什麼是 Azure 付款 HSM?
Azure 付款 HSM 是使用 Thales payShield 10K 付款硬體安全性模組 (HSM) (實體裝置) 提供的「裸機」服務,可為 Azure 雲端的即時重大付款交易提供密碼編譯金鑰作業。 Azure 付款 HSM 專為服務提供者和個別金融機構所設計,協助加速其付款系統的數位轉型策略,以及採用公用雲端。 它符合支付卡產業 (PCI) 最嚴格的安全性、稽核合規性、低延遲和高效能需求。
付款 HSM 會佈建並直接連線到使用者的虛擬網路,而 HSM 則受到使用者的唯一管理控制。 HSM 可輕易佈建為一對裝置,並設定高可用性。 服務的使用者可利用 Thales payShield Manager,在其 Azure 型訂用帳戶中安全地遠端存取 HSM。 多個訂閱選項可用來滿足廣泛的效能和多應用程式需求,配合終端使用者的業務成長快速升級。 Azure 付款 HSM 服務提供最高效能等級 2500 CPS。
Azure 付款 HSM 解決方案使用 Thales 作為廠商所提供的硬體 。 客戶擁有付款 HSM 的完整控制權和獨佔存取權。
重要
Azure 付款 HSM 是一種高度特殊化服務。 強烈建議您檢閱 Azure 付款 HSM 定價頁面和開始使用 Azure 付款 HSM。
Azure 付款 HSM 高階架構
佈建付款 HSM 之後,HSM 裝置會透過 Thales payShield Manager 和 payShield 受信任管理裝置 (TMD) 直接連接客戶的虛擬網路,並具備完整的遠端 HSM 管理功能。
HSM 佈建會建立兩個主機網路介面和一個管理網路介面。
透過 Azure 付款 HSM 佈建服務,客戶可以原生存取付款 HSM 上的兩個主機網路介面和一個管理介面。 此螢幕擷取畫面顯示資源群組內的 Azure 付款 HSM 資源。
為什麼要使用 Azure 付款 HSM?
當金融機構將部分或所有付款應用程式移至雲端時,風潮隨之形成,必須從舊版內部部署應用程式和 HSM 移轉至通常不受直接控制的雲端式基礎結構。 這通常表示使用訂閱服務,而不是永久擁有實體設備和軟體。 高效率的公司方案和縮減實體據點是這一轉變的推動因素。 相反地,透過雲端原生組織,採用雲端優先且沒有任何內部部署據點是其基本商務模式。 無論原因為何,雲端式付款基礎結構的終端使用者都期待能降低 IT 複雜性、簡化安全性合規性,以及配合業務成長順暢靈活地調整解決方案。
雲端可以提供顯著優勢,但在將舊版內部部署付款應用程式 (使用付款 HSM) 移轉至雲端時,必須解決以下問題:
- 共同責任和信任 – 是否可以接受在某些領域可能失去控制權?
- 延遲 – 如何在應用程式與 HSM 之間達成高效率、高效能的連結?
- 從遠端執行所有動作 – 可能需要調整哪些現有的處理和程序?
- 安全性認證和稽核合規性 – 如何滿足目前的嚴格要求?
Azure 付款 HSM 可解決這些問題,並透過下列功能為服務使用者提供引人注目的價值主張。
增強的安全性與合規性
服務的終端使用者可以使用 Microsoft 安全性與合規性投資來增加其安全性態勢。 Microsoft 會維護符合 PCI DSS 和 PCI 3DS 規範的 Azure 資料中心,包括管理 Azure 付款 HSM 解決方案的資料中心。 Azure 付款 HSM 解決方案可以當成已驗證的 PCI P2PE/PCI PIN 元件或解決方案的一部分加以部署,以協助簡化進行中的安全性稽核合規性。 以安全性基礎結構部署的 Thales payShield 10K HSM 須通過 FIPS 140-2 層級 3 和 PCI HSM v3 的認證。
Azure 中的客戶自控 HSM
Azure 付款 HSM 是訂閱服務的一部分,可以提供單一租用戶 HSM,讓服務客戶擁有 HSM 的完整管理控制權和獨佔存取權。 客戶可以是代表多個金融機構或想要直接存取 Azure 付款 HSM 服務的某家金融機構的付款服務提供者。 將 HSM 配置給客戶之後,Microsoft 便無法存取客戶資料。 同樣地,當不再需要 HSM 時,客戶資料會在 HSM 發行後立即歸零並清除,以確保維護完整的隱私權和安全性。 該客戶負責確保有足夠的 HSM 訂用帳戶處於作用中狀態,以符合其備份、災害復原和復原需求,以達到其內部部署 HSM 上可以提供的相同效能。
加速雲端的數位轉型和創新
對於想要新增雲端選項的現有 Thales payShield 客戶,Azure 付款 HSM 解決方案會針對 Azure 中的付款 HSM 提供原生存取權以進行「隨即轉移」,不過仍為因為客戶習慣透過其內部部署 payShield HSM 而發生低延遲的情況。 此解決方案也可讓任務關鍵性付款應用程式進行高效能交易。
客戶可以使用雲端中的技術創新,繼續其數位轉型策略。 現有的 Thales payShield 客戶可以利用其現有的遠端管理解決方案 (payShield Manager 和 payShield TMD 與相關聯的智慧卡讀卡器和智慧卡,視需要) 來使用 Azure 付款 HSM 服務。 PayShield 新手客戶可以在先將硬體配件的來源設定為 Thales 或其合作夥伴之一,再將 HSM 部署為訂閱服務的一部分。
一般使用案例
雲端服務的優點包括低延遲,以及可以視需要快速新增更多 HSM 容量,因此非常適合用於各種使用案例,包括:
- 付款處理
- 卡片和行動支付授權
- PIN 和 EMV 密碼驗證
- 3D 保護驗證
付款認證發行:
- 卡片
- 行動安全元素
- 可穿戴裝置
- 連接的裝置
- 主機卡模擬 (HCE) 應用程式
保護金鑰和驗證資料:
- POS、mPOS 和 SPOC 金鑰管理
- 遠端金鑰載入 (適用於 ATM 和 POS/mPOS 裝置)
- PIN 產生和列印
- PIN 路由
敏感性資料保護:
- 點對點加密 (P2PE)
- 安全性 Token 化 (適用於 PCI DSS 合規性)
- EMV 付款 Token 化
適用於現有和新的付款 HSM 使用者
此解決方案可以為下列兩種使用者帶來明確的優點:使用舊版內部部署 HSM 使用量的付款 HSM 使用者,以及使用不支援舊版基礎結構的新付款生態系統入門者 (且這些使用者可能從一開始就選擇雲端原生方法)。
對現有內部部署 HSM 使用者的好處:
- 不需要修改付款應用程式或 HSM 軟體,即可將現有的應用程式移轉至 Azure 解決方案
- 讓 HSM 使用率變得更有彈性和效率
- 簡化分散在不同地理位置的多個小組之間的 HSM 共用
- 降低舊版資料中心的實體 HSM 使用量
- 改善新專案的現金流量
對新付款參與者的好處:
- 避免產生內部部署 HSM 基礎結構
- 透過 Azure 訂閱模型降低前期投資
- 提供最新認證的隨選硬體和軟體存取權
詞彙
詞彙 | 定義 |
---|---|
3DS | 3D 安全 |
ATM | 自動提款機 |
EMV | Euro Mastercard Visa |
FIPS | 聯邦資訊處理標準 |
HCE | 主機卡模擬 |
HSM | 硬體安全性模型 |
mPOS | 行動銷售點 |
P2PE | 點對點加密 |
PCI | 支付卡產業 |
PIN | 個人識別碼 |
POS | 銷售點 |
SPOC | 商用現貨 (COTS) 的軟體型 PIN 項目解決方案 |
TMD | payShield 受信任管理裝置 |
下一步
- 深入了解 Azure 付款 HSM
- 了解如何開始使用 Azure 付款 HSM
- 請參閱一些一般部署案例
- 了解認證與合規性
- 請參閱常見問題集