Модуль безопасности для систем платёжных карт SPB HSM PS base

Описание

Модуль безопасности для систем платёжных карт (МБ СПК) «SPB HSM PS base» предназначен для применения в Бэкенд системах банков и платёжных систем для обеспечения защиты персональных данных держателей карт и применяется в следующих процессах и механизмах систем платёжных карт:

инициализация платёжных карт при их производстве;
эмиссия платёжных карт, включая генерацию секретных величин, электрическую персонализацию и печать пин-конвертов;
авторизация платёжных транзакций;
эквайринг, обработка транзакций от платёжных устройств;
3D-Secure;
поддержка режима работы национальной системы платежных карт (НСПК) в качестве операционного платежного клирингового вычислительного центра (ОПКЦ);
генерация, смена, резервирование, экспорт локальных, зональных, терминальных, транспортных мастер ключей, которые используются в вышеперечисленных процессах.

В состав МБ СПК «SPB HSM PS base» входит блок ввода-вывода и криптоблок, обеспечивающий все операции по генерации, защищённому хранению, экспорту, созданию резервных локальных мастер ключей, а также расшифрование и зашифрование персональных данных владельцев карт (ключей, PIN, PIN-блоков) на локальных мастер ключах.

Опционально в МБ СПК «SPB HSM PS base» предусмотрена возможность удаленного подключения к веб-интерфейсу управления изделием, организации защищенного канала, а также использования идентификаторов администраторов безопасности и/или управления.
Программное обеспечение для организации удаленного управления может функционировать под управлением Astra Linux 1.6, Windows 10 (x86/x64).

Лицензии ПО для МБ СПК «SPB HSM PS base»:

Основная лицензия Core (арт. 467339.004-99) - базовая лицензия основного функционала.
Лицензия совместимости Legacy (арт. 467339.004-98) - лицензия обеспечения совместимости.
Лицензия загрузки LMK с внешних носителей (арт. 467339.004-97) - лицензия обеспечивает загрузку LMK с внешних носителей.
Лицензия удаленного управления (арт. 467339.004-90) - лицензия удаленного управления.

МБ СПК «SPB HSM PS base» соответствует «Требованиям к СКЗИ, предназначенным для защиты информации, не содержащей сведений, составляющих государственную тайну по классу КВ.

Скачать datasheet SPB HSM PS

Характеристики

Характеристика	Параметры МБ СПК SPB HSM PS base
Производительность (1), tps	1 000 tps
Тип разъёма подключения к хост-системе и для удаленного управления (2)	4 × LC, 10 км (SMF), ʎс 1310 нм
	4 × LC, 10 км (SMF), ʎс 1310 нм
Протокол взаимодействия с хост-системой и для удаленного управления	UDP, TCP/IP
Интерфейс для подключения к хост-системе и для удаленного управления, GbE	1
Протокол взаимодействия для удаленного управления	Р 1323565.1.020-2018 «Информационная технология. Криптографическая защита информации. Использование криптографических алгоритмов в протоколе безопасности транспортного уровня (TLS 1.2)».
Международные криптографические алгоритмы и механизмы	Криптографические алгоритмы: DES/3DES – NIST FIPS 46-3 SP 800-67 и ISO 10116, AES – NIST FIPS 197, RSA – RFC 3447 NIST FIPS 186-4, SHA-1 – RFC 3174 и NIST FIPS 180-4, SHA-224, SHA-256, SHA-512 – ISO/IEC 10118-2 и NIST 180-4, MAC – ISO 9797 и NIST FIPS 198-1, HMAC – ISO/IEC 9797-2 Поддерживаемые механизмы: Global Platform v.2.2.1, EMV CPS 1.1, EMV3.1.1, EMV 4.1, EMV 4.3 (ARQC/ARPC/AAC), IDN, Union Pay (ARQC/ARPC), CVP/iCVP/CVP2, CVC/CVV/CVC3, PVV, MST, MasterCard CAP, CAVV, PIN Block (ISO 9564-1) – в том числе ISO-0, ISO-3, ISO-4, IBM 3624, ANSI X9-24 (DUKPT)
Российские криптографические алгоритмы (РКА)	Блочный шифр «Кузнечик» ГОСТ Р 34.12-2015 в режимах ГОСТ Р 34.13-2015, хэш функция ГОСТ Р 34.11-2012
Методы генерации, защиты и использования локальных мастер ключей	Совместное использование ФДСЧ и ПДСЧ для генерации, хранение в зашифрованном виде на РКА во внутренней памяти криптоблока, гарантированное стирание при обнаружении попытки НСД. Поддерживается два способа использования LMK: - Variant LMK; - Keyblock LMK.
Поддерживаемые форматы ключевых контейнеров для экспорта	ASC X9 TR-31-2018, Thales Variant Scheme (ANSI X9.17), PKCS #1 v1.5, PKCS#1 v2.2
Резервирование локальных мастер ключей	В виде компонент на смарт‑картах непосредственно из криптоблока с применением алгоритмических мер защиты.
Совместимость с банковским ПО	БПЦ – SmartVista, OpenWay – Way4, CompasPlus – TranzWare
Физическая безопасность	Конструкция, обеспечивающая защиту от НСД, использование различных систем обнаружения НСД и датчиков вскрытия – механические микропереключатели, датчик объема.
Электропитание (с резервированием)	220 В, 50 Гц
Потребляемая мощность, Вт, не более	150
Форм-фактор	19″ моноблок 2U
Габариты, В×Ш×Д, мм, не более	84×483×559
Масса, кг, не более	15
Комплект поставки	• МБ СПК c набором лицензий; • три смарт-карты для хранения LMK; • четыре USB токена для администраторов безопасности и управления; • монтажный комплект, шнур электропитания, сетевой кабель (RJ-45); • комплект эксплуатационной документации. • ПО «Терминал управления» (при приобретении лицензии «Удаленное управление»)

1) Производительность измеряется по методике, эквивалентной методике НСПК – число перешифрований PIN-блока с одного зонального ключа на другой;
2) Для подключения необходимо использовать одномодовый оптический кабель

Встроенное ПО

Программное обеспечение SPB HSM PS входит в состав МБ СПК и устанавливается на предприятии изготовителе.

Программное обеспечение SPB HSM PS, входящее в состав МБ СПК обеспечивает выполнение следующих основных функций:

Создание защищённого удалённого подключения к изделию, аутентификацию администраторов безопасности и администраторов управления с использованием их идентификаторов (USB-токенов), которые записываются при инициализации изделия.
Инициализацию, управление и настройку изделия в процессе его эксплуатации.
Журналирование действий пользователей и работы системных сервисов.
Реализацию основных криптографических механизмов. Подробнее

Выполнение криптографических операций с DES/3DES в соответствии c «NIST FIPS 46-3/NIST Special Publication 800-67» и «ISO/IEC 10116» (ECB, CBC).
Выполнение криптографических операций с AES в соответствии c «NIST FIPS 197».
Генерацию пары ключей RSA: закрытый ключ и открытый ключ в соответствии «RFC 3447» и «NIST FIPS 186-4».
Вычисление хэш функций семейства SHA в соответствии c «RFC 3174», «NIST FIPS 180-4» и «ISO/IEC 10118-2».
Вычисление функций MAC за данные в соответствии с «ISO 9797-1» MAC (DES, 3DES), CBC_MAC (AES), CMAC (AES).
Вычисление функций HMAC в соответствии с «ISO/IEC 9797-2» (MAC Algorithm 2) и «NIST FIPS 198-1».
Работу с ключами в формате key block в соответствии с «ASC X9 TR 31-2018».
Трансляцию (перешифрование) PIN-блока, зашифрованного с помощью одного ключа, в PIN-блок, зашифрованный с использованием других ключей.
Вывод мастер-ключа карты из соответствующего мастер-ключа эмитента (MKCL, MKIDN).
Вывод мастер-ключей карты MKAC, MKSMC, MKSMI, MKIDN в соответствии с алгоритмами документа «Стандарт платежной системы «Мир».
Зашифровывание чистой компоненты ключа.
Трансляцию (перешифрование) ZPK.
Реализацию функции для защищенного обмена с картой при производстве по протоколу «SCP-02», в том числе диверсификацию ключей, формирование сессионных ключей для защищенного обмена с картой, а также формирование криптограммы карты в соответствии с «Global Platform v.2.2.1» (Е.4.2.).
Реализацию функции для защищенного обмена с картой при эмиссии в том числе:
1. с использованием алгоритма EMV CPS 1.1 в соответствии с документом «Стандарт платежной системы «Мир».
2. с использованием алгоритма Visa 2 в соответствии с документом «Стандарт платежной системы «Мир».
Генерацию CVP (CVC/CVV)/ППК (Card Verification Parameter/Проверочный параметр карты). CVP/ППК в соответствии с документом «Требования к данным на магнитной полосе и EMV-эквиваленте карты платежной системы «Мир».
Проверку Dynamic Card Verification Value (dCVV) или Card Verification Code (CVC3), в зависимости от типа платежной системы: «Мир», Visa, MasterCard, American Express, UnionPay, JCB.
Генерацию и проверку криптовеличины PVV по алгоритму VISA PVV в соответствии с документом «Требования к данным на магнитной полосе и EMV-эквиваленте карты платежной системы «Мир».
Проверку криптограммы ARQC и/или генерацию ARPC (EMV 3.1.1).
Проверку криптограммы ARQC и/или генерацию ARPC (EMV 4.x).
Вычисление и проверку American Express Card Security Codes (CSC): CSC3, CSC4 и CSC5.
Проверку криптограммы ARQC и/или генерацию ARPC в соответствии с документацией Union Pay.
Генерацию и проверку IDN (ICC Dynamic Number).
Проверку Truncated Application Cryptogram (MasterCard CAP).
Генерацию и проверку CAVV.
Генерацию ключевой пары RSA (закрытый и открытый ключи) эмитента и соответствующего самоподписанного сертификата в соответствии с требованиями платежных систем и по стандарту «EMV 4.3».
Проверки EMV-сертификата RSA-ключа эмитента, подписанного корневым ключом УЦ по стандарту «EMV 4.3».
Импорт (с проверкой) EMV-сертификата корневого ключа УЦ.
Генерацию PIN с возможностью печати.
Трансляцию PIN-блока из одного формата в другой с возможностью перешифрования из-под одного ключа под другой. Допустимые форматы трансляции («ISO 9564-1»): ISO-0 (Format 0), ISO-1(Format 1), ISO-3(Format 3), ISO-4(Format 4).
Генерацию, проверку и смену PIN-offset с использованием метода «IBM 3624».
Обеспечение функции управления ключами (DUKPT).

Лицензии ПО SPB HSM PS:

Основная лицензия Core (арт. 467339.004-99) - базовая лицензия основного функционала, стоимость по запросу.
Лицензия совместимости Legacy (арт. 467339.004-98) - лицензия обеспечения совместимости, стоимость по запросу.
Лицензия дополнительной совместимости Legacy Р3 (арт. 467339.004-97) - лицензия обеспечения дополнительной совместимости, стоимость по запросу.
Лицензия удаленного управления (арт. 467339.004-90) по запросу.

Документация

Преимущества

Основные преимущества

Высокая производительность
Совместимость с основнымыми вендорами ПО

Технические преимущества

Защита ключей (в "железе" в защищенной зоне)
Разделение пономочий
Надежный генератор случайных чисел
Разделение ключей по названию

Выполнение требований регуляторов и платежных систем

Соответствие требованиям МПС и НПСК
Соответствие требованиям международных стандартов (PCI DSS, PCI PIN)

Сертификаты

Сертификат совместимости с продуктами SmartVista № SV-FE-2022-01-09
Сертификат совместимости с продуктами TranzWare/TranzAxis № 23-370
Сертификат совместимости HSM PS с продуктами Payguide Acquirer 4.2 и Payguide Issuer Сертификат совместимости с программными продуктами Пронит
Сертификат соответствия ООО "Солантек" № 2023/03-01
Сертификат соответствия ФСБ России №СФ 124-4566 от 10.05.2023
Декларация об ограничении применения опасных веществ в изделиях SPB HSM PS base
Декларация об электромагнитной совместимости и электробезопасности SPB HSM PS base

Совместимость

Принтеры для печати на PIN конвертах

DFX-9000, производитель EPSON
Microline 5100FB eco, производитель OKI

Медиаконвертеры

MC210CS – SMF, производитель TP-LINK
BZ-MC-1G-LX-S – SMF, производитель BZ Telecom
DMC-805G – SMF, производитель D-Link
BZ-MC-1G-RJ45SFP LFP – MMF (требуется отдельный трансивер), производитель BZ Telecom

Трансиверы

BZ-SFP-1G-LX-10 – SMF, производитель BZ Telecom
BZ-SFP-1G-SX – MMF, производитель BZ Telecom