¿Qué es Azure Payment HSM?
Azure Payment HSM es un servicio "BareMetal" que se proporciona mediante módulos de seguridad de hardware de pago (HSM) de Thales payShield 10K, dispositivos físicos que proporcionan operaciones de clave criptográfica para transacciones de pago críticas en tiempo real en la nube de Azure. Azure Payment HSM está diseñado específicamente para ayudar a un proveedor de servicios y a una entidad financiera individual a acelerar la estrategia de transformación digital de su sistema de pago y adoptar la nube pública. Cumple con los requisitos más estrictos de seguridad, cumplimiento de auditorías, baja latencia y alto rendimiento del sector de las tarjetas de pago (PCI).
Los módulos Payment HSM se aprovisionan y se conectan directamente a la red virtual de los usuarios, y los HSM están bajo el control de la administración exclusiva de los usuarios. Se pueden aprovisionar fácilmente como un par de dispositivos y configurar para conseguir alta disponibilidad. Los usuarios del servicio usan Thales payShield Manager para el acceso remoto seguro a los HSM como parte de su suscripción basada en Azure. Hay varias opciones de suscripción disponibles para satisfacer una amplia gama de requisitos de rendimiento y varias aplicaciones que se pueden actualizar rápidamente en línea con el crecimiento empresarial del usuario final. El servicio Azure Payment HSM ofrece el nivel de rendimiento más alto de 2500 CPS.
La solución Azure Payment HSM usa hardware de Thales como proveedor. Los clientes tienen control total y acceso exclusivo a la instancia de Payment HSM.
Importante
Azure Payment HSM es un servicio extremadamente especializado. Se recomienda encarecidamente revisar la página de precios de Azure Payment HSM y el artículo Introducción a Azure Payment HSM.
Arquitectura de alto nivel de HSM de pago de Azure
Después de aprovisionar un HSM de pago, el dispositivo HSM se conecta directamente a la red virtual de un cliente, con funcionalidades completas de administración remota de HSM, mediante Thales payShield Manager y el dispositivo de administración de confianza (TMD) de payShield.
Se crean dos interfaces de red de host y una interfaz de red de administración en el aprovisionamiento de HSM.
Con el servicio de aprovisionamiento de Azure Payment HSM, los clientes tienen acceso nativo a dos interfaces de red de host y una interfaz de administración en el HSM de pago. En esta captura de pantalla se muestran los recursos de Azure Payment HSM dentro de un grupo de recursos.
¿Por qué usar Azure Payment HSM?
Las instituciones financieras están trasladando algunas o todas sus aplicaciones de pago a la nube, lo que requiere una migración de las aplicaciones locales y los HSM heredados a una infraestructura basada en la nube que, por lo general, no está bajo su control directo. A menudo supone un servicio de suscripción en lugar de la propiedad perpetua de equipos físicos y software. Las iniciativas empresariales de eficiencia y la reducción de la presencia física son los motores de este cambio. Por el contrario, con las organizaciones nativas de nube, la adopción de la nube primero sin ninguna presencia local es su modelo de negocio fundamental. Sea cual sea el motivo, los usuarios finales de una infraestructura de pago basada en la nube esperan una menor complejidad informática, un cumplimiento de la seguridad racionalizado y la flexibilidad para ampliar su solución sin problemas a medida que crece su negocio.
La nube ofrece importantes ventajas, pero hay que solucionar los retos que plantea la migración a la nube de una aplicación de pago local heredada (que incluya HSM de pago):
- Responsabilidad compartida y confianza: ¿qué posible pérdida de control en algunas áreas es aceptable?
- Latencia: ¿cómo se puede lograr un vínculo eficaz y de alto rendimiento entre la aplicación y HSM?
- Realizar todo de forma remota: ¿qué procesos y procedimientos existentes deben adaptarse?
- Certificaciones de seguridad y cumplimiento de auditoría: ¿cómo se cumplirán los estrictos requisitos actuales?
Azure Payment HSM aborda estos desafíos y ofrece una propuesta de valor atractiva a los usuarios del servicio a través de las siguientes características.
Seguridad y cumplimiento mejorados
Los usuarios finales del servicio pueden aprovechar las inversiones en seguridad y cumplimiento de Microsoft para mejorar su posición de seguridad. Microsoft mantiene centros de datos de Azure que cumplen con PCI DSS y PCI 3DS, incluidos los que albergan las soluciones Azure Payment HSM. La solución Azure Payment HSM puede desplegarse como parte de un componente o solución PCI P2PE / PCI PIN validado, lo que ayuda a simplificar el cumplimiento de la auditoría de seguridad en curso. Los HSM de payShield 10K de Thales implementados en la infraestructura de seguridad están certificados para FIPS 140-2 nivel 3 y PCI HSM v3.
HSM administrado por el cliente en Azure
Azure Payment HSM forma parte de un servicio de suscripción que ofrece HSM de inquilino único para que el cliente del servicio tenga un control administrativo completo y acceso exclusivo al HSM. El cliente podría ser un proveedor de servicios de pago que actúe en nombre de varias instituciones financieras o una entidad financiera que desee acceder directamente al servicio Azure Payment HSM. Una vez que el HSM se asigna a un cliente, Microsoft no tiene acceso a los datos del cliente. Asimismo, cuando el HSM deja de ser necesario, los datos del cliente se posicionan a cero y se borran en cuanto se libera el HSM para garantizar el mantenimiento de la privacidad y la seguridad. El cliente es responsable de garantizar que haya suficientes suscripciones de HSM activas para satisfacer sus requisitos de copia de seguridad, recuperación ante desastres y resistencia para lograr el mismo rendimiento disponible en sus HSM locales.
Aceleración de la transformación digital y la innovación en la nube
Para los clientes existentes de Thales payShield que deseen agregar una opción en la nube, la solución Azure Payment HSM ofrece acceso nativo a un HSM de pago en Azure para la migración mediante "lift-and-shift" mientras siguen experimentando la baja latencia a la que están acostumbrados a través de sus HSM payShield locales. La solución también ofrece transacciones de alto rendimiento para aplicaciones de pago críticas.
Los clientes pueden continuar con su estrategia de transformación digital aprovechando la innovación tecnológica en la nube. Los actuales clientes de Thales payShield pueden utilizar sus actuales soluciones de administración remota (payShield Manager y payShield TMD junto con los lectores de tarjetas inteligentes asociados y las tarjetas inteligentes según corresponda) para trabajar con el servicio Azure Payment HSM. Los clientes nuevos en payShield pueden obtener los accesorios de hardware de Thales o de uno de sus asociados antes de implementar su HSM como parte del servicio de suscripción.
Casos de uso típicos
Con ventajas como la baja latencia y la posibilidad de agregar rápidamente más capacidad de HSM según sea necesario, el servicio en la nube es perfecto para una amplia gama de casos de uso, entre ellos:
- Procesamiento de pagos
- Autorización de pago móvil y con tarjeta
- Validación de criptogramas con EMV y PIN
- Autenticación 3D-Secure
Emisión de credenciales de pago:
- Cards
- Elementos seguros móviles
- Dispositivos ponibles
- Dispositivos conectados
- Aplicaciones de emulación de tarjetas de host (HCE)
Protección de claves y datos de autenticación:
- Administración de claves POS, mPOS y SPOC
- Carga remota de claves (para dispositivos ATM y POS/mPOS)
- Impresión y generación de números PIN
- Enrutamiento de números PIN
Protección de datos confidenciales:
- Cifrado de punto a punto (P2PE)
- Tokenización de seguridad (para el cumplimiento de PCI DSS)
- Tokenización de pago de EMV
Adecuado tanto para los usuarios de HSM de pago existentes como para los nuevos
La solución ofrece claras ventajas tanto para los usuarios de Payment HSM con una superficie de HSM local heredada como para los nuevos participantes en el ecosistema de pago que no tienen una infraestructura heredada que respaldar y que pueden elegir un enfoque nativo en la nube desde el principio.
Ventajas para los usuarios de HSM locales actuales:
- No requiere ninguna modificación en las aplicaciones de pago o el software HSM para migrar las aplicaciones existentes a la solución de Azure.
- Permite más flexibilidad y eficacia en el uso de HSM.
- Simplifica el uso compartido de HSM entre varios equipos, dispersos geográficamente.
- Reduce la superficie de HSM físico en sus centros de datos heredados.
- Mejora el flujo de efectivo para nuevos proyectos.
Ventajas para los participantes en el nuevo enfoque de pago:
- Evita la introducción de una infraestructura de HSM local.
- Reduce la inversión inicial a través del modelo de suscripción de Azure.
- Ofrece acceso a hardware y software certificados más recientes a petición.
Glosario
| Término | Definición |
|---|---|
| 3DS | 3D Secure |
| Cajero automático | Cajero automático |
| EMV | Euro Mastercard Visa |
| FIPS | Estándar federal de procesamiento de información |
| HCE | Emulación de tarjeta de host |
| HSM | Módulo de seguridad de hardware |
| mPOS | Punto de venta móvil |
| P2PE | Cifrado de punto a punto |
| PCI | Sector de las tarjetas de pago |
| PIN | Número de identificación personal |
| POS | Terminales de |
| SPOC | Entrada de PIN basado en software en soluciones comerciales fuera del mercado (COTS) |
| TMD | Dispositivo payShield Trusted Management |
Pasos siguientes
- Más información sobre Azure Payment HSM
- Descubra cómo empezar a trabajar con Azure Payment HSM
- Consulte algunos escenarios de implementacióncomunes
- Más información sobre la certificación y el cumplimiento
- Lea las preguntas más frecuentes