Che cos'è il modulo di protezione hardware di pagamento di Azure?
HSM di pagamento di Azure è un servizio "BareMetal" fornito usando i moduli di sicurezza hardware di pagamento Thales payShield 10K (HSM), dispositivi fisici che forniscono operazioni di chiave crittografica per transazioni di pagamento critiche in tempo reale nel cloud di Azure. Il modulo di protezione hardware di pagamento di Azure è progettato specificamente per aiutare un provider di servizi e un singolo istituto finanziario ad accelerare la strategia di trasformazione digitale del sistema di pagamento e adottare il cloud pubblico. Soddisfa i requisiti di sicurezza, conformità di controllo, bassa latenza e prestazioni elevate del settore delle carte di pagamento (PCI).
I moduli di protezione hardware di pagamento vengono sottoposti a provisioning e connessi direttamente alla rete virtuale degli utenti e i moduli di protezione hardware sono sotto il solo controllo amministrativo degli utenti. È possibile eseguire facilmente il provisioning dei moduli di protezione hardware come coppia di dispositivi e configurarli per la disponibilità elevata. Gli utenti del servizio usano Thales payShield Manager per l'accesso remoto sicuro ai moduli di protezione hardware come parte della sottoscrizione basata su Azure. Sono disponibili più opzioni di sottoscrizione per soddisfare un'ampia gamma di prestazioni e più requisiti dell'applicazione che possono essere aggiornati rapidamente in linea con la crescita aziendale degli utenti finali. Il servizio HSM di pagamento di Azure offre un livello di prestazioni massimo di 2500 CPS.
La soluzione HSM di pagamento di Azure usa l'hardware di Thales come fornitore. I clienti hanno il controllo completo e l'accesso esclusivo al modulo di protezione hardware di pagamento.
Importante
Modulo di protezione hardware di pagamento di Azure, un servizio altamente specializzato. È consigliabile esaminare la pagina dei prezzi del modulo di protezione hardware di pagamento di Azure e Introduzione al modulo di protezione hardware di pagamento di Azure.
Architettura generale del modulo di protezione hardware per i pagamenti di Azure
Dopo il provisioning di un modulo di protezione hardware di pagamento, il dispositivo HSM è connesso direttamente alla rete virtuale di un cliente, con funzionalità di gestione di HSM remote complete, tramite Thales payShield Manager e il payShield Trusted Management Device (TMD).
Al provisioning del modulo di protezione hardware vengono create due interfacce di rete host e un'interfaccia di rete di gestione.
Con il servizio di provisioning del modulo di protezione hardware di pagamento di Azure, i clienti hanno accesso nativo a due interfacce di rete host e un'interfaccia di gestione nel modulo di protezione hardware di pagamento. Questo screenshot mostra le risorse del modulo di protezione hardware di pagamento di Azure all'interno di un gruppo di risorse.
Perché usare il modulo di protezione hardware per i pagamenti di Azure?
Momentum sta creando quando gli istituti finanziari spostano alcune o tutte le applicazioni di pagamento nel cloud, richiedendo una migrazione dalle applicazioni locali legacy e dai moduli di protezione hardware a un'infrastruttura basata sul cloud che in genere non è sotto il loro controllo diretto. Spesso significa un servizio di sottoscrizione anziché la proprietà perpetua di apparecchiature fisiche e software. Le iniziative aziendali per l'efficienza e una presenza fisica ridotta sono i fattori di questo cambiamento. Viceversa, con le organizzazioni native del cloud, l'adozione del cloud-first senza alcuna presenza locale è il modello aziendale fondamentale. Indipendentemente dal motivo, gli utenti finali di un'infrastruttura di pagamento basata sul cloud prevedono una riduzione della complessità IT, la conformità alla sicurezza semplificata e la flessibilità per ridimensionare la soluzione senza problemi man mano che l'azienda cresce.
Il cloud offre vantaggi significativi, ma è necessario risolvere i problemi durante la migrazione di un'applicazione di pagamento locale legacy (che include moduli di protezione hardware di pagamento) al cloud:
- Responsabilità condivisa e fiducia: quale potenziale perdita di controllo in alcune aree è accettabile?
- Latenza: come è possibile ottenere un collegamento efficiente e ad alte prestazioni tra l'applicazione e il modulo di protezione hardware?
- Esecuzione di tutto in remoto: quali processi e procedure esistenti devono essere adattati?
- Certificazioni di sicurezza e conformità dei controlli: come verranno soddisfatti i requisiti rigorosi attuali?
Il modulo di protezione hardware di pagamento di Azure risolve queste sfide e offre una proposta di valore interessante agli utenti del servizio tramite le funzionalità seguenti.
Sicurezza e conformità ottimizzate
Gli utenti finali del servizio possono usare investimenti per la sicurezza e la conformità Microsoft per aumentare il comportamento di sicurezza. Microsoft gestisce data center di Azure conformi a PCI DSS e PCI 3DS, inclusi quelli che ospitano soluzioni HSM di pagamento di Azure. La soluzione HSM di pagamento di Azure può essere distribuita come parte di un componente o una soluzione PIN PCI P2PE/PCI convalidata, consentendo di semplificare la conformità dei controlli di sicurezza in corso. I moduli di protezione hardware Thales payShield 10K distribuiti nell'infrastruttura di sicurezza sono certificati per FIPS 140-2 Livello 3 e PCI HSM v3.
Modulo di protezione hardware gestito dal cliente in Azure
Il modulo di protezione hardware di pagamento di Azure fa parte di un servizio di sottoscrizione che offre moduli di protezione hardware a tenant singolo affinché il cliente del servizio disponga di controllo amministrativo completo ed accesso esclusivo al modulo di protezione hardware. Il cliente può essere un provider di servizi di pagamento che agisce per conto di più istituti finanziari o un istituto finanziario che desidera accedere direttamente al servizio HSM di pagamento di Azure. Una volta che il modulo di protezione hardware viene allocato a un cliente, Microsoft non ha accesso ai dati dei clienti. Analogamente, quando il modulo di protezione hardware non è più richiesto, i dati dei clienti vengono impostati su zero e cancellati non appena il modulo di protezione hardware viene rilasciato, in modo da garantire che vengano mantenute la privacy e la sicurezza complete. Il cliente è responsabile di garantire che le sottoscrizioni del modulo di protezione hardware sufficienti siano attive per soddisfare i requisiti per il backup, il ripristino di emergenza e la resilienza per ottenere le stesse prestazioni disponibili nei moduli di protezione hardware locali.
Accelerare la trasformazione digitale e l'innovazione nel cloud
Per i clienti thales payShield esistenti che desiderano aggiungere un'opzione cloud, la soluzione HSM di pagamento di Azure offre l'accesso nativo a un modulo di protezione hardware di pagamento in Azure per il "trasferimento in modalità lift-and-shift" pur riscontrando la bassa latenza a cui sono abituati tramite i moduli di protezione hardware payShield locali. La soluzione offre anche transazioni ad alte prestazioni per applicazioni di pagamento cruciali.
I clienti possono continuare la propria strategia di trasformazione digitale usando l'innovazione tecnologica nel cloud. I clienti esistenti di Thales payShield possono usare le proprie soluzioni di gestione remota esistenti (payShield Manager e payShield TMD insieme ai lettori di smart card e alle smart card associate in base alle esigenze) per lavorare con il servizio HSM di pagamento di Azure. I clienti nuovi a payShield possono ottenere gli accessori hardware da Thales o uno dei suoi partner prima di distribuire il modulo di protezione hardware come parte del servizio di sottoscrizione.
Casi d'uso tipici
Con vantaggi tra cui bassa latenza e la possibilità di aggiungere rapidamente più capacità HSM in base alle esigenze, il servizio cloud è ideale per un'ampia gamma di casi d'uso, tra cui:
- Elaborazione dei pagamenti
- Autorizzazione di pagamento tramite carta e cellulare
- Convalida del crittogramma PIN & EMV
- Autenticazione 3D-Secure
Emissione delle credenziali di pagamento:
- Schede
- Elementi protetti per dispositivi mobili
- Indossabili
- Dispositivi connessi
- Applicazioni HCE (Host Card Emulation)
Protezione delle chiavi e dei dati di autenticazione:
- Gestione delle chiavi POS, mPOS & SPOC
- Caricamento remoto delle chiavi (per dispositivi ATM e POS/mPOS)
- Generazione e stampa PIN
- Routing PIN
Protezione dei dati sensibili:
- Crittografia da punto a punto (P2PE)
- Tokenizzazione di sicurezza (per la conformità PCI DSS)
- Tokenizzazione dei pagamenti EMV
Adatto sia per gli utenti del modulo di protezione hardware esistenti che per i nuovi pagamenti
La soluzione offre vantaggi chiari per gli utenti del modulo di protezione hardware di pagamento con un footprint HSM locale legacy e per i nuovi operatori dell'ecosistema di pagamento senza infrastruttura legacy da supportare e chi può scegliere un approccio nativo del cloud fin dall'inizio.
Vantaggi per gli utenti del modulo di protezione hardware locali esistenti:
- Non sono necessarie modifiche alle applicazioni di pagamento o al software HSM per eseguire la migrazione delle applicazioni esistenti alla soluzione Azure
- Consente una maggiore flessibilità ed efficienza nell'utilizzo del modulo di protezione hardware
- Semplifica la condivisione del modulo di protezione hardware tra più team, geograficamente dispersi
- Riduce il footprint del modulo di protezione hardware fisico nei data center legacy
- Migliora il flusso di cassa per i nuovi progetti
Vantaggi per i nuovi partecipanti al pagamento:
- Evitare l'introduzione dell'infrastruttura HSM locale
- Riduce gli investimenti iniziali tramite il modello di sottoscrizione di Azure
- Offre l'accesso all'hardware e al software certificati più recenti su richiesta
Glossario
| Termine | Definizione |
|---|---|
| 3DS | 3D Secure |
| ATM | Computer del teller automatizzato |
| EMV | Visto euro- |
| FIPS | Standard federali per l'elaborazione delle informazioni |
| HCE | Emulazione scheda host |
| Modulo di protezione hardware | Modulo di protezione hardware |
| mPOS | Mobile Point of Sale |
| P2PE | Crittografia da punto a punto |
| PCI | Payment Card Industry |
| PIN | Numero di identificazione personale |
| POS | Punto vendita |
| SPOC | Immissione PIN basata su software su soluzioni COMMERCIAL off the Shelf (FACET) |
| TMD | payShield Trusted Management Device |
Passaggi successivi
- Altre informazioni sul modulo di protezione hardware di pagamento di Azure
- Informazioni su come iniziare a usare il modulo di protezione hardware di pagamento di Azure
- Vedere alcuni scenari di distribuzione comuni
- Informazioni su Certificazione e conformità
- Leggere le domande frequenti