セキュリティ

AWS Payment Cryptography

Servicio gestionado que proporciona generación y gestión de claves criptográficas en la nube más operaciones criptográficas como verificación de PIN y autenticación de tarjetas para procesamiento de pagos

Unos 4 min de lectura

Descripción general

AWS Payment Cryptography es un servicio completamente gestionado que ejecuta en la nube el procesamiento criptográfico requerido para pagos con tarjetas de crédito y débito. Operaciones que anteriormente se realizaban en HSMs (Hardware Security Modules) on-premises - generación y verificación de bloques PIN, generación y verificación de valores de verificación de tarjeta (CVV/CVC) y cálculo de MAC (Message Authentication Code) - están disponibles vía API. La gestión de claves se realiza en un entorno conforme con PCI DSS y PCI PIN Security, reduciendo significativamente la carga de los operadores de pago para construir y operar su propia infraestructura HSM.

Gestión de claves criptográficas de pago y ciclo de vida

La gestión de claves de Payment Cryptography soporta jerarquías de claves específicas de la industria de pagos. Las claves se importan y exportan de forma segura cifradas bajo KEKs (Key Encrypting Keys), soportando formatos TR-31/TR-34 conformes con protocolos de intercambio de claves de redes de tarjetas (Visa, Mastercard). Los tipos de claves gestionadas incluyen PIN Encrypting Keys (PEK), PIN Verification Keys (PVK), Card Verification Keys (CVK), claves MAC y otras claves dedicadas usadas en cada etapa del procesamiento de pagos. La rotación de claves se gestiona mediante configuraciones de expiración y políticas de rotación automática, con períodos de gracia configurables para descifrado paralelo con claves antiguas y cifrado con claves nuevas. Todo el uso de claves se registra en CloudTrail, sirviendo como pistas de auditoría para el Requisito 3 de PCI DSS.

Procesamiento de PIN y operaciones criptográficas de autenticación de tarjetas

La API del plano de datos de Payment Cryptography ejecuta operaciones criptográficas necesarias en transacciones de pago en tiempo real. Cubre todo el ciclo de vida del pago con tarjeta: traducción de bloques PIN (re-cifrado de bloques PIN recibidos de ATMs con la clave del emisor), verificación de PIN (coincidencia usando métodos IBM 3624 o Visa PVV), generación y verificación de CVV/CVC, y verificación de ARQC (Authorization Request Cryptogram). La latencia de la API es de milisegundos de un solo dígito, proporcionando rendimiento suficiente para procesamiento de autorización en tiempo real. Libros de sistemas de pago en Amazon cubren sistemáticamente el procesamiento criptográfico de pagos con tarjeta.

Cumplimiento y migración desde HSMs on-premises

Payment Cryptography posee certificaciones PCI DSS Level 1, PCI PIN Security y PCI P2PE, permitiendo a los operadores de pago aprovechar los controles del modelo de responsabilidad compartida de AWS en sus evaluaciones de cumplimiento (auditorías QSA). Para la migración desde HSMs on-premises, el procedimiento estándar es exportar claves existentes en formato TR-31 e importarlas en Payment Cryptography. Durante el período de migración, la operación paralela (procesamiento tanto en HSM on-premises como en Payment Cryptography) con migración gradual de tráfico minimiza el riesgo. En cuanto a costos, se eliminan los costos de compra de HSM on-premises, contratos de mantenimiento, costos de centro de datos y costos de personal operativo, transitando a precios de pago por uso basados en volumen de llamadas API. La alta disponibilidad se asegura automáticamente mediante configuración multi-AZ.

共有するXB!

Términos relacionados

AWS KMSAWS CloudHSMAWS CloudTrailAWS IAM

Servicios relacionados

AWS KMSAWS CloudHSMAWS CloudTrailAWS IAM

Artículos relacionados

Módulos de seguridad de hardware - Gestión dedicada de claves criptográficas con AWS CloudHSMAprende sobre la gestión dedicada de claves criptográficas con AWS CloudHSM. Cubre cuándo elegir CloudHSM sobre KMS, cumplimiento FIPS 140-2 Level 3, descarga TLS e integración con Oracle TDE.Detección de permisos excesivos con IAM Access Analyzer - Análisis de acceso externo y permisos no utilizadosDetecta permisos no utilizados en roles IAM mediante análisis basado en CloudTrail y genera automáticamente políticas de mínimo privilegio. Cubre la detección de acceso externo y la integración de verificaciones de políticas personalizadas en pipelines CI/CD.Gestión dedicada de claves con AWS CloudHSM - Cifrado compatible con FIPS 140-2 Level 3Logre gestión de claves compatible con FIPS 140-2 Level 3 con instancias HSM dedicadas. Aprenda cuándo elegir CloudHSM sobre KMS y cómo integrar ambos mediante almacenes de claves personalizados de KMS.Dónde se almacenan las claves de cifrado de KMS - Mecanismo de cifrado de sobre y HSMExplicamos el mecanismo por el cual las claves maestras de KMS se almacenan dentro de HSM certificados FIPS 140-2, el diseño de protección doble de claves de datos con cifrado de sobre y el funcionamiento interno de la rotación de claves.Procesamiento de pagos en la nube con AWS Payment Cryptography - Gestion de claves criptograficas y verificacion de PINExplicamos la gestion de claves criptograficas para pagos, el cifrado y descifrado de bloques PIN, y la conformidad con PCI DSS mediante Payment Cryptography.

Términos y artículos similares

AWS Payment CryptographyServicio gestionado que proporciona gestión de claves criptográficas y operaciones para procesamiento de pagosArquitectura HSM de AWS Payment Cryptography - Profundizando en la infraestructura de cifrado de pagos conforme a PCI DSSAWS Payment Cryptography es un servicio HSM gestionado especializado en la industria de pagos que proporciona cifrado y tokenización conforme a PCI DSS de forma serverless. Este artículo profundiza en los mecanismos técnicos del cifrado de pagos, incluyendo la generación de bloques PIN, la gestión de claves DUKPT y la diferenciación con CloudHSM.Procesamiento de pagos en la nube con AWS Payment Cryptography - Gestion de claves criptograficas y verificacion de PINExplicamos la gestion de claves criptograficas para pagos, el cifrado y descifrado de bloques PIN, y la conformidad con PCI DSS mediante Payment Cryptography.Gestión dedicada de claves con AWS CloudHSM - Cifrado compatible con FIPS 140-2 Level 3Logre gestión de claves compatible con FIPS 140-2 Level 3 con instancias HSM dedicadas. Aprenda cuándo elegir CloudHSM sobre KMS y cómo integrar ambos mediante almacenes de claves personalizados de KMS.