¿Podría explicar cuál es la principal diferencia entre esto para DPAPI y HSM? Por lo que yo entiendo, tanto la protección de los datos, la forma de protección es la diferencia. HSM es el dispositivo físico y DPAPI proporciona protección de datos a nivel de sistema operativo. ¿Cuál es el mejor método / manera de proteger los datos del titular de la tarjeta de acuerdo con los estándares PCI-DSS?
Gracias, Chandru
PCI DSS 3.5.2
Almacene claves secretas y privadas utilizadas para cifrar / descifrar datos de titulares de tarjetas en una (o más) de las siguientes formas en todo momento:
Encriptada con una clave de cifrado de clave que es al menos tan fuerte como la clave de cifrado de datos, y que se almacena por separado del archivo. clave de cifrado de datos
Dentro de un dispositivo criptográfico seguro (como un módulo de seguridad del host (HSM) o un dispositivo de punto de interacción aprobado por PTS)
Como al menos dos componentes clave completos o partes clave compartidas, de acuerdo con un método aceptado por la industria
Depende. DPAPI es solo una API que proporciona una interfaz de programación de aplicaciones criptográficas simple. Lo que significa que le permite usar funciones criptográficas de forma segura sin que tenga que preocuparse por cómo funcionan. La DPAPI permite la caducidad automática de la clave (que es una de las reglas de PCI-DSS).
El beneficio de un HSM es que es un módulo de hardware que puede hacerse a prueba de manipulaciones. A menudo, también están certificados para el almacenamiento de claves (conformidad con FIPS). En cuanto al rendimiento, puede ser más efectivo.
Personalmente, consideraría un HSM si tuviera el presupuesto. De acuerdo con PCI-DSS, en realidad no hay nada mejor, ya que son buenos siempre que su implementación se realice correctamente.
Lea otras preguntas en las etiquetas password-management key-management pci-dss