TSP trong giải pháp Tokenization
White

ajino2k viết ngày 05/07/2019

TSP là gì?

TSP (Token Service Provider) được hiểu là nhà cung cấp dịch vụ tokenization.
TSP có nhiệm vụ:

• Đăng ký với EMVCo

• Mở đăng ký và quản lý Token Requestors

• Phát hành Token

• Quản lý domain cho token

• Quản lý giao dịch bằng token bao gồm chuyển đổi, de-tokenise…

• Quản lý token life cycle

• Đảm bảo bảo mật

Làm sao để trở thành TSP?
Hiện nay các ngân hàng phát hành, tổ chức tín dụng, mạng lưới thanh toán đều có thể đăng ký với EMVCo để trở thành một TSP.
Quy trình đăng ký bao gồm 4 bước: điền đơn >> yêu cầu thanh toán >> thanh toán >> cấp quyền.

alt text

Lệ phí phải nộp cho EMV là $10.000 để được cấp chứng chỉ trở thành TSP và $2.500/năm để renew chứng chỉ.

Yêu cầu bảo mật cho TSP (tóm tắt)
EMVCo không trực tiếp tham gia vào quá trình kiểm định chất lượng bảo mật tại cơ sở của TSP, việc này được giao cho PCI. Hiện tại PCI đã có những văn bản quy định và phiếu giám sát kết quả cho quá trình này.

Thứ tự thực hiện để đạt được các chứng chỉ cho TSP là: đăng ký trở thành TSP với EMVCo >> kiểm định chất lượng bảo mật với PCI.

TSP phải tạo được một Token Data Environment (TDE) thực sự an toàn vì tính chất nghiêm trọng của việc lộ thông tin PAN trong quá trình xử lý Token. TDE bao gồm những thành phần chính sau:

• Token vault (HSMs)

• Token service APIs

• Hệ thống xử lý, giải mã token

Do TDE là nơi lưu trữ và xử lý cả PAN nên quy chuẩn PCI DSS dành cho Cardholder Data Environment (CDE) cũng được áp dụng cho TDE.

alt text

PCI yêu cầu khi ở trong hệ thống TSP thì token cũng phải được bảo mật tương tự như PAN. Nhưng sau khi token đã được phát hành ra ngoài thì không còn cần bảo vệ nữa.

Dưới dây là 12 yêu cầu bảo mật cho một hệ thống TSP:

  • Xây dựng tường lửa
  • Không dùng những password mặc định
  • Bảo vệ dữ liệu chủ thẻ
  • Mã hóa dữ liệu chủ thẻ khi truyền tải
  • Đảm bảo hệ thống không có malware, virus
  • Phát triển các ứng dụng bảo mật cho hệ thống
  • Giới hạn quyền truy cập đến dữ liệu chủ thẻ
  • Xác thực khi tuy cập hệ thống
  • Giới hạn quyền tiếp cận phần cứng chứa dữ liệu
  • Có công cụ theo dõi những truy cập đến dữ liệu
  • Thực hiện bảo trì hệ thống định kỳ
  • Có chính sách bảo mật cụ thể

Để thực hiện được 12 yêu cầu trên, PCI đã cụ thể hóa thành 8 danh mục giám sát (TSP 1 đến TSP 8) về phần cứng cũng như phần mềm của một hệ thống TSP

To be continued ……

Tham khảo : https://ajino2k.wordpress.com/2018/10/09/tsp-trong-giai-phap-tokenization/

Bình luận


White
{{ comment.user.name }}
Bỏ hay Hay
{{comment.like_count}}
Male avatar
{{ comment_error }}
Hủy
   

Hiển thị thử

Chỉnh sửa

White

ajino2k

5 bài viết.
0 người follow
Kipalog
{{userFollowed ? 'Following' : 'Follow'}}
Cùng một tác giả
White
3 2
Vấn đề bảo mật thông tin không chỉ đơn thuần là việc chống lại các cuộc tấn công từ hacker, ngăn chặn malware để đảm bảo thông tin không bị phá hủy...
ajino2k viết 1 năm trước
3 2
White
2 0
worker và prefork, vốn là 2 MultiProcessing Modules (MPMs) phổ biến trên Linux. Ngoài ra hiện nay còn có event (cũng Linux), mpm_winnt (cho Windows...
ajino2k viết 1 tháng trước
2 0
White
1 0
TCP Slow Start là gì? TCP Slow Start là một phần của các thuật toán kiểm soát tắc nghẽn được đặt ra bởi TCP để giúp kiểm soát lượng dữ liệu chảy q...
ajino2k viết 1 năm trước
1 0
{{like_count}}

kipalog

{{ comment_count }}

bình luận

{{liked ? "Đã kipalog" : "Kipalog"}}


White
{{userFollowed ? 'Following' : 'Follow'}}
5 bài viết.
0 người follow

 Đầu mục bài viết

Vẫn còn nữa! x

Kipalog vẫn còn rất nhiều bài viết hay và chủ đề thú vị chờ bạn khám phá!