HSM PS base

Подробнее

Задать вопрос

Описание

Модуль безопасности для систем платёжных карт (МБ СПК) выполнен в виде аппаратно-программного комплекса в единой конструкции, обеспечивающий уровень физической и логической защиты в соответствии с национальными «Требованиями к СКЗИ в платёжных устройствах с терминальным ядром, серверных компонентах платёжных систем (HSM модулях), платёжных картах и иных технических средствах информационной инфраструктуры платёжной системы, используемых при осуществлении переводов денежных средств, указанных в п. 2.20 положения БР от 09.06.12 г. №382-П» и требованиями PCI PTS HSM Modular Security Requirements 3.0.

МБ СПК предназначен для применения в Бэкенд системах банков и платёжных систем для обеспечения защиты персональных данных держателей карт в следующих процессах и механизмах систем платёжных карт:

Инициализация платёжных карт при их производстве,
Эмиссия платёжных карт, включая генерацию секретных величин, электрическую персонализацию и печать пин-конвертов,
Авторизация платёжных транзакций,
Эквайринг, обработка транзакций от платёжных устройств,
3D-Secure,
Поддержку режима работы НСПК в качестве ОПКЦ,
Генерация, смена, резервирование, экспорт локальных, зональных, терминальных, транспортных мастер ключей, которые используются в вышеперечисленных процессах.

Конструктивно МБ СПК выполнен в виде моноблока форм-фактора 2U для установки в стандартную 19" стойку. Для защиты от несанкционированного подключения к неиспользуемым разъёмам на лицевой панели предусмотрены опечатываемые откидные крышки. Система охлаждения активная.

Структурно, в состав единой конструкции МБ СПК входят два блока: блок ввода-вывода и управления (ВВиУ) и криптоблок.

Блок ВВиУ обеспечивает ввод-вывод и разбор формата команд, поступающих от прикладной HOST системы, взаимодействие с криптоблоком для выполнения критичных криптографических преобразований, а также предоставляет функции для удалённого управления устройством через защищённый TLS канал.

Криптоблок обеспечивает все операции по генерации, защищённому хранению, экспорту, созданию резервных локальных мастер ключей, а также расшифрование и зашифрование персональных данных владельцев карт (ключей, PIN, PIN блоков) на локальных мастер ключах.

МБ СПК (торговая марка SPB HSM PS) как аппаратная платформа выпускается в исполнении SPB HSM PS base - производительность 1000 tps и два интерфейса подключения к HOST системе 1 GbE.

Модуль безопасности для систем платежных карт SPB HSM PS base внесен в реестр Минцифры, как программно-аппаратный комплекс (ПАК). Реестровая запись №22565 от 14.05.2024

Скачать datasheet SPB HSM PS

Технические характеристики

Характеристика	Параметры
Интерфейс, протокол с HOST системой	2x1 GbE, UDP, TCP/IP
Интерфейс, протокол с HOST системой	2x1 GbE, UDP, TCP/IP
Производительность	1 000 tps
	1 000 tps
	Производительность измеряется по методике, эквивалентной методике НСПК – число перешифрований ПИН-блока с одного зонального ключа на другой
Интерфейс и протокол управления	2x1 GbE в соответствии с ГОСТ Р 1323565.1.030-2018 «Использование российских криптографических алгоритмов в протоколе безопасности транспортного уровня TLS»
Лицензии	Четыре вида лицензий: - основная или Core, перечень команд с разбиением по функциональным блокам, - обеспечивающая совместимость или Legacy, - лицензия загрузки LMK с внешних носителей, - лицензия удаленного управления.
Международные криптографические алгоритмы и механизмы	Криптографические алгоритмы: DES/3DES – NIST FIPS 46-3 SP 800-67 и ISO 10116, AES – NIST FIPS 197, RSA – RFC 3447 NIST FIPS 186-4, SHA-1 – RFC 3174 и NIST FIPS 180-4, SHA-224, SHA-384, SHA-256, SHA-512 – ISO/IEC 10118-2 и NIST 180-4, MAC – ISO 9797 и NIST FIPS 198-1, HMAC – ISO/IEC 9797-2 Поддерживаемые механизмы: Global Platform v.2.2.1, EMV CPS 1.1, EMV3.1.1, EMV 4.1, EMV 4.3 (ARQC/ARPC/AAC), IDN, Union Pay (ARQC/ARPC), CVP/iCVP/CVP2, CVC/CVV/CVC3, PVV, MST, MasterCard CAP, CAVV, PIN Block (ISO 9564-1) – в том числе ISO-0, ISO-3, ISO-4, IBM 3624, ANSI X9-24 (DUKPT)
Российские криптографические алгоритмы (РКА)	блочный шифр «Кузнечик» ГОСТ Р 34.12-2015 в режимах ГОСТ Р 34.13-2015, хэш функция ГОСТ Р 34.11-2012
Совместимость с банковским ПО	БПС – SmartVista, OpenWay – Way4, CompasPlus – TranzWare
Электропитание	220 В, резервированное питание, два источника
Физическая безопасность	Конструкция, обеспечивающая защиту от НСД, использование различных систем обнаружения НСД и датчиков вскрытия – механические микропереключатели, акселерометр, датчик света/датчик объема
Методы генерации и защиты локальных мастер ключей	Совместное использование ФДСЧ и ПДСЧ для генерации, хранение в зашифрованном виде на РКА во внутренней памяти криптоблока, гарантированное стирание при обнаружении попытки НСД. При генерации используется вариантный метод и метод keyblock
Поддерживаемые форматы ключевых контейнеров для экспорта	ASC X9 TR-31-2018 Thales Variant Scheme (ANSI X9.17), PKCS #1 v1.5
Резервирование локальных мастер ключей	В виде компонент на смарт‑картах непосредственно из криптоблока с применением алгоритмических мер защиты от ПЭМИН
Защита от ПЭМИН	Соответствует классу КВ для СКЗИ, обеспечивается рядом конструктивных, схемотехнических и алгоритмических мер

Встроенное ПО

Программное обеспечение SPB HSM PS base

в реестре российского программного обеспечения Минцифры. Реестровая запись №15084 от 07.10.2022

Программное обеспечение SPB HSM PS base входит в состав МБ СПК и устанавливается на предприятии изготовителе.

Программное обеспечение SPB HSM PS base, входящее в состав МБ СПК обеспечивает выполнение следующих основных функций:

Создание защищённого удалённого подключения к изделию, аутентификацию администраторов безопасности и администраторов управления с использованием их идентификаторов (USB-токенов), которые записываются при инициализации изделия.
Инициализацию, управление и настройку изделия в процессе его эксплуатации.
Журналирование действий пользователей и работы системных сервисов.
Реализацию основных криптографических механизмов:
- Выполнение криптографических операций с DES/3DES в соответствии c «NIST FIPS 46-3/NIST Special Publication 800-67» и «ISO/IEC 10116» (ECB, CBC).
- Выполнение криптографических операций с AES в соответствии c «NIST FIPS 197».
- Генерацию пары ключей RSA: закрытый ключ и открытый ключ в соответствии «RFC 3447» и «NIST FIPS 186-4».
- Вычисление хэш функций семейства SHA в соответствии c «RFC 3174», «NIST FIPS 180-4» и «ISO/IEC 10118-2».
- Вычисление функций MAC за данные в соответствии с «ISO 9797-1» MAC (DES, 3DES), CBC_MAC (AES), CMAC (AES).
- Вычисление функций HMAC в соответствии с «ISO/IEC 9797-2» (MAC Algorithm 2) и «NIST FIPS 198-1».
- Работу с ключами в формате key block в соответствии с «ASC X9 TR 31-2018».
- Трансляцию (перешифрование) PIN-блока, зашифрованного с помощью одного ключа, в PIN-блок, зашифрованный с использованием других ключей.
- Вывод мастер-ключа карты из соответствующего мастер-ключа эмитента (MKCL, MKIDN).
- Вывод мастер-ключей карты MKAC, MKSMC, MKSMI, MKIDN в соответствии с алгоритмами документа «Стандарт платежной системы «Мир».
- Зашифровывание чистой компоненты ключа.
- Трансляцию (перешифрование) ZPK.
- Реализацию функции для защищенного обмена с картой при производстве по протоколу «SCP-02», в том числе диверсификацию ключей, формирование сессионных ключей для защищенного обмена с картой, а также формирование криптограммы карты в соответствии с «Global Platform v.2.2.1» (Е.4.2.).
- Реализацию функции для защищенного обмена с картой при эмиссии в том числе:
  1. с использованием алгоритма EMV CPS 1.1 в соответствии с документом «Стандарт платежной системы «Мир».
  2. с использованием алгоритма Visa 2 в соответствии с документом «Стандарт платежной системы «Мир».
- Генерацию CVP (CVC/CVV)/ППК (Card Verification Parameter/Проверочный параметр карты). CVP/ППК в соответствии с документом «Требования к данным на магнитной полосе и EMV-эквиваленте карты платежной системы «Мир».
- Проверку Dynamic Card Verification Value (dCVV) или Card Verification Code (CVC3), в зависимости от типа платежной системы: «Мир», Visa, MasterCard, American Express, UnionPay, JCB.
- Генерацию и проверку криптовеличины PVV по алгоритму VISA PVV в соответствии с документом «Требования к данным на магнитной полосе и EMV-эквиваленте карты платежной системы «Мир».
- Проверку криптограммы ARQC и/или генерацию ARPC (EMV 3.1.1).
- Проверку криптограммы ARQC и/или генерацию ARPC (EMV 4.x).
- Вычисление и проверку American Express Card Security Codes (CSC): CSC3, CSC4 и CSC5.
- Проверку криптограммы ARQC и/или генерацию ARPC в соответствии с документацией Union Pay.
- Генерацию и проверку IDN (ICC Dynamic Number).
- Проверку Truncated Application Cryptogram (MasterCard CAP).
- Генерацию и проверку CAVV.
- Генерацию ключевой пары RSA (закрытый и открытый ключи) эмитента и соответствующего самоподписанного сертификата в соответствии с требованиями платежных систем и по стандарту «EMV 4.3».
- Проверки EMV-сертификата RSA-ключа эмитента, подписанного корневым ключом УЦ по стандарту «EMV 4.3».
- Импорт (с проверкой) EMV-сертификата корневого ключа УЦ.
- Генерацию PIN с возможностью печати.
- Трансляцию PIN-блока из одного формата в другой с возможностью перешифрования из-под одного ключа под другой. Допустимые форматы трансляции («ISO 9564-1»): ISO-0 (Format 0), ISO-1(Format 1), ISO-3(Format 3), ISO-4(Format 4).
- Генерацию, проверку и смену PIN-offset с использованием метода «IBM 3624».
- Обеспечение функции управления ключами (DUKPT).

Лицензии ПО SPB HSM PS base

Основная лицензия Core (арт. 467339.004-99) - базовая лицензия основного функционала, стоимость по запросу.
Лицензия совместимости Legacy (арт. 467339.004-98) - лицензия обеспечения совместимости, стоимость по запросу.
Лицензия загрузки LMK с внешних носителей (арт. 467339.004-97) - лицензия обеспечивает загрузку LMK с внешних носителей, стоимость по запросу.
Лицензия удаленного управления (арт. 467339.004-90) - лицензия удаленного управления, стоимость по запросу.

Документация

Сертификаты

Сертификат совместимости с продуктами SmartVista № SV-FE-2022-01-09
Сертификат совместимости с продуктами TranzWare/TranzAxis № 24-430
Сертификат совместимости HSM PS base с продуктами Payguide Acquirer 4.2 и Payguide Issuer 5.1
Сертификат совместимости с программными продуктами Пронит
Сертификат соответствия ФСБ России №СФ 124-4566 от 10.05.2023
Сертификат соответствия ООО "Солантек" № 2023/03-01
Сертификат совместимости SPB HSM PS base с программными продуктами ОСТКАРД

Заключение Минпромторга о подтверждении производства в РФ

Декларация об ограничении применения опасных веществ в изделиях SPB HSM PS base

Декларация об электромагнитной совместимости и электробезопасности SPB HSM PS base

Назад к списку