Etiquetado: ,

Mostrando 2 respuestas a los debates
  • Autor
    Entradas
    • #50333
      AvatarNicolasRicci
      Participante

      Buen dia.

      Saben si es posible certificar PCI PIN si la empresa cuenta con un HSM en Amazon?
      La empresa tiene todos su infrastructura en AWS y no tiene un espacio fisico, ni gente para administrar un HSM fisico en sus instalaciones.

      Desde ya muchas gracias por su ayuda.

      Saludos.

    • #50439
      David AcostaDavid Acosta
      Participante

      Hola Nicolás,

      La respuesta es NO. Actualmente, ninguno de los proveedores de servicios de cloud más reconocidos (AWS, GCP y Azure) no ofrecen servicios de HSM que cumplan con PCI PIN:

      1-3 All hardware security modules (HSMs) shall be either:
      • FIPS140-2 Level 3 or higher certified, or
      • PCI approved.

      Adicionalmente, los HSM provistos por estas organizaciones son dispositivos de uso general (general purpose HSM) y no appliances para el entorno financiero (Payment HSM). En este caso, hay una diferencia importante, ya que los HSM financieros soportan primitivas criptográficas, funcionalidades de seguridad y algoritmos como DUKPT, key bundles, etc. que los HSM de uso general no tienen. Hay más información al respecto aquí: https://www.thalesesecurity.com/faq/hardware-security-modules/what-payment-hardware-security-module-hsm

      Supongo que en un futuro esto será posible, pero actualmente me temo que no.

    • #52276
      David AcostaDavid Acosta
      Participante

      Hola Nicolás:
      Con este tema de HSM en cloud todo era cuestión de tiempo. Mi última respuesta es de poco menos de un año y en aquel entonces no había proveedores de cloud que ofrecieran HSM certificados como PCI HSM o FIPS 140-2 Level 3 para el entorno financiero (recordad que desde el punto de vista operativo hay dos tipos de HSMs: los de propósito general y los orientados a transacciones de pago).
      Ahora mismo, por mi experiencia en este área, he identificado dos proveedores muy interesantes de este tipo de servicios:
      – MyHSM (https://myhsm.com/)
      – Utimaco HSM-as-a-Service (https://hsm.utimaco.com/products-hardware-security-modules/form-factor/cloud-hsm-as-a-service/)
      Ambos ofrecen dispositivos HSM para integrar en un entorno PCI PIN y cuentan con servicios de valor agregado como la gestión de componentes de claves, el uso de custodios a nombre del cliente, la operación y administración del dispositivo y la seguridad física del entorno.
      Espero que esto os sirva.
      David

Mostrando 2 respuestas a los debates
  • Debes estar registrado para responder a este debate.