Seguridad

Procesamiento de pagos en la nube con AWS Payment Cryptography - Gestion de claves criptograficas y verificacion de PIN

Explicamos la gestion de claves criptograficas para pagos, el cifrado y descifrado de bloques PIN, y la conformidad con PCI DSS mediante Payment Cryptography.

約 8 分で読めます

Descripcion general de Payment Cryptography

Payment Cryptography es un servicio que proporciona gestion de claves criptograficas y operaciones de cifrado para procesamiento de pagos en la nube, conforme a PCI PIN Security y PCI P2PE. Tradicionalmente, el cifrado del procesamiento de pagos requeria HSM on-premises (Thales payShield, Futurex, etc.), pero Payment Cryptography permite la migracion al cloud. PCI PIN Security Requirements garantiza el procesamiento seguro de PIN, y PCI P2PE garantiza el cifrado de extremo a extremo desde el terminal hasta el centro de procesamiento. Los HSM del servicio operan en hardware certificado FIPS 140-2 Level 3, y las claves nunca abandonan el HSM en texto plano. El servicio se separa en dos APIs: Control Plane (creacion y gestion de claves) y Data Plane (ejecucion de operaciones de cifrado). Al otorgar privilegios minimos mediante politicas IAM, puede separar claramente los roles que pueden crear claves de los roles que solo pueden ejecutar operaciones de cifrado.

Operaciones de cifrado de pagos

La API del Control Plane gestiona la creacion, importacion y exportacion de claves criptograficas AES-128/256, TDES y RSA-2048/4096, mientras que la API del Data Plane ejecuta las operaciones de cifrado. PIN Translation es la operacion de re-cifrar un bloque PIN cifrado con la clave del adquirente usando la clave del emisor, utilizada en el procesamiento de switching de redes de pago. La generacion y verificacion de CVV se utiliza durante la emision de tarjetas y la autenticacion de pagos, calculando criptograficamente el valor de verificacion a partir del numero de tarjeta y la fecha de vencimiento. Las claves se importan y exportan en formato de bloque de clave TR-31, permitiendo el intercambio de claves con otros HSM y redes de pago. La generacion y verificacion de MAC (Codigo de Autenticacion de Mensaje) se utiliza para la deteccion de manipulacion de datos de transaccion, soportando ISO 9797-1 Algorithm 1 y Algorithm 3. La verificacion ARQC (Authorization Request Cryptogram) se utiliza en la autenticacion de tarjetas chip EMV, logrando criptograficamente la autenticacion mutua entre la tarjeta y el emisor.

Gestion de claves e integracion con redes de pago

Payment Cryptography soporta tipos de clave especificos de pagos como BDK (Base Derivation Key), IPEK (Initial PIN Encryption Key) y KEK (Key Encryption Key). La importacion y exportacion de claves se realiza en formato de bloque de clave TR-31, asegurando la interoperabilidad con la infraestructura de pagos existente. DUKPT (Derived Unique Key Per Transaction) deriva una clave unica por transaccion, minimizando el riesgo de filtracion de claves. Las operaciones criptograficas requeridas por las redes de pago de Visa, Mastercard y American Express (conversion de bloques PIN, generacion y verificacion de MAC) se pueden ejecutar en la nube. Para aprender exhaustivamente las mejores practicas de Payment Cryptography, consulte libros tecnicos (Amazon).

Casos de uso y patrones de adopcion

Hay tres casos de uso tipicos. Primero, la verificacion de PIN del emisor: cuando un titular de tarjeta ingresa un PIN en un ATM, la API VerifyPinData compara el bloque PIN recibido por la red con los datos de PIN registrados en la emision. Segundo, el procesamiento de switching del procesador de pagos: la API TranslatePinData convierte un bloque PIN recibido del adquirente para el emisor, enrutando transacciones entre redes de pago de marcas internacionales. Tercero, la generacion de CVV/CVC durante la emision de tarjetas: la API GenerateCardValidationData genera criptograficamente un valor de verificacion a partir del numero de tarjeta y la fecha de vencimiento para determinar el valor impreso en la tarjeta. El patron de adopcion tipico es la migracion por fases ejecutandose en paralelo con HSM on-premises existentes. Al exportar claves de HSM existentes en formato de bloque de clave TR-31 e importarlas a Payment Cryptography, puede migrar solo la infraestructura criptografica del backend a la nube sin cambiar los flujos de transaccion existentes.

Comparacion con CloudHSM y KMS

AWS tiene tres servicios de gestion de claves criptograficas con diferentes propositos. KMS es para cifrado de datos de proposito general (cifrado de S3, cifrado de volumenes EBS, Envelope Encryption) y no soporta operaciones especificas de pagos (PIN Translation, derivacion de claves DUKPT). CloudHSM proporciona HSM de proposito general en la nube pero carece de conjuntos de comandos especificos de pagos, requiriendo implementar bibliotecas por cuenta propia. Payment Cryptography se especializa en procesamiento de pagos, proporciona atestacion de conformidad PCI PIN Security/P2PE, y ofrece operaciones especificas de pagos (bloques de clave TR-31, DUKPT, PIN Translation, verificacion ARQC) como APIs. CloudHSM es FIPS 140-2 Level 3 con HSM de tenant dedicado, siendo adecuado para casos de uso no relacionados con pagos (PKI, descarga TLS, protocolos criptograficos personalizados). Payment Cryptography es multi-tenant pero ofrece una adopcion mas facil para casos de uso de pagos ya que proporciona un entorno pre-certificado conforme a PCI. En cuanto a costos, CloudHSM cobra por hora (aproximadamente 1.50 USD/hora por HSM) con altos costos fijos, mientras que Payment Cryptography utiliza precios por clave y por operacion que son mas eficientes en costo para uso de bajo volumen.

Precios de Payment Cryptography

Los precios de Payment Cryptography se componen de la gestion de claves (aproximadamente 1 dolar mensual por clave) y las operaciones de cifrado (aproximadamente 0.85 dolares por cada 10,000 operaciones). Comparado con HSM on-premises (compra de hardware, instalacion en centro de datos, contrato de mantenimiento), no requiere inversion inicial y la facturacion por uso permite la gestion de costos segun el volumen de transacciones. Los costos de mantenimiento de conformidad PCI DSS (auditoria anual, pruebas de penetracion) tambien se pueden reducir con la migracion al cloud. Cuando el volumen de transacciones es bajo, el costo fijo de gestion de claves se convierte en el principal factor de costo. Como practica de gestion del ciclo de vida de claves, se recomienda auditar y eliminar periodicamente las claves no utilizadas para optimizar costos.

Resumen

Payment Cryptography es un servicio que proporciona gestion de claves criptograficas y operaciones de cifrado para pagos en la nube. Soporta DUKPT y bloques de clave TR-31 en un entorno conforme a PCI, ejecutando conversion de bloques PIN y generacion/verificacion de MAC. Elimina la necesidad de comprar, instalar y mantener HSM on-premises, logrando la gestion de costos segun el volumen de transacciones con facturacion por uso. La separacion de Control Plane y Data Plane para diseno de privilegios minimos, combinada con el formato TR-31 para migracion por fases desde la infraestructura existente, es clave para una adopcion exitosa.

Servicios relacionados

AWS Payment CryptographyServicio gestionado que proporciona gestión de claves criptográficas y operaciones para procesamiento de pagosAWS CloudHSMUn servicio que gestiona claves criptográficas con módulos de seguridad de hardware dedicadosAWS KMSServicio administrado de claves de cifrado para crear y gestionar de forma segura las claves utilizadas para cifrar datos

Artículos relacionados

Gestión dedicada de claves con AWS CloudHSM - Cifrado compatible con FIPS 140-2 Level 3Logre gestión de claves compatible con FIPS 140-2 Level 3 con instancias HSM dedicadas. Aprenda cuándo elegir CloudHSM sobre KMS y cómo integrar ambos mediante almacenes de claves personalizados de KMS.Módulos de seguridad de hardware - Gestión dedicada de claves criptográficas con AWS CloudHSMAprende sobre la gestión dedicada de claves criptográficas con AWS CloudHSM. Cubre cuándo elegir CloudHSM sobre KMS, cumplimiento FIPS 140-2 Level 3, descarga TLS e integración con Oracle TDE.Operación administrada de cargas de trabajo MongoDB con Amazon DocumentDB - Modelo de documentos y diseño de consultasGestione datos de documentos con API compatible con MongoDB y logre escalado de lectura y DR con hasta 15 réplicas de lectura y clústeres globales. Explicamos el uso de sharding con clústeres elásticos.

Más sobre este tema

Detección de permisos excesivos con IAM Access Analyzer - Análisis de acceso externo y permisos no utilizadosDetecta permisos no utilizados en roles IAM mediante análisis basado en CloudTrail y genera automáticamente políticas de mínimo privilegio. Cubre la detección de acceso externo y la integración de verificaciones de políticas personalizadas en pipelines CI/CD.Automatización de la gestión de certificados SSL/TLS con AWS Certificate Manager - Desde la emisión hasta la rotaciónExplicamos la emisión gratuita de certificados públicos con ACM, la validación DNS, la renovación automática y el despliegue en ALB y CloudFront.Obtención de informes de cumplimiento con AWS Artifact - Respuesta a auditorías y gestión de contratosPresenta cómo obtener informes de auditoría SOC, PCI DSS e ISO bajo demanda, y aplicar BAA y GDPR DPA de forma masiva a toda la organización con Organizations.Automatización de auditorías - Recopilación continua de evidencias de cumplimiento con AWS Audit ManagerExplica la recopilación automática de evidencias de auditoría con AWS Audit Manager. Presenta la evaluación automática basada en frameworks (SOC 2, PCI DSS, GDPR, etc.), gestión centralizada de evidencias y generación de informes de auditoría.La estructura oculta de los 12 dígitos del ID de cuenta de AWS - Por qué son 12 dígitos y qué se puede inferirUna exploración curiosa de por qué los ID de cuenta de AWS son números de 12 dígitos, la intención de diseño incorporada en la estructura ARN, y las consideraciones de seguridad sobre lo que se puede inferir a partir de un ID de cuenta.Por qué el usuario root de una cuenta AWS es peligroso - Filosofía de diseño de separación de privilegios y práctica de selladoExplicamos por qué el usuario root de AWS tiene privilegios que IAM no puede restringir, la lista de operaciones que solo el usuario root puede realizar, cómo configurar MFA y la estrategia de sellado mediante la gestión de acceso root de Organizations.Gestión de certificados y HTTPS - Operaciones automatizadas de certificados TLS con AWS Certificate ManagerAprenda sobre la emisión de certificados TLS/SSL, renovación automática y despliegue usando AWS Certificate Manager (ACM). Cubre la integración con CloudFront, ALB y API Gateway, validación DNS y uso de Private CA.Gestión dedicada de claves con AWS CloudHSM - Cifrado compatible con FIPS 140-2 Level 3Logre gestión de claves compatible con FIPS 140-2 Level 3 con instancias HSM dedicadas. Aprenda cuándo elegir CloudHSM sobre KMS y cómo integrar ambos mediante almacenes de claves personalizados de KMS.

Artículos y servicios similares

Arquitectura HSM de AWS Payment Cryptography - Profundizando en la infraestructura de cifrado de pagos conforme a PCI DSSAWS Payment Cryptography es un servicio HSM gestionado especializado en la industria de pagos que proporciona cifrado y tokenización conforme a PCI DSS de forma serverless. Este artículo profundiza en los mecanismos técnicos del cifrado de pagos, incluyendo la generación de bloques PIN, la gestión de claves DUKPT y la diferenciación con CloudHSM.AWS Payment CryptographyServicio gestionado que proporciona generación y gestión de claves criptográficas en la nube más operaciones criptográficas como verificación de PIN y autenticación de tarjetas para procesamiento de pagosGestión dedicada de claves con AWS CloudHSM - Cifrado compatible con FIPS 140-2 Level 3Logre gestión de claves compatible con FIPS 140-2 Level 3 con instancias HSM dedicadas. Aprenda cuándo elegir CloudHSM sobre KMS y cómo integrar ambos mediante almacenes de claves personalizados de KMS.AWS CloudHSMServicio que proporciona módulos de seguridad de hardware con certificación FIPS 140-2 Level 3 de uso exclusivo para generar, almacenar claves criptográficas y ejecutar operaciones de cifrado en la nube