Payment Hardware Security Module (HSM), аппаратный модуль безопасности Thales PS10-S, он же Thales payShield 10K предназначен для обеспечения безопасности платежных систем, в том числе обработку транзакций, защиту конфиденциальных данных, авторизацию платежей, выпуск карт и токенизацию платежей. Thales payShield 10K может использоваться в платежной экосистеме эмитентами карт, сервис-провайдерами, эквайерами, процессинговыми центрами и платежными сетями. Соответствует последним стандартам безопасности, включая PCI SSC, EMVCo, GlobalPlatform, Multos, ANSI.
Преимущества Thales PS10-S
- Простое развёртывание в ЦОД. Удалённая настройка и мониторинг.
- Высокая отказоустойчивость. Два блоки питания и вентиляторы с возможностью горячей замены. Два порта данных.
- Широкая поддержка карт и мобильных приложений.
- Повышение производительности без изменений в оборудовании. Производительность повышается за счет лицензий на программное обеспечение.
- Обратная совместимость со всеми предыдущими платежными системами Thales.
Ссылки
https://cpl.thalesgroup.com/encryption/hardware-security-modules/payment-hsms/payshield-10k
payShield 10K Installation and User Guide
Сценарии использования
- Выпуск платежных сертификатов – карты, мобильные Secure Element, мобильные устройства, подключенные устройства и приложения HCE
- Маршрутизация PIN
- Шифрование P2PE
- Токенизация (для соответствия PCI DSS)
- Токенизация платежей EMV
- Авторизация карт и мобильных платежей
- Управление ключами POS, mPOS и SPoC
- Проверка криптограммы PIN и EMV
- Дистанционная загрузка ключей
Поддержка карт/мобильных платежей
Thales payShield 10K выполняет широкий спектр функций, который поддерживает потребности ведущих платежных брендов (American Express, Discover, JCB, Mastercard, UnionPay и Visa) в ряде областей:
- Функции проверки PIN-кода и карты для всех основных платежных брендов
- Авторизация транзакций EMV и обмен сообщениями
- Авторизация транзакций мобильных платежей и управление ключами
- Дистанционная загрузка ключей для ATM и POS
- Региональное/национальное управление ключами (включая Австралию, Германию и Италию)
- Поддержка управления ключами по поручению для Mastercard (OBKM)
- Подготовка и персонализация данных на основе магнитной полосы и EMV, включая мобильную инициализацию
- Создание PIN
Алгоритмы шифрования
- DES и Triple-DES ключи длиной 112 и 168 бит
- AES ключи длиной 128, 192 и 256 бит
- RSA (до 4096 бит)
- HMAC, MD5, SHA-1, SHA-2
Стандарты финансовых услуг
- ISO: 9564, 10118, 11568, 13491, 16609
- ANSI: X3.92, X9.8, X9.9, X9.17, X9.19, X9.24, X9.31, X9.52, X9.97
- ASC X9 TR-31, X9 TG-3/TR-39
- APACS 40 & 70
Физическая безопасность
- Устойчивость к взлому
- Конфиденциальные данные стираются немедленно в случае любой атаки и несанкционированного доступа
- Сигналы тревоги на движение, электрическое напряжение и температуру
- Два замка со связанными ключами на передней панели
Логическая безопасность
- Параметры локального мастер-ключа (LMK)
- Двухфакторная аутентификация (2FA) с использованием смарт-карт
- Авторизация с двойным управлением – физические ключи или смарт-карты
- Сильнейшие параметры безопасности, реализованные по умолчанию
- Журналы аудита с гибкой настройкой контролируемых событий
Модели и опции
- Стандартные двойные блоки питания и вентиляторы с возможностью горячей замены для всех моделей
- Диапазон уровней производительности – 25, 60, 250, 1000 и 2500 вызовов в секунду (cps)
- Удаленное управление и мониторинг параметров через payShield Manager, payShield Monitor и управляющий модуль payShield Trusted Management Device (TMD)
- Параметры шифрования с сохранением формата (FPE)
- Несколько вариантов LMK – до 20 разделов на HSM
Узел подключения
- TCP/IP & UDP (1Gbps) – dual ports
- Secure Host Communications Management option for TLS authenticated sessions on Ethernet host port
Физические характеристики
- Форм-фактор: В 1U 19” для монтажа в стойку
- Размеры: 482.6 x 736.6 x 44.5 мм
- Вес: 15,9 кг
- Питание: от 90 до 264 вольт переменного тока
- Потребляемая мощность: 60 Вт (максимальная)
- Диапазон рабочих температур: от 0°C до 40°C
- Температура транспортировки: от -25°C до 70°C
- Температура хранения: От -5°C до 45°C
- Влажность: 10% до 90% (без образования конденсата)
Видео
Так, с лирикой закончили. Подробную информацию о пакете лицензий найдёте у производителя, там за каждый чих нужно доплатить. Займёмся, собственно, эксплуатацией прибора.
Панели и индикация
Передняя панель
Индикация передней панели:
- Health — не горит. Устройство выключено.
- Health — мигает белый. Устройство загружается.
- Health — белый. Устройство работает.
- Health — красный. Ошибка.
- Health — мигает красный. Инициализация приложения.
- Tamper — не горит. Тампер не обнаружен.
- Tamper — красный. Обнаружен тампер, обратитесь в поддержку.
- Tamper — мигает красный. Обнаружен средний тампер. Ключи стёрты.
- Service — не горит. Устройство не в режиме обслуживания.
- Service — синий. Устройство в режиме обслуживания.
Smart Card Reader. Считыватель карт с автоматическим извлечением.
Service button. Отключает и выключает режим обслуживания.
Порт USB-C. Консольный.
Положения ключей
Устройство нельзя задвинуть в стойку без ключей. Требуется сначала открыть оба замка, задвинуть HSM в стойку, затем можно закрыть замки. Замки блокируют рельсы, выдвинуть HSM не получится. Так что не теряйте ключи и берите их с собой на монтаж.
Задняя панель PS10-S
Справа два блока питания 450W с возможностью горячей замены.
Рядом два вентилятора с возможностью горячей замены.
Power switch. Кнопка включения питания.
- Порты Ethernet 1G
- Два порта Host. Можно организовать два независимых порта со своими IP. Оба активные. 64 потока на каждый.
- Менеджмент порт.
- Служебный порт.
- Порт принтера.
- Порты USB
- USB Type A
Service LED, индикатор, аналогичный такому же на передней панели.
Erase Button и LED. Кнопка стирает все данные, очищается память.
Ground Lug. Заземление.
Задняя панель PS10-D
Для сравнения. Порты заменяются на SFP+.
Распаковка
Сразу следует уточнить, железяка тяжёлая, коробка большая. Ручки отсутствуют как класс, поэтому перемещать неудобно, делать это лучше вдвоём, особj сильные админы могут справиться в одиночку. Большой моток скотча решает проблему отсутствия ручек.
Распаковываем коробку.
Сверху толстый-толстый слой поролона.
Внутри коробки — коробка.
https://www.thalesesecurity.com
Снова нет ручек. Изворачиваемся и поднимаем крышку второй коробки.
Внутри второй коробки — третья коробка с комплектующими. payShield 10K accessories.
Открываем.
Внутри пачка документации. Всё можно найти на сайте производителя.
Рельсы для монтажа в стойку.
Карты.
Два кабеля питания, обычных C13-C14. Приятно, что блоки питания содержат скобы, можно купить липучку и закрепить кабели питания. В комплекте липучки нет, за такие деньги могли и положить.
Кнсольный кабель, ключи от передней панели. Мануал. Ключи и замки специальные, в открытой продаже отсутствуют. Все имеют свой код. В случае утери нужно обратиться в службу поддержки.
ПИН-пад и USB удлинитель.
Больше мелочей нет.
Извлекаем HSM. Тяжёлый. Упаковано хорошо.
Вид сбоку.
Вид спереди.
Правый замок, кнопка режима обслуживания, индикатор обслуживания в виде серийного номера, индикатор темпера. USB Type-C консольный порт, считыватель карт.
Левый замок и индикатор Health на ручке.
Вид сзади.
Блоки питания и вентиляторы.
Блоки питания поддерживают горячую замену.
Вентиляторы тоже поддерживают горячую замену.
Порты, индикаторы, кнопка питания, серийный номер, заземление.
Дополнительно
Внутри HSM есть батарея для питания процессора сенсоров. Батарея не требует обслуживания, срок службы батареи рассчитан на гарантийный срок HSM. Но рано или поздно она выйдет из строя, когда — не понятно.
Не всё нашёл в документации, например, не понял про порты FICON и про один разъём PCIe внутри HSM. Круто, конечно, что разъём есть, но в него же самим ничего не вставишь. Подозреваю, что он нужен для SFP+ портов для других моделей.
Корпус сделан из толстой стали, именно поэтому HSM такой тяжёлый.
Высота данной модели 1 юнит, занимает всю глубину стойки. Направление воздушного потока Front-to-Back.
