次の方法で共有

Azure Payment HSM とは

Azure Payment HSM は 、Thales payShield 10K 支払いハードウェア セキュリティ モジュール (HSM) を使用して提供される "BareMetal" サービスです。これは、Azure クラウドでのリアルタイムの重要な支払いトランザクションに対して暗号化キー操作を提供する物理デバイスです。 Azure Payment HSM は、サービス プロバイダーと個々の金融機関が、支払いシステムのデジタル トランスフォーメーション戦略を促進し、パブリック クラウドを採用するのに特に役立つように設計されています。 これは、Payment Card Industry (PCI) による最も厳格なセキュリティ、監査コンプライアンス、低待機時間、および高パフォーマンスの要件を満たしています。

支払い HSM はプロビジョニングされ、ユーザーの仮想ネットワークに直接接続され、HSM はユーザーの唯一の管理制御下にあります。 HSM は、デバイスのペアとして簡単にプロビジョニングでき、高可用性のために構成できます。 サービスのユーザーは 、Thales payShield Manager を使用して、Azure ベースのサブスクリプションの一部として HSM へのリモート アクセスをセキュリティで保護します。 エンド ユーザーのビジネスの成長に合わせて迅速にアップグレードできる、広範なパフォーマンスと複数のアプリケーション要件を満たすために、複数のサブスクリプション オプションを利用できます。 Azure Payment HSM サービスは、最高のパフォーマンス レベル 2500 CPS を提供します。

Azure Payment HSM ソリューションでは 、Thales のハードウェアをベンダーとして使用します。 お客様は、Payment HSM への フル コントロールと排他アクセス 権を持っています。

重要

Azure Payment HSM は、高度に特殊化されたサービスです。 Azure Payment HSM の価格ページと Azure Payment HSM概要を確認することを強くお勧めします。

Azure Payment HSM のハイレベルアーキテクチャ

支払い HSM がプロビジョニングされると、HSM デバイスは、Thales payShield Manager と payShield Trusted Management Device (TMD) を介して、完全なリモート HSM 管理機能を使用して、顧客の仮想ネットワークに直接接続されます。

HSM プロビジョニングでは、2 つのホスト ネットワーク インターフェイスと 1 つの管理ネットワーク インターフェイスが作成されます。

プロビジョニングされた Payment HSM とネットワーク インターフェイスを示すアーキテクチャ図。

Azure Payment HSM プロビジョニング サービスを使用すると、お客様は、支払い HSM で 2 つのホスト ネットワーク インターフェイスと 1 つの管理インターフェイスにネイティブ アクセスできます。 このスクリーンショットには、リソース グループ内の Azure Payment HSM リソースが表示されます。

支払い HSM の所有者が 2 つのホスト ネットワーク インターフェイスと 1 つの管理インターフェイスにアクセスできるスクリーンショット。

Azure Payment HSM を使用する理由

金融機関が支払いアプリケーションの一部またはすべてをクラウドに移行するにつれて勢いが増しており、従来のオンプレミス アプリケーションと HSM から、通常は直接管理されていないクラウドベースのインフラストラクチャに移行する必要があります。 多くの場合、物理機器とソフトウェアの永続的な所有権ではなく、サブスクリプション サービスを意味します。 効率性とスケールダウンされた物理的プレゼンスに対する企業の取り組みが、この変化の原動力です。 逆に、クラウドネイティブの組織では、オンプレミスに存在しないクラウド ファーストの導入が、その基本的なビジネス モデルです。 その理由が何であれ、クラウドベースの支払いインフラストラクチャのエンド ユーザーは、IT の複雑さの軽減、セキュリティ コンプライアンスの合理化、ビジネスの成長に合わせてソリューションをシームレスにスケーリングする柔軟性を期待しています。

クラウドには大きな利点がありますが、従来のオンプレミス支払いアプリケーション (支払い HSM を含む) をクラウドに移行する場合の課題に対処する必要があります。

  • 責任と信頼の共有 – 一部の領域で制御が失われる可能性がある場合、どのような問題が許容されますか?
  • 待機時間 – アプリケーションと HSM の間の効率的で高パフォーマンスのリンクを実現するにはどうすればよいでしょうか。
  • リモートですべてを実行する - どのような既存のプロセスと手順を調整する必要がありますか?
  • セキュリティ認定と監査コンプライアンス – 現在の厳格な要件はどのように満たされますか?

Azure Payment HSM は、これらの課題に対処し、次の機能を通じてサービスのユーザーに魅力的な価値提案を提供します。

セキュリティとコンプライアンスの強化

サービスのエンド ユーザーは、Microsoft のセキュリティとコンプライアンスへの投資を使用して、セキュリティ体制を強化できます。 Microsoft は、Azure Payment HSM ソリューションを含む PCI DSS および PCI 3DS 準拠の Azure データ センターを維持しています。 Azure Payment HSM ソリューションは、検証済みの PCI P2PE/PCI PIN コンポーネントまたはソリューションの一部としてデプロイできるため、継続的なセキュリティ監査コンプライアンスを簡素化できます。 セキュリティ インフラストラクチャにデプロイされた Thales payShield 10K HSM は、FIPS 140-2 レベル 3 および PCI HSM v3 に認定されています。

Azure でのカスタマー マネージド HSM

Azure Payment HSM は、サービス顧客が HSM への完全な管理制御と排他的アクセスを持つシングルテナント HSM を提供するサブスクリプション サービスの一部です。 顧客は、複数の金融機関に代わって行動する支払いサービス プロバイダー、または Azure Payment HSM サービスに直接アクセスする金融機関である可能性があります。 HSM がお客様に割り当てられると、マイクロソフトはお客様データにアクセスできなくなります。 同様に、HSM が不要になった場合は、HSM がリリースされるとすぐに顧客データがゼロ化および消去され、完全なプライバシーとセキュリティが維持されます。 お客様は、オンプレミスの HSM で使用できるのと同じパフォーマンスを実現するために、バックアップ、ディザスター リカバリー、回復性の要件を満たすために、十分な HSM サブスクリプションがアクティブであることを確認する責任があります。

クラウドでのデジタル変革とイノベーションを加速する

クラウド オプションの追加を希望する既存の Thales payShield のお客様の場合、Azure Payment HSM ソリューションは、オンプレミスの payShield HSM 経由で慣れている低待機時間を経験しながら、Azure の支払い HSM へのネイティブ アクセスを "リフトアンドシフト" するために提供します。 このソリューションでは、ミッション クリティカルな支払いアプリケーションに対して高パフォーマンスのトランザクションも提供されます。

お客様は、クラウドのテクノロジ イノベーションを使用して、デジタル変革戦略を継続できます。 既存の Thales payShield のお客様は、Azure Payment HSM サービスを使用するために、既存のリモート管理ソリューション (payShield Manager と payShield TMD と、関連するスマート カード リーダーとスマート カードを必要に応じて) を利用できます。 PayShield を初めて使用するお客様は、サブスクリプション サービスの一部として HSM をデプロイする前に、Thales またはそのパートナーのいずれかからハードウェア アクセサリを入手できます。

一般的なユース ケース

待ち時間が短く、必要に応じて HSM 容量をすばやく追加できるなどの利点により、クラウド サービスは、次のような幅広いユース ケースに最適です。

  • 決済処理
  • カードとモバイル決済の承認
  • PIN と EMV 暗号化グラムの検証
  • 3D-Secure 認証

支払い資格情報の発行:

  • カード
  • モバイルでセキュリティで保護された要素
  • ウェアラブル
  • 接続されているデバイス
  • ホスト カード エミュレーション (HCE) アプリケーション

キーと認証データのセキュリティ保護:

  • POS、mPOS、SPOC キー管理
  • リモート キーの読み込み (ATM および POS/mPOS デバイス用)
  • PIN の生成と印刷
  • PIN ルーティング

機密データ保護:

  • ポイントツーポイント暗号化 (P2PE)
  • セキュリティ トークン化 (PCI DSS コンプライアンス用)
  • EMV 支払いトークン化

既存の支払い HSM ユーザーと新しい支払い HSM ユーザーの両方に適しています

このソリューションは、従来のオンプレミス HSM フットプリントを持つ Payment HSM ユーザーと、サポートする従来のインフラストラクチャを持たない新しい支払いエコシステムの参入者と、最初からクラウドネイティブアプローチを選択できるユーザーの両方に明確な利点を提供します。

既存のオンプレミス HSM ユーザーの利点:

  • 既存のアプリケーションを Azure ソリューションに移行するために、支払いアプリケーションまたは HSM ソフトウェアに変更を加える必要はありません
  • HSM 使用率の柔軟性と効率を向上
  • 地理的に分散した複数のチーム間の HSM 共有を簡素化
  • 従来のデータ センター内の物理 HSM フットプリントを削減
  • 新しいプロジェクトのキャッシュ フローを改善

新しい支払い参加者の特典:

  • オンプレミス HSM インフラストラクチャの導入を回避する
  • Azure サブスクリプション モデルを使用して初期投資を削減する
  • 最新の認定ハードウェアとソフトウェアへのアクセスをオンデマンドで提供

用語集

任期 定義
3DS 3D セキュア
ATM 現金自動預け払い機
EMV ユーロマスターカードビザ
FIPS(連邦情報処理規格) 連邦情報処理基準
HCE ホスト カード エミュレーション
HSM (HSM) ハードウェア セキュリティ モジュール
モバイル決済システム (mPOS) モバイル販売ポイント
P2PE ポイントツーポイント暗号化
PCI ペイメントカード業界
暗証番号 (PIN) 個人識別番号
POS 販売時点管理
SPOC 商用市販の成果物 (COTS) ソリューションでのソフトウェアベースの PIN 入力
TMD payShield Trusted Management Device

次のステップ