지점 간 암호화: 오늘날의 과제

데이터를 보호해야하는 첫번째 단계의 데이터 보호는 보안 문제의 범위의 축소라는 측면과 준수의 측면에서 가장 크게 영향을 미친다고 말할 수 있습니다. 가장 좋은 방법은 항상 "처음부터 필요없는 데이터는 처분하거나 손을 대지 않는다」라고하는 것입니다. 이 방법이 언제나 현실이라고 할 수는 없습니다. 차선책은 가능한 한 빨리 데이터를 암호화하고 기본적으로 서버 사이 등에서 종단간 암호화 된 상태로 유지하는 것입니다. 이 원칙은 다른 타입의 여러 데이터에 적용 할 수 있지만 결제 카드 소유자와 계좌에 대한 데이터를 암호화하여 PCI DSS의 범위를 축소하는 생각이 지침서의 가치를 보여주는 매우 적절한 예라고 할 수 있습니다. 따라서 PCI 보안 표준 협의회는 이를 지점간 암호화 (Point-to-Point Encryption : P2PE)이라고 이름 붙여 그 사용 방법을 결정하기 위하여 2011 년 하반기에 구체적인 지침을 발표했다. 이 방법에서는 회원 데이터 캡처 포인트 (ATM 장비, 소매점, 레스토랑, 웹 사이트 등)에서 직접 암호화된 가맹점의 IT 시스템을 탐색하고 결제 체인을 전달되어가는 과정에서의 보호가 제공됩니다. 데이터는 기존의 회원 데이터에 액세스해야 하는 특정 비즈니스 프로세스가 필요로하는 경우에만 보호가 해제 (복호화)되고 그렇지 않으면 보호 된 상태가 유지됩니다.

자세한 내용

P2PE는 매우 특별한 경우 응용 프로그램 수준 암호화에서 비즈니스 응용 프로그램이 경우 소매용 POS (Point-Of-Sale : 판매 시점) 터미널에서 선택적으로 암호화가 이루어집니다. P2PE 프로세스가 제대로 구현되는 경우, POS 단말기 등의 승인된 안전한 암호화 장치 (Secure Cryptographic Device : SCD)에서 회원 데이터가 암호화된 가맹점 환경에서는 전혀 해독되지 않는 경우 해당 회원 가게가 PCI DSS의 범위에서 거의 완전히 제외 될 수 있습니다. 암호 해독 키 보호와 이 키에 대한 액세스는 엄격하게 관리되지 않으면 안됩니다. 실제로 현재의 지침에서는 이러한 키에 대한 액세스를 보호하기 위해 적절한 보안 등급을 제공하는 하드웨어 보안 모듈 (HSM)을 사용하는 것이 요구되고 있습니다. 결제 체인의 매입사 및 기타 관계 기관은 가맹점의 준수 비용을 절감하기 위해 P2PE을 이용하는 부가가치 서비스의 마케팅을 이미 시작하고 있습니다. PCI DSS의 관점에서 볼 때, 회원 데이터를 해독하는 능력을 가진 모든 시스템이 무조건적으로 그 범위에 들어가므로, HSM에서 키를 보호함으로써 가맹점을 격리하는 능력은 모든 참가자에게 큰 장점이 될 수 있습니다.

섹션 숨기기

지점 간 암호화와 관련된 위험 (P2Pe)

  • 회원 데이터를 보호하지 않는 조직은 PCI DSS 요구 사항을 충족하지 않기 때문에 벌금이나 사업에 손상 등의 위험에 노출됩니다.
  • 공격자는 일반적인 조직의 모든 위치에서 고객의 계정 데이터를 훔칠 수 있습니다. 왜냐하면 그러한 데이터는 고의적 또는 실수로 다양한 채널 ( 웹 사이트, 콜센터, 헬프 데스크, 그리고 이메일 등 ) 을 통해 조직에 들어가고 신속하고도 광범위하게 확산 때문입니다. 이는 데이터 유출에 대한 대책뿐만 아니라, 규정 준수 보고서 비용의 증가도 초래합니다.
  • 암호화는 위험을 줄일 수 있지만 암호화 키를 적절하게 관리하기 위한 조치를 취해야 합니다. 순수 소프트웨어 기반의 시스템에있는 키는 공격에 취약해 규정 준수 의무를 완수 할 수 없는 경우가 적지 않습니다.
  • PCI DSS 는 P2PE 의 사용을 요구하지 않지만 이 방법의 장점을 살린 PCI DSS 의 범위의 감축을 하지 않는 경우 불필요한 준수 비용을 부담하게 될 가능성이 있습니다.

지점 간 암호화: Thales e-Security 솔루션

Thales e-Security의 제품 및 서비스는 PCI DSS 요구 사항을 충족 수단을 최대한 효과적이고 효율적으로 구현하는 것을 지원할뿐만 아니라 P2PE 전략에서 그 적용 범위를 줄이고 결과적으로 규제 준수에 대한 비용을 절감하는데 매우 중요한 역할을 할 수 있습니다. nShield 및 payShield HSM을 독립적으로 FIPS 140 - 2 레벨 3 표준에 대한 적합성은 외부 기관에 의해 인정되고 었고 관련해서 P2PE 가이드 라인 .에서 확인 가능합니다. nShield 및 payShield HSM은 중요한 정보를 안전하게 생성, 저장, 관리하고 해독 작업을 안전하게 할 수 있는 안정적인 환경을 만듭니다. 이러한 HSM의 사용은 사용자 PIN을 결제 네트워크를 통과 할 때 이를 보호하기 위해 HSM을 사용하는 경우의 방법으로 비슷합니다. 순수 소프트웨어 기반의 시스템은 암호화 키와 프로세스가 메모리 스캔 공격, 런타임 모니터링 또는 악의적인 권한 사용자가 위험에 노출 될 수 있다는 본질적인 약점이 있습니다. HSM은 위에서 언급 두 가지의 경우에도 이러한 약점을 해소합니다.

사용자 계정 데이터의 암호화 및 해독에 자사 개발 소프트웨어와 타사의 상용 응용 프로그램 중 어떤 것을 사용하는지에 관계없이 nShield HSM과 payShield HSM 도입이 용이하고, FPE (Format Preserving Encryption : 포맷 유지 암호화) 등의 혁신적인 기술을 지원하여 기존의 비즈니스 프로세스에 미치는 영향을 최소화 할 수 있습니다. 이러한 장치는 탈레스의 업계 파트너와 최첨단POS 메이커의 제품과 직접 통합 할 것이 증명되고 있어 신속한 설치 및 기존 시스템과의 원활한 통합이 가능합니다.

장점:

  • PCI DSS 준수의 단대단 암호화 (P2PE)을 도입하여 사용자의 계정 데이터를 보호하고 규정 준수 비용을 절감합니다.
  • 프로젝트를 구현을 가속합니다. nShield HSM과 payShield HSM은 최첨단 암호화 관련 공급 업체 제품과의 통합이 가능하다는 것을 사전에 확인되고 있습니다.
  • 성능 수준과 제품 모양을 선택할 수 있으므로 필요에 맞는 정말 필요한 솔루션만을 도입 할 요구가 변화하는 경우에도 쉽게 업그레이드 할 수 있습니다.
  • 최첨단 기술이다 ​​FPE의 장점을 살려 사용자 계정 데이터가 현재 평문이 아닌 암호화 된 상태로되어있는 기존 시스템에 미치는 영향을 최소화 할 수 있습니다.