22 de Janeiro de 2019

Smart Card vs. HSM - Qual é o melhor para o seu negócio?

38,8 mil milhões de pagamentos foram enviados para o Reino Unido durante 2017. Destes, 4,2 mil milhões foram pagamentos de negócios. Se você está lendo isto, é provável que você pertença a uma das organizações que estão fazendo esses bilhões de pagamentos, mas você sabia que há várias maneiras de autorizá-los?

Pode ser que você esteja agarrado ao seu fiel smart card e leitor de cartões, carregando-os com você para onde quer que vá. Mas existem opções para lhe dar total flexibilidade sobre como, onde e quando você faz esses pagamentos.

O que você escolhe depende do que você mais valoriza como negócio - segurança física ou flexibilidade e automação. Para o ajudar a perceber isto, AccessPay pergunta: "Qual é a diferença entre a submissão de cartões inteligentes e HSM" e "Qual é o melhor para a sua organização"?

O que é um Cartão Smart Card?

Vamos começar por definir os termos - O que é um cartão inteligente?

É um dispositivo de segurança física que as empresas utilizam para validar e autenticar tanto os pagamentos electrónicos como as transacções bancárias. Do tamanho de um cartão de crédito, ele possui um chip de memória que armazena as chaves de segurança. Estas chaves permitem a encriptação e autenticação de transacções quando estão ligadas a um leitor de cartões inteligentes.

Como é que isto funciona? Há três coisas que você vai precisar para usar cartões inteligentes. O cartão e o leitor, assim como um software local (normalmente Gemalto) para ter acesso a eles. Com eles, você pode entrar digitando um código pin e, em seguida, aprovar manualmente os pagamentos e/ou as submissões de cobrança.

Deve ser atribuído um Cartão Smart Card a cada indivíduo da sua organização que tenha autoridade para submeter ficheiros de pagamento. Um ponto crucial a considerar, contudo, é que os Cartões Smart Card funcionam manualmente, por isso as submissões não podem ser automatizadas.

O que é HSM?

HSM significa Hardware Security Module (Módulo de Segurança de Hardware). Ele faz efetivamente o mesmo trabalho que um Cartão Smart Card, mas de forma diferente. É um dispositivo de segurança baseado em hardware que gera, armazena e protege chaves criptográficas que autorizam os indivíduos a submeter pagamentos. O HSM fornece a base que você precisa para uma autoridade de certificação de alto nível e segura. Também não há nada que o impeça de automatizando a submissão de bacsalgo que é muito útil quando se procura a máxima eficiência.

Esta tecnologia percorreu um longo caminho. Antigamente, cada organização tinha de comprar uma caixa HSM física para guardar o seu certificado. Foi isto que lhe permitiu assinar digitalmente as submissões (isto normalmente custa cerca de £10,000).

Felizmente, os fornecedores especializados em soluções baseadas em nuvem, como o AccessPay, agora oferecem um HSM baseado em nuvem. Nós armazenamos o dispositivo físico no nosso centro de dados, enquanto você recebe um certificado digital que é tanto armazenado neste dispositivo como com backup em outro dispositivo. Isto significa que eles são fáceis de usar e altamente seguros, enquanto você também não precisa manter um dispositivo físico no local, portanto não há risco de que ele possa ser danificado ou roubado.

Qualquer pessoa pode usar o HSM. Mas será correcto para si? Bem, é isso que vamos procurar responder no resto deste posto. Primeiro, há uma terminologia em que precisamos de entrar...

HSMs atendidos vs. HSMs desacompanhados

Há duas maneiras de usar o HSM para enviar um arquivo de pagamentos ou cobranças: Assistido e Não Assistido.

O atendimento é para aqueles que premiam a flexibilidade. Digamos que você é um cliente AccessPay com o Attended HSM. Basta iniciar sessão em nossa plataformaA partir do momento em que você aprovar seus arquivos (isto pode ser 4 ou 6 aprovações de olhos), e quando terminar, pressione fisicamente para enviar - tudo isto de qualquer dispositivo. Os arquivos seriam automaticamente enviados para o Bacs sem que você digite um pino de smart card. A melhor coisa aqui é que você ainda tem um processo de aprovação seguro, mas você pode completar as submissões a qualquer hora, em qualquer lugar - não apenas de onde o seu Cartão Smart Card está instalado.

O HSM automatiza todo o processo sem supervisão. Assim que um arquivo é carregado, ele envia automaticamente sem nenhuma verificação ou aprovação (também conhecido como directamente durante o processamento). Isto é ideal para organizações que completam todas as suas aprovações no seu sistema de back-office, ou para aquelas que fazem um vasto número de transacções regularmente e não têm tempo para as verificar e/ou aprovar todas - AccessPay oferece ambos os tipos de HSM e nós podemos ajudá-lo a decidir qual é o mais adequado para você.

Qual é a diferença?

Existem grandes diferenças entre os Cartões Smart Card e o HSM.

Ambos têm prós: os cartões inteligentes são eficazes para combater a fraude nos pagamentos dos funcionários. Isto porque a autorização é atribuída ao indivíduo dentro da sua organização que tem permissão para fazer submissões. Cria uma trilha de auditoria detalhada que facilita o rastreamento de atividades fraudulentas. Algumas pessoas simplesmente preferem o conforto de um dispositivo de segurança física. Você pode configurar cartões inteligentes de forma barata e rápida também, pois não precisa solicitar um certificado HSM ao banco (mais sobre isso mais tarde).

Os HSH também têm os seus prós. Do ponto de vista da segurança, a automatização das submissões de pagamentos elimina a questão do erro humano que vem com as submissões manuais. Esta tecnologia também é à prova de adulterações. Os HSMs geram um código digital único que é atribuído à sua organização. Isto torna difícil para os ciber-criminosos fazerem pagamentos a partir das suas contas, uma vez que eles não têm acesso a este código.

Os HSH também podem servir como linchamentos de qualquer bem Recuperação em caso de desastre política. Seu HSM vive na nuvem, e a caixa necessária para armazená-lo é mantida em um local seguro. Portanto, se você não puder acessar suas instalações físicas - ou se elas forem atingidas por um desastre como uma enchente - você ainda pode fazer transações, por exemplo, folha de pagamento no horário, pois você pode acessar seu HSM remotamente a qualquer momento, e de qualquer local.

Quando é que isto não está certo para ti?

Há certos casos em que os cartões inteligentes ou HSMs não são adequados para a sua organização. Os contras dos Cartões Inteligentes são óbvios. Como são dispositivos físicos, podem ser perdidos, facilmente quebrados, roubados, etc. Além disso, é necessário instalar software no local para que um cartão inteligente funcione, assim como ter o cartão e o dispositivo consigo sempre que quiser fazer uma apresentação, limitando a flexibilidade. Depois há a questão do erro humano. Por exemplo, o seu submetedor pode esquecer o seu pino de login, impedindo-o de completar as submissões Bacs a tempo - ou pior ainda, podem não estar disponíveis de todo, devido a Doença.

Os HSMs também não são adequados para todos. O processo de criação de HSM é complexo - e requer mais envolvimento do seu banco - do que o de cartões inteligentes. Isto porque você tem que aplicar e pagar pelo certificado HSM do seu banco para ter acesso a esta tecnologia, bem como renovar esse certificado a cada três anos. Portanto, se você tem uma necessidade simples de Bacs - ou seja, você tem um baixo volume de transações, então pode não haver um caso de negócios para você usar o HSM, pois pode não se adequar aos requisitos da sua organização.

Além disso, os HSMs são atribuídos a uma organização - não a um indivíduo, como com um Cartão Smart Card. Isto torna difícil rastrear quem na sua organização fez um pagamento, por isso é difícil combater a fraude nos pagamentos dos funcionários. Você pode combater isso com ferramentas de segurança como autenticação de dois fatoresO sistema de autenticação de identidade do usuário, que exige que o submetedor verifique sua identidade com outra forma de autenticação além de uma senha no momento do login.

Qual é o melhor para os seus pagamentos?

Tendo tudo isto em conta, o que é melhor para as suas apresentações de Bacs e outros pagamentos? Cartões Smart Cards ou HSM?

Se você quiser adicionar automação aos seus processos de pagamento de negócios, fortalecer a sua política de Recuperação de Desastres ou fornecer ao pessoal opções de trabalho remoto, você pode querer investir em HSM. Os dados mostram que cerca de metade da força de trabalho do Reino Unido irá trabalhar remotamente até 2020, para que a HSM possa realmente ajudar a sua organização a avançar no recrutamento dos melhores talentos. Por outro lado, se as suas necessidades de Bacs são simples e pequenas - digamos que você processa menos de 1.000 transações por mês, então os Cartões Smart Card são a sua melhor aposta.

Entre em contato com a equipa AccessPay hoje para saber como pode usar cartões inteligentes ou HSM para transformar os pagamentos da sua organização.