Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Azure Payment HSM è un servizio "BareMetal", fornito usando i moduli di sicurezza hardware Thales payShield 10K (HSM), dispositivi fisici che forniscono operazioni di chiave crittografica per transazioni di pagamento critiche in tempo reale nel cloud Azure. Il modulo di protezione hardware di pagamento di Azure è progettato specificamente per aiutare un provider di servizi e un singolo istituto finanziario ad accelerare la strategia di trasformazione digitale del sistema di pagamento e adottare il cloud pubblico. Soddisfa i requisiti di sicurezza, conformità di controllo, bassa latenza e prestazioni elevate del settore delle carte di pagamento (PCI).
I moduli di protezione hardware di pagamento vengono sottoposti a provisioning e connessi direttamente alla rete virtuale degli utenti e i moduli di protezione hardware sono sotto il solo controllo amministrativo degli utenti. È possibile eseguire facilmente il provisioning dei moduli di protezione hardware come coppia di dispositivi e configurarli per la disponibilità elevata. Gli utenti del servizio usano Thales payShield Manager per l'accesso remoto sicuro ai moduli di protezione hardware come parte della sottoscrizione basata su Azure. Sono disponibili più opzioni di sottoscrizione per soddisfare un'ampia gamma di prestazioni e più requisiti dell'applicazione che possono essere aggiornati rapidamente in linea con la crescita aziendale degli utenti finali. Il servizio HSM di pagamento di Azure offre un livello di prestazioni massimo di 2500 CPS.
La soluzione HSM di pagamento di Azure usa l'hardware di Thales come fornitore. I clienti hanno il controllo completo e l'accesso esclusivo al modulo di protezione hardware di pagamento.
Importante
Azure Payment HSM è un servizio altamente specializzato. È consigliabile esaminare la pagina dei prezzi del modulo di protezione hardware di pagamento di Azure e Introduzione al modulo di protezione hardware di pagamento di Azure.
Architettura generale del modulo di protezione hardware per i pagamenti di Azure
Dopo il provisioning di un HSM di pagamento, il dispositivo HSM è connesso direttamente alla rete virtuale di un cliente, con completa gestione remota dell'HSM, tramite Thales payShield Manager e il payShield Trusted Management Device (TMD).
Alla distribuzione dell'HSM vengono create due interfacce di rete host e un'interfaccia di rete di gestione.
Con il servizio di provisioning del modulo di protezione hardware di pagamento di Azure, i clienti hanno accesso nativo a due interfacce di rete host e un'interfaccia di gestione nel modulo di protezione hardware di pagamento. Questo screenshot mostra le risorse del modulo di protezione hardware di pagamento di Azure all'interno di un gruppo di risorse.
Perché usare il modulo di protezione hardware per i pagamenti di Azure?
Il momentum si sta costruendo mentre gli istituti finanziari spostano alcune o tutte le loro applicazioni di pagamento nel cloud, richiedendo una migrazione dalle applicazioni locali legacy e dai moduli di protezione hardware a un'infrastruttura basata sul cloud che spesso non è sotto il loro controllo diretto. Spesso significa un servizio di sottoscrizione anziché la proprietà perpetua di apparecchiature fisiche e software. Le iniziative aziendali per l'efficienza e una presenza fisica ridotta sono i fattori di questo cambiamento. Viceversa, con le organizzazioni native del cloud, l'adozione del cloud-first senza alcuna presenza locale è il modello aziendale fondamentale. Indipendentemente dal motivo, gli utenti finali di un'infrastruttura di pagamento basata sul cloud prevedono una riduzione della complessità IT, la conformità alla sicurezza semplificata e la flessibilità per ridimensionare la soluzione senza problemi man mano che l'azienda cresce.
Il cloud offre vantaggi significativi, ma è necessario risolvere i problemi durante la migrazione di un'applicazione di pagamento locale legacy (che include moduli di protezione hardware di pagamento) al cloud:
- Responsabilità condivisa e fiducia: quale potenziale perdita di controllo in alcune aree è accettabile?
- Latenza: come è possibile ottenere un collegamento efficiente e ad alte prestazioni tra l'applicazione e il modulo di protezione hardware?
- Esecuzione di tutto in remoto: quali processi e procedure esistenti devono essere adattati?
- Certificazioni di sicurezza e conformità dei controlli: come verranno soddisfatti i requisiti rigorosi attuali?
Il modulo di protezione hardware di pagamento di Azure risolve queste sfide e offre una proposta di valore interessante agli utenti del servizio tramite le funzionalità seguenti.
Sicurezza e conformità ottimizzate
Gli utenti finali del servizio possono usare gli investimenti di Microsoft per la sicurezza e la conformità per migliorare la loro postura di sicurezza. Microsoft gestisce data center di Azure conformi a PCI DSS e PCI 3DS, inclusi quelli che ospitano soluzioni HSM di pagamento di Azure. La soluzione HSM di pagamento di Azure può essere distribuita come parte di un componente o una soluzione PIN PCI P2PE/PCI convalidata, consentendo di semplificare la conformità dei controlli di sicurezza in corso. I moduli di protezione hardware Thales payShield 10K distribuiti nell'infrastruttura di sicurezza sono certificati per FIPS 140-2 Livello 3 e PCI HSM v3.
HSM gestito dal cliente in Azure
Il modulo di protezione hardware di pagamento di Azure fa parte di un servizio di sottoscrizione che offre moduli di protezione hardware a tenant singolo affinché il cliente del servizio disponga di controllo amministrativo completo ed accesso esclusivo al modulo di protezione hardware. Il cliente può essere un provider di servizi di pagamento che agisce per conto di più istituti finanziari o un istituto finanziario che desidera accedere direttamente al servizio HSM di pagamento di Azure. Una volta che il modulo di protezione hardware viene allocato a un cliente, Microsoft non ha accesso ai dati dei clienti. Analogamente, quando il modulo di protezione hardware non è più richiesto, i dati dei clienti vengono impostati su zero e cancellati non appena il modulo di protezione hardware viene rilasciato, in modo da garantire che vengano mantenute la privacy e la sicurezza complete. Il cliente è responsabile di garantire che le sottoscrizioni del modulo di protezione hardware sufficienti siano attive per soddisfare i requisiti per il backup, il ripristino di emergenza e la resilienza per ottenere le stesse prestazioni disponibili nei moduli di protezione hardware locali.
Accelerare la trasformazione digitale e l'innovazione nel cloud
Per i clienti Thales payShield esistenti che desiderano aggiungere un'opzione cloud, la soluzione Azure Payment HSM offre un accesso nativo a un HSM di pagamento in Azure per il "lift and shift", continuando a sperimentare la bassa latenza a cui sono abituati tramite i loro HSM payShield locali. La soluzione offre anche transazioni ad alte prestazioni per applicazioni di pagamento cruciali.
I clienti possono continuare la propria strategia di trasformazione digitale usando l'innovazione tecnologica nel cloud. I clienti esistenti di Thales payShield possono usare le proprie soluzioni di gestione remota esistenti (payShield Manager e payShield TMD insieme ai lettori di smart card e alle smart card associate in base alle esigenze) per lavorare con il servizio HSM di pagamento di Azure. I clienti nuovi a payShield possono ottenere gli accessori hardware da Thales o uno dei suoi partner prima di distribuire il loro HSM come parte del servizio di sottoscrizione.
Casi d'uso tipici
Con vantaggi tra cui bassa latenza e la possibilità di aggiungere rapidamente più capacità HSM in base alle esigenze, il servizio cloud è ideale per un'ampia gamma di casi d'uso, tra cui:
- Elaborazione dei pagamenti
- Autorizzazione di pagamento tramite carta e cellulare
- Convalida del crittogramma PIN & EMV
- Autenticazione 3D-Secure
Emissione delle credenziali di pagamento:
- Schede
- Elementi protetti per dispositivi mobili
- Dispositivi indossabili
- Dispositivi connessi
- Applicazioni HCE (Host Card Emulation)
Protezione delle chiavi e dei dati di autenticazione:
- Gestione delle chiavi POS, mPOS & SPOC
- Caricamento remoto delle chiavi (per dispositivi ATM e POS/mPOS)
- Generazione e stampa PIN
- Routing PIN
Protezione dei dati sensibili:
- Crittografia da punto a punto (P2PE)
- Tokenizzazione di sicurezza (per la conformità PCI DSS)
- Tokenizzazione dei pagamenti EMV
Adatto sia per gli utenti esistenti che per i nuovi utenti di HSM per pagamenti
La soluzione offre vantaggi chiari sia agli utenti del modulo di protezione hardware di pagamento con un footprint HSM locale legacy, sia ai nuovi operatori dell'ecosistema di pagamento senza infrastruttura legacy da supportare e che potrebbero scegliere un approccio nativo del cloud fin dall'inizio.
Vantaggi per gli utenti HSM locali esistenti
- Non sono necessarie modifiche alle applicazioni di pagamento o al software HSM per eseguire la migrazione delle applicazioni esistenti alla soluzione Azure
- Consente una maggiore flessibilità ed efficienza nell'utilizzo dell'HSM
- Semplifica la condivisione dell'HSM tra più team, dispersi geograficamente
- Riduce il footprint del modulo di protezione hardware fisico nei data center legacy
- Migliora il flusso di cassa per i nuovi progetti
Vantaggi per i nuovi partecipanti al pagamento:
- Evitare l'introduzione dell'infrastruttura HSM locale
- Riduce gli investimenti iniziali tramite il modello di sottoscrizione di Azure
- Offre l'accesso all'hardware e al software certificati più recenti su richiesta
Glossario
| Termine | Definizione |
|---|---|
| 3DS | 3D Secure |
| distributore automatico di denaro | Sportello bancomat |
| EMV | Visa Euro Mastercard |
| Standard Federali di Elaborazione delle Informazioni (FIPS) | Standard federali per l'elaborazione delle informazioni |
| HCE | Emulazione scheda host |
| Modulo di protezione hardware | Modulo di protezione hardware |
| mPOS | Punto Vendita Mobile |
| P2PE | Crittografia da punto a punto |
| PCI | Settore delle carte di pagamento |
| Codice PIN | Numero di identificazione personale |
| Punto Vendita | Punto vendita |
| SPOC | Immissione PIN basata su software su soluzioni commerciali pronte all'uso (COTS) |
| TMD | Dispositivo di Gestione Affidabile payShield |
Passaggi successivi
- Informazioni su come iniziare a usare l’HSM di pagamento di Azure
- Vedere alcuni scenari di distribuzione comuni
- Informazioni su Certificazione e conformità
- Leggere le Domande Frequenti