In het vorige blogbericht werden drie struikelblokken genoemd om PCI-PTS-gecertificeerd te worden en te blijven:
- Het gebruik van een klant- of landspecifieke HSM-functionaliteit. De extra software in de HSM die hiervoor benodigd is, wordt niet meegenomen in een HSM-certificering (PCI of FIPS140-2). Dit moet door de klant zelf worden gedaan. Omdat dit erg duur is, wordt dat vaak niet gedaan.
- Goed sleutelbeheer blijkt in de praktijk altijd lastig. Vaak is key management geen dagtaak en veel key management-werkzaamheden moeten slechts sporadisch worden uitgevoerd. Daardoor ontbreekt er vaak routine en worden er fouten gemaakt. Acties worden in ieder geval niet goed gedocumenteerd, waardoor een goede “audit trail” – wat essentieel is voor auditors – ontbreekt.
- Het is moeilijk om ervaren en goed opgeleide sleutelbeheerders te krijgen en te behouden.
In dit blogbericht gaan we verder in op mogelijke oplossingen en bewegingen die je in de crypto-markt ziet gebeuren op het gebied van HSM-as-a-Service en Key-management-as-a-Service.
Maar we beginnen met wat het gebruik van de cloud betekent voor PCI DSS.
PCI DSS in de cloud
Zoals in het vorige blogbericht beschreven is het niet eenvoudig om DSS-gecertificeerd te worden en te blijven. Het idee om betaaltransacties af te laten handelen door PCI-compliant cloud-leveranciers is naïef. Het idee hierachter is dat je dan zelf niet meer in de scope zit van de DSS-certificering, maar het tegendeel is waar. Juist door gebruik te maken van de cloud-diensten om kaarthouder-en betaalpasgegevens te verwerken, wordt de cloud-omgeving binnen de scope van certificering getrokken. Je moet als eindverantwoordelijke van die gegevens nog steeds zelf aantonen dat je aan alle DSS-eisen voldoet. Hier moeten dus zeer goede afspraken over gemaakt worden met de cloud-leverancier.
Op de website van de PCI Security Standard Council staat een document met richtlijnen over hoe je hiermee om kunt gaan: PCI DSS Cloud Computing Guideline.
PCI PTS in de cloud
De PTS-eisen zeggen niets over het gebruik van HSM’s in de cloud. Dat is niet zo gek, aangezien de laatste versie van de specificaties uit december 2014 komt. De grote cloud-providers bestonden toen natuurlijk al, maar er was nog niemand die eraan durfde te denken om de afhandeling van PIN-transacties naar de cloud te brengen. Dankzij het succes van de cloud wordt er de laatste jaren wel steeds serieuzer gekeken naar mogelijkheden om “core banking”-applicaties toch naar de cloud te brengen. Zie hier bijvoorbeeld het document “Cloud-enabled core banking”.
Nu is “core banking” een breed begrip dat naast betalen ook lenen en hypotheken beslaat. Voor lenen en hypotheken wordt over het algemeen geen HSM-functionaliteit gebruikt. Deze zijn dus makkelijker naar de cloud te migreren dan betaalapplicaties, simpelweg omdat de grote cloud-providers nu nog alleen “general purpose” HSM’s aanbieden waarmee geen betaaltransacties op een door PCI-PTS gecertificeerd niveau kunnen worden verwerkt.
Gezien de ontwikkelingen zal het echter een kwestie van tijd zijn dat zelfs dit soort kritische betaaltoepassingen in de cloud zullen draaien.
Dit vereist echter gestandaardiseerde payment HSM’s of general purpose HSM’s met standaard payment API’s, wat betekent dat alle klant- en landspecifieke HSM-functionaliteiten zullen moeten wijken. Laat dit nou precies het argument zijn om PCI compliancy te vereenvoudigen!
Naast de technische haalbaarheid blijft het de vraag of je met dit soort oplossingen kunt voldoen aan de PCI-eisen. Nogmaals, de PTS-eisen zeggen niets over de cloud, maar we kunnen niet uitsluiten dat de PCI Security Standard Council ook met cloud-richtlijnen voor PTS zal komen.
De grootste uitdaging binnen de huidige specificaties is in mijn ogen Control Objective 7: “Equipment used to process PINs and keys is managed in a secure manner.”
We kunnen niet uitsluiten dat de grote cloud-providers dit soort HSM-oplossingen toch niet kunnen of willen aanbieden. In dat geval zou dit gat gevuld kunnen worden door kleinere, gespecialiseerde partijen die een Payment HSM-as-a-service-oplossing aanbieden. Voor zover ik weet zijn dit soort partijen er nog niet.
(Payment) HSM-as-a-service biedt dezelfde voordelen als standaard cloud-oplossingen. Te weten, geen hoge initiële investeringen en geen zorgen meer over prestaties en beheer.
Net als bij gewone cloud-diensten gaat het voor sommige partijen wellicht te ver om zich met huid en haar over te leveren aan een HSM-as-a-service-aanbieder. In dat geval is het natuurlijk altijd mogelijk om ook hier gebruik te maken van BYOK (bring your own key). De afnemende partij blijft dan wel verantwoordelijk voor het sleutelbeheergedeelte van de PTS-certificering.
Nog een stapje verder is de variant dat de HSM-as-a-Service aanbieder ook zelf PCI-PTS-gecertificeerd is. In een dergelijke situatie kun je zelfs je key management uitbesteden aan een gespecialiseerde HSM-as-a-service-provider. De afnemende partij heeft dan helemaal geen zorgen meer over de PTS-certificering. Het is echter de vraag of het ooit zo ver komt.
Avensus heeft de afgelopen jaren gewerkt aan een eigen HSM-as-a-service oplossing. Vorig jaar is een interne proof-of-concept succesvol afgerond. We zijn klaar voor de volgende stap met Payment HSM’s! Wil je hier alvast meer over weten? Neem dan contact op met Avensus High Grade Security.
