O que é o Azure Payment HSM?
O Azure Payment HSM é um serviço "BareMetal" fornecido usando os módulos de segurança de hardware de pagamento (HSM) Thales payShield 10K — dispositivos físicos que fornecem operações de chave criptográfica para transações de pagamento críticas em tempo real na nuvem do Azure. O Azure Payment HSM foi projetado especificamente para ajudar um provedor de serviços e uma instituição financeira individual a acelerar a estratégia de transformação digital de seus sistemas de pagamento e adotar a nuvem pública. Ele atende aos mais rigorosos requisitos de segurança, conformidade de auditoria, baixa latência e alto desempenho da Indústria de Cartões de Pagamento (PCI).
Os HSMs de pagamento são provisionados e conectados diretamente à rede virtual dos usuários, e os HSMs estão sob o controle exclusivo da administração dos usuários. Os HSMs podem ser facilmente provisionados como um par de dispositivos e configurados para alta disponibilidade. Os usuários do serviço utilizam o Thales payShield Manager para acesso remoto seguro aos HSMs como parte de sua assinatura baseada no Azure. Várias opções de assinatura estão disponíveis para satisfazer uma ampla gama de requisitos de desempenho e vários aplicativos que podem ser atualizados rapidamente de acordo com o crescimento dos negócios do usuário final. O serviço HSM de pagamento do Azure oferece o mais alto nível de desempenho 2500 CPS.
A solução Azure Payment HSM usa hardware da Thales como fornecedor. Os clientes têm controle total e acesso exclusivo ao HSM de Pagamento.
Importante
Azure Payment HSM um serviço altamente especializado. É altamente recomendável que você revise a página de preços do Azure Payment HSM e Introdução ao Azure Payment HSM.
Arquitetura de alto nível do HSM de pagamento do Azure
Depois que um HSM de pagamento é provisionado, o dispositivo HSM é conectado diretamente à rede virtual do cliente, com recursos completos de gerenciamento remoto de HSM, por meio do Thales payShield Manager e do payShield Trusted Management Device (TMD).
Duas interfaces de rede de host e uma interface de rede de gerenciamento são criadas no fornecimento de HSM.
Com o serviço de provisionamento do HSM de Pagamento do Azure, os clientes têm acesso nativo a duas interfaces de rede de host e uma interface de gerenciamento no HSM de pagamento. Esta captura de tela exibe os recursos do HSM de Pagamento do Azure dentro de um grupo de recursos.
Por que usar o Azure Payment HSM?
O Momentum está crescendo à medida que as instituições financeiras movem alguns ou todos os seus aplicativos de pagamento para a nuvem, exigindo uma migração dos aplicativos locais legados e HSMs para uma infraestrutura baseada em nuvem que geralmente não está sob seu controle direto. Muitas vezes, significa um serviço de assinatura em vez de propriedade perpétua de equipamentos físicos e software. Iniciativas corporativas para eficiência e uma presença física reduzida são os impulsionadores dessa mudança. Por outro lado, com organizações nativas da nuvem, a adoção da nuvem em primeiro lugar sem qualquer presença local é seu modelo de negócios fundamental. Seja qual for o motivo, os usuários finais de uma infraestrutura de pagamento baseada em nuvem esperam complexidade de TI reduzida, conformidade de segurança simplificada e flexibilidade para escalar sua solução perfeitamente à medida que seus negócios crescem.
A nuvem oferece benefícios significativos, mas os desafios ao migrar um aplicativo de pagamento local herdado (envolvendo HSMs de pagamento) para a nuvem devem ser resolvidos:
- Responsabilidade e confiança partilhadas – que potencial perda de controlo em algumas áreas é aceitável?
- Latência – como pode ser alcançada uma ligação eficiente e de alto desempenho entre a aplicação e o HSM?
- Realizar tudo remotamente – que processos e procedimentos existentes poderão ter de ser adaptados?
- Certificações de segurança e conformidade de auditoria – como serão cumpridos os rigorosos requisitos atuais?
O Azure Payment HSM aborda esses desafios e oferece uma proposta de valor atraente aos usuários do serviço por meio dos seguintes recursos.
Segurança e conformidade otimizadas
Os usuários finais do serviço podem usar os investimentos em segurança e conformidade da Microsoft para aumentar sua postura de segurança. A Microsoft mantém centros de dados do Azure compatíveis com PCI DSS e PCI 3DS, incluindo aqueles que abrigam soluções Azure Payment HSM. A solução Azure Payment HSM pode ser implantada como parte de um componente ou solução PCI P2PE / PCI PIN validado, ajudando a simplificar a conformidade contínua da auditoria de segurança. Os HSMs Thales payShield 10K implantados na infraestrutura de segurança são certificados para FIPS 140-2 Nível 3 e PCI HSM v3.
HSM gerenciado pelo cliente no Azure
O HSM de Pagamento do Azure faz parte de um serviço de assinatura que oferece HSMs de locatário único para que o cliente do serviço tenha controle administrativo completo e acesso exclusivo ao HSM. O cliente pode ser um provedor de serviços de pagamento atuando em nome de várias instituições financeiras ou uma instituição financeira que deseja acessar diretamente o serviço HSM de Pagamento do Azure. Depois que o HSM é alocado a um cliente, a Microsoft não tem acesso aos dados do cliente. Da mesma forma, quando o HSM não é mais necessário, os dados do cliente são zerados e apagados assim que o HSM é liberado, para garantir total privacidade e segurança. O cliente é responsável por garantir que assinaturas HSM suficientes estejam ativas para atender aos seus requisitos de backup, recuperação de desastres e resiliência para alcançar o mesmo desempenho disponível em seus HSMs locais.
Acelere a transformação digital e a inovação na nuvem
Para clientes Thales payShield existentes que desejam adicionar uma opção de nuvem, a solução Azure Payment HSM oferece acesso nativo a um HSM de pagamento no Azure para "lift and shift" enquanto ainda experimentam a baixa latência a que estão acostumados por meio de seus HSMs payShield locais. A solução também oferece transações de alto desempenho para aplicações de pagamento de missão crítica.
Os clientes podem continuar sua estratégia de transformação digital usando inovação tecnológica na nuvem. Os clientes existentes do Thales payShield podem utilizar suas soluções de gerenciamento remoto existentes (payShield Manager e payShield TMD juntamente com leitores de cartão inteligente associados e cartões inteligentes, conforme apropriado) para trabalhar com o serviço Azure Payment HSM. Os novos clientes da payShield podem adquirir os acessórios de hardware da Thales ou de um dos seus parceiros antes de implementarem o seu HSM como parte do serviço de subscrição.
Casos de uso típicos
Com benefícios, incluindo baixa latência e a capacidade de adicionar rapidamente mais capacidade de HSM, conforme necessário, o serviço de nuvem é perfeito para uma ampla gama de casos de uso, incluindo:
- Processamento de pagamentos
- Cartão e autorização de pagamento móvel
- Validação de criptograma PIN & EMV
- Autenticação 3D-Secure
Emissão de credenciais de pagamento:
- Cartões
- Elementos de segurança móvel
- Wearables
- Dispositivos ligados
- Aplicativos de emulação de placa host (HCE)
Protegendo chaves e dados de autenticação:
- POS, mPOS ou gerenciamento de chaves SPOC
- Carregamento remoto de chaves (para dispositivos ATM ou POS/mPOS)
- Geração de PIN e impressão
- Roteamento de PIN
Proteção de dados sensíveis:
- Encriptação ponto-a-ponto (P2PE)
- Tokenização de segurança (para conformidade com PCI DSS)
- Tokenização de pagamento EMV
Adequado para usuários HSM de pagamento existentes e novos
A solução oferece benefícios claros tanto para os usuários do HSM de pagamento com uma pegada HSM legada e local, quanto para os novos participantes do ecossistema de pagamento sem infraestrutura legada para suportar e que podem escolher uma abordagem nativa da nuvem desde o início.
Benefícios para os usuários de HSM locais existentes:
- Não requer modificações em aplicativos de pagamento ou software HSM para migrar aplicativos existentes para a solução do Azure
- Permite mais flexibilidade e eficiência na utilização do HSM
- Simplifica o compartilhamento de HSM entre várias equipes, geograficamente dispersas
- Reduz a pegada física do HSM em seus data centers legados
- Melhora o fluxo de caixa para novos projetos
Benefícios para novos participantes do pagamento:
- Evita a introdução de infraestrutura HSM local
- Reduz o investimento inicial através do modelo de subscrição do Azure
- Oferece acesso ao mais recente hardware e software certificados sob demanda
Glossário
| Termo | Definição |
|---|---|
| 3DS | 3D Seguro |
| ATM | Caixa Automático |
| EMV | Euro Mastercard Visa |
| FIPS | Normas federais de processamento de informações |
| HCE | Emulação de cartão host |
| HSM | Módulo de Segurança de Hardware |
| mPOS | Ponto de Venda Móvel |
| P2PE | Criptografia ponto a ponto |
| PCI | Indústria de Cartões de Pagamento |
| PIN | Número de Identificação Pessoal |
| Ponto de venda | Ponto de Venda |
| SPOC | Entrada de PIN baseada em software em soluções comerciais prontas para uso (COTS) |
| DTM | Dispositivo de gerenciamento confiável payShield |
Próximos passos
- Saiba mais sobre o Azure Payment HSM
- Saiba como começar a usar o Azure Payment HSM
- Veja alguns cenários comuns de implantação
- Saiba mais sobre certificação e conformidade
- Leia as perguntas frequentes