Проблемы и решения хранения и защиты данных в облаке
В жизни потребителей неотъемлемую роль играют смартфоны и планшеты. Более того, согласно исследованию Mobile Banking Rank, 48% российских интернет-пользователей в возрасте от 18 до 64 лет, проживающих в городах с населением от 100 тысяч человек, пользуются мобильным банкингом для частных лиц. Как показало исследование Gemalto Breach Level Index, за первую половину 2016 года количество утечек данных увеличилось на 15%, а количество взломанных учетных записей за тот же период возросло на 31%. Именно поэтому, а также благодаря появлению новых технологий, таких как Host Card Emulation (HCE), интерес к безопасным мобильным платежам постоянно растет. Крупнейшие платежные системы разработали новые спецификации, предназначенные для обеспечения безопасности данных кредитных карт и платежных транзакций, осуществляемых с использованием различных мобильных устройств.
Одним из способов реализации HCE является эмуляция карты в облачной платформе. В таком случае все данные, включая транзакционную логику и платежные реквизиты клиента, хранятся на удаленном сервере, в облачном сервисе. Исследование Gemalto и Ponemon Institute, проведенное в 2016 году, показало, что 81% респондентов считает, что в ближайшие два года роль облачных сервисов в работе компаний станет еще более значимой. Несмотря на это, более 60% данных компаний в облаке не защищены шифрованием. Более того, по мнению 54% респондентов, в их компаниях отсутствует какой-либо упреждающий подход к управлению безопасностью и соблюдению требований по обеспечению конфиденциальности и защите данных, хранящихся в облачных окружениях.
Согласно результатам анализа индекса критичности утечек данных Breach Level Index, с 2013 года в мире было скомпрометировано в общей сложности более 4,8 млрд. записей данных. В первые шесть месяцев 2016 года наиболее распространённым видом взломов стали хищения учетных записей пользователей, которые составили 64% всех утечек. По источнику утечек наибольшее количество инцидентов пришлось на атаки сторонних злоумышленников – 69%, а на компании сектора финансовых услуг пришлось 12% всех утечек.
Таким образом, для банков и поставщиков услуг, которые предлагают своим клиентам возможность облачных платежей, технологии безопасности играют ключевую роль. Однако обеспечение безопасности по-прежнему может вызывать определённые затруднения у компаний, особенно когда речь идёт о сложностях, связанных с соблюдением законодательства в отношении конфиденциальности и защиты данных. Для соблюдения законодательства компаниям важно рассмотреть возможность внедрения таких технологий как шифрование, маркирование и других криптографических решений для защиты конфиденциальных данных, передаваемых и размещаемых в облаке
По мнению 72% респондентов, опрошенных в ходе исследования Gemalto и Ponemon Institute, важным фактором является возможность осуществлять шифрование или токенизацию конфиденциальных или служебных данных, при этом 86% считают, что в ближайшие два года такая возможность станет еще более актуальной.
В качестве одного из средств шифрования могут служить аппаратные модули шифрования, которые должны обладать необходимыми сертификатами и обеспечивать определенную функциональность, которая востребована крупнейшими платежными сервисами.
К примеру, компания ТЕКНО, работающая на рынке платежных сервисов с 2008 года предоставляя заказчикам услуги по аутсорсингу разработки ПО, а также внедрения программных продуктов в области банковских карт и карт лояльности, в 2013 году приняла решение запустить собственные продукты, такие как система облачных платежей со смартфона без использования карты, а также ПО для POS-терминалов с высокой степенью защиты и поддержкой бесконтактной авторизации.
«Архитектура решений ТЕКНО подразумевает подключение к модулю безопасности HSM (Hardware Security Module) через внешний интерфейс, что позволяет компании использовать для обработки транзакций и онлайн-платежей любые криптографические решения, соответствующие запросам заказчика. Кроме этого ТЕКНО занимается разработкой ПО для POS-терминалов, где также необходимо использовать аппаратное шифрование высшего уровня, чтобы защитить такие данные как пин-коды клиентов и ключи для использования самого устройства, которые часто становятся предметом посягательств злоумышленников» - говорит заместитель гендиректора компании ТЕКНО Алексей Назаров.
Другим примером использования аппаратного модуля является компания ООО «Бесконтакт», работающая под брендом CardsMobile и занимающая ведущие позиции на российском рынке разработчиков решений для бесконтактной оплаты при помощи мобильного телефона. Для того, чтобы обеспечить более обширную поддержку сервиса бесконтактных платежей и работать со смартфонами, не обладающими встроенными модулями Secure Element, разработчику необходимо было создать облачную платформу, соответствующую требованиям MasterCard Cloud Based Payments. Согласно требованиям платежной системы, для этого необходимо внедрить надежную и проверенную систему защиты: сертифицированное решение MCBP должно на аппаратном уровне (HSM) должно обеспечивать защиту учетных данных платежных инструментов.
В обоих случая компании выбрали модуль шифрования Gemalto HSM SafeNet Luna EFT, который был разработан специально для финансовых учреждений. Система соответствует высоким требованиям безопасности, а также обладает удобным графическим интерфейсом для работы и администрирования.
Аппаратные модули Gemalto HSM обрабатывают более 1 триллионов транзакций ежедневно и по всему миру. В частности, модуль криптографической защиты SafeNet Luna EFT представляет собой платформу высотой 1U для монтажа в стандартную стойку. Система может работать с ОС Windows, Linux, Unix иподдерживает как ассиметричное, так и симметричное шифрование. Решение надежно защищено от взлома, может управляться удаленно (с многофакторной аутентификацией) и поддерживает современные технологии доставки PIN-кодов.
Среди ключевых особенностей Luna EFT:
- соответствие FIPS 140-2 Level 3;
- соответствие PCI-HSM 2.0;
- поддержка EMV;
- поддержка мобильных платежей;
- графический пользовательский интерфейс;
- дополнительная защита PIN-кодов и других данных;
- неограниченное масштабирование;
- возможность интеграции в любые платежные системы.
Смотреть все статьи по теме "Информационная безопасность"
Опубликовано 27.01.2017