什麼是 Azure 付款 HSM?
Azure 付款 HSM 是使用 Thales payShield 10K 付款硬體安全性模組 (HSM) 提供的「BareMetal」服務-實體裝置,可為 Azure 雲端中的即時重大付款交易提供密碼編譯密鑰作業。 Azure 付款 HSM 專為協助服務提供者和個別金融機構加速其付款系統的數字轉型策略,並採用公用雲端而設計。 它符合支付卡產業 (PCI) 最嚴格的安全性、稽核合規性、低延遲和高效能需求。
付款 HSM 會布建並直接連線到使用者的虛擬網路,而 HSM 則受到使用者的唯一系統管理控制。 HSM 可以輕鬆地布建為一對裝置,並設定為高可用性。 服務的使用者會利用 Thales payShield Manager ,在其 Azure 型訂用帳戶中安全地遠端訪問 HSM。 多個訂用帳戶選項可用來滿足廣泛的效能和多個應用程式需求,這些需求可快速升級,以符合終端使用者的業務成長。 Azure 付款 HSM 服務提供最高效能等級 2500 CPS。
Azure 付款 HSM 解決方案會使用 Thales 作為廠商的硬體。 客戶擁有 付款 HSM 的完整控制權和獨佔存取權 。
重要
Azure 付款 HSM 是高度特製化的服務。 強烈建議您檢閱 Azure 付款 HSM 定價頁面 和 開始使用 Azure 付款 HSM。
Azure 付款 HSM 高階架構
布建付款 HSM 之後,HSM 裝置會透過 Thales payShield Manager 和 payShield Trusted Management Device (TMD) 直接連線到客戶的虛擬網路,並具備完整的遠端 HSM 管理功能。
HSM 布建會建立兩個主機網路介面和一個管理網路介面。
透過 Azure 付款 HSM 布建服務,客戶可以原生存取付款 HSM 上的兩個主機網路介面和一個管理介面。 此螢幕快照顯示資源群組內的 Azure 付款 HSM 資源。
為何要使用 Azure 付款 HSM?
當金融機構將部分或所有付款應用程式移至雲端時,勢頭正在建立,因此需要從舊版內部部署應用程式和 HSM 移轉至通常不受其直接控制的雲端式基礎結構。 這通常表示訂用帳戶服務,而不是永久擁有實體設備和軟體。 效率的公司舉措和相應減少的實體存在是這一轉變的推動因素。 相反地,使用雲端原生組織時,採用雲端優先且沒有任何內部部署存在是其基本商務模式。 無論原因為何,雲端式付款基礎結構的終端使用者都預期IT複雜性降低、安全性合規性簡化,以及隨著業務成長而順暢地調整解決方案的彈性。
雲端提供顯著優勢,但在將舊版內部部署付款應用程式(涉及付款 HSM)遷移至雲端時,必須解決挑戰:
- 共同責任和信任 – 某些領域可能失去控制權是可以接受的?
- 延遲 – 如何達成應用程式與 HSM 之間有效率且高效能的連結?
- 從遠端執行所有專案 – 可能需要調整哪些現有的程式和程式?
- 安全性認證和稽核合規性 – 如何滿足目前的嚴格需求?
Azure 付款 HSM 可解決這些挑戰,並透過下列功能為服務的使用者提供吸引人的價值主張。
增強的安全性與合規性
服務的終端使用者可以使用 Microsoft 安全性與合規性投資來增加其安全性狀態。 Microsoft 維護符合 PCI DSS 和 PCI 3DS 規範的 Azure 資料中心,包括存放 Azure 付款 HSM 解決方案的數據中心。 Azure 付款 HSM 解決方案可以部署為已驗證 PCI P2PE/PCI PIN 元件或解決方案的一部分,以協助簡化進行中的安全性稽核合規性。 Thales payShield 10K HSM 部署在安全性基礎結構中,經 FIPS 140-2 層級 3 和 PCI HSM v3 認證。
Azure 中客戶管理的 HSM
Azure 付款 HSM 是訂用帳戶服務的一部分,可提供單一租使用者 HSM,供服務客戶擁有 HSM 的完整系統管理控制和獨佔存取權。 客戶可以是代表多個金融機構或想要直接存取 Azure 付款 HSM 服務的金融機構的付款服務提供者。 將 HSM 配置給客戶之後,Microsoft 便無法存取客戶資料。 同樣地,當不再需要 HSM 時,客戶資料會在 HSM 發行後立即歸零並清除,以確保維護完整的隱私權和安全性。 客戶負責確保有足夠的 HSM 訂用帳戶處於作用中狀態,以符合其備份、災害復原和復原需求,以達到其內部部署 HSM 上可用的相同效能。
加速雲端中的數位轉型和創新
對於想要新增雲端選項的現有 Thales payShield 客戶,Azure 付款 HSM 解決方案會針對 Azure 中的付款 HSM 提供原生存取權以進行「隨即轉移」,同時仍遇到他們習慣透過其內部部署 payShield HSM 的低延遲。 此解決方案也為任務關鍵性付款應用程式提供高效能交易。
客戶可以使用雲端中的技術創新,繼續其數字轉型策略。 現有的 Thales payShield 客戶可以利用其現有的遠端管理解決方案(payShield Manager 和 payShield TMD 與相關聯的智慧卡讀取器和智慧卡,視需要)與 Azure 付款 HSM 服務搭配使用。 PayShield 新手客戶可以在將 HSM 部署為訂用帳戶服務的一部分之前,從 Thales 或其其中一個合作夥伴採購硬體配件。
一般使用案例
由於優點包括低延遲,以及能夠視需要快速新增更多 HSM 容量,雲端服務非常適合各種使用案例,包括:
- 付款處理
- 卡片和行動付款授權
- PIN 和 EMV 密碼編譯程序驗證
- 3D-Secure 驗證
付款認證發行:
- 卡片
- 行動安全元素
- 可穿戴裝置
- 連接的裝置
- 主機卡模擬 (HCE) 應用程式
保護金鑰和驗證資料:
- POS、mPOS 和 SPOC 金鑰管理
- 遠端金鑰載入 (適用於 ATM 和 POS/mPOS 裝置)
- PIN 產生和列印
- PIN 路由
敏感資料保護:
- 點對點加密 (P2PE)
- 安全性權杖化 (適用於PCI DSS合規性)
- EMV 付款令牌化
適用於現有和新的付款 HSM 使用者
此解決方案可為具有舊版、內部部署 HSM 使用量的付款 HSM 使用者,以及沒有舊版基礎結構的新付款生態系統專案提供明確的優點,而且他們一開始就可以選擇雲端原生方法。
現有內部部署 HSM 使用者的優點:
- 不需要修改付款應用程式或 HSM 軟體,將現有的應用程式移轉至 Azure 解決方案
- 啟用 HSM 使用率的更多彈性和效率
- 簡化多個小組之間的 HSM 共用,分散地理位置
- 降低舊版數據中心的實體 HSM 使用量
- 改善新項目的現金流
新付款參與者的權益:
- 避免引進內部部署 HSM 基礎結構
- 透過 Azure 訂用帳戶模型降低前期投資
- 提供最新認證的硬體和軟體隨選取權
詞彙
| 詞彙 | 定義 |
|---|---|
| 3DS | 3D 安全 |
| ATM | 自動化出納器電腦 |
| Emv | 歐洲萬事達卡 Visa |
| Fips | 聯邦資訊處理標準 |
| HCE | 主機卡模擬 |
| HSM | 硬體安全性模組 |
| mPOS | 行動銷售點 |
| P2PE | 點對點加密 |
| PCI | 支付卡產業 |
| PIN | 個人標識號 |
| POS | 銷售點 |
| SPOC | 商用現成的軟體型 PIN 輸入 (科茨) 解決方案 |
| Tmd | payShield 信任管理裝置 |
下一步
- 深入瞭解 Azure 付款 HSM
- 瞭解如何 開始使用 Azure 付款 HSM
- 請參閱一些常見的 部署案例
- 了解 認證與合規性
- 閱讀常見問題