用卡持有人資料」加密金鑰提供最完整的保護機制,並配合KMS的各項金鑰管理功能,例如:「金鑰可設定至少二位分持者保護才可存取」、「可設定金鑰由誰使用權限」、「金鑰新增刪除稽核紀錄」等等,強化了金鑰加解密作業平台的管理,免除密文外洩的疑慮。
本案客戶因導入全景的「KMS加解密安控伺服系統」,大幅縮減了通過PCI-DSS認證的審核時間及技術成本,在短時間內提高自家平台在同業間的競爭力。第三方支付不僅能滿足小額賣家的營運需求,亦可節省小額賣家以傳統ATM轉帳收款時、進行人工對帳所付出的時間成本。就個人賣家創業的條件來說,若賣家未申請設立公司,根本無法與銀行簽約成為銀行的「信用卡特約商家」!第三方支付平台正好提供了一個解決方案,讓小額賣家有機會以信用卡收款方式來進行銷售,讓電子商務更易於經營,並享有安全無虞的金流環境。