Soluciones de administración de claves compatibles con PCI que no cuestan una fortuna

9

Somos una empresa de software relativamente pequeña que tiene el requisito de almacenar PAN para nuestros clientes. Las soluciones de pago alojadas simplemente no se ajustan a los requisitos de nuestros productos. Literalmente tenemos 3 líneas de código de encriptación en C # que actualmente utiliza Ent Lib.

Hemos consultado a un QSA muy bien informado y hemos descubierto cómo vamos a rediseñar nuestra solución de manera fundamental para que todo el producto no se encuentre dentro del alcance del cumplimiento de PCI, lo que detendría nuestra capacidad de innovación. .

Ahora tengo una lista de compras y un presupuesto muy ajustado. El único elemento que me está causando un importante dolor de cabeza es la solución de administración de claves PCI. Los HSM son caros y las soluciones de software equivalentes también son sorprendentemente caras. Conseguimos constantemente cotizaciones en la región de £ 30,000 a £ 50,000 por algo que esperaría que no fuera más de £ 1000 por servidor más las licencias de desarrollo gratuitas. Solo requerimos 2 servidores con un modo de espera tibio para acceder a las claves seguras. ¡Parece que las letras PCI están agregando ceros al precio por algo que, conceptualmente, no será tan difícil!

¿Alguien está utilizando una solución rentable con la que su QSA esté satisfecho? Tengo la sensación de que los QSA quieren el Rolls Royce / Ferrari cuando un Mini de nivel básico lo haría por muchas compañías. Estoy feliz de gastar dinero y supongo que he restablecido un poco mi visión pero algo por debajo de £ 5000 sería un presupuesto realista para nosotros.

    
pregunta Craig 20.04.2012 - 13:29
fuente

2 respuestas

4

Una de las principales dificultades con una buena gestión de claves es el almacenamiento seguro de las claves de cifrado. Si observa lo que dice el NIST sobre este tema (SP 800-57), básicamente tiene tres opciones:

  • Usar HSM
  • Use seguridad física (ponga su llave en una caja fuerte)
  • Almacene su clave directamente en el sistema, cifrada por una Clave de cifrado de clave (esta opción se usa con frecuencia, pero no resuelve su problema, porque su KEK principal también debe almacenarse de manera segura)

Ya dijo que los HSM son caros, por lo que aún tiene la opción segura. El principal problema en este caso es que sus servidores no pueden obtener la clave automáticamente cuando la necesitan, por lo que debe asegurarse de que:

  • Su aplicación necesita obtener la clave solo una vez (luego se almacena en la memoria)
  • Puede hacer que alguien escriba la clave cada vez que inicie su aplicación

Obviamente, todavía tiene que definir procedimientos seguros para cada aspecto de la administración de claves, pero en ciertos casos, puede ser una opción viable y barata.

    
respondido por el Gael Muller 20.04.2012 - 17:31
fuente
1

Townsend Security (con el que trabajo) tiene un HSM de administración de claves de cifrado de precios muy agresivos (http://townsendsecurity.com/products/encryption-key-management). Cuenta con la certificación FIPS 140-2 y puede ayudarlo a cumplir con sus requisitos de PCI. Revise este documento y háganos saber lo que piensa: enlace

    
respondido por el Luke 20.04.2012 - 23:36
fuente

Lea otras preguntas en las etiquetas