Según los requisitos de PCI-DSS, tenemos que usar HSM (Módulo de seguridad de hardware) o Servidor de claves para almacenar el KEK (Clave de cifrado de clave).
Si estoy almacenando DEK (Clave de cifrado de datos) cifrada en un servidor de aplicaciones, ¿cómo puedo almacenar de forma segura el KEK que cifra el DEK?
Las dos opciones:
-
Si decido usar un servidor de claves, entonces si alguien piratea el servidor de aplicaciones, podría acceder fácilmente al servidor de claves. Entonces, ¿cómo proteger mi servidor de claves?
-
Si se utiliza HSM para almacenar el KEK, entonces, si alguien piratea el servidor de mi aplicación, ¿pueden piratear mi HSM también?
¿Cuál de los dos sería una forma más segura, HSM o un servidor de claves?