Le HSM doit répondre au standard Calypso. Aujourd'hui il n'existe qu'une seule offre (les HSM Calypso de Spirtech), donc il n'y a pas de contrainte technique. Le SAM n'est nécessaire que pour la mise en œuvre du niveau de sécurité #2 (session sécurisé). En fonction du nombre de transactions simultanées envisagées, il n'est pas forcément nécessaire de s'équiper d'un HSM PCIs (actuellement utilisé uniquement pour des applications billettiques), un HSM SAM‑S20 peut être suffisant (jusqu'à 20 sessions sécurisées simultanées)