Présentation de HSM de paiement Azure

HSM de paiement Azure est un service « nu » fourni en utilisant des modules de sécurité matériels (HSM) de paiement Thales payShield 10K , des appareils physiques qui permettent d’effectuer des opérations de clé de chiffrement pour les transactions de paiement critiques en temps réel dans le cloud Azure. Le service HSM de paiement Azure est spécifiquement conçu pour aider les fournisseurs de services et les établissements financiers à accélérer la stratégie de transformation numérique de leur système de paiement ainsi qu’à adopter le cloud public. Il répond aux exigences les plus strictes en matière de sécurité, de conformité des audits, de faible latence et de performances élevées qui sont exigées par les normes de paiement PCI.

Les HSM de paiement sont provisionnés et connectés directement au réseau virtuel des utilisateurs. En outre, ils sont sous l’administration exclusive des utilisateurs. Ils peuvent être facilement provisionnés sous forme de paires d’appareils et être configurés pour la haute disponibilité. Les utilisateurs du service utilisent Thales payShield Manager pour accéder à distance aux modules HSM de façon sécurisée dans le cadre de leur abonnement Azure. Plusieurs options d’abonnement sont disponibles pour répondre à différents niveaux d’exigences relatives aux performances et à l’utilisation de plusieurs applications. Ces options peuvent être mises à niveau rapidement en fonction du nombre d’utilisateurs finaux. Le service HSM de paiement Azure offre le plus haut niveau de performances, autrement dit 2500 CPS.

La solution HSM de paiement Azure utilise du matériel de Thales en tant que fournisseur. Les clients disposent d’un contrôle total et d’un accès exclusif au HSM de paiement.

Important

HSM de paiement Azure est un service hautement spécialisé. Nous vous recommandons vivement de consulter la page de tarification du HSM de paiement Azure et Bien démarrer avec le HSM de paiement Azure.

Architecture de haut niveau du HSM de paiement Azure

Une fois qu’un module HSM de paiement est configuré, l’appareil HSM est connecté directement au réseau virtuel d’un client, avec des fonctionnalités complètes de gestion de HSM à distance, via Thales payShield Manager et l’appareil de gestion de confiance (TMD) payShield.

Deux interfaces réseau hôtes et une interface réseau de gestion sont créées au moment de la configuration du HSM.

Diagramme d’architecture montrant un HSM de paiement configuré et interfaces réseau.

Avec le service d’approvisionnement HSM de paiement Azure, les clients disposent d’un accès natif à deux interfaces réseau hôtes et à une interface de gestion sur le HSM de paiement. Cette capture d’écran affiche les ressources HSM de paiement Azure au sein d’un groupe de ressources.

Une capture d’écran illustrant que le propriétaire d’un HSM de paiement a accès à deux interfaces réseau hôtes et à une interface de gestion.

Pourquoi utiliser HSM de paiement Azure ?

L’élan se développe à mesure que les institutions financières déplacent une partie ou la totalité de leurs applications de paiement vers le cloud, ce qui nécessite une migration des applications locales et des HSM hérités vers une infrastructure basée sur le cloud qui n’est généralement pas sous leur contrôle direct. Il s’agit souvent d’un service d’abonnement plutôt que de la propriété perpétuelle d’un appareil physique ou d’un logiciel. Les initiatives d’entreprise prises en vue d’améliorer l’efficacité et de réduire la présence physique des employés favorisent cette migration. À l’inverse, dans les organisations cloud natives, l’adoption de la stratégie Cloud First sans aucune présence sur site constitue leur modèle d’entreprise de base. Quelle que soit leur raison, les utilisateurs finaux d’une infrastructure de paiement basée sur le cloud s’attendent à une réduction de la complexité informatique, à une conformité de sécurité simplifiée et à une mise à l’échelle facilitée de leur solution à mesure que leur entreprise s’agrandit.

Le cloud offre des avantages significatifs. Cependant, il nécessite d’affronter les difficultés liées à la migration d’une application de paiement locale héritée (impliquant des HSM de paiement) vers le cloud :

  • Responsabilité partagée et confiance : quel est le degré acceptable de perte potentielle de contrôle à différents niveaux ?
  • Latence : comment est-il possible d’obtenir un lien efficace et performant entre l’application et le module HSM ?
  • Tout exécuter à distance : quels procédures et processus existants doivent être adaptés ?
  • Certifications de sécurité et conformité d’audit : comment les exigences strictes actuelles seront-elles satisfaites ?

Le service HSM de paiement Azure résout ces problèmes et fournit une proposition de valeur attrayante aux utilisateurs du service via les fonctionnalités suivantes.

Amélioration de la sécurité et de la conformité

Les utilisateurs finaux du service peuvent utiliser des investissements qui ont été réalisés en matière de sécurité et de conformité Microsoft pour augmenter leur posture de sécurité. Microsoft gère les centres de données Azure qui sont conformes aux normes PCI DSS PCI 3DS, y compris ceux qui hébergent les solutions HSM de paiement Azure. La solution HSM de paiement Azure peut être déployée dans le cadre d’une solution ou d’un composant PCI P2PE/PCI PIN validé, ce qui contribue à simplifier la conformité d’audit de sécurité continue. Les HSM Thales payShield 10K déployés dans l’infrastructure de sécurité sont certifiés conformes aux normes FIPS 140-2 niveau 3 et PCI HSM v3.

HSM géré par le client dans Azure

Le service HSM de paiement Azure fait partie d’un service d’abonnement qui propose des modules HSM à locataire unique afin que le client puisse bénéficier d’un contrôle administratif complet et d’un accès exclusif au HSM. Le client peut être un fournisseur de services de paiement agissant pour le compte de plusieurs établissements financiers, ou un établissement financier qui souhaite accéder directement au service HSM de paiement Azure. Une fois le HSM alloué à un client, Microsoft n’a pas accès aux données client. De même, lorsque le HSM n’est plus nécessaire, les données client sont mises à zéro et effacées dès que le HSM est libéré pour garantir une confidentialité et une sécurité complètes. Il incombe au client de s’assurer que suffisamment d’abonnements HSM sont actifs pour répondre à ses besoins en matière de sauvegarde, de récupération d’urgence et de résilience, afin d’obtenir les mêmes performances que les modules HSM locaux.

Accélérer la transformation numérique et l’innovation dans le cloud

Pour les clients Thales payShield existants souhaitant ajouter une option cloud, la solution HSM de paiement Azure offre un accès natif à un HSM de paiement dans Azure de type « lift-and-shift » tout en continuant de fournir la faible latence à laquelle ils sont habitués via leurs HSM payShield locaux. La solution offre également des transactions hautes performances pour les applications de paiement stratégiques.

Les clients peuvent poursuivre leur stratégie de transformation numérique en utilisant l’innovation technologique dans le cloud. Les clients Thales payShield existants peuvent utiliser leurs solutions de gestion à distance existantes (payShield Manager et payShield TMD, ainsi que les lecteurs de carte à puce et cartes à puce associés) pour utiliser le service HSM de paiement Azure. Les clients qui débutent avec payShield peuvent sourcer les accessoires matériels auprès de Thales ou de l’un de ses partenaires avant de déployer leur HSM dans le cadre du service d’abonnement.

Études de cas classiques

Avec des avantages comme la faible latence et la possibilité d’ajouter rapidement de la capacité HSM, le service cloud est parfait pour un large éventail de cas d’utilisation, notamment :

  • Traitement du paiement
  • Autorisation de paiement par carte et par mobile
  • Validation du code PIN et du cryptogramme EMV
  • Authentification 3D-Secure

Émission des informations de paiement :

  • Cartes
  • Éléments sécurisés pour mobile
  • Wearables
  • Appareils connectés
  • Applications HCE (Host Card Emulation)

Sécurisation des clés et des données d’authentification :

  • Gestion des clés POS, mPOS et SPOC
  • Chargement des clés à distance (pour les distributeurs automatiques de billets et les appareils POS/mPOS)
  • Génération et affichage du code PIN
  • Routage du code confidentiel

Protection des données sensibles :

  • Chiffrement point à point (P2PE)
  • Création de jetons de sécurité (pour la conformité PCI DSS)
  • Création de jetons de paiement EMV

Convient aussi bien aux nouveaux utilisateurs de HSM de paiement qu’aux utilisateurs existants

La solution offre des avantages clairs aussi bien aux utilisateurs de HSM de paiement disposant de modules HSM sur site hérités, qu’aux nouveaux utilisateurs d’écosystème de paiement n’ayant pas d’infrastructure héritée à prendre en charge et qui peuvent choisir une approche native Cloud dès le départ.

Avantages pour les utilisateurs de HSM locaux existants :

  • La migration des applications existantes vers la solution Azure ne nécessite aucune modification des applications de paiement ou des logiciels HSM
  • Elle accroît la flexibilité et l’efficacité de l’utilisation des HSM
  • Elle simplifie le partage des HSM entre plusieurs équipes dispersées géographiquement
  • Elle réduit l’empreinte des HSM physiques dans les centres de données hérités
  • Elle améliore la trésorerie pour les nouveaux projets

Avantages pour les nouveaux participants au paiement :

  • Elle évite l’introduction d’une infrastructure HSM locale
  • Elle réduit les investissements initiaux via le modèle d’abonnement Azure
  • Elle offre un accès à la demande au matériel et aux logiciels certifiés les plus récents

Glossaire

Terme Définition
3DS 3D Secure
ATM Automated Teller Machine (Distributeur automatique de billets)
EMV Visa Euro Mastercard
FIPS Federal Information Processing Standards (Normes fédérales de traitement des informations)
HCE Host Card Emulation (Émulation de carte hôte)
HSM Module de sécurité matériel
mPOS Mobile Point of Sale (Point de vente mobile)
P2PE Point-to-Point Encryption (Chiffrement point à point)
PCI Payment Card Industry (Industrie des cartes de paiement)
PIN Personal Identification Number (Numéro d’identification personnel)
POS Terminaux
SPOC Software-based PIN Entry on Commercial off the Shelf (COTS) Solutions (Entrée de code confidentiel logicielle dans les solutions COTS)
TMD payShield Trusted Management Device (Appareil de gestion approuvé)

Étapes suivantes