Certifikace HSM (Hardware Security Modules)

5.8.2014

Certifikace HSM (Hardware Security Modules) „Compliance“ je obecně řečeno termín, se kterým se v oblasti IT bezpečnosti lze často setkávat. Znamená soulad s nějakými pravidly, předpisy, standardy, politikami, legislativou, atd. Rozhodně se nejedná o jednorázovou činnost, ale o neustále probíhající a rozvíjející se proces, jak být připraven pro udržování bezpečné infrastruktury nyní i v budoucnu.

Pro segment trhu, kterému se věnuje SafeNet se svými hardwarovými jednotkami (HSM moduly, linkové šifrátory, Key/Data Secure, hardwarové tokeny a čipové karty) jsou relevantní především standardy PCI (Payment Card Industry), FIPS (Federal Information Processing Standards) a CC (Common Criteria), které spolu úzce souvisí. Zatím, co první jmenovaný je v pozici procesního standardu, další dva se skládají již z konkrétních požadavků na bezpečnost hardwarových jednotek. A jak spolu souvisí? FIPS a CC certifikovaná zařízení, např. HSM modul, dokáže snadno nahradit složité workflow či procesy pro ochranu citlivých dat a tím značně zjednodušit certifikaci dle PCI, pokud by bez něho byla vůbec možná. V neposlední řadě značně snižuje náklady na auditování.

Konkrétně HSM moduly firmy SafeNet poskytují spolehlivou ochranu spravovaných citlivých dat. Tím zajišťují soulad s předpisy, certifikacemi, zvyšují důvěru, profitabilitu a reálně snižují riziko úniku dat. Certifikace dle FIPS a Common Criteria jen dokazují, že HSM moduly dodávané firmou SafeNet nabízí nejvyšší možnou úroveň bezpečnosti.

Payment Card Industry Data Security Standard (PCI DSS) – Standard pro bezpečnost dat v oblasti platebních karet

PCI DSS compliance přináší nejen samotnou certifikaci (jak to mnozí vnímají), ale především osvědčenou dlouhotrvající ochranu před možným únikem dat a jeho nepříjemnými důsledky. S tím úzce souvisí důvěra zákazníků či obchodních partnerů napříč celým řetězcem transakcí s platebními kartami.

The Payment Card Industry Security Standards Council vznikl v prosinci 2004 a vydal první verzi PCI DSS standardu, který vycházel z doporučovaných bezpečnostních politik pěti největších vydavatelů platebních karet (VISA, MasterCard, American Express, JCB a Discover). Ti měli všichni stejný záměr – vytvořit dodatečnou vrstvu bezpečnosti nad celým platebním řetězcem. Od vzniku této rady již prošel PCI DSS standard několika revizemi, agilně reaguje na současné dění v okolním světě. Standard ve zkratce definuje 12 základních požadavků, kterým je nutné vyhovět pro PCI DSS compliance.

Payment Application Data Security Standard (PA DSS) – Standard pro zabezpečení data v platebních aplikacích

Rada Payment Card Industry Security Standards Council v roce 2008 vytvořila PA DSS standard pro zabezpečení aplikací, které nakládají s platebními údaji. Tento soubor požadavků se týká jak vývojářů softwaru, tak integrátorů kteří pracují na softwaru operujícím s platebními kartami. Podobně jako PCI DSS se jedná o sadu 14 požadavků a řešení firmy SafeNet umožňuje dramaticky snížit náklady na implementaci, což názorně dokládá následující tabulka. 
 
PA DSS požadavek Řešení SafeNet
Ochraňovat data uživatelů karet Šifrování databází SafeNet ProtectDB
HSM moduly SafeNet
Šifrování file serverů SafeNet ProtectFile
Silná autentizace SafeNet
Poskytnout uživatelům bezpečnou autentizaci Silná vícefaktorová autentizace SafeNet (CBA i OTP)
Logování aktivit aplikace Šifrování databází SafeNet ProtectDB
HSM moduly SafeNet
Vyvinout zabezpečenou aplikaci HSM moduly SafeNet
SafeNet šifrátory
Ochránit bezdrátové přenosy SafeNet síťové šifrátory
Usnadnit zebezpečení sítě SafeNet síťové šifrátory
Uživatelská data nesmí být uložena na serveru připojeném do internetu Šifrování databází SafeNet ProtectDB
HSM moduly SafeNet
Usnadnit vzdálený přístup k aplikaci HSM moduly SafeNet
Šifrovat citlivá data při přenosu veřejnými sítěmi SafeNet síťové šifrátory
Šifrovat veškerý nekonzolový administrativní přístup Šifrování databází SafeNet ProtectDB
HSM moduly SafeNet
  
Federal Information Processing Standards (FIPS) – Federální standardy pro práci s informacemi
 
SafeNet HSM jsou testovány v rámci Cryptographic Module Validation Programu (CMVP) pod institucí National Institute for Standards and Technology (NIST) společně s Canadian Communications Security Establishment (CSE). Standardy relevantní pro kryptografické moduly se jmenují Federal Information Processing Standards (FIPS), jsou veřejně dostupné a vyvíjené pod záštitou federální vlády Spojených státu amerických pro použití všemi nevojenskými organizacemi po celém světě. I v Evropě má FIPS certifikace svou váhu, zejména při výběru bezpečnostních komponent. Jednoduše řečeno, jsou formou záruky, že certifikované zařízení je opravdu bezpečné a technologicky na výši.
 
Moduly SafeNetu certifikované dle FIPS 140 - 1 a FIPS 140 – 2 jsou akceptovány nejen federálními agenturami Spojených státu a Kanady pro ochranu citlivých dat. Certifikaci dokládá validační logo FIPS. Případně si lze certifikaci ověřit také na stránkách NIST, viz následující odkaz http://csrc.nist.gov/groups/STM/cmvp/documents/140-1/1401vend.htm

Common Criteria for Information Technology Security Evaluation (CC)

Common Criteria for Information Technology Security Evaluation (ve zkratce CC) je mezinárodní standard (ISO/IEC 15408) pro certifikaci počítačové bezpečnosti. Široké portfolio produktů SafeNet bylo oceněno Common Criteria certifikací za shodu s jejími bezpečnostními požadavky.

Common Criteria je mezinárodně uznávaná organizace včetně ISO standardu (ISO/IEC 15408) používaného jak vládami, tak ostatními organizacemi pro zhodnocení bezpečnosti jednotlivých produktů. CC poskytuje jistotu, že proces specifikace, implementace a zhodnocení produktu z oblasti počítačové bezpečnosti se bude řídit přísným a standardizovaným způsobem. Zákazníci zaměření na bezpečnost (jako jsou např. vlády, vládní agentury, banky, pojišťovny,…) považují Common Criteria certifikaci za determinující faktor při rozhodování o výsledku výběrového řízení.
 
Pokud Vás tato problematika zaujala a chcete ji nadále studovat, lze doporučit následující nekomerční odkazy:

 

Autor: Jan Zdvořáček   |   Sekce: Články   |   Tisk   |   Poslat článek známému


RSS kanál  |  XML Sitemap  |  Mapa webu  |  Redakční systém WebRedakce - NETservis s.r.o. © 2019

Použití obsahu těchto webových stránek je podmíněno souhlasem společnosti ASKON International.