EenHSM(Hardware Security Module) is het fysieke hart van elk veilig betalingssysteem: het is een toegewijde hardwareprocessor die cryptografische bewerkingen uitvoert in een manipulatieveilige omgeving. In de context van betalingen en PCI DSS is de HSM de component die ervoor zorgt dat cryptografische sleutels — de basis van gegevensversleuteling — nooit in leesbare vorm op een gewone server of in het geheugen bestaan. Begrijpen hoe een HSM werkt, helpt inzien waarom een tokenvault met een toegewijde HSM een werkelijk ander beveiligingsniveau biedt dan een op software gebaseerde tokenisatieoplossing.
Wat een HSM is en hoe het werkt
Een Hardware Security Module is een fysiek apparaat, doorgaans in de vorm van een PCI-uitbreidingskaart of een netwerkapparaat, dat is ontwikkeld om:
- Cryptografische sleutels veilig te genereren, op te slaan en te beheren
- Cryptografische bewerkingen (versleuteling, ontsleuteling, ondertekening, verificatie) uit te voeren binnen een veilige hardwareomgeving
- Fysieke aanvallen te detecteren en erop te reageren: bij een inbraakpoging verwijdert het apparaat automatisch de opgeslagen sleutels (tamper-evidence)
- Een manipulatieveilige omgeving voor cryptografische bewerkingen te bieden die niet door software buiten de HSM kan worden ingezien of onderschept
In een tokenvault is de HSM de plek waar de master-versleutelingssleutel (MEK) is opgeslagen. Deze sleutel ontsleutelt de in de vault opgeslagen PAN's voor bewerkingen die dit vereisen (zoals het omzetten van een token voor een transactie bij de acquirer). Omdat de MEK in de HSM is opgeslagen en het apparaat nooit verlaat, kan een aanvaller die toegang verkrijgt tot de vaultserver de opgeslagen gegevens niet ontsleutelen zonder ook fysieke toegang tot de HSM te hebben.
FIPS 140-2 en FIPS 140-3: waarom HSM-certificeringen belangrijk zijn
FIPS 140-2(Federal Information Processing Standard Publication 140-2) is de Amerikaanse standaard voor cryptografische hardwaremodules, beheerd door het NIST (National Institute of Standards and Technology). Het definieert vier beveiligingsniveaus voor HSM's:
- Level 1: fundamentele beveiligingsvereisten voor cryptografische algoritmen
- Level 2: fysiek bewijs van manipulatiepoging (tamper-evidence)
- Level 3: fysieke manipulatieveiligheid en automatische sleutelverwijdering bij inbraak
- Level 4: maximale beveiliging — bescherming tegen fysieke aanvallen in omgevingen met lage fysieke bescherming (zelden gebruikt voor commerciële betalingstoepassingen)
Voor betalingstoepassingen en PCI DSS-conforme tokenvaults isFIPS 140-2 Level 3de branchestandaard. Een HSM op dit niveau garandeert dat zelfs bij fysieke compromittering van het apparaat de cryptografische sleutels automatisch worden gewist voordat ze kunnen worden geëxtraheerd. PCI Proxy EU gebruikt in zijn tokenvault toegewijde HSM's met FIPS 140-2 Level 3-certificering.
Toegewijde HSM vs. op software gebaseerde tokenisatie
Niet alle tokenisatieoplossingen gebruiken een toegewijde HSM. Sommige PSP's implementeren op software gebaseerde tokenisatie, waarbij de versleutelingssleutel op een gewone server is opgeslagen, mogelijk in een beveiligde enclave (zoals Intel SGX) of in een cloud-KMS (Key Management Service). Deze benaderingen bieden een adequaat beschermingsniveau voor veel gebruiksscenario's, maar niet het fysieke beveiligingsniveau van een FIPS 140-2 Level 3-gecertificeerde HSM.
Voor handelaren die een Level 1 PCI DSS-conforme audit nodig hebben of actief zijn in sterk gereguleerde sectoren (financiële dienstverlening, gezondheidszorg, overheid) is een tokenvault met toegewijde HSM de gouden standaard. Het biedt de beste verdediging tegen zowel logische als fysieke aanvallen en maakt een robuuste verdedigingsstrategie bij een PCI-audit mogelijk.
Veelgestelde vragen
Heb ik als handelaar een eigen HSM nodig voor PCI DSS-naleving?
Nee. Als handelaar hoeft u geen eigen HSM te bezitten of te beheren: het gebruik van een gecertificeerde PCI DSS Level 1-tokenisatiedienst zoals PCI Proxy EU, die een toegewijde HSM in zijn infrastructuur inzet, is voldoende. De aanwezigheid van een HSM in de tokenvault van de aanbieder wordt gedocumenteerd in de AOC (Attestation of Compliance), die u aan de acquirer kunt overleggen.
Wat is het verschil tussen een HSM en een TPM (Trusted Platform Module)?
Een TPM is een chip geïntegreerd op een standaard moederbord, ontworpen voor fundamentele platformauthenticatie en sleutelbeheer op pc-niveau. Een HSM is een apart, toegewijd apparaat voor krachtige cryptografische bewerkingen in bedrijfs- en betalingsomgevingen. HSM's ondersteunen een veel breder spectrum van cryptografische algoritmen, hogere transactiesnelheden en zijn ontworpen voor gebruik in beveiligde datacenters, niet voor consumentenhardware.
Hoe kan ik controleren of een tokenvault-aanbieder werkelijk een FIPS 140-2-gecertificeerde HSM gebruikt?
Vraag de AOC (Attestation of Compliance) van de aanbieder op en controleer het gedeelte over cryptografische hardware-implementaties. Een serieuze aanbieder moet de modellen van de gebruikte HSM's kunnen opgeven en bevestigen dat deze op de NIST CMVP-validatielijst staan. PCI Proxy EU stelt deze documentatie op verzoek ter beschikking.
Wilt u een tokenvault met een toegewijde FIPS 140-2 Level 3 HSM voor uw PCI-naleving gebruiken?Ontdek PCI Proxy EU.
Hulp nodig bij PCI-naleving?
Ons team helpt u uw CDE in kaart te brengen, het juiste SAQ te kiezen en tokenisatie te implementeren met gegevensresidentie in de EU.
Neem contact op