Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Azure Payment HSM es un servicio sin sistema operativo que se entrega a través de payShield 10K de Thales. Microsoft colabora con Thales para implementar dispositivos HSM de payShield 10K de Thales en centros de datos de Azure y modificarlos para permitir la asignación y desasignación automatizadas de esos dispositivos a los clientes. PayShield en Azure tiene las mismas interfaces de comandos de administración y host que payShield local, lo que permite a los clientes usar las mismas tarjetas inteligentes de administrador, lectores y dispositivos TMD de payShield.
Implementación y asignación
El personal de Microsoft implementa HSM en centros de datos de Azure y los asigna a los clientes a través de herramientas automatizadas a petición. Una vez asignado un HSM, Microsoft renuncia al acceso lógico y no mantiene el acceso a la consola. El acceso administrativo de Microsoft está deshabilitado y el cliente asume la plena responsabilidad de la configuración y el mantenimiento del HSM y su software.
Seguridad y cumplimiento
Microsoft controla las tareas relacionadas con los requisitos de seguridad física del HSM, en función de los requisitos de PCI DSS, PCI 3DS, PCI PIN y PCI P2PE. La desasignación de HSM de los clientes borra todo el material de cifrado del dispositivo como parte del mecanismo que vuelve a habilitar el acceso administrativo de Microsoft. Microsoft no tiene ninguna capacidad para administrar ni influir en la seguridad de las claves más allá de hospedar los dispositivos HSM físicos.
Escenarios de administración de claves y clientes
Los clientes de Microsoft que usan HSM de pago usan 2 o más "tarjetas de administración" que proporciona Thales para crear una clave maestra local (LMK) y un dominio de seguridad. Toda la administración de claves se produce en este dominio.
Pueden producirse varios escenarios:
Carga de claves: los clientes pueden recibir componentes clave impresos de terceros o copias de seguridad internas para cargarlos en el HSM. El cumplimiento requiere el uso de un dispositivo de carga de claves (KLD) PCI debido a la falta de acceso físico directo al HSM por parte de los clientes.
Distribución de claves: los clientes pueden generar claves en el HSM, pero después deben distribuir esas claves a terceros en forma de componentes clave. La solución HSM de pago, basada en la nube, no puede admitir la impresión de componentes clave directamente desde el HSM. Sin embargo, los clientes pueden usar un TMD o una solución similar para exportar claves e imprimir desde la ubicación segura del cliente.
Administración de firmware de HSM
Microsoft asigna HSM de pago con una imagen base de forma predeterminada que incluye firmware aprobado para la certificación FIPS 140-2 (nivel 3) y PCI PTS HSMv3 aprobado. Microsoft es responsable de aplicar revisiones de seguridad a HSM sin asignar. Los clientes son responsables de la aplicación de revisiones y el mantenimiento continuos del HSM asignado.
Supervisión de HSM
Microsoft supervisa el estado físico y la conectividad de red de HSM, lo que incluye la alimentación, la temperatura/el ventilador, la conectividad OOB, la manipulación, el estado del enlace HOST1/HOST2/MGMT, las redes ascendentes y el equipo de cada HSM.
Los clientes son responsables de supervisar el estado operativo del HSM asignado, que incluye registros de errores de HSM y registros de auditoría. Los clientes pueden usar todas las soluciones de supervisión de payShield.
Administración de dispositivos HSM que no responden
Si surge una situación en la que un HSM asignado por el cliente no responde, abra una incidencia de soporte técnico; consulte la guía de soporte técnico del servicio Azure Payment HSM. Un representante trabajará con usted y el grupo de ingeniería para resolver el problema. Es posible que se requiera un reinicio, una desasignación o una reasignación.
Reiniciándose
Hay dos métodos de reinicio:
Reinicio temporal: el grupo de ingeniería puede emitir una solicitud fuera de banda (OOB) al dispositivo para que inicie un reinicio y pueda comprobar rápidamente a través de registros de auditoría de servicio que la operación se realizó correctamente. Esta opción se puede ejercer poco después de una solicitud a través del servicio de atención al cliente. Tenga en cuenta que existen algunas circunstancias (problemas de red del dispositivo, bloqueo del dispositivo) que impedirían que el HSM recibiera esta solicitud.
Reinicio completo: el grupo de ingeniería puede solicitar que el personal del centro de datos en el sitio interactúe físicamente con el HSM para reiniciarlo. Esta opción puede tardar más tiempo en función de a cuántos elementos afecte. Se recomienda encarecidamente que el cliente analice la situación con el grupo de soporte técnico e ingeniería para evaluar el impacto y determinar si el cliente debe crear un nuevo HSM para avanzar o esperar al reinicio completo.
Impacto en los datos del cliente: en cualquiera de los métodos, los datos del cliente no deben verse afectados por una operación de reinicio.
Desasignación/reasignación
Hay dos métodos para desasignar o eliminar un HSM:
Eliminación normal: en este proceso, el cliente puede liberar el HSM mediante payShield Manager antes de eliminar el HSM en Azure. Este proceso comprueba o garantiza que se libere el HSM (y, por tanto, se quitan todos los secretos o contenido del cliente) antes de que se devuelva a Microsoft; si se produce un error en esa comprobación, el HSM se bloqueará. Después de que el cliente libere el HSM, debe reintentar la solicitud. Consulte Tutorial: Eliminación de un HSM de pago encargado.
Forzar la eliminación: si el cliente no puede liberar el HSM antes de la eliminación (debido a un dispositivo que no responde, por ejemplo). El grupo de ingeniería, con una solicitud documentada del cliente, puede establecer una marca que omita la comprobación de versión. En este caso, cuando el HSM se elimina, el sistema de administración automatizado realiza una solicitud "Reclaim" de OOB, que emite un comando "Release" en nombre del cliente anterior y borra todo el contenido del cliente (datos, registros, etcétera).
Impacto en los datos del cliente: en cualquiera de los métodos, los datos del cliente se quitan de forma irrevocable mediante el comando "Release Device".
HSM con errores
En el caso de un error de hardware HSM real de un dispositivo asignado por el cliente, el único curso de acción es usar el método de desasignación "Forzar eliminación". Esto permite eliminar el recurso de Azure vinculado a ese HSM. Una vez que se haya completado, se indica al personal del centro de datos en el sitio que siga el runbook aprobado del centro de datos para destruir los dispositivos que contienen datos (HDD) y el HSM real del HSM con errores.
Pasos siguientes
- Más información sobre Azure Payment HSM
- Descubra cómo empezar a trabajar con Azure Payment HSM
- Más información sobre cómo crear un HSM de pago.
- Lea las preguntas más frecuentes