Módulos de seguridad - Hardware vs. Software

Se podría utilizar algo como un Gazzang zTrustee para cumplir con los requisitos de administración de claves PCI. El truco sería asegurarse de que le ayuden a cumplir todos los requisitos para el cumplimiento de PCI. Una buena manera de hacer esto es ver si están FIPS 140-2 , o al menos seguir las FIPS Estándar 140-2 publicado por el NIST. Una breve revisión de su sitio no creo que estén certificados porque mencionan que cumplen con los requisitos de FIPS. Se necesitaría algo más de investigación y preguntas para ver qué significan realmente con eso.

Como respuesta más general a su pregunta, PCI no le obliga a usar un dispositivo de hardware para la administración de claves. Puede usar una o una combinación, cualquier cosa que lo ayude a cumplir con los requisitos descritos en la sección 3 de las PCI DSS.

El encuestado anterior ha hecho un buen trabajo al responder su pregunta. Sin embargo, aquí hay una visión adicional.

a) Gazzang ya no venderá ni dará soporte a su solución zTrustee a partir del próximo año 2015 (el soporte finaliza en junio o julio). Así que todos los clientes de Gazzang están buscando otras soluciones.

b) También deberías echar un vistazo a los requisitos de PCI DSS 3.0, ya que parece que estás empezando a analizar este problema.

c) Como lo mencionó el otro individuo, no necesita utilizar una solución compatible con FIPS para cumplir con los mandatos de PCI DSS.

d) Es posible que desee ver esta solución . Personas interesantes detrás de esta compañía (el tipo que realmente escribió el marco del sistema de archivos que usa eCryptfs).