Visão geral

1. Visão Geral: O que é o HoP GO?

O HoP GO (HSM off Premises) é um serviço de infraestrutura criptográfica em nuvem projetado para atender às demandas críticas de segurança em ambientes de produção, com foco especial no setor de meios de pagamento.

Ele oferece às empresas acesso remoto a funcionalidades avançadas de um HSM (Hardware Security Module), eliminando a necessidade de aquisição, instalação ou manutenção de equipamentos físicos dedicados.

Como funciona na prática?

O HoP GO permite que as organizações realizem operações criptográficas essenciais diretamente em uma infraestrutura altamente segura, resiliente e escalável, hospedada fora do ambiente local (off-premises). Essas operações incluem:

• Geração, armazenamento e gerenciamento seguro de chaves.

• Criptografia e descriptografia de dados sensíveis.

• Assinatura digital.

• Validação de transações.

Para quem é indicado?

Esse modelo é especialmente relevante para o ecossistema de pagamentos eletrônicos, incluindo:

• Adquirentes e Subadquirentes

• Fintechs

• Emissores de cartões

• Gateways de pagamento

A adoção do HoP GO garante conformidade com padrões rigorosos de segurança do setor (como PCI DSS e PCI PIN) e reduz significativamente a complexidade operacional dessas empresas.

Detalhes Técnicos e Operacionais

Para garantir a máxima segurança e disponibilidade, a infraestrutura do HoP GO conta com as seguintes características:

• Hardware: Utiliza o Thales payShield 10K, considerado o padrão ouro em segurança de HSM para pagamentos.

• Datacenter: Hospedado em infraestrutura Tier 3, garantindo redundância elétrica, de refrigeração e de conectividade, com disponibilidade mínima de 99,982%.

• Modelo de Consumo: Substitui o CapEx (investimento em hardware físico) pelo OpEx (assinatura mensal flexível).

• Segurança e Compliance: Todo o ambiente é certificado nas normas PCI DSS v4.0 e PCI PIN, contando com logs de auditoria centralizados e criptografia ponta a ponta.

• Suporte Integrado: A First Tech gerencia toda a infraestrutura, incluindo atualizações de firmware, rotinas de backup e planos de contingência.

Principais Benefícios

Ao adotar o HoP GO, as organizações ganham vantagens competitivas e operacionais:

• 💰 Redução de custos: Evita altos investimentos iniciais na compra de servidores HSM dedicados e em sua manutenção contínua.

• 📈 Escalabilidade: Permite o ajuste do poder de processamento (TPS - Transactions Per Second) conforme a demanda real de transações do negócio.

• ⚙️ Simplicidade: Reduz a complexidade operacional da equipe de TI, permitindo maior foco no core business.

• 🛡️ Compliance: Garante de forma simplificada o atendimento às certificações exigidas pelo setor financeiro.

2. Gestão e Migração de Chaves (Key Migration)

A migração para o HoP GO exige um processo de transporte seguro e uma governança rigorosa das chaves criptográficas. Para garantir o sucesso e a segurança dessa transição, as seguintes etapas e controles são aplicados:

• Planejamento Estratégico: Avaliação do HSM existente, identificação minuciosa das chaves a serem migradas, análise de compatibilidade de smartcards e definição de janelas de migração.

• Uso de Key Blocks (TR-31): É obrigatório o uso de métodos estruturados em blocos seguros (como o TR-31) para garantir a integridade e a confidencialidade das chaves durante o transporte e o armazenamento.

• Cerimonial de Chaves: Um evento formal e rigorosamente documentado para a geração de novas chaves, incluindo a assinatura por custodians e o registro completo para fins de auditoria.

• Custodiantes Designados: Pessoas de confiança indicadas especificamente para inserir componentes de chave, autorizar operações críticas e manter os logs de ações.

• Compatibilidade de Smartcards e LMK: Validação técnica dos cartões LMK (Local Master Key) existentes com o ambiente em nuvem, garantindo a continuidade operacional sem qualquer perda de dados.

• Logs e Auditoria: Registro contínuo e completo de todas as operações de chave, acompanhado de monitoramento em tempo real para identificar e bloquear qualquer tentativa de acesso não autorizado.

3. Requisitos de Integração e Conectividade

Para garantir uma comunicação fluida e totalmente segura entre a aplicação do cliente e o ambiente do HoP GO, é necessário atender aos seguintes requisitos técnicos, divididos entre configurações de infraestrutura e da própria aplicação:

Infraestrutura: Rede e Segurança

• Túnel Seguro: Estabelecimento de VPN IPsec ou Direct Link conectando o datacenter ou cloud do cliente (AWS, Azure, Google Cloud, Oracle) ao ambiente HoP GO.

• Autenticação mTLS: Utilização de certificados digitais emitidos por uma Autoridade Certificadora confiável para garantir a autenticação mútua dos servidores.

• Regras de Firewall: Liberação prévia de portas TCP/IP específicas, necessárias para o tráfego dos comandos de host do payShield 10K.

• Segurança de Transporte: Aplicação de criptografia TLS 1.3 (ou superior), aliada a sistemas de detecção de intrusão e monitoramento de tráfego em tempo real.

Configurações da Aplicação

• Comandos Thales: A aplicação deve suportar os comandos de host compatíveis com o Thales payShield 10K, incluindo PIN translation, key injection e geração de chaves de sessão.

• Endereçamento Virtual (VIP): Configuração da aplicação para apontar para o Virtual IP fornecido pelo HoP GO, garantindo um processo de failover transparente em caso de instabilidades.

• Gestão de Sessões TCP: Implementação de sessões persistentes com o objetivo de reduzir a latência e evitar timeouts durante transações críticas.

• Monitoramento e Alertas: Integração com os sistemas de monitoramento próprios do cliente, permitindo o disparo de alertas imediatos em casos de falhas de comunicação ou indisponibilidade do HSM.

4. Estrutura da Solução e Homologação

Para garantir uma implantação segura e eficiente, a First Tech organiza a solução em dois módulos principais, cobrindo de ponta a ponta o ciclo de vida do cliente:

Documentação e Homologação

Antes de ir para a produção, o ambiente passa por um processo rigoroso de validação técnica, que inclui:

• Matriz de Fluxo de Dados: Mapeamento detalhado do tráfego entre a aplicação e o HSM, identificando claramente todos os comandos, portas e protocolos utilizados.

• Plano de Homologação: Execução de um checklist abrangente de comandos no ambiente de testes (HoP LAB). Isso garante a validação prévia de operações críticas, como PIN translation (ex: EE0600), key injection e geração de chaves (ex: A0).

• Auditoria e Logs: Geração e armazenamento de logs detalhados durante toda a fase de homologação, assegurando total rastreabilidade e facilitando auditorias de conformidade.

5. Público-Alvo e Casos de Uso

O HoP GO é a solução ideal para instituições que operam no mercado financeiro e exigem altos níveis de segurança, agilidade e escalabilidade.

Perfis e Aplicações Práticas

• Fintechs e Bancos Digitais: Viabiliza uma entrada rápida no mercado (time-to-market) e um onboarding ágil de clientes, eliminando a necessidade de altos investimentos iniciais em hardware (CapEx).

• Adquirentes e Processadoras: Garante a autorização segura de cartões, validação de segurança (PIN/CVV) e oferece capacidade para suportar transações PIX em alto volume.

• Gateways de Pagamento: Processamento robusto para grandes volumes transacionais, contando com alta disponibilidade, mecanismo de failover automático e baixa latência.

• Instituições Reguladas: Assegura o atendimento estrito às normas de segurança e auditoria exigidas pelos órgãos financeiros e entidades regulatórias (como o Bacen e o PCI SSC).

Benefícios Operacionais Resumidos

• Eficiência Financeira: Redução drástica dos custos com infraestrutura física própria e manutenção contínua.

• Escalabilidade Dinâmica: Ajuste do poder de processamento (TPS) de forma flexível, acompanhando os picos e a demanda real do negócio.

• Visibilidade e Controle: Monitoramento centralizado e trilhas de auditoria completas, cobrindo tanto as transações diárias quanto as operações críticas de gestão de chaves.