Co to jest moduł HSM usługi Azure Payment?
Moduł HSM płatności platformy Azure to usługa "BareMetal" dostarczana przy użyciu sprzętowych modułów zabezpieczeń (HSM) firmy Thales payShield 10K — urządzeń fizycznych, które zapewniają operacje kluczy kryptograficznych na potrzeby transakcji płatności w czasie rzeczywistym, krytycznych transakcji płatniczych w chmurze platformy Azure. Moduł HSM płatności platformy Azure został zaprojektowany specjalnie, aby pomóc dostawcy usług i indywidualnej instytucji finansowej przyspieszyć strategię transformacji cyfrowej systemu płatności i wdrożyć chmurę publiczną. Spełnia ona najbardziej rygorystyczne wymagania dotyczące zabezpieczeń, zgodności inspekcji, małych opóźnień i wymagań dotyczących wysokiej wydajności w branży kart płatniczych (PCI).
Moduły HSM płatności są aprowizowane i połączone bezpośrednio z siecią wirtualną użytkowników, a moduły HSM są objęte wyłączną kontrolą administracyjną użytkowników. Moduły HSM można łatwo aprowizować jako parę urządzeń i skonfigurować pod kątem wysokiej dostępności. Użytkownicy usługi korzystają z usługi Thales payShield Manager w celu zapewnienia bezpiecznego dostępu zdalnego do modułów HSM w ramach subskrypcji opartej na platformie Azure. Dostępnych jest wiele opcji subskrypcji, aby spełnić szeroką gamę wymagań dotyczących wydajności i wielu aplikacji, które można szybko uaktualnić zgodnie z rozwojem biznesowym użytkowników końcowych. Usługa HSM płatności platformy Azure oferuje najwyższy poziom wydajności 2500 CPS.
Rozwiązanie Azure Payment HSM używa sprzętu od firmy Thales jako dostawcy. Klienci mają pełną kontrolę i wyłączny dostęp do modułu HSM płatności.
Ważne
Moduł HSM płatności platformy Azure to wysoce wyspecjalizowana usługa. Zdecydowanie zalecamy przejrzenie strony cennika modułu HSM usługi Azure Payment i wprowadzenie do modułu HSM płatności platformy Azure.
Architektura wysokiego poziomu modułu HSM płatności platformy Azure
Po aprowizacji modułu HSM płatności urządzenie HSM jest połączone bezpośrednio z siecią wirtualną klienta z pełnymi możliwościami zarządzania zdalnymi modułami HSM za pośrednictwem menedżera payShield firmy Thales i urządzenia payShield Trusted Management Device (TMD).
Dwa interfejsy sieciowe hosta i jeden interfejs sieciowy zarządzania są tworzone w ramach aprowizacji modułu HSM.
Dzięki usłudze aprowizacji modułu HSM usługi Azure Payment klienci mają natywny dostęp do dwóch interfejsów sieciowych hosta i jednego interfejsu zarządzania w ramach modułu HSM płatności. Ten zrzut ekranu przedstawia zasoby modułu HSM usługi Azure Payment w grupie zasobów.
Dlaczego warto używać modułu HSM usługi Azure Payment?
Momentum buduje się, gdy instytucje finansowe przenoszą niektóre lub wszystkie swoje aplikacje płatnicze do chmury, wymagając migracji ze starszych aplikacji lokalnych i modułów HSM do infrastruktury opartej na chmurze, która nie jest ogólnie pod ich bezpośrednią kontrolą. Często oznacza to usługę subskrypcji, a nie bezterminową własność sprzętu fizycznego i oprogramowania. Inicjatywy firmowe dotyczące wydajności i skalowanej w dół obecności fizycznej są czynnikiem dla tej zmiany. Z drugiej strony, w przypadku organizacji natywnych dla chmury wdrożenie chmury bez żadnej obecności lokalnej jest ich podstawowym modelem biznesowym. Bez względu na przyczynę użytkownicy końcowi infrastruktury płatniczej opartej na chmurze oczekują zmniejszenia złożoności IT, usprawnionej zgodności z zabezpieczeniami i elastyczności, aby bezproblemowo skalować swoje rozwiązanie w miarę rozwoju firmy.
Chmura oferuje znaczące korzyści, ale należy rozwiązać problemy związane z migracją starszej lokalnej aplikacji płatniczej (obejmującej moduły HSM płatności) do chmury:
- Wspólna odpowiedzialność i zaufanie – jaka jest potencjalna utrata kontroli w niektórych obszarach jest akceptowalna?
- Opóźnienie — jak można osiągnąć wydajny, wydajny związek między aplikacją a modułem HSM?
- Wykonywanie wszystkiego zdalnie — jakie istniejące procesy i procedury mogą być dostosowane?
- Certyfikaty zabezpieczeń i zgodność inspekcji — w jaki sposób zostaną spełnione bieżące rygorystyczne wymagania?
Moduł HSM płatności platformy Azure rozwiązuje te wyzwania i oferuje atrakcyjną ofertę dla użytkowników usługi dzięki następującym funkcjom.
Zwiększone zabezpieczenia i zgodność
Użytkownicy końcowi usługi mogą korzystać z inwestycji w zabezpieczenia i zgodność firmy Microsoft w celu zwiększenia poziomu zabezpieczeń. Firma Microsoft obsługuje centra danych platformy Azure zgodne ze standardami PCI DSS i PCI 3DS, w tym te, które obejmują rozwiązania HSM usługi Azure Payment. Rozwiązanie AZURE Payment HSM można wdrożyć w ramach zweryfikowanego składnika PCI P2PE / PCI PIN lub rozwiązania, co pomaga uprościć ciągłą zgodność inspekcji zabezpieczeń. Moduły HSM firmy Thales payShield 10K wdrożone w infrastrukturze zabezpieczeń mają certyfikat FIPS 140-2 Level 3 i PCI HSM v3.
Zarządzany przez klienta moduł HSM na platformie Azure
Moduł HSM płatności platformy Azure jest częścią usługi subskrypcji, która oferuje moduły HSM z jedną dzierżawą dla klienta obsługi, które mają pełną kontrolę administracyjną i wyłączny dostęp do modułu HSM. Klientem może być dostawca usług płatniczych działający w imieniu wielu instytucji finansowych lub instytucji finansowej, który chce bezpośrednio uzyskać dostęp do usługi Azure Payment HSM. Po przydzieleniu modułu HSM do klienta firma Microsoft nie ma dostępu do danych klientów. Podobnie, gdy moduł HSM nie jest już wymagany, dane klienta są wyzerowane i usuwane zaraz po wydaniu modułu HSM, aby zapewnić zachowanie pełnej prywatności i bezpieczeństwa. Klient jest odpowiedzialny za zapewnienie, że wystarczające subskrypcje HSM są aktywne, aby spełnić wymagania dotyczące tworzenia kopii zapasowych, odzyskiwania po awarii i odporności w celu osiągnięcia tej samej wydajności dostępnej na lokalnych modułach HSM.
Przyspieszanie transformacji cyfrowej i innowacji w chmurze
W przypadku istniejących klientów firmy Thales payShield, którzy chcą dodać opcję chmury, rozwiązanie Azure Payment HSM oferuje natywny dostęp do modułu HSM płatności na platformie Azure na potrzeby "lift and shift", mimo że nadal występują małe opóźnienia, do których są przyzwyczajeni za pośrednictwem lokalnych modułów HSM payShield. Rozwiązanie oferuje również transakcje o wysokiej wydajności dla aplikacji do płatności o znaczeniu krytycznym.
Klienci mogą kontynuować swoją strategię transformacji cyfrowej przy użyciu innowacji technologicznych w chmurze. Istniejący klienci firmy Thales payShield mogą korzystać z istniejących rozwiązań do zarządzania zdalnego (payShield Manager i payShield TMD wraz ze skojarzonymi czytnikami kart inteligentnych i kartami inteligentnymi zgodnie z potrzebami) do pracy z usługą Azure Payment HSM. Klienci nowi w usłudze PayShield mogą korzystać z akcesoriów sprzętowych firmy Thales lub jednego z jej partnerów przed wdrożeniem modułu HSM w ramach usługi subskrypcji.
Typowe przypadki użycia
Dzięki korzyściom, w tym małym opóźnieniu i możliwości szybkiego dodawania większej pojemności modułu HSM zgodnie z potrzebami, usługa w chmurze jest idealnym rozwiązaniem dla szerokiego zakresu przypadków użycia, w tym:
- Przetwarzanie płatności
- Autoryzacja płatności kart i urządzeń przenośnych
- Walidacja kryptograficznego kodu PIN i EMV
- Uwierzytelnianie 3D-Secure
Wystawianie poświadczeń płatności:
- Karty
- Bezpieczne elementy dla urządzeń przenośnych
- Wearables
- Połączone urządzenia
- Aplikacje emulacji kart hosta (HCE)
Zabezpieczanie kluczy i danych uwierzytelniania:
- Zarządzanie kluczami POS, mPOS i SPOC
- Zdalne ładowanie kluczy (dla urządzeń ATM i POS/mPOS)
- Generowanie numerów PIN i drukowanie
- Routing numeru PIN
Ochrona poufnych danych:
- Szyfrowanie punkt-punkt (P2PE)
- Tokenizacja zabezpieczeń (w przypadku zgodności ze standardem PCI DSS)
- Tokenizacja płatności EMV
Odpowiednie zarówno dla istniejących, jak i nowych użytkowników modułu HSM płatności
Rozwiązanie zapewnia jasne korzyści zarówno dla użytkowników modułu HSM płatności ze starszym, lokalnym modułem HSM, jak i dla tych nowych uczestników ekosystemu płatności bez starszej infrastruktury do obsługi i którzy mogą wybrać podejście natywne dla chmury od samego początku.
Korzyści dla istniejących lokalnych użytkowników modułu HSM:
- Nie wymaga żadnych modyfikacji aplikacji płatniczych ani oprogramowania HSM w celu migracji istniejących aplikacji do rozwiązania platformy Azure
- Zapewnia większą elastyczność i wydajność w wykorzystaniu modułu HSM
- Upraszcza udostępnianie modułu HSM między wieloma zespołami, geograficznie rozproszone
- Zmniejsza zużycie fizycznego modułu HSM w starszych centrach danych
- Poprawia przepływ środków pieniężnych dla nowych projektów
Korzyści dla nowych uczestników płatności:
- Unika wprowadzania lokalnej infrastruktury modułu HSM
- Obniża inwestycje z góry za pośrednictwem modelu subskrypcji platformy Azure
- Oferuje dostęp do najnowszego certyfikowanego sprzętu i oprogramowania na żądanie
Słownik
| Termin | Definicja |
|---|---|
| 3DS | Zabezpieczanie 3D |
| ATM | Automatyczna maszyna teller |
| EMV | Wiza Euro Visa |
| FIPS | Federalne standardy przetwarzania informacji |
| HCE | Emulacja kart hosta |
| Sprzętowy moduł zabezpieczeń | Sprzętowy moduł zabezpieczeń |
| mPOS | Punkt sprzedaży mobilnej |
| P2PE | Szyfrowanie punkt-punkt |
| PCI | Payment Card Industry |
| PIN | Osobisty numer identyfikacyjny |
| Punkt sprzedaży | Punkt sprzedaży |
| SPOC | Wprowadzanie kodu PIN opartego na oprogramowaniu w rozwiązaniach komercyjnych poza półką (COTS) |
| TMD | PayShield Trusted Management Device |
Następne kroki
- Dowiedz się więcej o module HSM płatności platformy Azure
- Dowiedz się, jak rozpocząć pracę z modułem HSM płatności platformy Azure
- Zobacz niektóre typowe scenariusze wdrażania
- Dowiedz się więcej o certyfikacji i zgodności
- Przeczytaj często zadawane pytania