TSP trong giải pháp Tokenization
White

Cường Nguyễn viết ngày 05/07/2019

TSP là gì?

TSP (Token Service Provider) được hiểu là nhà cung cấp dịch vụ tokenization.
TSP có nhiệm vụ:

• Đăng ký với EMVCo

• Mở đăng ký và quản lý Token Requestors

• Phát hành Token

• Quản lý domain cho token

• Quản lý giao dịch bằng token bao gồm chuyển đổi, de-tokenise…

• Quản lý token life cycle

• Đảm bảo bảo mật

Làm sao để trở thành TSP?
Hiện nay các ngân hàng phát hành, tổ chức tín dụng, mạng lưới thanh toán đều có thể đăng ký với EMVCo để trở thành một TSP.
Quy trình đăng ký bao gồm 4 bước: điền đơn >> yêu cầu thanh toán >> thanh toán >> cấp quyền.

alt text

Lệ phí phải nộp cho EMV là $10.000 để được cấp chứng chỉ trở thành TSP và $2.500/năm để renew chứng chỉ.

Yêu cầu bảo mật cho TSP (tóm tắt)
EMVCo không trực tiếp tham gia vào quá trình kiểm định chất lượng bảo mật tại cơ sở của TSP, việc này được giao cho PCI. Hiện tại PCI đã có những văn bản quy định và phiếu giám sát kết quả cho quá trình này.

Thứ tự thực hiện để đạt được các chứng chỉ cho TSP là: đăng ký trở thành TSP với EMVCo >> kiểm định chất lượng bảo mật với PCI.

TSP phải tạo được một Token Data Environment (TDE) thực sự an toàn vì tính chất nghiêm trọng của việc lộ thông tin PAN trong quá trình xử lý Token. TDE bao gồm những thành phần chính sau:

• Token vault (HSMs)

• Token service APIs

• Hệ thống xử lý, giải mã token

Do TDE là nơi lưu trữ và xử lý cả PAN nên quy chuẩn PCI DSS dành cho Cardholder Data Environment (CDE) cũng được áp dụng cho TDE.

alt text

PCI yêu cầu khi ở trong hệ thống TSP thì token cũng phải được bảo mật tương tự như PAN. Nhưng sau khi token đã được phát hành ra ngoài thì không còn cần bảo vệ nữa.

Dưới dây là 12 yêu cầu bảo mật cho một hệ thống TSP:

  • Xây dựng tường lửa
  • Không dùng những password mặc định
  • Bảo vệ dữ liệu chủ thẻ
  • Mã hóa dữ liệu chủ thẻ khi truyền tải
  • Đảm bảo hệ thống không có malware, virus
  • Phát triển các ứng dụng bảo mật cho hệ thống
  • Giới hạn quyền truy cập đến dữ liệu chủ thẻ
  • Xác thực khi tuy cập hệ thống
  • Giới hạn quyền tiếp cận phần cứng chứa dữ liệu
  • Có công cụ theo dõi những truy cập đến dữ liệu
  • Thực hiện bảo trì hệ thống định kỳ
  • Có chính sách bảo mật cụ thể

Để thực hiện được 12 yêu cầu trên, PCI đã cụ thể hóa thành 8 danh mục giám sát (TSP 1 đến TSP 8) về phần cứng cũng như phần mềm của một hệ thống TSP

To be continued ……

Tham khảo : https://ajino2k.wordpress.com/2018/10/09/tsp-trong-giai-phap-tokenization/

Bình luận


White
{{ comment.user.name }}
Bỏ hay Hay
{{comment.like_count}}
Male avatar
{{ comment_error }}
Hủy
   

Hiển thị thử

Chỉnh sửa

White

Cường Nguyễn

21 bài viết.
65 người follow
Kipalog
{{userFollowed ? 'Following' : 'Follow'}}
Cùng một tác giả
White
9 4
Đây là chủ đề mình thích nhất, mỗi tuần mình dành ra 12h rãnh để viết 1 Dockerfile mình thích, sẵn để sau này có mà dùng không phải viết lại hiện ...
Cường Nguyễn viết 7 tháng trước
9 4
White
6 2
Nginx một web services khá mạnh cho hiện tượng C10k . Có rất nhiều cấu hình của nó mà mình đã xem qua . Đa phần sysadmin không tìm hiểu kỹ về nó , ...
Cường Nguyễn viết 1 năm trước
6 2
White
4 2
Vấn đề bảo mật thông tin không chỉ đơn thuần là việc chống lại các cuộc tấn công từ hacker, ngăn chặn malware để đảm bảo thông tin không bị phá hủy...
Cường Nguyễn viết 2 năm trước
4 2
{{like_count}}

kipalog

{{ comment_count }}

bình luận

{{liked ? "Đã kipalog" : "Kipalog"}}


White
{{userFollowed ? 'Following' : 'Follow'}}
21 bài viết.
65 người follow

 Đầu mục bài viết

Vẫn còn nữa! x

Kipalog vẫn còn rất nhiều bài viết hay và chủ đề thú vị chờ bạn khám phá!