3D Security Module

 

Модуль безопасности 3D-Security (3D-SM) - это недорогое аппаратное решение для обеспечения безопасности Internet-транзакций в соответствии со стандартами Visa (Verified by Visa) и MasterCard (SecureCode).

• Соответствие стандартам EMV и 3D-Secure
• Невысокая стоимость
• Простота обслуживания
• Легкость встраивания в системы платежей через Internet
• Высокая производительность
• Высочайшая надежность
• Гибкая масштабируемая платформа

Платежи по карточкам через Интернет: новая зона ответственности и новые обязательства для эмитентов

3D-Secure это протокол обработки Интернет-транзакций, разработанный Visa и одобренный MasterCard. Этот протокол предназначен для обеспечения безопасности Интернет-платежей, выполняемых с использованием кредитных или дебетовых карт. Протокол 3D-Secure иначе именуется Verified by Visa в терминологии Visa и SecureCode в терминологии MasterCard.

В традиционных платежных системах торговая точка несёт ответственность за аутентификацию операций и платежных карт по Интернет.

В соответствии с протоколом 3D-Secure эмитенты теперь несут ответственность за аутентификацию владельцев карточек. Для того чтобы соответствовать их новым обязанностям в инфраструктуре 3D-Secure эмитенты должны установить новый тип сервера для обработки транзакций в стандарте 3D-Secure: Сервер Управления Доступом (Access Control Server или ACS).

Параллельно с этим переносом ответственности, обязательства по транзакции он-лайн также возлагаются на эмитентов карт. Эмитенты, следовательно, будут ответственны за убытки, которые могут возникнуть как часть транзакций 3D-Secure. Как результат, при внедрении системы они заинтересованы обеспечить все требования безопасности архитектуры 3D-Secure.

Аппаратный модуль безопасности для Сервера Управления Доступом (HSM для ACS)

Чтобы гарантировать безопасность инфраструктуры и защитить криптографическую информацию эмитента, Visa и MasterCard предписывают, чтобы все криптографические ключи и процессы ACS-серверов хранились и защищались сертифицированными аппаратными модулями (HSM).

Способствуя разработке, интеграции и реализации ACS-серверов, компания Thales e-Security разработала модуль 3D-Security - законченное аппаратное решение для ACS-сервера. Модуль 3D-Security является надлежащей платформой аппаратной безопасности в соответствии с обязательными требованиями ассоциаций Visa и MasterCard.

При использовании модуля 3D-Security ACS взаимодействует с аппаратной криптографической платформой высокой степени безопасности, которая в свою очередь обеспечивает выполнение криптографических операций и защиту ключей.

 

3D-Security Module обеспечивает:

• Оптимизированные криптографические вычисления для всех операций 3D-Secure (CAVV, AAV, ParRes, Signature и т.д.).
• Комплексное решение, которое включает средства для управления криптографическими ключами, взаимодействие с платежными ассоциациями и банковскими системами back-office. Решение берёт на себя перечисленные обременительные задачи при развёртывании инфраструктур Verified от Visa или SecureCode от MasterCard.
• Финансово эффективную, широко масштабируемую аппаратную архитектуру, поддерживающую от нескольких тысяч до миллионов владельцев карточек.

При обдумывании реализации 3D-Secure, сделайте правильный выбор с самого начала - выберите 3D-Security Module от Thales e-Security .

Программное обеспечение 3D-SM

Программное обеспечение для 3D-SM включает специальную функциональность для рынка 3D-Secure и постоянно развивается для выполнения новых требований этого рынка. Реализованы все необходимые функции для обеспечения следующих требований безопасности сервера ACS:

Cardholder Authentication Verification Value (CAVV) для аутентификации транзакций 3D-Secure – метод Visa;

Accountholder Authentication Value (AAV) для аутентификации транзакций 3D-Secure – метод MasterCard;

Цифровая Подпись Транзакции (Transaction Digital Signature) необходимая для безопасной аутентификации эмитента;

Функции управления ключами для безопасного обмена ключами со всеми элементами инфраструктуры.

Будучи на передовой линии безопасности карточных платежей, компания Thales e-Security предоставляет расширенные способы аутентификации в своем программном обеспечении. Благодаря использованию в 3D-SM соответствующих криптографических функций, существует возможность к EMV- аутентификации для ACS:

проверка ARQC позволяет ACS выполнять аутентификацию пользователей, использующих смарт-карты EMV через Интернет. Учитывая различные стадии изменения EMV-стандарта, 3D-SM поддерживает:

EMV’96 - Процесс диверсификации ключей (Master key derivation);

проверки ARQC.

Кроме того, 3D-SM поддерживает протокол SSL, используемый во всех коммуникациях между различными элементами инфраструктуры, включая серверы взаимодействия, обслуживаемые Visa и MasterCard.

Аутентификация клиента SSL: 3D-SM выступает в качестве SSL-клиента и поддерживает все необходимые криптографические операции для создания SSL-сессии, а также функции по управлению ключами и требования к сертификации.

Аутентификация сервера SSL: 3D-SM выступает в качестве SSL-сервера и поддерживает все необходимые криптографические операции для создания SSL-сессии, а также функции по управлению ключами и требования к сертификации.

Для того чтобы поддержать стандартный интерфейс взаимодействия с аппаратурой, используемой в среде промежуточного слоя (middle office), вся функциональность, представленная программным обеспечение 3D-SM, выполнена в качестве расширения к стандартному индустриальному интерфейсу PKCS#11.

Инструменты управления ключами 3D-Secure

Модуль 3D-Security предоставляет полный набор инструментов, предназначенных для выполнения специфичных требований по управлению ключами протокола 3D-Secure.

Инструменты управления ключами реализованы в виде командной строки и выполняют все необходимые операции для генерации, хранения и сертификации криптографических ключей 3D-SM для Сервера Управления Доступом (ACS).

Предоставляется следующая функциональность:

Катастрофоустойчивость

С модулем 3D-Security все криптографические ключи хранятся внутри взломо-устойчивой памяти устройства, которая предоставляет максимальную защиту критичных данных в любых обстоятельствах.

Учитывая природу хранения ключей, обеспечивающую данный высокий уровень безопасности, необходимо также продумать политику восстановления после катастроф, чтобы смягчить риски в случае критических сбоев в инфраструктуре.

Инструменты управления ключами позволяют производить резервное копирование и восстановление ключей внутри 3D-SM. Это достигается путем резервного хранения ключей в зашифрованном виде посредством 3DES ключа, полученного с помощью LMK. Используя данный механизм, становится возможным в случае сбоя восстановить ключи внутри модуля без необходимости их экспортирования в открытом виде.

Генерация и Удаление Ключей

Во время нормального функционирования для выполнения необходимых криптографических операций, относящихся к 3D-Secure, ACS должен иметь доступ, как минимум, к следующим компонентам:

• 2 x RSA ключа с соответствующими сертификатами;
• 1 x CAVV 3DES ключ

и / или

• 1 x AAV SHA-1 HMAC ключ.

Утилиты управления ключами позволяют ACS генерировать все ключи необходимые для функционирования архитектуры 3D-Secure.

Все ключи генерируются внутри 3D-SM и никогда не покидают взломо-устойчивую память устройства.

Импорт и Экспорт Ключей

Для построения правильного операционного процесса, транзакции 3D-Secure должны генерироваться сервером ACS и проверяться в бэк-офисе одного и тоже же банка-Эмитента. Критическим моментом является обеспечение безопасного обмена ключами между криптографическим модулем на стороне ACS (3D-SM) и соответствующим модулем в бэк-офисе банка (Host Security Module).

Инструменты управления ключами модуля 3D-SM включают набор гибких функций, позволяющих выполнять безопасный обмен ключами между 3D-SM и HSM. С помощью 3D-SM пользователи могут создать и обменяться Основным Зональным Ключом (ZMK) между двумя модулями и в дальнейшем производить обмен всех ключей 3D-Secure, зашифрованных под ZMK.

Данный метод одобрен и рекомендован комитетом ANSI X9, что делает его пригодным к использованию в финансовой индустрии. Инструменты управления ключами 3D-SM позволяют одновременно использовать несколько методов экспорта. Это обеспечивает максимальную гибкость в реализации ключевого обмена, так как любое Хост-приложение может выбрать подходящий ей метод экспорта ключей.

Сертификация Ключей

Для безопасной аутентификации Пользователей, Эквайеров и Карточных Ассоциаций в пределах инфраструктуры 3D-Secure часть системы безопасности протокола 3D-Secure использует асимметричные криптографические ключи.

Протокол 3D-Secure взаимодействует с Инфраструктурой Открытых Ключей (PKI) для обеспечения:

• Уверенности в подлинности эмитента, создавшего транзакцию 3D-Secure. Это выполняется посредством Цифровой подписи и Цифровых сертификатов;
• Аутентификации Эмитентов в серверах Visa и MasterCard во время создания SSL-соединения с этими серверами.

Для того чтобы ACS являлся частью инфраструктуры 3D-Secure Публичные ключи, сгенерированные внутри 3D-SM, должны быть сертифицированы Удостоверяющими центрами 3D-Secure (платежных систем Visa или MasterCard).

Инструменты управления ключами 3D-SM автоматически подготавливают необходимые для сертификации данные, используя ключевой материал, хранящийся в памяти устройства. Это позволяет сделать процесс сертификации проще и быстрее.

Дополнительно, утилиты управления ключами позволяют импортировать сертификаты эмитентов во взломо-устойчивую память 3D-SM, предоставляя для ACS доверенный источник пользовательских и CA- сертификатов.

3D-Security Module: Правильные инвестиции!

3D-Security Module даёт реальные выгоды, как конечным пользователям, так и разработчикам систем 3D-Secure.

Низкая цена

Стартовая цена на 3D-Security модуль делает его очень привлекательным при реализации новой системы 3D-Secure. Этот модуль является одним из самых эффективных по стоимости среди аппаратных решений для защиты ACS-серверов.

Увеличенная скорость обработки Ваших транзакций

Модуль 3D-Security оптимизирован для обеспечения высокой производительности при обработке транзакций 3D-Secure. Специальные функциональные элементы реализованы в аппаратной и программной части архитектуры изделия 3D-Security для обеспечения максимальной производительности при вычислениях в соответствии с технологиями Verified by Visa и SecureCode так же, как транзакции, относящиеся к смарт-картам. Более того, если возникает необходимость увеличить производительность, то автоматически настраиваемая система масштабирования позволяет просто подключить физически нужное количество модулей 3D-Secure, линейно увеличив производительность.

Не требуется производить никаких изменений в установках ACS-сервера.

Простой в обслуживании, быстрый при интеграции

С модулем 3D-Security всё, что необходимо для интеграции и реализации инфраструктуры 3D-Secure, поставляется в одном комплекте: прибор с высокой степенью защиты, оптимизированный программный интерфейс, базирующийся на промышленных стандартах, руководства для разработчика и пользователя, инструменты для управления ключами. С этим комплексным решением Вам не придется переживать о том, что нужно приобрести для начала работ, и Вы сможете реализовать ACS-сервер в кратчайшие сроки.

Бесперебойная работа 24/7

Модуль 3D-Security построен по отказоустойчивой архитектуре и состоит из двух приборов. При отказе одного из приборов второй автоматически перехватывают все транзакции на себя.

к началу раздела