AWS Payment Cryptography
提供基于云的支付处理所需加密密钥生成管理及 PIN 验证、卡认证等加密操作的托管服务
概述
AWS Payment Cryptography 是一项在云端执行信用卡和借记卡支付所需加密处理的全托管服务。以前在本地 HSM(硬件安全模块)上执行的操作——PIN 块生成和验证、卡验证值(CVV/CVC)生成和验证、MAC(消息认证码)计算——均可通过 API 使用。密钥管理在符合 PCI DSS 和 PCI PIN Security 要求的环境中执行,大幅减轻支付运营商自建和运维 HSM 基础设施的负担。密钥生命周期管理(生成、轮换、销毁)也可自动化,减少合规审计应对工作。
支付加密密钥管理与生命周期
Payment Cryptography 的密钥管理支持支付行业特有的密钥层级。密钥在 KEK(Key Encrypting Key)下加密安全导入和导出,支持符合卡网络(Visa、Mastercard)密钥交换协议的 TR-31/TR-34 格式。管理的密钥类型包括 PIN 加密密钥(PEK)、PIN 验证密钥(PVK)、卡验证密钥(CVK)、MAC 密钥等支付处理各阶段使用的专用密钥。密钥轮换通过过期设置和自动轮换策略管理,可配置宽限期实现旧密钥解密和新密钥加密的并行运行。所有密钥使用记录在 CloudTrail 中,作为 PCI DSS 要求 3(保护存储的持卡人数据)的审计跟踪。密钥别名功能实现无需更改应用程序代码的透明密钥轮换。
PIN 处理与卡认证加密操作
Payment Cryptography 的数据面 API 实时执行支付交易所需的加密操作。覆盖卡支付的完整生命周期:PIN 块转换(用发卡行密钥重新加密从 ATM 接收的 PIN 块)、PIN 验证(使用 IBM 3624 或 Visa PVV 方法匹配)、CVV/CVC 生成和验证、ARQC(授权请求密码)验证。API 延迟在个位数毫秒级,为实时授权处理提供充足性能。支付系统相关书籍(Amazon)系统介绍卡支付加密处理。还支持 EMV 芯片卡加密处理,执行与 ICC(集成电路卡)相互认证所需的加密操作。
合规性与本地 HSM 迁移
Payment Cryptography 持有 PCI DSS Level 1、PCI PIN Security 和 PCI P2PE 认证,支付运营商可在合规评估(QSA 审计)中利用 AWS 共享责任模型的控制措施。从本地 HSM 迁移的标准流程是以 TR-31 格式导出现有密钥并导入 Payment Cryptography。迁移期间通过并行运行(在本地 HSM 和 Payment Cryptography 上同时处理)逐步迁移流量以最小化风险。成本方面,消除了本地 HSM 购买费用(每台数百万日元)、维护合同、数据中心费用和运维人员成本,转为基于 API 调用量的按量付费。据报告,处理数百万月交易的支付运营商每年可节省数千万日元。高可用性通过多可用区配置自动确保,用户无需设计 HSM 冗余。