Thales集團是專注於航太、國防、安全市場的電子設備領導廠商,與Gemalto合併後,全球在50個國家超過8萬名員工,Thales集團旗所提供的CipherTrust資料保護與金鑰管理解決方案,已為各大企業及80%的銀行交易提供防護,其中包含19家世界最大銀行。Thales資料保護解決方案能使遍佈企業內部的資料都得到保護,包含使用中資料(Data in use)、移動中資料(Data in motion)以及儲存中資料(Data at rest)。

payShield 10K 是一個專為信用卡支付系統與行動支付安全所 設計硬體安全模組 (HSM),在全球支付生態系統中受到發卡 方、服務提供者、收單行、處理方和支付網路廣泛使用。對於 面對面和遠端支付服務,這套模組在保護支付認證頒發、用戶 身份驗證、卡片驗證和機敏資料保護的過程,提供領先的安全 與支付技術。

  • 專為信用卡支付系統與行動支付安全所設計,即時提供最廣泛的卡片和行動應用程式支援。
  • 適合銀行,第三方支付業者使用,符合國際發卡機構安全稽核要求。
  • 擁有業界領先的效能:最高可達2500 tps。
  • 提供原機性能升級,無需更換硬體。
  • 提供高可用性及完善的金鑰管理機制。
  • 符合FIPS 140-2 Level 3安全等級,提供硬體強化的防竄改環境,防外力破壞。
  • 與現有Thales payment HSM 設備相容,不需改變現有資安政策。

特色

  • 專為信用卡支付系統設計,包含發卡與支付作業,符合國際金融標準,台灣財金FISC標準。
  • 擁有最高可用性與高效能,具備雙電源供應器、雙風扇,可避免因單一元件故障而造成系統停擺的問題。同時能處理最高每秒2500筆交易量滿足金融業瞬間大量交易需求。
  • 可同時間支援不同應用程式,各程式均有專屬金鑰保護,滿足業務集中管理,遠端管理要求,降低維運成本。
  • 與現有Thales payShield 9000及HSM 8000設備相容不需改變現有資安政策,可共用現有的LMK IC晶片卡以及現有的payShield 9000客製化功能可升級到payShield 10K。
  • 滿足零售業導入MPOS系統的行動支付安全:從讀卡機產生的密鑰,並確保PIN碼全程被保護,以及解密資料必須與商家網路隔絕。確保消費者信用卡個資不外流,提升商家交易安全信賴度。
  • 保護終端卡模擬(Host Card Emulation,HCE)模式的行動支付安全,發卡者使用HSM可安全地產生並集中儲存支付憑證,能彈性決定當離線授權時在何時,有多少金鑰可被存在手機中。而在線上授權時,發卡者則可即時驗證手機支付App的密文。
  • payShield 10K獨特功能讓行動支付中各環節能安全配置相關應用,包括支付App的發行到手機。同時也能安全配置其他使用非接觸式支付的應用如NFC或P2P。

法規遵循

  • 設備符合支付系統交易安全要求FIPS 140-2 Level 3加解密模組最廣泛採用的安全標準。
  • 符合最新導入的支付卡系統硬體加密模組標準Payments Card Industry Hardware Security Module standard(PCI HSM v3)。
  • 加密性能與管理功能符合或超越國際發卡機構安全稽核要求,包括美國運通卡,Discover,JCB,萬事達卡,銀聯以及Visa卡。
  • payShield 10K符合Global Platform Card Specification以及EMV Card Personalization Specification,能建立與行動支付安全元件之間的安全對話。

應用

payShield 10K專為信用卡支付系統設計包含發卡與支付作業

支付方式及載具的變化,從傳統ATM、信用卡等接觸式,衍生出行動支付、NFC等非接觸式卡片,近年來亦發展出第三方支付、儲值、虛擬帳號、電子錢包、QR Code等無卡片支付方式,收單的POS機也有無線化、行動化的趨勢。

這樣的變化回歸原點,消費者與店家是否能接受? 除了考慮方便性外,最重要的還是交易是否安全可靠。因此支付交易始終遵循國內外主管機關訂定嚴格的交易機制,HSM在其中扮演至關重要的角色,負責金鑰管理、身分驗證、密碼驗證、交易資料加解密等關鍵工作,HSM除了確保安全性之外,同時也可簡化作業流程,降低管理複雜度。

常見用例

  • 支付認證頒發 – 卡片、行動安全元素、穿戴式裝置、互聯裝置以及主機卡模擬 (HCE) 應用

  • 點對點加密 (P2PE)
  • 安全代碼化(針對 PCI DSS 合規性)

  • EMV 支付代碼化

  • 卡片和行動支付授權

  • POS、mPOS 和 SPoC 金鑰管理

  • PIN 碼和 EMV 密碼驗證

  • 遠端金鑰載入

技術規格

密碼演算法

  • DES和Tripel-DES金鑰長度112和168位元。
  • AES金鑰長度128、192和256位元。
  • RSA  (最高4096位元)。
  • HMAC,MD5,SHA-1,SHA-2。

物理安全性

  • 防篡改和回應設計。
  • 一旦遭到任何篡改攻擊機敏資料會立即清除。
  • 侵入式破壞、電壓和溫度監測的警報觸發器。

產品型號和選項

  • 所有型號均標配雙熱拔插電源和風扇。
  • 效能等級範圍-每秒25、60、250、1000和2500次調用(CPS)。
  • 格式保留加密(FPE)選項。
  • 多個 LMK選項-每個HSM最多20個分區。
  • 透過payShield遠端管理(VM)payShield監控(VM)和payShield
    可信任管理裝置(TMD)實現遠端管理和監控選項。
  • 多個 LMK 選項 – 每台 HSM 最多 20 個分區

  • 台灣財金資訊公司指令集選項

金融服務標準

  • ISO:9564、10118、11568、13491、16609
  • ANSI:X3.92、X9.8、X9.9、X9.17、X9.19、X9.24、X9.31、X9.52、X9.97 
  • ASC X9 TR-31、X9 TG-3 / TR-39
  • APACS 40和70

邏輯安全性

  • 本地主金鑰(LMK)選項-變體和金鑰塊。
  • 使用智慧卡對安全人員進行雙重身份驗證(2FA)。
  • 雙重控制權-實體鑰匙或智慧卡。
  • 預設情況下提供最高強度的安全設定。
  • 使用者控制 記錄事件範圍的審計跟蹤。

安全認證

  • FIPS 140-2 Level 3
  • PCI HSM v3