Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Azure Payment HSM est un service « BareMetal » fourni à l’aide des modules de sécurité matériel de paiement Thales payShield 10K (HSM) qui fournissent des opérations de clé de chiffrement pour les transactions de paiement critiques en temps réel dans le cloud Azure. Le service HSM de paiement Azure est spécifiquement conçu pour aider les fournisseurs de services et les établissements financiers à accélérer la stratégie de transformation numérique de leur système de paiement ainsi qu’à adopter le cloud public. Il répond aux exigences de sécurité, de conformité d’audit, de faible latence et de hautes performances requises par l’industrie des cartes de paiement (PCI).
Les modules HSM de paiement sont approvisionnés et connectés directement au réseau virtuel des utilisateurs, et les modules HSM sont sous le seul contrôle d’administration des utilisateurs. Les modules HSM peuvent être facilement provisionnés en tant que paire d’appareils et configurés pour la haute disponibilité. Les utilisateurs du service utilisent Thales payShield Manager pour sécuriser l’accès à distance aux HSM dans le cadre de leur abonnement Azure. Plusieurs options d’abonnement sont disponibles pour satisfaire un large éventail de performances et plusieurs exigences d’application qui peuvent être mises à niveau rapidement en fonction de la croissance de l’entreprise des utilisateurs finaux. Le service HSM de paiement Azure offre un niveau de performance le plus élevé avec 2500 CPS.
La solution HSM de paiement Azure utilise du matériel de Thales en tant que fournisseur. Les clients disposent d’un contrôle total et d’un accès exclusif au module HSM de paiement.
Important
Azure Payment HSM est un service hautement spécialisé. Nous vous recommandons vivement de passer en revue la page de tarification d’Azure Payment HSM et de bien démarrer avec Azure Payment HSM.
Architecture de haut niveau de paiement Azure HSM
Une fois qu’un HSM de paiement est approvisionné, l’appareil HSM est connecté directement au réseau virtuel d’un client, avec des fonctionnalités de gestion complètes du HSM à distance, via Thales payShield Manager et le module TMD (PayShield Trusted Management Device).
Deux interfaces réseau hôtes et une interface réseau de gestion sont créées lors de l'approvisionnement du HSM.
Avec le service d’approvisionnement azure Payment HSM, les clients disposent d’un accès natif à deux interfaces réseau hôtes et à une interface de gestion sur le HSM de paiement. Cette capture d’écran affiche les ressources Azure Payment HSM au sein d’un groupe de ressources.
Pourquoi utiliser Azure Payment HSM ?
L'élan se développe au fur et à mesure que les institutions financières déplacent certaines ou toutes leurs applications de paiement vers le cloud, ce qui nécessite une migration des applications locales héritées et des HSM vers une infrastructure basée sur le cloud qui n'est généralement pas sous leur contrôle direct. Souvent, cela signifie un service d’abonnement plutôt que la propriété perpétuelle de l’équipement physique et du logiciel. Les initiatives d’entreprise en matière d’efficacité et de présence physique réduite sont les moteurs de ce changement. À l’inverse, avec les organisations natives cloud, l’adoption du cloud-first sans présence locale est leur modèle métier fondamental. Quelle que soit la raison, les utilisateurs finaux d’une infrastructure de paiement basée sur le cloud s’attendent à réduire la complexité informatique, à simplifier la conformité de la sécurité et à la flexibilité pour mettre à l’échelle leur solution en toute transparence à mesure que leur entreprise augmente.
Le cloud offre des avantages significatifs, mais les défis liés à la migration d’une application de paiement locale héritée (impliquant des HSM de paiement) vers le cloud doivent être résolus :
- Responsabilité partagée et confiance : quelle perte potentielle de contrôle dans certains domaines est acceptable ?
- Latence : comment obtenir un lien efficace et hautes performances entre l’application et le HSM ?
- Effectuer tout à distance : quels processus et procédures existants peuvent avoir besoin d’être adaptés ?
- Certifications de sécurité et conformité de l’audit : comment les exigences strictes actuelles seront-elles respectées ?
Azure Payment HSM répond à ces défis et offre une proposition de valeur attrayante aux utilisateurs du service par le biais des fonctionnalités suivantes.
Amélioration de la sécurité et de la conformité
Les utilisateurs finaux du service peuvent utiliser des investissements de sécurité et de conformité Microsoft pour augmenter leur posture de sécurité. Microsoft gère les centres de données Azure conformes à PCI DSS et PCI 3DS, y compris ceux qui hébergent des solutions HSM de paiement Azure. La solution HSM de paiement Azure peut être déployée dans le cadre d’un composant ou d’une solution PCI P2PE /PCI PIN validé, ce qui permet de simplifier la conformité continue de l’audit de la sécurité. Les modules HSM Thales payShield 10K déployés dans l’infrastructure de sécurité sont certifiés à FIPS 140-2 Niveau 3 et PCI HSM v3.
HSM géré par le client dans Azure
Le module HSM de paiement Azure fait partie d’un service d’abonnement qui offre des HSM monolocataires pour que le client du service dispose d’un contrôle administratif complet et d’un accès exclusif au HSM. Le client peut être un fournisseur de services de paiement agissant pour le compte de plusieurs institutions financières ou d’une institution financière qui souhaite accéder directement au service Azure Payment HSM. Une fois le HSM alloué à un client, Microsoft n’a pas accès aux données client. De même, lorsque le HSM n’est plus nécessaire, les données client sont mises à zéro et effacées dès que le HSM est libéré pour garantir une confidentialité et une sécurité complètes. Le client est chargé de s’assurer que les abonnements HSM suffisants sont actifs pour répondre à leurs besoins en matière de sauvegarde, de récupération d’urgence et de résilience afin d’obtenir les mêmes performances disponibles sur leurs HSM locaux.
Accélérer la transformation numérique et l’innovation dans le cloud
Pour les clients Thales payShield existants souhaitant ajouter une option cloud, la solution Azure Payment HSM offre un accès natif à un HSM de paiement dans Azure pour le « lift and shift », tout en conservant la faible latence à laquelle ils sont habitués grâce à leurs HSM payShield locaux. La solution offre également des transactions hautes performances pour les applications de paiement stratégiques.
Les clients peuvent poursuivre leur stratégie de transformation numérique à l’aide de l’innovation technologique dans le cloud. Les clients Thales payShield existants peuvent utiliser leurs solutions de gestion à distance existantes (payShield Manager et payShield TMD, ainsi que les lecteurs de cartes à puce associés et les cartes à puce le cas échéant) pour travailler avec le service Azure Payment HSM. Les clients nouveaux à payShield peuvent sourcer les accessoires matériels de Thales ou l’un de ses partenaires avant de déployer leur HSM dans le cadre du service d’abonnement.
Cas d’usage classiques
Avec des avantages, notamment une faible latence et la possibilité d’ajouter rapidement davantage de capacité HSM selon les besoins, le service cloud est parfaitement adapté à un large éventail de cas d’usage, notamment :
- Traitement du paiement
- Autorisation de paiement par carte et mobile
- Validation du code PIN et du cryptogramme EMV
- Authentification 3D-Secure
Émission des informations de paiement :
- Cartes
- Éléments sécurisés mobiles
- Appareils portables
- Appareils connectés
- Applications d’émulation de carte hôte (HCE)
Sécurisation des clés et des données d’authentification :
- Gestion des clés POS, mPOS et SPOC
- Chargement de clé distante (pour les appareils ATM & POS/mPOS)
- Génération de code confidentiel &impression
- Routage du PIN
Protection des données sensibles :
- Chiffrement point à point (P2PE)
- Jeton de sécurité (pour la conformité PCI DSS)
- Segmentation du texte en unités lexicales de paiement EMV
Adapté aux utilisateurs HSM de paiement existants et nouveaux
La solution offre des avantages clairs pour les utilisateurs de HSM de paiement avec une empreinte HSM locale héritée et ces nouveaux entrants de l’écosystème de paiement sans infrastructure héritée à prendre en charge et qui peuvent choisir une approche cloud native dès le début.
Avantages pour les utilisateurs HSM locaux existants :
- Nécessite aucune modification des applications de paiement ou des logiciels HSM pour migrer des applications existantes vers la solution Azure
- Permet une plus grande flexibilité et une efficacité accrues dans l’utilisation du HSM
- Simplifie le partage HSM entre plusieurs équipes, géographiquement dispersées
- Elle réduit l’empreinte des HSM physiques dans les centres de données hérités
- Améliore le flux de trésorerie pour les nouveaux projets
Avantages pour les nouveaux participants au paiement :
- Évite l’introduction de l’infrastructure HSM locale
- Réduit l’investissement initial via le modèle d’abonnement Azure
- Offre l’accès aux derniers logiciels et matériels certifiés à la demande
Glossaire
| Terme | Définition |
|---|---|
| 3DS | 3D Secure |
| ATM | Machine de teller automatisée |
| EMV | Euro Mastercard Visa |
| FIPS (Normes fédérales de traitement de l'information) | Normes de traitement des informations fédérales |
| HCE | Host Card Emulation (Émulation de carte hôte) |
| HSM | Module de sécurité matériel |
| Terminal de point de vente mobile (mPOS) | Point de vente mobile |
| P2PE | Chiffrement point à point |
| PCI | Secteur des cartes de paiement |
| Code PIN | Numéro d’identification personnelle |
| POS | Point de vente |
| SPOC | Entrée de code confidentiel logicielle dans les solutions COTS (produit du commerce) |
| TMD | dispositif de gestion approuvé payShield |
Étapes suivantes
- Découvrez comment démarrer avec HSM de paiement Azure
- Voir quelques scénarios de déploiement courants
- En savoir plus sur la certification et la conformité
- Consulter la foire aux questions