Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Azure Payment HSM es un servicio "BareMetal" que se entrega mediante módulos de seguridad de hardware de pago (HSM) de Thales payShield 10K: dispositivos físicos que proporcionan operaciones de clave criptográfica para transacciones de pago críticas en tiempo real en la nube de Azure. Azure Payment HSM está diseñado específicamente para ayudar a un proveedor de servicios y a una entidad financiera individual a acelerar la estrategia de transformación digital de su sistema de pago y adoptar la nube pública. Cumple los requisitos más estrictos de seguridad, auditoría, baja latencia y alto rendimiento del sector de tarjetas de pago (PCI).
Los HSM de pago se aprovisionan y conectan directamente a la red virtual de los usuarios y los HSM están bajo el único control de administración de los usuarios. Los HSM se pueden aprovisionar fácilmente como un par de dispositivos y configurarse para alta disponibilidad. Los usuarios del servicio usan Thales payShield Manager para proteger el acceso remoto a los HSM como parte de su suscripción basada en Azure. Hay varias opciones de suscripción disponibles para satisfacer una amplia gama de requisitos de rendimiento y varias aplicaciones que se pueden actualizar rápidamente en línea con el crecimiento empresarial del usuario final. El servicio HSM de pago de Azure ofrece el nivel máximo de rendimiento de 2500 CPS.
La solución Azure Payment HSM usa hardware de Thales como proveedor. Los clientes tienen control total y acceso exclusivo al HSM de pago.
Importante
Azure Payment HSM es un servicio altamente especializado. Recomendamos encarecidamente que revises la página de precios de HSM de pago de Azure y Cómo empezar con HSM de pago de Azure.
Arquitectura de alto nivel del HSM de pagos de Azure
Después de aprovisionar un HSM de pago, el dispositivo HSM se conecta directamente a la red virtual de un cliente, con funcionalidades completas de administración remota de HSM, a través de Thales payShield Manager y el dispositivo de administración de confianza (TMD) de payShield.
Se crean dos interfaces de red de host y una interfaz de red de gestión durante el provisionamiento de HSM.
Con el servicio de aprovisionamiento de Azure Payment HSM, los clientes tienen acceso nativo a dos interfaces de red host y una interfaz de administración en el HSM de pago. En esta captura de pantalla se muestran los recursos de HSM de pago de Azure dentro de un grupo de recursos.
¿Por qué usar Azure Payment HSM?
El impulso se crea a medida que las instituciones financieras mueven algunas o todas sus aplicaciones de pago a la nube, lo que requiere una migración de las aplicaciones locales heredadas y los HSM a una infraestructura basada en la nube que generalmente no está bajo su control directo. A menudo significa un servicio de suscripción en lugar de la propiedad perpetua de equipos físicos y software. Las iniciativas corporativas para la eficiencia y una reducción de la presencia física son las impulsoras de este cambio. Por el contrario, con las organizaciones nativas de la nube, la adopción de primero en la nube sin presencia local es su modelo de negocio fundamental. Independientemente del motivo, los usuarios finales de una infraestructura de pago basada en la nube esperan una reducción de la complejidad de TI, el cumplimiento de seguridad simplificado y la flexibilidad para escalar su solución sin problemas a medida que crece su negocio.
La nube ofrece ventajas significativas, pero los desafíos al migrar una aplicación de pago local heredada (que implica HSM de pago) a la nube deben abordarse:
- Responsabilidad compartida y confianza: ¿qué posible pérdida de control en algunas áreas es aceptable?
- Latencia: ¿cómo se puede lograr un vínculo eficaz y de alto rendimiento entre la aplicación y HSM?
- Realizar todo de forma remota: ¿qué procesos y procedimientos existentes pueden necesitar adaptarse?
- Certificaciones de seguridad y cumplimiento de auditoría: ¿cómo se cumplirán los requisitos estrictos actuales?
Azure Payment HSM aborda estos desafíos y ofrece una propuesta de valor atractiva a los usuarios del servicio a través de las siguientes características.
Seguridad y cumplimiento mejorados
Los usuarios finales del servicio pueden usar inversiones de seguridad y cumplimiento de Microsoft para aumentar su posición de seguridad. Microsoft mantiene los centros de datos de Azure compatibles con PCI DSS y PCI 3DS, incluidos los que hospedan soluciones HSM de pago de Azure. La solución Azure Payment HSM se puede implementar como parte de un componente o solución PCI P2PE /PCI PIN validado, lo que ayuda a simplificar el cumplimiento continuo de auditoría de seguridad. Los HSM de Thales payShield 10K implementados en la infraestructura de seguridad están certificados para FIPS 140-2 nivel 3 y PCI HSM v3.
HSM administrado por el cliente en Azure
Azure Payment HSM forma parte de un servicio de suscripción que ofrece HSM de un solo inquilino para que el cliente de servicio tenga un control administrativo completo y acceso exclusivo al HSM. El cliente podría ser un proveedor de servicios de pago que actúe en nombre de varias instituciones financieras o una institución financiera que desee acceder directamente al servicio HSM de pago de Azure. Una vez que el HSM se asigna a un cliente, Microsoft no tiene acceso a los datos del cliente. Asimismo, cuando el HSM deja de ser necesario, los datos del cliente se posicionan a cero y se borran en cuanto se libera el HSM para garantizar el mantenimiento de la privacidad y la seguridad. El cliente es responsable de garantizar que las suscripciones de HSM suficientes estén activas para cumplir sus requisitos de copia de seguridad, recuperación ante desastres y resistencia para lograr el mismo rendimiento disponible en sus HSM locales.
Aceleración de la transformación digital y la innovación en la nube
Para los clientes existentes de Thales payShield que deseen agregar una opción en la nube, la solución Azure Payment HSM ofrece acceso nativo a un HSM de pago en Azure para "lift and shift" mientras experimenta la baja latencia a la que están acostumbrados a través de sus HSM de payShield local. La solución también ofrece transacciones de alto rendimiento para aplicaciones de pago críticas.
Los clientes pueden continuar su estrategia de transformación digital mediante la innovación tecnológica en la nube. Los clientes existentes de Thales payShield pueden usar sus soluciones de administración remota existentes (payShield Manager y payShield TMD junto con lectores de tarjetas inteligentes y tarjetas inteligentes asociadas según corresponda) para trabajar con el servicio HSM de pago de Azure. Los clientes nuevos en payShield pueden obtener los accesorios de hardware de Thales o de uno de sus asociados antes de implementar su HSM como parte del servicio de suscripción.
Casos de uso típicos
Con ventajas, incluida la baja latencia y la capacidad de agregar rápidamente más capacidad de HSM según sea necesario, el servicio en la nube es un ajuste perfecto para una amplia gama de casos de uso, entre los que se incluyen:
- Procesamiento de pagos
- Autorización de tarjeta y pago móvil
- Validación de criptogramas PIN y EMV
- Autenticación 3D-Secure
Emisión de credenciales de pago:
- Tarjetas
- Elementos seguros móviles
- Dispositivos ponibles
- Dispositivos conectados
- Aplicaciones de emulación de tarjetas host (HCE)
Protección de claves y datos de autenticación:
- Administración de claves POS, mPOS y SPOC
- Carga remota de claves (para dispositivos ATM y POS/mPOS)
- Generación e impresión de PIN
- Enrutamiento de PIN
Protección de datos confidenciales:
- Cifrado de punto a punto (P2PE)
- Tokenización de seguridad (para el cumplimiento de PCI DSS)
- Tokenización de pago de EMV
Adecuado para los usuarios de HSM de pago existentes y nuevos
La solución proporciona ventajas claras para los usuarios de HSM de pago con una huella local de HSM heredada y aquellos participantes nuevos del ecosistema de pago sin infraestructura heredada que mantener y que puedan elegir un enfoque nativo de la nube desde el principio.
Ventajas para los usuarios de HSM locales existentes:
- No requiere modificaciones en las aplicaciones de pago ni en el software HSM para migrar aplicaciones existentes a la solución de Azure
- Permite una mayor flexibilidad y eficacia en el uso de HSM
- Simplifica el uso compartido de HSM entre varios equipos, dispersos geográficamente
- Reduce la superficie de HSM física en sus centros de datos heredados
- Mejora el flujo de caja para los nuevos proyectos
Ventajas para los nuevos participantes de pago:
- Evita la introducción de la infraestructura de HSM local.
- Reduce la inversión inicial a través del modelo de suscripción de Azure.
- Ofrece acceso a hardware y software certificados más recientes a petición
Glosario
| Término | Definición |
|---|---|
| 3DS | 3D Secure |
| ATM | Máquina de teller automatizada |
| EMV | Euro Mastercard Visa |
| Estándares Federales de Procesamiento de Información (FIPS) | Estándares federales de procesamiento de información |
| HCE | Emulación de tarjeta de host |
| HSM | Módulo de seguridad de hardware |
| mPOS | Punto de venta móvil |
| P2PE | Cifrado de punto a punto |
| PCI | Sector de tarjetas de pago |
| PIN | Número de identificación personal |
| POS | Punto de venta |
| SPOC | Entrada de PIN basada en software en soluciones comerciales fuera del estante (COTS) |
| Trastorno Temporomandibular | Dispositivo de gestión confiable de payShield |
Pasos siguientes
- Descubra cómo empezar a trabajar con Azure Payment HSM
- Vea algunos escenarios de implementación comunes
- Más información sobre la certificación y el cumplimiento
- Lea las preguntas más frecuentes