Voltar ao blog
Segurança 8 min

Como funciona um HSM e por que ele é indispensável em pagamentos

28 de agosto de 2025

O que é um HSM

HSM (Hardware Security Module) é um dispositivo físico dedicado a realizar operações criptográficas e proteger chaves criptográficas. Pense nele como um cofre que também processa: as chaves entram nele durante o provisionamento e nunca saem em texto claro — todas as operações criptográficas acontecem dentro do hardware.

HSMs são usados em:

  • Sistemas de pagamento (geração e verificação de PIN)
  • Autoridades Certificadoras (assinatura de certificados digitais)
  • Bancos e fintechs (criptografia de dados de cartão)
  • Infraestrutura PKI

Os fabricantes mais conhecidos no mercado financeiro são Thales (ex-nCipher, ex-SafeNet) e Utimaco.

Por que não usar software para criptografia?

É uma pergunta legítima. A resposta tem três dimensões:

Segurança física: Chaves armazenadas em memória ou disco de um servidor podem ser extraídas por um atacante com acesso ao sistema. Um HSM certificado tem mecanismos de autodestruição das chaves caso detecte tentativas de abertura física (tamper evidence e tamper response).

Certificação: Para operar como adquirente ou processador de pagamentos, é obrigatório usar HSMs certificados de acordo com PCI HSM (para pagamentos) ou FIPS 140-2/140-3 (padrão americano de módulos criptográficos). Software puro não passa nessas certificações.

Performance: HSMs modernos realizam dezenas de milhares de operações criptográficas por segundo sem degradar a performance do sistema principal.

Conceitos fundamentais

Master Key (LMK — Local Master Key)

A LMK é a chave raiz do HSM. É gerada diretamente no hardware durante o processo de inicialização (key ceremony), nunca saindo do dispositivo. Todas as outras chaves são protegidas (cifradas) pela LMK.

Key Ceremony

O processo formal e auditado de geração da LMK. É conduzido com múltiplos custodiantes (geralmente 3 de 5) que possuem cartões-chave (smart cards), garantindo que nenhuma pessoa sozinha possa reconstituir a chave mestra. Toda a cerimônia é documentada e auditada.

Zone Master Key (ZMK) e Zone PIN Key (ZPK)

Chaves usadas para troca segura de chaves com outros participantes da rede (bancos, bandeiras). A ZMK é trocada de forma segura entre as partes; a ZPK é uma chave de sessão usada para criptografar PINs.

Key Block (TR-31)

Formato padronizado para encapsular chaves criptográficas com seus metadados (tipo, algoritmo, uso permitido). Evita que uma chave gerada para uma finalidade seja usada para outra.

Operações típicas em pagamentos

1. Verificação de PIN

Quando um cliente digita o PIN em um terminal:

Terminal → PIN Block (cifrado com a chave do terminal) → Adquirente → HSM

O HSM recebe o PIN Block e realiza a verificação comparando com o PIN armazenado de forma segura pelo banco emissor — nunca decriptando o PIN em memória do servidor.

2. Geração de PIN

Em emissão de cartão, o HSM gera um PIN aleatório, cifra para envio ao cliente e armazena apenas o valor de verificação (PVKI/PVV) — nunca o PIN em texto claro.

3. Transliteração de PIN Block

Quando o PIN Block viaja entre sistemas com chaves diferentes (exemplo: de uma zona de adquirência para uma zona de bandeira), o HSM realiza a transliteração: decripta com a chave da zona de origem e recripta com a chave da zona de destino, sem expor o PIN fora do hardware em nenhum momento.

4. Criptografia de dados de cartão (TR-34)

Dados do PAN e trilha magnética são cifrados com chaves de sessão que são protegidas pelo HSM. O padrão TR-34 define como chaves são transferidas de forma segura entre HSMs de diferentes organizações.

HSM na nuvem vs. HSM físico

Provedores cloud oferecem HSMs como serviço:

  • AWS CloudHSM — hardware dedicado na AWS, certificado FIPS 140-2 Nível 3
  • Azure Dedicated HSM — hardware Thales Luna na Azure
  • Google Cloud HSM — via Cloud KMS com suporte a HSM gerenciado

Quando usar HSM na nuvem:

  • Startups e empresas que não querem gerenciar hardware
  • Ambientes já na nuvem que precisam de certificação

Quando usar HSM físico:

  • Ambientes on-premise ou com regulatórios que exigem controle total do hardware
  • Volume de operações muito alto onde a latência de rede importa
  • Ambientes que exigem PCI HSM em nível 1

A diferença prática de latência pode ser de 1–5ms (físico no rack) vs. 5–20ms (cloud HSM) por operação — relevante em ambientes de alta escala transacional.

Integração com sistemas de pagamento

A maioria dos HSMs expõe uma biblioteca proprietária (como a Atalla da Thales ou a Payshield da Thales) com comandos específicos para operações financeiras. Bibliotecas como jPOS têm suporte integrado para os principais HSMs do mercado.

Exemplo conceitual de verificação de PIN:

// Comando típico para verificação de PIN com HSM Thales Payshield
// O comando "EA" verifica o PIN Block contra o PVV armazenado
HSMCommand cmd = new VerifyPINCommand()
    .withPINBlock(encryptedPinBlock)
    .withZPK(sessionKeyUnderLMK)
    .withPAN(maskedPAN)
    .withPVKI(pvkiFromCardData);

HSMResponse response = hsm.execute(cmd);
// response.isApproved() → true/false, sem nunca expor o PIN

Conclusão

Um HSM não é um componente opcional em sistemas de pagamento — é a âncora de confiança do ecossistema financeiro. Sem ele, não é possível obter as certificações necessárias para operar como adquirente, e a segurança do sistema é estruturalmente comprometida.

Para quem está construindo infraestrutura financeira, o entendimento das operações do HSM — especialmente PIN management e key ceremony — é conhecimento fundamental que separa soluções amadoras de sistemas prontos para produção certificada.

Gostou do conteúdo?

Se você está construindo um sistema nesta área, podemos ajudar. Fale com um especialista.

Agendar Consultoria
Como funciona um HSM e por que ele é indispensável em pagamentos — APCosta — APCosta