Перейти к основному содержанию

Thales PS10-S — аппаратный модуль безопасности

Thales PS10-S HSM

Payment Hardware Security Module (HSM), аппаратный модуль безопасности Thales PS10-S, он же Thales payShield 10K предназначен для обеспечения безопасности платежных систем, в том числе обработку транзакций, защиту конфиденциальных данных, авторизацию платежей, выпуск карт и токенизацию платежей. Thales payShield 10K может использоваться в платежной экосистеме эмитентами карт, сервис-провайдерами, эквайерами, процессинговыми центрами и платежными сетями. Соответствует последним стандартам безопасности, включая PCI SSC, EMVCo, GlobalPlatform, Multos, ANSI.

Преимущества Thales PS10-S

  • Простое развёртывание в ЦОД. Удалённая настройка и мониторинг.
  • Высокая отказоустойчивость. Два блоки питания и вентиляторы с возможностью горячей замены. Два порта данных.
  • Широкая поддержка карт и мобильных приложений.
  • Повышение производительности без изменений в оборудовании. Производительность повышается за счет лицензий на программное обеспечение.
  • Обратная совместимость со всеми предыдущими платежными системами Thales.

thales

Ссылки

https://cpl.thalesgroup.com/encryption/hardware-security-modules/payment-hsms/payshield-10k

payShield 10K - Data Sheet

payShield 10K Installation and User Guide

Сценарии использования

  • Выпуск платежных сертификатов – карты, мобильные Secure Element, мобильные устройства, подключенные устройства и приложения HCE
  • Маршрутизация PIN
  • Шифрование P2PE
  • Токенизация (для соответствия PCI DSS)
  • Токенизация платежей EMV
  • Авторизация карт и мобильных платежей
  • Управление ключами POS, mPOS и SPoC
  • Проверка криптограммы PIN и EMV
  • Дистанционная загрузка ключей

Поддержка карт/мобильных платежей

Thales payShield 10K выполняет широкий спектр функций, который поддерживает потребности ведущих платежных брендов (American Express, Discover, JCB, Mastercard, UnionPay и Visa) в ряде областей:

  • Функции проверки PIN-кода и карты для всех основных платежных брендов
  • Авторизация транзакций EMV и обмен сообщениями
  • Авторизация транзакций мобильных платежей и управление ключами
  • Дистанционная загрузка ключей для ATM и POS
  • Региональное/национальное управление ключами (включая Австралию, Германию и Италию)
  • Поддержка управления ключами по поручению для Mastercard (OBKM)
  • Подготовка и персонализация данных на основе магнитной полосы и EMV, включая мобильную инициализацию
  • Создание PIN

Алгоритмы шифрования

  • DES и Triple-DES ключи длиной 112 и 168 бит
  • AES ключи длиной 128, 192 и 256 бит
  • RSA (до 4096 бит)
  • HMAC, MD5, SHA-1, SHA-2

Стандарты финансовых услуг

  • ISO: 9564, 10118, 11568, 13491, 16609
  • ANSI: X3.92, X9.8, X9.9, X9.17, X9.19, X9.24, X9.31, X9.52, X9.97
  • ASC X9 TR-31, X9 TG-3/TR-39
  • APACS 40 & 70

Физическая безопасность

  • Устойчивость к взлому
  • Конфиденциальные данные стираются немедленно в случае любой атаки и несанкционированного доступа
  • Сигналы тревоги на движение, электрическое напряжение и температуру
  • Два замка со связанными ключами на передней панели

Логическая безопасность

  • Параметры локального мастер-ключа (LMK)
  • Двухфакторная аутентификация (2FA) с использованием смарт-карт
  • Авторизация с двойным управлением – физические ключи или смарт-карты
  • Сильнейшие параметры безопасности, реализованные по умолчанию
  • Журналы аудита с гибкой настройкой контролируемых событий

Модели и опции

  • Стандартные двойные блоки питания и вентиляторы с возможностью горячей замены для всех моделей
  • Диапазон уровней производительности – 25, 60, 250, 1000 и 2500 вызовов в секунду (cps)
  • Удаленное управление и мониторинг параметров через payShield Manager, payShield Monitor и управляющий модуль payShield Trusted Management Device (TMD)
  • Параметры шифрования с сохранением формата (FPE)
  • Несколько вариантов LMK – до 20 разделов на HSM

Узел подключения

  • TCP/IP & UDP (1Gbps) – dual ports
  • Secure Host Communications Management option for TLS authenticated sessions on Ethernet host port

Физические характеристики

  • Форм-фактор: В 1U 19” для монтажа в стойку
  • Размеры: 482.6 x 736.6 x 44.5 мм
  • Вес: 15,9 кг
  • Питание: от 90 до 264 вольт переменного тока
  • Потребляемая мощность: 60 Вт (максимальная)
  • Диапазон рабочих температур: от 0°C до 40°C
  • Температура транспортировки: от -25°C до 70°C
  • Температура хранения: От -5°C до 45°C
  • Влажность: 10% до 90% (без образования конденсата)

Видео

Так, с лирикой закончили. Подробную информацию о пакете лицензий найдёте у производителя, там за каждый чих нужно доплатить. Займёмся, собственно, эксплуатацией прибора.

Панели и индикация

Передняя панель

thales

Индикация передней панели:

  • Health — не горит. Устройство выключено.
  • Health — мигает белый. Устройство загружается.
  • Health — белый. Устройство работает.
  • Health — красный. Ошибка.
  • Health — мигает красный. Инициализация приложения.
  • Tamper — не горит. Тампер не обнаружен.
  • Tamper — красный. Обнаружен тампер, обратитесь в поддержку.
  • Tamper — мигает красный. Обнаружен средний тампер. Ключи стёрты.
  • Service — не горит. Устройство не в режиме обслуживания.
  • Service — синий. Устройство в режиме обслуживания.

Smart Card Reader. Считыватель карт с автоматическим извлечением.

Service button. Отключает и выключает режим обслуживания.

Порт USB-C. Консольный.

Положения ключей

thales

Устройство нельзя задвинуть в стойку без ключей. Требуется сначала открыть оба замка, задвинуть HSM в стойку, затем можно закрыть замки. Замки блокируют рельсы, выдвинуть HSM не получится. Так что не теряйте ключи и берите их с собой на монтаж.

Задняя панель PS10-S

thales

Справа два блока питания 450W с возможностью горячей замены.

Рядом два вентилятора с возможностью горячей замены.

Power switch. Кнопка включения питания.

  • Порты Ethernet 1G
    • Два порта Host. Можно организовать два независимых порта со своими IP. Оба активные. 64 потока на каждый.
    • Менеджмент порт.
    • Служебный порт.
    • Порт принтера.
  • Порты USB
    • USB Type A

Service LED, индикатор, аналогичный такому же на передней панели.

Erase Button и LED. Кнопка стирает все данные, очищается память.

Ground Lug. Заземление.

Задняя панель PS10-D

Для сравнения. Порты заменяются на SFP+.

thales

Распаковка

Сразу следует уточнить, железяка тяжёлая, коробка большая. Ручки отсутствуют как класс, поэтому перемещать неудобно, делать это лучше вдвоём, особj сильные админы могут справиться в одиночку. Большой моток скотча решает проблему отсутствия ручек.

thales

Распаковываем коробку.

thales

Сверху толстый-толстый слой поролона.

thales

Внутри коробки — коробка.

https://www.thalesesecurity.com

Снова нет ручек. Изворачиваемся и поднимаем крышку второй коробки.

thales

Внутри второй коробки — третья коробка с комплектующими. payShield 10K accessories.

thales

Открываем.

thales

Внутри пачка документации. Всё можно найти на сайте производителя.

thales

Рельсы для монтажа в стойку.

thales

Карты.

thales

Два кабеля питания, обычных C13-C14. Приятно, что блоки питания содержат скобы, можно купить липучку и закрепить кабели питания. В комплекте липучки нет, за такие деньги могли и положить.

thales

Кнсольный кабель, ключи от передней панели. Мануал. Ключи и замки специальные, в открытой продаже отсутствуют. Все имеют свой код. В случае утери нужно обратиться в службу поддержки.

thales

ПИН-пад и USB удлинитель.

Больше мелочей нет.

thales

Извлекаем HSM. Тяжёлый. Упаковано хорошо.

thales

Вид сбоку.

thales

Вид спереди.

thales

Правый замок, кнопка режима обслуживания, индикатор обслуживания в виде серийного номера, индикатор темпера. USB Type-C консольный порт, считыватель карт.

thales

Левый замок и индикатор Health на ручке.

thales

Вид сзади.

thales

Блоки питания и вентиляторы.

thales

Блоки питания поддерживают горячую замену.

thales

Вентиляторы тоже поддерживают горячую замену.

thales

Порты, индикаторы, кнопка питания, серийный номер, заземление.

Дополнительно

Внутри HSM есть батарея для питания процессора сенсоров. Батарея не требует обслуживания, срок службы батареи рассчитан на гарантийный срок HSM. Но рано или поздно она выйдет из строя, когда — не понятно.

Не всё нашёл в документации, например, не понял про порты FICON и про один разъём PCIe внутри HSM. Круто, конечно, что разъём есть, но в него же самим ничего не вставишь. Подозреваю, что он нужен для SFP+ портов для других моделей.

Корпус сделан из толстой стали, именно поэтому HSM такой тяжёлый.

Высота данной модели 1 юнит, занимает всю глубину стойки. Направление воздушного потока Front-to-Back.

 

Похожие материалы

Межсетевой экран Cisco ASA 5506-X

Новейшая линейка межсетевых экранов Cisco ASA 5506. Принципиальным отличием Cisco 5506 от предыдущих продуктов компании является интеграция технологий защиты от вторжений и вирусных атак Sourcefire с платформой Cisco ASA 5500-X. Получившееся решение Firepower for ASA является непревзойденным по ширине спектра решаемых задач безопасности.

NetBotz Rack Monitor 250

Стоечное устройство мониторинга — NetBotz Rack Monitor 250. Отлично подходит для организации СКУД в стойках APC для сертификации PCI DSS. В комплекте с двумя ручками обеспечивает доступ к стойке по бесконтактным картам.

Hikvision IP-камера DS-2CD2523G0-IS обзор и настройка

Пришла парочка новых камер для видеонаблюдения, характеристики приведу ниже. Ниже расскажу по каким критериям выбрана именно эта камера. Камера сделана добротно и выглядит надёжно. Поставляется в коробке.