Data Security and Key Management - Thales e-Security

payShield 9000

 payShield9000
 

payShield 9000

実績のあるスケーラブルな決済システムセキュリティ

FIPS 140-2

決済アプリケーション用として設計されたThales e-SecurityのpayShield 9000は、PINの保護と検証、トランザクション処理、決済用カードの発行、鍵管理などの業務が行える、実績あるハードウェアセキュリティモジュール(HSM)です。payShield 9000は世界で最も広く導入されている決済用HSMで、全決済用カードトランザクションのおよそ80%において使用されています。payShield 9000の設計には25年を超えるタレスの決済システムのセキュリティ経験が活かされており、理想的な組み合わせでセキュリティおよび運用のし易さを提供する最先端のソリューションは信頼に値します。payShield 9000デバイスは、電子決済業界向けのカード発行および決済処理アプリケーションを実行するメインフレームおよびサーバ用の外部周辺装置として、現金自動預払機(ATM)や販売時点情報管理(POS)でのクレジットカードおよびデビットカードトランザクションに対して高い保証性をもった保護を提供します。payShield 9000の暗号化および管理機能は、American Express、Discover、JCB、MasterCard、Visaなどの主要国際カードスキームのカードアプリケーション要件およびセキュリティ監査要件を満たしており、さらには上回ってもいます。payShield 9000はFIPS 140-2レベル3認定を受けており、PCIセキュリティ標準協議会が発行するPCI HSM v1.0仕様の認定を受けたコンフィグレーションのものも用意されています。

payShield 9000の利点

  •    カード発行および決済処理用として設計された包括的な認証済みセキュリティを提供します。
  •    主要な決済アプリケーションすべてに対して特別な構成無しでの接続性を提供します。
  • Ÿ   ハードウェアの冗長化、フィールド保守可能なコンポーネント、クラスタおよびフェイルオーバのサポートで事業 継続性を最大化します。
  • Ÿ   導入および保守を効率化し、発行会社、決済処理業者、加盟店契約会社に合わせて用意された選択可能なソフトウェアオプションによってコンプライアンスコストを削減します。
  • Ÿ   一連のスケーラブルで高性能な機種が用意されているため、必要な処理キャパシティーに合わせた分だけを購入できます。
    

payShield 9000の特徴

セキュリティ関連

  • Ÿ   特定の構成でのPCM HSMセキュリティ認証により、将来予想されるカードスキームの義務化の前にPCI準拠環境への移行を計画することができます。
  • Ÿ   単一のHSM内で複数のローカルマスタ鍵(LMK)を使用できるため、共通のHSMを利用するアプリケーション間またはテナント間で暗号化の切り分けができます。これは、複数の銀行クライアント間で鍵データベースの完全分離が実現できるサービス会社に最適です。
  • Ÿ   オプションのKey Management Device(KMD)により、セキュリティ担当者は本番のHSMに物理的に接続することなく、高度にセキュアな携帯デバイス上で鍵コンポーネントの管理、鍵の再構成、アプリケーション鍵のエクスポートを行うことができます。
  • Ÿ   セキュアな監査証跡は、銀行業界の最新のセキュリティ監査標準の要件を満たし、HSM上で行われるセキュリティにセンシティブなあらゆる操作が記録され、レビューできるという安心を得ることができます。

運用関連

  • Ÿ   オプションのRemote HSM Managerにより運用コストが低減され、セキュリティ本部のチームは出張の必要なく複数のデータセンタに散らばる複数のHSMを一元管理できます。
  • Ÿ   特定の時間の間に実行されたコマンドを使用統計で監視することにより、キャパシティぷラニングに役立て、パフォーマンスのボトルネックを回避することができます。
  • Ÿ   二重電源装置、二重Ethernetホストポートによる高い耐障害性が、アップタイムの最大化と、データセンタに対する自由度の高い保守およびサポートを実現します。
  • Ÿ   ソフトウェアによってアップグレードおよびカスタマイズ可能な機能を備えており、初期ハードウェア投資の価値を最大化し、費用効果に優れセキュアでタイムリーな方法で特定の要件を満たすことができます。

payShield 9000のオプションとアクセサリ


クイックリンク

payShield 9000のオプション

  • ベースソフトウェアパッケージ
  • オプションのソフトウェアライセンス
  • パフォーマンス
  • Remote HSM Manager
  • Key Management Device (KMD)
  • Tandemホストシステム用Security Resource Manager (SRM)
  • IBMホストシステム用Security Resource Manager (SRM)

payShield 9000のアクセサリ

  • 追加のスマートカード
  • キャビネットとランナキット
  • 交換用の錠と鍵
  • アダプタケーブル

ベースソフトウェアパッケージ

payShield 9000製品は、用意されている一群のベースソフトウェアパッケージから目的とする用途に合ったパッケージを選択することで構成できます。現在は、トランザクション処理や磁気ストライプカード発行、EMVカード発行、Point-to-pointの暗号化(P2PE)、モバイルPOS(mPOS)、モバイル決済に関連する機能をもつパッケージから選択できます。

オプションのソフトウェアライセンス

ベースソフトウェアパッケージの他に、一連のオプションのライセンスにより追加機能を追加することができます。それらライセンスは、単独で購入して製品のライフサイクル期間中いつでもインストールすることができます。オプションの各種ライセンスがサポートする機能には、ユーザ認証、データ保護、鍵管理拡張(複数LMKサポートを含む)、地域決済オプション、高パフォーマンスのRSA鍵生成、PIN/鍵メーラ印刷などがあります。

パフォーマンス

payShield 9000はパフォーマンスレベルの異なる製品が用意されています。トランザクション量の増大に応じて、お客様は追加のHSMを配備して負荷増大に対応するか、あるいは既存のHSMに対するパフォーマンスアップグレードオプションを購入するかを選択できます。パフォーマンスのアップグレードでは物理的なハードウェアの変更は必要なく、ソフトウェアライセンスのアップグレード適用が必要なだけという利点があります。

Remote HSM Manager

payShield 9000に標準で提供されるLocal HSM Manager (payShield 9000と物理的かつ直接的に接続する必要あり)の代わりとなるRemote HSM Managerは、データセンタから離れた場所からあらゆる管理運用業務を行う機能を提供する独立したスタンドアロンシステム(遠隔のPCまたはラップトップで実行)です。セキュリティチームは、実際にHSMのある場所に出向く必要はありません。

Key Management Device

Key Management Device(KMD)は、本番のHSMに物理接続することなく、高度にセキュアな形でその構成要素から鍵を形成することを可能にするスタンドアロンの携帯型デバイスです。

Tandemホストシステム用Security Resource Manager (SRM)

Tandem SRMは、Tandemホストシステム上で動作するソフトウェアアプリケーションであり、ホスト側決済アプリケーションとHSMとの間のインタフェースです。その主な目的は、負荷分散と障害からの回復性を実現することで、ホスト側アプリケーションが複数のHSMからなる複雑さを管理する必要なしに、簡単なインタフェースを介してSRMと交信できるようになります。複数のHSMは単一の論理HSMリソースとして現れます。

IBMホストシステム用Security Resource Manager (SRM)

IBM SRMは、IBMホストシステム上で動作するソフトウェアアプリケーションであり、ホスト側決済アプリケーションとHSMとの間のインタフェースです。その主な目的は、負荷分散と障害からの回復性を実現することで、ホスト側アプリケーションが複数のHSMからなる複雑さを管理する必要なしに、簡単なインタフェースを介してSRMと交信できるようになります。複数のHSMは単一の論理HSMリソースとして現れます。

追加のスマートカード

payShield 9000製品には、ブランクのLMKコンポーネントカードとテスト用のLMKカードが同梱されています。6枚パックのカードを追加することで、複数のデータセンタにまたがる運用およびセキュリティ要件を満たすために大量のカードが必要となる個々のユーザ構成に対応することができます。スマートカードはすべて、タレスの最新および従来の決済用HSM (payShield 9000、HSM 8000、RG7000)のいずれにも使用することができます。

キャビネットとランナキット

お客様は、個々のデータセンタのストレージ要件に合わせて、高さが異なる広範囲のキャビネットから選択することができます。payShield 9000の側面にフィットする補助ランナのキットも用意されています。

交換用の錠と鍵

payShield 9000は、セキュリティ管理運用手順の一環として2組の高度にセキュアな錠と鍵をフロントパネルに採用しています。これら部品は厳重に管理、登録されており、一般の市場に出回ることはありません。タレスは、錠の損傷、鍵の紛失などが発生した場合を考えて錠交換、追加の鍵提供サービスを用意しています。

アダプタケーブル

payShield 9000のリアパネルにあるUSBポートを利用して、コンソールやプリンタなどの周辺装置を接続することができます。従来型の決済用HSMでは、RS232 D-TypeあるいはCentronicsパラレルプリンタポートが用意されていました。従来型ケーブルの再利用をご希望されるお客様には、その終端をUSB形式に変換するアダプタをご用意いたします。

payShield 9000の仕様

対応する暗号化アルゴリズム:

  • 対称
    • DESおよびTriple DES (鍵の長さ: 112ビット、168ビット)
    • AES (鍵の長さ: 128ビット、192ビット、256ビット)
  • 非対称
    • RSA (鍵の長さ: 最大2,048ビット)
  • ハッシング
    • MD1
    • SHA-1
    • SHA-2

認証:

  • FIPS 140-2レベル3
  • PCI HSM V1 (特定の構成のみ)
  • APCA
  • MEPS

鍵管理サポート

  • Thales Key Block (X9 TR-31のスーパセットのANSI X9.24に準拠)
  • X9 TR-31 Key Block
  • RSA公開鍵
  • PINおよびデータ暗号化のためのDUKPT
  • マスタ/セッション鍵スキーム
  • Racalトランザクション鍵スキーム
  • AS2805

ホスト接続

  • TCP/IPおよびUDP (10/100/1000 Base-T) – 耐障害性のためにポート二重化
  • FICON (工場据付オプション)
  • Asynchronous (V.24、RS-232)

対応するアプリケーション:

タレスのパートナまたはお客様により検査済みの、payShieldのインタフェースを使って接続されるアプリケーションは以下の通りです(一部)。

  • ACI Worldwide: Base 24, Postilion
  • Aconite: Affina Enterprise、Mobile Application Manager
  • Compass Plus: TranzWare
  • CR2: BankWorld
  • CSFi: SWITCHWARE
  • Euronet: Payments Hub
  • OpenWay: WayFour
  • Prime Factors: Bank Card Security System (BCSS)
RS2: Bankworks

payShield 9000製品データシート

payShield 9000

 

Related Product