In termini di requisiti PCI e conformità, è un modulo di gestione delle chiavi basato su software come Gazzang zTrustee una soluzione accettabile per i requisiti PCI che una soluzione HSM (hardware) come AWS CloudHSM risolve?
In termini di requisiti PCI e conformità, è un modulo di gestione delle chiavi basato su software come Gazzang zTrustee una soluzione accettabile per i requisiti PCI che una soluzione HSM (hardware) come AWS CloudHSM risolve?
Qualcosa come un Gazzang zTrustee potrebbe essere usato per soddisfare i requisiti di gestione delle chiavi PCI. Il trucco sarebbe quello di assicurarsi che ti aiutano a seguire tutti i requisiti per la conformità PCI. Un buon modo per farlo è vedere se sono certificati FIPS 140-2 , o almeno seguire la FIPS Standard 140-2 pubblicato dal NIST. Una breve recensione del loro sito non credo che siano certificati da loro menzionano che seguono i requisiti FIPS. Ci vorrebbe un po 'di più a scavare e fare domande per vedere cosa significano in questo modo.
Come risposta più generale alla tua domanda, PCI non stabilisce che devi utilizzare un dispositivo hardware per la gestione delle chiavi. Puoi utilizzare una o una combinazione, qualsiasi cosa ti aiuti a soddisfare i requisiti descritti nella sezione 3 di PCI DSS.
Il precedente rispondente ha fatto un buon lavoro nel rispondere alla tua domanda. Tuttavia, ecco alcune informazioni aggiuntive.
a) Gazzang non venderà o sosterrà la sua soluzione zTrustee a partire dal prossimo anno 2015 (il supporto termina a giugno o luglio). Quindi tutti i clienti di Gazzang sono alla ricerca di altre soluzioni.
b) Dovresti anche dare un'occhiata ai requisiti PCI DSS 3.0 poiché sembra che tu stia appena iniziando a esaminare questo problema.
c) Come menzionato dall'altra persona, non è necessario utilizzare una soluzione conforme a FIPS per soddisfare i requisiti PCI DSS.
d) Potresti voler dare un'occhiata a questa soluzione . Interessanti persone dietro questa azienda (il ragazzo che ha effettivamente scritto il framework del file system utilizzato da eCryptfs).
Leggi altre domande sui tag key-management pci-dss