Невід'ємним елементом сучасних систем обслуговування смарт-карт у режимі off-line, тобто без підключення до деякого центрального сервера аутентификации, є «апаратні модулі безпеки» (HSM - Hardware Security Module) або SAM-модулі (Security Access Modules). Основним їхнім завданням є безпечне зберігання й застосування секретних ключів, що використовуються для проведення транзакцій з карткою користувача. Крім захисту ключової інформації, модуль безпеки, також може забезпечувати транзакційність протоколу обміну з карткою й безпечне накопичування й зберігання даних по виконаних транзакціях (ця функціональність визначається конкретною сферою застосування модуля безпеки). У загальному випадку, застосування SAM-модулів дозволяє захиститися від двох серйозних погроз безпеки: клонування карток і «вкидання» у систему неавторизованих транзакцій.
«SAM Hierarchy» − це ієрархічна система SAM-модулів, яка призначена для підтримки повного життєвого циклу смарт-карт (або токенів): від випуску й обслуговування, до знищення або переініціалізації. Дана система дозволяє здійснювати безпечне формування, розподіл, зберігання й застосування секретних ключів, що використовують в роботі з картками користувачів. Ієрархія SAM-модулів включає три класи пристроїв різного функціонального призначення:
Таке розділення ієрархії на класи пристроїв дозволяє розподілити функціональні «ролі» пристроїв, і, відповідно, захиститися від компрометації ключів, внаслідок нецільового використання SAM-модулів. Погроза нецільового використання виникає в умовах застосування SAM-модулів на «неконтрольованій» території. Застосування Root і Master пристроїв, як правило, може бути обмежено одним захищеним приміщенням департаменту ІТ безпеки, у той час як Service-пристрої повинні застосовуватися у складі територіально розподілених POS-терміналів. Тому роль пристрою визначає можливість експорту секретних ключів:
При цьому експорт/імпорт секретних ключів виконується винятково в зашифрованому виді з контролем цілісності й можливий тільки між представниками однієї «ієрархії». Для виконання процедури експорту-імпорту пристрою проходять обопільну динамічну автентифікацію.
Крім того, кожний пристрій має два профілі, захищених самостійними PIN- і PUK-кодами (паролями):
Залежно від сфери застосування карткової системи, клас Service-пристроїв може включати дві або три категорії пристроїв:
У рамках кожної з категорій може існувати кілька типів пристроїв, наприклад: категорія Field може включати один тип SAM-модуля для зчитування поточного стану «віртуального рахунку» на картці й по одному типу SAM-модулів, відповідно, для його кредитування й дебетування цього рахунку. Конкретний перелік типів SAM-модулів визначається бізнес логікою роботи системи. Весь обсяг ключових майстер даних, використовуваних в одній ієрархії, розбивається на групи за функціональним призначенням й у кожний Service SAM завантажується тільки відповідна йому група ключів. При цьому один Service SAM може одночасно зберігати ключову інформацію відразу для декількох версій емісій карток, випущених з використанням різних ключових майстер-даних.
SAM-модулі всіх типів містять фізичний датчик випадкових чисел, підтримують симетричні (AES, 3DES, ГОСТ 28147-89) і асиметричні (ДСТУ 4145-2002, ECDH) криптоалгоритми й можуть бути адаптовані до специфічних вимог замовника.
У цей час SAM-модулі доступні у вигляді USB-токенів, у двох модифікаціях: «стандарт» і «PIN-pad» - з інтегрованою 5-кнопковою PIN-клавиатурою. Також, на вимогу замовника, SAM-модулі можуть бути виконані у форматі SIM-карти або іншому форм-факторі.
SAM-модулі побудовані на апаратній платформі USB-токенів «mcToken», тому їхні базові характеристики ідентичні, принципова відмінність полягає в переліку криптографічних протоколів, які підтримуються і профілів користувачів, у рамках кожного типу SAM-модуля.