Cifrado y seguridad de datos

Cifrado a nivel de aplicación de datos sensibles

Los campos sensibles según PCI en los mensajes API entrantes y salientes se cifran usando el formato PKCS#7 enveloped-data. Esto es además de la conexión mutual TLS (mTLS).

Claves y certificados

Use el portal TSH durante la incorporación a TSH para gestionar certificados PKCS#7:

• Cargue su certificado del Emisor (ISSUER_PKCS7_CERT). Thales TSH lo usa para cifrar los campos sensibles PCI enviados al backend del emisor. Thales TSH también envía el identificador del certificado para que pueda seleccionar la clave privada adecuada (por ejemplo, en RequestCardDigitalization).

• Descargue el certificado de Thales. Úselo para cifrar los campos sensibles PCI enviados desde el backend del emisor a Thales TSH. Incluya el identificador del certificado en su solicitud para que Thales TSH pueda seleccionar la clave privada correcta (por ejemplo, en UpdateCard).

Parámetros de cifrado

PKCS#7 y CMS están definidos en RFC 2315 y RFC 5652. La mayoría de las bibliotecas criptográficas soportan las operaciones requeridas.

Parámetros de cifrado:

• Algoritmo de cifrado del contenido: AES-256-CBC con PKCS7Padding.

• Algoritmo de cifrado de clave: RSA/None/OAEPWithSHA256AndMGF1Padding (MGF1 usa SHA-256), con una clave pública RSA de 2048 o 4096 bits.

• Codificación de salida: representación de cadena hexadecimal.

Ejemplos de cifrado PKCS#7

Estos ejemplos de código muestran cómo generar y procesar PKCS#7 enveloped-data. En la API de TSH, los bytes cifrados se codifican como una cadena hexadecimal.