O que é o HSM de Pagamento do Azure?
O HSM de Pagamento do Azure é um serviço "Bare Metal" fornecido usando HSMs (módulos de segurança de hardware) de pagamento do Thales PayShield 10K para oferecer operações de chave de criptografia a transações de pagamento críticas e em tempo real na nuvem do Azure. O HSM de Pagamento do Azure foi projetado especificamente para ajudar um provedor de serviços e uma instituição financeira individual a acelerar a estratégia de transformação digital do sistema de pagamento e adotar a nuvem pública. Ele atende aos requisitos mais rigorosos de segurança, conformidade de auditoria, baixa latência e alto desempenho pelo PCI (Setor de cartões de pagamento).
Os HSMs de pagamento são provisionados e conectados diretamente à rede virtual dos usuários, e os HSMs ficam sob controle de administração exclusivo dos usuários. Os HSMs podem ser provisionados facilmente como um par de dispositivos e configurados para alta disponibilidade. Os usuários do serviço usam o Thales payShield Manager para acesso remoto seguro aos HSMs dentro da assinatura baseada no Azure. Há várias opções de assinatura disponíveis para atender a uma ampla variedade de desempenho e vários requisitos de aplicativo que podem ser atualizados rapidamente de acordo com o crescimento dos negócios do usuário final. O serviço HSM de Pagamento do Azure oferece o nível de desempenho mais alto: 2500 CPS.
A solução de HSM de Pagamento do Azure usa hardware da Thales como fornecedor. Os clientes têm controle total e acesso exclusivo ao HSM de Pagamento.
Importante
O HSM de Pagamento do Azure é um serviço altamente especializado. É altamente recomendável que você examine a página de preços do HSM de Pagamento do Azure e a Introdução ao HSM de Pagamento do Azure.
Arquitetura de alto nível do HSM de pagamento do Azure
Depois que um HSM de pagamento é provisionado, o dispositivo HSM é conectado diretamente à rede virtual de um cliente, com recursos completos de gerenciamento remoto do HSM, por meio do Gerenciador payShield da Thales e do Dispositivo de Gerenciamento Confiável (TMD) payShield.
Duas interfaces de rede de host e uma interface de rede de gerenciamento são criadas no fornecimento do HSM.
Com o serviço de provisionamento do HSM de Pagamento do Azure, os clientes têm acesso nativo a dois adaptadores de rede do host e uma interface de gerenciamento no HSM de pagamento. Esta captura de tela exibe os recursos do HSM de Pagamento do Azure em um grupo de recursos.
Por que usar o HSM de Pagamento do Azure?
O momento é de rápidas transformações, à medida que as instituições financeiras movem alguns ou todos os seus aplicativos de pagamento para a nuvem, exigindo uma migração dos aplicativos locais herdados e HSMs para uma infraestrutura baseada em nuvem que geralmente não está sob seu controle direto. Para isso, geralmente é necessário contar com um serviço de assinatura em vez de ter a propriedade perpétua de equipamentos físicos e software. Iniciativas empresariais para aumentar a eficiência e a redução da presença física são os propulsores dessa mudança. Por outro lado, em organizações nativas de nuvem, a adoção do uso da nuvem em primeiro lugar sem nenhuma presença local é o modelo básico de negócios. Seja qual for o motivo, os usuários finais de uma infraestrutura de pagamento baseada em nuvem contam com a redução da complexidade de TI, a simplificação da conformidade de segurança e a flexibilidade para dimensionar a solução perfeitamente à medida que os negócios crescem.
A nuvem oferece benefícios significativos, mas os desafios ao migrar um aplicativo de pagamento local herdado (envolvendo HSMs de pagamento) para a nuvem devem ser resolvidos:
- Compartilhamento de responsabilidade e confiança – Que tipo de perda de controle em algumas áreas é aceitável?
- Latência – Como é possível contar com um link eficiente e de alto desempenho entre o aplicativo e o HSM?
- Execução remota de todas as operações – Quais processos e procedimentos existentes podem precisar ser adaptados?
- Certificações de segurança e conformidade de auditoria – Como os requisitos rigorosos atuais serão atendidos?
O HSM de Pagamento do Azure resolve esses desafios e oferece uma proposta de valor atraente aos usuários do serviço por meio dos recursos a seguir.
Segurança e conformidade aprimoradas
Os usuários finais do serviço podem aproveitar os investimentos em segurança e conformidade da Microsoft para aumentar a postura de segurança. A Microsoft tem data centers do Azure compatíveis com o PCI DSS e o PCI 3DS, incluindo os que hospedam as soluções HSM de Pagamento do Azure. A solução HSM de Pagamento do Azure pode ser implantada como parte de um componente ou solução PCI P2PE/PCI PIN validado, ajudando a simplificar a conformidade contínua da auditoria de segurança. OS HSMs da Thales payShield 10K implantados na infraestrutura de segurança são certificados para o FIPS 140-2 Nível 3 e o PCI HSM v3.
HSM gerenciado pelo cliente no Azure
O HSM de Pagamento do Azure faz parte de um serviço de assinatura que oferece HSMs de locatário único para que o cliente do serviço tenha controle administrativo completo e acesso exclusivo ao HSM. O cliente pode ser um provedor de serviços de pagamento que atua em nome de várias instituições financeiras ou uma instituição financeira que quer acessar diretamente o serviço HSM de Pagamento do Azure. Depois que o HSM for alocado a um cliente, a Microsoft não terá acesso aos dados do cliente. Da mesma forma, quando o HSM não for mais necessário, os dados do cliente serão zerados e apagados assim que o HSM for liberado, para garantir que a privacidade e a segurança totais sejam mantidas. O cliente é responsável por garantir que haja assinaturas do HSM suficientes ativas para atender aos requisitos de backup, recuperação de desastre e resiliência e obter o mesmo desempenho que os HSMs locais oferecem.
Acelerar a transformação digital e a inovação na nuvem
Para clientes existentes da Thales payShield que desejam adicionar uma opção de nuvem, a solução HSM de Pagamento do Azure oferece acesso nativo a um HSM de pagamento no Azure para fazer "lift-and-shift" e continuar com a baixa latência de costume dos HSMs do payShield locais. A solução também oferece transações de alto desempenho para aplicativos de pagamento críticos.
Os clientes podem continuar a estratégia de transformação digital aproveitando inovações de tecnologia na nuvem. Os clientes existentes do Thales payShield podem utilizar as soluções de gerenciamento remoto existentes (payShield Manager e payShield TMD junto com leitores de cartão inteligente e cartões inteligentes associados, conforme o necessário) para trabalhar com o serviço HSM de Pagamento do Azure. Os clientes novos no payShield podem usar os acessórios de hardware da Thales ou de um dos respectivos parceiros antes de implantar o HSM dentro do serviço de assinatura.
Casos de uso típicos
Com benefícios, incluindo baixa latência e a capacidade de adicionar rapidamente mais capacidade de HSM conforme o necessário, o serviço de nuvem é uma opção perfeita para uma ampla variedade de casos de uso, incluindo:
- Processamento de Pagamento
- Autorização de pagamento por cartão e celular
- Validação da criptograma de PIN e EMV
- Autenticação 3D-Secure
Emissão de credencial de pagamento:
- Cartões
- Elementos seguros móveis
- Dispositivos vestíveis
- Dispositivos conectados
- Aplicativos de HCE (emulação de cartão de host)
Proteção de chaves e dados de autenticação:
- Gerenciamento de chaves de POS, mPOS e SPOC
- Carregamento remoto de chaves (para dispositivos ATM e POS/mPOS)
- Geração e impressão de PIN
- Roteamento de PIN
Proteção de dados confidenciais:
- P2PE (criptografia ponto a ponto)
- Token de segurança (para conformidade com o PCI DSS)
- Token de pagamento EMV
Adequado para usuários novos e existentes do HSM de Pagamento
A solução oferece benefícios claros tanto para usuários do HSM de Pagamento com um volume de HSM local herdado quanto para novos participantes do ecossistema de pagamento sem uma infraestrutura de suporte herdada e também para quem pode escolher uma abordagem nativa de nuvem desde o início.
Benefícios para usuários do HSM local existente:
- Não requer modificações em aplicativos de pagamento nem no software do HSM para migrar aplicativos existentes para a solução do Azure
- Permite mais flexibilidade e eficiência na utilização do HSM
- Simplifica o compartilhamento de HSM entre várias equipes dispersas geograficamente
- Reduz o espaço físico do HSM nos data centers herdados
- Aprimora o fluxo de caixa de novos projetos
Benefícios para novos participantes de pagamento:
- Evita a introdução da infraestrutura de HSM local
- Reduz o investimento antecipado por meio do modelo de assinatura do Azure
- Oferece acesso aos hardwares e softwares certificados mais recentes sob demanda
Glossário
| Termo | Definição |
|---|---|
| 3DS | 3D Secure |
| ATM | Caixa eletrônico |
| EMV | Euro Mastercard Visa |
| FIPS | Federal Information Processing Standards |
| HCE | Emulação de cartão host |
| HSM | Módulos de segurança de hardware |
| mPOS | Ponto de venda móvel |
| P2PE | Criptografia ponto a ponto |
| PCI | Setor de cartões de pagamento |
| PIN | Número de identificação pessoal |
| POS | Ponto de Venda |
| SPOC | COTS (Entrada de PIN baseada em software em soluções prontas para uso) |
| TMD | Dispositivo de gerenciamento confiável do payShield |
Próximas etapas
- Saiba mais sobre o HSM de Pagamento do Azure
- Saiba como começar a usar o HSM de Pagamento do Azure
- Veja alguns cenários comuns de implantação
- Saiba mais sobre Certificação e conformidade
- Leia as perguntas frequentes