Поделиться через


Что такое HSM для оплаты Azure?

Azure Payment HSM — это служба BareMetal, предоставляемая с помощью модулей безопасности оборудования оплаты Thales PayShield 10K (HSM) — физические устройства, обеспечивающие операции криптографического ключа для операций с криптографическими ключами в режиме реального времени, критически важных транзакций платежей в облаке Azure. Azure Payment HSM разработан специально для того, чтобы помочь поставщику услуг и отдельному финансовому институту ускорить цифровую трансформацию системы платежей и внедрить общедоступное облако. Он соответствует самым строгим требованиям безопасности, соответствия требованиям аудита, низкой задержки и высокой производительности в отрасли карт оплаты (PCI).

Устройства HSM для оплаты подготавливаются и подключаются непосредственно к виртуальной сети пользователей, а HSM находятся под контролем исключительного администрирования пользователей. Устройства HSM можно легко подготовить как пару устройств и настроить для обеспечения высокой доступности. Пользователи службы используют Thales payShield Manager для безопасного удаленного доступа к HSM в рамках подписки на основе Azure. Несколько вариантов подписки доступны для удовлетворения широкого диапазона производительности и нескольких требований к приложению, которые можно быстро обновить в соответствии с ростом бизнеса конечных пользователей. Служба HSM для оплаты Azure предлагает высокий уровень производительности 2500 CPS.

Решение HSM для оплаты Azure использует оборудование от Thales в качестве поставщика. Клиенты имеют полный контроль и монопольный доступ к HSM оплаты.

Внимание

Azure Payment HSM — высоко специализированная служба. Мы настоятельно рекомендуем просмотреть страницу цен на HSM для оплаты Azure и начать работу с HSM для оплаты Azure.

Высокоуровневая архитектура HSM для оплаты Azure

После подготовки устройства HSM оплаты устройство HSM подключается непосредственно к виртуальной сети клиента с полными возможностями удаленного управления HSM через Thales payShield Manager и устройство управления доверенным управлением payShield (TMD).

При подготовке HSM создаются два сетевых интерфейса узла и один сетевой интерфейс управления.

Схема архитектуры, показывающая подготовленный модуль HSM для оплаты и сетевые интерфейсы.

С помощью службы подготовки HSM для оплаты azure клиенты имеют собственный доступ к двум сетевым интерфейсам узла и одному интерфейсу управления на HSM оплаты. Снимок экрана: ресурсы HSM для оплаты Azure в группе ресурсов.

Снимок экрана, показывающий, что владелец HSM оплаты имеет доступ к двум сетевым интерфейсам узла и одному интерфейсу управления.

Зачем использовать HSM для оплаты Azure?

Импульс строится, так как финансовые учреждения перемещают некоторые или все свои приложения оплаты в облако, требуя миграции из устаревших локальных приложений и HSM в облачную инфраструктуру, которая обычно не находится под прямым контролем. Часто это означает службу подписки, а не постоянное владение физическим оборудованием и программным обеспечением. Корпоративные инициативы по повышению эффективности и масштабируемого физического присутствия являются драйверами для этого изменения. И наоборот, при использовании облачных организаций внедрение облачных технологий без локального присутствия является их базовой бизнес-моделью. Независимо от причины, конечные пользователи облачной платежной инфраструктуры ожидают снижения сложности ИТ,упрощенного соответствия безопасности и гибкости для эффективного масштабирования решения по мере роста бизнеса.

Облако предлагает значительные преимущества, но при переносе устаревшего локального приложения оплаты (с использованием HSM оплаты) в облако необходимо устранить следующие проблемы:

  • Общая ответственность и доверие - какие потенциальные потери контроля в некоторых областях приемлемы?
  • Задержка — как можно добиться эффективной высокопроизводительной связи между приложением и HSM?
  • Выполнение всего удаленного выполнения — какие существующие процессы и процедуры могут потребоваться адаптировать?
  • Сертификаты безопасности и соответствие аудита — как будут выполняться текущие жесткие требования?

Azure Payment HSM решает эти проблемы и обеспечивает убедительные преимущества для пользователей службы с помощью следующих функций.

Повышенный уровень безопасности и соответствие требованиям

Конечные пользователи службы могут использовать инвестиции в безопасность и соответствие требованиям Майкрософт, чтобы повысить уровень безопасности. Корпорация Майкрософт поддерживает центры обработки данных Azure, соответствующие требованиям PCI DSS и PCI 3DS, включая те, которые размещают решения HSM для оплаты Azure. Решение HSM для оплаты Azure можно развернуть как часть проверенного компонента PCI P2PE / PCI PIN-кода, помогающего упростить текущее соответствие аудита безопасности. Thales payShield 10K HSM, развернутых в инфраструктуре безопасности, сертифицированы для FIPS 140-2 уровня 3 и PCI HSM версии 3.

Управляемый клиентом HSM в Azure

HSM для оплаты Azure является частью службы подписки, которая предлагает единый клиент HSM для клиента службы, чтобы иметь полный административный контроль и монопольный доступ к HSM. Клиент может быть поставщиком услуг оплаты от имени нескольких финансовых учреждений или финансового учреждения, который хочет напрямую получить доступ к службе HSM для оплаты Azure. Как только HSM выделяется клиенту, корпорация Майкрософт теряет доступ к данным клиента. Аналогичным образом, когда HSM больше не требуется, данные клиента обнуляются и стираются, как только HSM освобождается, чтобы обеспечить полную конфиденциальность и безопасность. Клиент отвечает за обеспечение достаточной активности подписок HSM для удовлетворения своих требований к резервному копированию, аварийному восстановлению и устойчивости для обеспечения той же производительности, доступной на локальных виртуальных машинах HSM.

Ускорение цифровой трансформации и инноваций в облаке

Для существующих клиентов Thales payShield, желающих добавить облачный вариант, решение HSM azure payment HSM предлагает собственный доступ к платной HSM в Azure для "лифта и смены", но по-прежнему испытывает низкую задержку, к которой они привыкли через локальные устройства HSM. Решение также предлагает высокопроизводительные транзакции для критически важных приложений для оплаты.

Клиенты могут продолжать свою стратегию цифрового преобразования с помощью технологий инноваций в облаке. Существующие клиенты Thales payShield могут использовать существующие решения для удаленного управления (payShield Manager и payShield TMD вместе с связанными средствами чтения смарт-карт и смарт-картами) для работы со службой HSM для оплаты Azure. Клиенты, новые для payShield, могут получить аппаратные аксессуары от Thales или одного из своих партнеров перед развертыванием HSM в рамках службы подписки.

Стандартные сценарии использования

Благодаря преимуществам, включая низкую задержку и возможность быстро добавлять больше емкости HSM по мере необходимости, облачная служба идеально подходит для широкого спектра вариантов использования, в том числе:

  • Обработка платежей
  • Авторизация на карту и мобильные платежи
  • Проверка криптограммы PIN и EMV
  • 3D-Безопасная проверка подлинности

Выдающие учетные данные оплаты:

  • Карточки
  • Элементы безопасности мобильных устройств
  • Носимые
  • Подключенные устройства
  • Приложения эмуляции карты узла (HCE)

Защита ключей и данных проверки подлинности:

  • УПРАВЛЕНИЕ ключами POS, mPOS и SPOC
  • Удаленная загрузка ключей (для устройств ATM и POS/mPOS)
  • Создание ПИН-кода и печать
  • Маршрутизация ПИН-кода

Защита конфиденциальных данных:

  • Шифрование типа "точка — точка" (P2PE)
  • Токенизация безопасности (для соответствия требованиям PCI DSS)
  • Токенизация платежей EMV

Подходит как для существующих, так и для новых пользователей HSM оплаты

Это решение обеспечивает четкие преимущества для пользователей HSM с устаревшими, локальными локальными устройствами HSM и новыми элементами экосистемы платежей без устаревшей инфраструктуры для поддержки и которые могут выбрать облачный подход с самого начала.

Преимущества для существующих локальных пользователей HSM:

  • Не требует изменений в приложениях для оплаты или программного обеспечения HSM для переноса существующих приложений в решение Azure.
  • Обеспечивает большую гибкость и эффективность использования HSM
  • Упрощение совместного использования HSM между несколькими командами, географически распределенное
  • Уменьшает объем физического пространства HSM в устаревших центрах обработки данных
  • Улучшает денежный поток для новых проектов

Преимущества для новых участников оплаты:

  • Избегает внедрения локальной инфраструктуры HSM
  • Снижение предварительных инвестиций с помощью модели подписки Azure
  • Предоставляет доступ к последнему сертифицированного оборудования и программного обеспечения по требованию

Глоссарий

Термин Определение
3DS 3D Secure
ATM Автоматизированный компьютер с помощником
EMV ЕвроКарта визы
FIPS Федеральные стандарты обработки информации
HCE Эмуляция карточки узла
HSM Аппаратные модули безопасности.
mPOS Мобильный пункт продажи
P2PE Шифрование точек к точке
PCI Индустрия платежных карточек
ПИН-код Личный идентификационный номер
POS Точка продажи
SPOC Запись ПИН-кода на основе программного обеспечения для коммерческих решений на полке (COTS)
TMD Устройство управления доверенными клиентами payShield

Следующие шаги