Was ist Azure Payment HSM?

Azure Payment HSM ist ein „BareMetal“-Dienst, der mit Thales payShield 10K-Hardwaresicherheitsmodulen (Hardware Security Modules, HSMs) bereitgestellt wird. Dabei handelt es sich um physische Geräte, die kryptografische Schlüsselvorgänge in Echtzeit für kritische Zahlungstransaktionen in der Azure-Cloud ermöglichen. Azure Payment HSM wurde speziell entwickelt, um einen Dienstanbieter und ein einzelnes Finanzinstitut dabei zu unterstützen, die digitale Transformationsstrategie ihres Zahlungssystems zu beschleunigen und die öffentliche Cloud einzuführen. Dieser Dienst erfüllt die strengsten Anforderungen der Zahlungskartenbranche (Payment Card Industry, PCI) in Bezug auf Sicherheit, Überwachung der Konformität, niedrige Latenz und hohe Leistung.

Zahlungs-HSMs werden bereitgestellt und direkt mit dem virtuellen Netzwerk der Benutzer verbunden. Außerdem unterliegen HSMs der alleinigen administrativen Kontrolle durch die Benutzer. HSMs können problemlos als ein Gerätepaar bereitgestellt und für Hochverfügbarkeit konfiguriert werden. Benutzer des Diensts verwenden Thales payShield Manager für den sicheren Remotezugriff auf die HSMs im Rahmen ihres Azure-basierten Abonnements. Es stehen mehrere Abonnementoptionen zur Verfügung, um eine Vielzahl von Leistungs- und Anwendungsanforderungen zu erfüllen, die schnell entsprechend dem Wachstum des Endbenutzergeschäfts heraufgestuft werden können. Der Azure Payment HSM-Dienst bietet die höchste Leistungsstufe von 2.500 CPS.

Die Azure Payment HSM-Lösung verwendet Hardware von Thales als Anbieter. Kunden haben die vollständige Kontrolle und exklusiven Zugriff auf das Payment HSM.

Wichtig

Azure Payment HSM ist ein hochspezialisierter Dienst. Es wird dringend empfohlen, die Preisseite zu Azure Payment HSM und Erste Schritte mit Azure Payment HSM zu lesen.

Allgemeine Architektur von Azure Payment HSM

Nachdem eine Payment HSM-Instanz bereitgestellt wurde, wird das HSM-Gerät direkt mit einem virtuellen Netzwerk der Kund*innen mit vollständigen HSM-Remoteverwaltungsfunktionen über den Thales payShield Manager und das payShield Trusted Management Device (TMD) verbunden.

Bei der HSM-Bereitstellung werden zwei Hostnetzwerkschnittstellen und eine Verwaltungsnetzwerkschnittstelle erstellt.

Ein Architekturdiagramm mit einem bereitgestellten Payment HSM und den Netzwerkschnittstellen.

Mit dem Azure Payment HSM-Bereitstellungsdienst haben Kunden nativen Zugriff auf zwei Hostnetzwerkschnittstellen und eine Verwaltungsschnittstelle auf dem Payment HSM. Dieser Screenshot zeigt die Azure Payment HSM-Ressourcen innerhalb einer Ressourcengruppe an.

Ein Screenshot, der anzeigt, dass der bzw. die Besitzer*in eines Payment HSM Zugriff auf zwei Hostnetzwerkschnittstellen und eine Verwaltungsschnittstelle hat.

Gründe für die Verwendung von Azure Payment HSM

Der Trend geht dahin, dass Finanzinstitute einige oder alle ihrer Zahlungsanwendungen in die Cloud verlagern, wodurch eine Migration von den lokalen Legacyanwendungen und HSMs zu einer cloudbasierten Infrastruktur erforderlich wird, die im Allgemeinen nicht unter ihrer direkten Kontrolle steht. Oft handelt es sich dabei um einen Abonnementdienst und nicht um den dauerhaften Besitz von physischer Ausrüstung und Software. Unternehmensinitiativen zur Steigerung der Effizienz und für eine geringere physische Präsenz sind die Treiber dieser Veränderung. Umgekehrt ist bei cloudnativen Organisationen die Einführung von Cloud-First ohne lokale Präsenz das grundlegende Geschäftsmodell. Unabhängig vom Grund erwarten die Endbenutzer einer cloudbasierten Zahlungsinfrastruktur eine geringere IT-Komplexität, optimierte Sicherheitskonformität sowie Flexibilität, um ihre Lösung nahtlos entsprechend dem Wachstum ihres Unternehmens zu skalieren.

Die Cloud bietet erhebliche Vorteile, doch müssen bei der Migration einer lokalen Legacyzahlungsanwendung (mit Zahlungs-HSMs) in die Cloud auch Herausforderungen bewältigt werden.

  • Gemeinsame Verantwortung und Vertrauen: Welcher potenzielle Kontrollverlust in einigen Bereichen ist akzeptabel?
  • Latenz : Wie kann eine effiziente, leistungsstarke Verknüpfung zwischen Anwendung und HSM erreicht werden?
  • Alles remote ausführen: Welche vorhandenen Prozesse und Verfahren müssen möglicherweise angepasst werden?
  • Sicherheitszertifizierungen und Überwachungskonformität: Wie werden die aktuellen strengen Anforderungen erfüllt?

Azure Payment HSM begegnet diesen Herausforderungen und bietet den Benutzern des Diensts ein überzeugendes Wertversprechen durch die folgenden Features.

Verbesserte Sicherheit und Konformität

Endbenutzer*innen des Diensts können Investitionen von Microsoft in Sicherheit und Konformität nutzen, um ihren Sicherheitsstatus zu erhöhen. Microsoft unterhält PCI-DSS- und PCI-3DS-konforme Azure-Rechenzentren, einschließlich derjenigen, in denen Azure Payment HSM-Lösungen enthalten sind. Die Azure Payment HSM-Lösung kann als Teil einer validierten PCI-P2PE-/PCI-PIN-Komponente oder -Lösung bereitgestellt werden, um die fortlaufende Einhaltung der Sicherheitsüberwachung zu vereinfachen. In der Sicherheitsinfrastruktur bereitgestellte Thales payShield 10K-HSMs sind gemäß FIPS 140-2 Level 3 und PCI HSM v3 zertifiziert.

Kundenseitig verwaltetes HSM in Azure

Azure Payment HSM ist Teil eines Abonnementdiensts, der HSMs mit nur einem Mandanten anbietet, damit der Dienstkunde vollständige administrative Kontrolle und exklusiven Zugriff auf das HSM hat. Der Kunde kann ein Zahlungsdienstanbieter sein, der im Auftrag mehrerer Finanzinstitute handelt, oder um ein Finanzinstitut, das direkt auf den Azure Payment HSM-Dienst zugreifen möchte. Sobald das HSM einem Kunden zugeordnet ist, hat Microsoft keinen Zugriff auf Kundendaten. Außerdem werden Kundendaten, wenn das HSM nicht mehr benötigt wird, auf Null zurückgesetzt und gelöscht, sobald das HSM freigegeben wird, um vollständigen Datenschutz und Sicherheit zu gewährleisten. Der Kunde ist dafür verantwortlich, dass genügend HSM-Abonnements aktiv sind, um seine Anforderungen an Sicherung, Notfallwiederherstellung und Resilienz zu erfüllen und die gleiche Leistung zu erzielen, die auf den lokalen HSMs verfügbar ist.

Beschleunigen der digitalen Transformation und Innovation in der Cloud

Für Thales payShield-Bestandskunden, die eine Cloudoption hinzufügen möchten, bietet die Azure Payment HSM-Lösung nativen Zugriff auf ein Zahlungs-HSM in Azure für „Lift & Shift“, wobei weiterhin die niedrige Latenz besteht, die sie von ihren lokalen payShield-HSMs gewohnt sind. Die Lösung bietet auch Hochleistungstransaktionen für unternehmenskritische Zahlungsanwendungen.

Kunden können ihre digitale Transformationsstrategie fortsetzen, indem sie Technologieinnovationen in der Cloud nutzen. Thales payShield-Bestandskunden können ihre vorhandenen Remoteverwaltungslösungen (payShield Manager und payShield TMD zusammen mit jeweils zugehörigen Smartcard-Lesegeräten und Smartcards) für das Arbeiten mit dem Azure Payment HSM-Dienst nutzen. Kunden, die bisher noch nicht mit payShield gearbeitet haben, können das Hardwarezubehör von Thales oder einem seiner Partner beziehen, bevor sie ihr HSM im Rahmen des Abonnementdiensts bereitstellen.

Typische Anwendungsfälle

Mit Vorteilen wie geringer Latenz und der Möglichkeit, je nach Bedarf schnell weitere HSM-Kapazitäten hinzuzufügen, ist der Clouddienst perfekt für eine Vielzahl von Anwendungsfällen geeignet. Dazu gehören:

  • Zahlung wird verarbeitet
  • Autorisierung von Karten- und mobilen Zahlungen
  • Kryptogrammvalidierung für PIN und EMV
  • 3D-Secure-Authentifizierung

Ausstellen von Zahlungsanmeldeinformationen:

  • Cards
  • Mobile Sicherheitselemente
  • Wearables
  • Verbundene Geräte
  • HCE-Anwendungen (Hostkartenemulation)

Schützen von Schlüsseln und Authentifizierungsdaten:

  • POS-, mPOS- und SPOC-Schlüsselverwaltung
  • Remoteschlüsselladevorgang (für ATM- und POS/mPOS-Geräte)
  • PIN-Generierung und -Druck
  • PIN-Routing

Schutz vertraulicher Daten:

  • Point-to-Point-Verschlüsselung (P2PE)
  • Sicherheitstokenisierung (für PCI-DSS-Konformität)
  • EMV-Zahlungstokenisierung

Geeignet für Benutzer bestehender und neuer Zahlungs-HSMs

Die Lösung bietet klare Vorteile sowohl für Payment HSM-Benutzer*innen mit einer älteren, lokalen HSM-Infrastruktur als auch für Neueinsteiger*innen in ein Zahlungsökosystem, die nicht über eine zu unterstützende ältere Infrastruktur verfügen und sich von Anfang an für einen cloudnativen Ansatz entscheiden können.

Vorteile für Benutzer*innen eines bestehenden lokalen HSM:

  • Erfordert keine Änderungen an Zahlungsanwendungen oder HSM-Software, um vorhandene Anwendungen zur Azure-Lösung zu migrieren
  • Ermöglicht mehr Flexibilität und Effizienz bei der HSM-Nutzung
  • Vereinfacht die gemeinsame Nutzung des HSM durch mehrere, geografisch verteilte Teams
  • Reduziert den physischen HSM-Bedarf in den älteren Rechenzentren
  • Verbessert den Cashflow für neue Projekte

Vorteile für neue Teilnehmer*innen am Zahlungsverkehr:

  • Vermeiden der Einführung einer lokalen HSM-Infrastruktur
  • Verringern der Vorabinvestitionen durch das Azure-Abonnementmodell
  • Bedarfsgesteuerter Zugriff auf die neueste zertifizierte Hardware und Software

Glossar

Begriff Definition
3DS 3D Secure
ATM Automated Teller Machine (Geldautomat)
EMV Euro Mastercard Visa
FIPS Federal Information Processing Standards (Bundesstandard für Informationsverarbeitung)
HCE Host Card Emulation (Hostkartenemulation)
HSM Hardwaresicherheitsmodul
mPOS Mobile Point of Sale (mobile Verkaufsstelle)
P2PE Point-to-Point Encryption (Point-to-Point-Verschlüsselung)
PCI Payment Card Industry (Zahlungskartenbranche)
PIN Personal Identification Number (persönliche ID-Nummer)
POS Verkaufsstelle
SPOC Software-based PIN Entry on Commercial off the Shelf (COTS) (softwarebasierte PIN-Eingabe bei COTS)
TMD payShield Trusted Management Device

Nächste Schritte