发布日期:2024-11-17 浏览次数:
支付处理是所有金融服务提供商和商家的命脉。确保消费者数据的安全对于银行内部网络支付、ACH 转账、支票清算、移动支付和信用卡交易的完整性至关重要。无论采用何种处理方式,支付和转账都必须安全快速地处理——尤其是在交易金额较高的情况下。
幸运的是,组织可以使用Thales HSM (硬件安全模块/加密机) 来解决这些关键用例,这是一种值得信赖的交易和支付安全解决方案,每天用于保护全球超过 1 万亿美元的资金。
作为全球性的金融和支付 HSM 提供商,我们的交易安全解决方案旨在支持信用卡、借记卡、电子钱包和芯片卡、互联网支付应用程序、基于网络的个人识别码 (PIN) 传送等支付处理环境的需求。
Thales Payment HSM
Thales Payment HSM是一种高性能、网络附加硬件安全模块 (HSM),旨在确保金融交易的安全。点击此处了解Thales Payment HSM。
构建点对点加密 (P2PE) 解决方案
借助点对点加密解决方案,商家可以大幅减少PCI DSS合规范围和成本。HSM 是 P2PE 合规解决方案的必需组件,一些领先的 P2PE 应用程序提供商使用 Thales Payment HSM。
安全地传递个人身份证号码
银行和发卡机构一直在努力寻找一种安全且经济高效的 PIN 传递方式。纸质邮件速度慢且容易被欺诈者拦截,而语音系统无法得到有效保护。借助 Thales HSM,PIN 可以通过持卡人和发卡机构之间的安全端到端加密隧道以数字方式传递。
保护电子发票的数字签名
数字签名可建立信任并赋予电子发票有效性。如果用于签署电子发票的证书被盗用,敏感数据将面临危险。Thales HSM可保护数字签名核心的加密密钥和证书,确保发票的完整性。
确保 SSL 可行性
安全套接字层 (SSL) 协议为敏感的在线活动(包括基于 Web 的交易)提供隐私和安全。然而,这使得用于验证 Web 服务器身份的 SSL 数字证书成为网络犯罪分子的目标。硬件安全模块可以帮助克服这一漏洞,并防止网络犯罪分子获取 SSL 证书和加密密钥。
安全的移动支付
移动设备无处不在,消费者越来越需要利用这些技术进行零售支付的新方式。从点对点应用程序到非接触式支付卡,Thales HSM 支持并增强了不断扩展的支付生态系统。
遵守 EMV 安全标准
Thales HSM 特别满足支付处理商、发卡机构、收单机构、商家和电子支付解决方案提供商的需求,他们需要遵守 EMV 安全标准并提供从交易处理到发卡功能的全面EMV 支持。
信用卡和借记卡正在发生变化,发行卡的流程也在发生变化。为了提高安全性并扩大卡的使用方式,万事达卡和维萨卡联合开发了芯片支付卡的 EMV 标准。它们可以被视为包含一个卡上系统,可保护持卡人数据、支付凭证和基于卡的应用程序,从而几乎不可能提取信息和伪造卡,这是传统磁条卡最大的欺诈来源之一。当在 POS 终端或 ATM 上出示卡并输入 PIN 时,卡和持卡人都可以安全地进行身份验证并批准交易。
除了 EMV 卡之外,发卡机构和个性化机构还将面临更广泛的问题——未来支付凭证将如何处理,它们将存放在哪里?在卡中?还是存放在发卡机构不一定能控制的平台上,例如客户的手机或基于云的应用程序?随着支付凭证的配置变得更加动态,并可能以钱包的形式进行汇总和联合,谁将负责安全,最终的责任又将由谁来承担?随着凭证和支付流程的发展,如果发卡机构想继续从这个日益互联的生态系统中获利,就必须制定灵活的流程。
Thales Payment HSM可以帮助您确保安全、合规的发卡流程,助您应对支付卡的持续发展和变革。
确保手机安全,使其能够在实体销售点 (POS) 终端进行信用卡或借记卡交易是一项挑战。基于磁条卡的支付系统已发展到使用 EMV 芯片卡,而自然而然的下一个阶段是利用大多数手机内部的专用安全硬件(称为安全元件)来托管支付应用程序、用户支付凭证和相关加密密钥。
然而,由于各种原因,这种方法很难从试点转向大规模部署——手机缺乏标准化、认证要求复杂,最重要的是,许多银行不愿将控制权交给第三方可信服务管理器 (TSM)。在 TSM 模型中,银行支付“租用安全元件空间”,而安全元件通常由移动网络运营商 (MNO) 或手机制造商控制。为了克服这些挑战,另一种方法正在迅速获得支持——主机卡模拟 (HCE)。使用 HCE,关键支付凭证存储在安全的共享存储库(发卡机构数据中心或私有云)中,而不是手机上。使用主机卡模拟,有限使用凭证会提前传送到手机,以进行非接触式交易。虽然主机卡模拟消除了对 TSM 的需求并将控制权转移回银行,但它带来了一系列不同的安全和风险挑战。
建立集中式服务来存储数百万个支付凭证或按需创建一次性使用凭证,这显然会造成攻击点。尽管银行多年来一直在发行信用卡,但这些系统基本上处于离线状态,不需要与支付令牌(在本例中为塑料卡)进行云端交互。主机卡模拟要求这些服务在线并作为单个支付交易的一部分实时访问。如果不能保护这些服务平台,发卡机构将面临相当大的欺诈风险。
尽管手机不再充当支付凭证的存储,但它仍然发挥着三个关键的安全作用。这三个作用都为凭证或交易信息的盗窃或替换创造了机会。
所有移动支付方案都比传统信用卡支付更复杂,但智能手机用户的期望却极高。移动网络覆盖不佳导致无法使用 HCE 服务,复杂的身份验证方案会导致错误,软件或硬件不兼容会导致一切陷入停顿。需要一种灵活的方法,其中凭证被缓存,基于风险的批准将成为常态,而此时标准将日趋成熟,认证需求也将实施。
主机卡模拟移动支付解决方案
Thales payShield HSM (硬件安全模块/加密机) 目前已投入使用,有助于确保基于 HCE 的解决方案的安全。支付凭证由发卡机构使用 HSM 安全生成并集中存储,发卡机构还可以灵活地决定在任意时间在手机中存储多少个密钥,因此可以涵盖支持离线授权作为发卡机构风险决策一部分的情况。在在线授权情况下(这是 HCE 解决方案的常用部署模式),发卡机构使用 HSM 来验证手机应用程序实时生成的密码,作为非接触式移动支付交易的一部分。在这种情况下,手机应用程序的安全设计至关重要,以确保手机内部的处理限制密钥或敏感数据暴露于欺诈攻击的风险。这就是为什么卡组织在银行开始使用 HCE 服务之前,要对移动支付应用程序安全性进行广泛的验证(包括与发卡机构的接口,涉及 HSM)。
Thales HSM有助于保护基于 HCE 的解决方案
使用与当今全球用于授权卡支付和发行 EMV 卡的相同类型的 Thales HSM 进行 HCE
利用Thales集成合作伙伴生态系统来获取经过验证的基于 HCE 的解决方案,并自动兼容最新的卡方案规范
从 Thales HSM 已支持的一系列加密算法和密钥管理方案中进行选择,以在发卡机构系统和手机之间创建基于硬件的安全会话,从而消除凭证加载过程中的中间人攻击
利用现有的 PCI HSM 认证来简化审计合规性并确保部署最佳的密钥生成和保护方法
移动销售点 (mPOS) 是一种灵活、低成本的方法,它使用硬件加密技术来促进不受信任的设备在不受信任的网络上的使用,从而扩大面对面环境中的卡接受度。下面是Thales HSM 在 mPOS 生态系统中的作用的摘要。
许多涉及小型(或微型)商家的交易(通常在实体零售店之外)不涉及 mPOS 解决方案。相反,这些交易仍然使用现金而不是信用卡或借记卡进行。对于传统银行收单机构和支付服务提供商 (PSP) 来说,这是一个非常大的市场,需要使用基于卡的受理解决方案来解决。
然而,这并不是一件容易的事,因为其中涉及两个潜在竞争因素:商家要求的低成本 和 支付系统要求的高安全性。
多年来,传统销售点 (POS) 终端一直被小商户拒绝,原因是其成本高、合同期限长、用户界面受限且需要遵守 PCI DSS 合规要求。如今,支付行业明显倾向于采用移动销售点 (mPOS) 技术来替代或补充传统 POS 终端。
mPOS 卡支付:当今的挑战
确保智能手机或平板电脑无法访问敏感的支付数据,从而无需对设备进行严格的安全认证
从捕获点到支付网关保护卡数据,确保商家不遵守 PCI DSS 合规要求
能够在没有固定网络连接的零售店外地点安全地接受卡,为商家提供最大的灵活性
降低卡受理设备的供应和配置成本,同时不损害预期的物理安全性,使其成为交易量较低的商家的有吸引力的选择
mPOS 安全解决方案
Thales payShield HSM 已在帮助 PSP 向大量商户提供安全的移动销售点 (mPOS) 解决方案,其中一些商户是首次接受卡支付。HSM 为 PSP 执行三项关键功能 - 管理读卡器的密钥、解密从商户收到的加密交易数据以及转换基于 PIN 的在线交易的 PIN 块。payShield HSM 符合所有相关的支付安全认证标准(FIPS 140-2 Level 3和 PCI HSM),此外还支持 mPOS 交易中使用的各种算法和密钥管理方法 - 并能够添加自定义功能以满足个别 PSP 的要求(如有必要)。通过与 mPOS 生态系统中的众多合作伙伴合作,Thales使所有 PSP 能够从各种读卡器中进行选择,提供快速、高效且经过验证的安全 mPOS 解决方案,同时将集成风险降至最低。
使用 Thales HSM 保护 mPOS
使用 HSM 管理 mPOS 读卡器密钥,以满足特定的支付网关要求——在工厂安全生成和加载,或在发货给商家后通过远程密钥注入
利用与各种领先的 mPOS 读卡器的预先集成,为商家提供更多选择
采用专为 mPOS 设计的硬件/软件组合,开箱即用,符合 PCI HSM 和 PCI P2PE 要求,可简化商家和 PSP 的 PCI DSS 合规性
使用 Thales 示例代码和在线测试环境减少将 HSM 与 mPOS 支付网关集成的时间 - 非常适合刚接触 HSM 和/或点对点加密的 PSP
实现具有完全远程管理灵活性的高弹性硬件 - 确保所有密钥的安全,并能够根据 mPOS 交易量的增长升级性能
智能手机和平板电脑等移动设备的普及不仅为消费者提供了更多选择,还可能大幅扩展移动支付技术生态系统,将移动运营商和手机制造商等新参与者引入其中。多个支付倡导者正在争夺关注,每一方都对消费者的电子钱包(可信凭证来源)应该存放在何处提出了不同的愿景:在卡上、在手机上还是在云端。这些不同的移动支付技术方法带来了新的挑战,在某些情况下,有可能建立新的商业模式。银行发行邮寄给用户的实体卡的传统角色可能会被新类型的中介机构所取代,例如可信服务管理器 (TSM),它们为移动设备提供无线配置功能。
虽然客户的新移动性不断激发创新,但这些变化也带来了新的数据保护挑战。无论组织是发布支付安全凭证和应用程序、接受移动支付还是在后端处理支付,他们都必须确保存储的客户和帐户信息的安全。移动支付交易必须受到保护,无论是通过商店中的近场通信 (NFC)、平板电脑还是通过无线网络使用移动电话进行。每个参与的组织都必须继续遵守不断发展的移动支付安全行业规定。
Thales的产品和服务可以帮助您确保向移动支付的数字化转型,同时保持最高的性能水平。
随着市场不断变化以及移动支付技术不断涌现的创新,企业面临着以下挑战:
保持灵活性,随着移动支付技术的发展,准备好支持各种移动支付场景和商业模式。
警惕可能扰乱现有收入来源的破坏性变化。
并行运行传统和移动支付流程,同时尽可能避免重复处理基础设施和创建不必要的孤岛。
随时了解新兴的移动支付技术和标准,包括发布移动支付安全凭证和应用程序、进行支付和接受支付,以及它们所创造的商业机会和风险。
适应点对点支付,因为它们将市场拓展到了零售业之外。即使在发展中国家,资金兑换的需求也已经引发了超越传统银行模式的创新。
通过接受停车收费表、自动售货机、高速公路通行费和其他购买的微支付,加速向无现金社会的转变,从而减少处理现金的不必要成本和不便。
与新参与者建立关系,包括移动设备供应商、点对点支付服务、钱包提供商、TSM 服务、忠诚度应用程序、消费者信用评分机构等。
移动支付解决方案
Thales的产品和服务可以帮助您将移动支付融入您的业务,同时保持最高水平的性能和移动支付安全性。payShield 10K HSM 集成了专门设计的功能,使参与向手机发布应用程序的各方能够安全地配置这些应用程序。此外,还可以安全地配置其他类型的应用程序,包括使用 NFC 的非接触式支付卡应用程序、点对点支付应用程序等等。Thales的解决方案基于 GlobalPlatform 卡规范版本 2.2 和 EMV 卡个性化规范 (CPS V1.1),能够根据 Global Platform 安全通道协议 02 (SCP02) 与安全元件 (SE) 建立安全会话,并为 SE 准备安全消息。
Thales将成熟的产品与在凭证管理、支付相关法规以及当今组织面临的各种数据保护挑战方面的深厚专业知识和经验相结合,帮助您充分利用新兴机遇,同时保持高保证的基础设施,既高效又完全符合新兴行业要求和谨慎标准。
我们的解决方案具有多种优势,包括:
发现并解决不断发展的移动支付模式和流程所带来的新的数据保护挑战。
在整个移动支付过程中有效地管理加密密钥。
实施经过验证、认证、防篡改的安全解决方案,同时不影响性能。
加速部署;Thales产品可与领先供应商的支付处理软件集成。
保持灵活性以适应移动支付流程和商业模式的变化。
为了使商业活动顺利进行,使用信用卡或借记卡购买产品或服务的行为必须保持简便、高效和安全。支付处理受到严格监管,并且不断变化。如今,每次购买都会启动一个复杂、自动化且高度集成的过程,不仅涉及商家,还涉及银行、收单机构、支付处理商以及可能的其他众多参与者。不久前,这个社区还是一个相对较小的组织俱乐部,运营着一个基本上孤立的网络,但这种情况已逐渐改变。一系列变化——智能手机和数字钱包等技术、购买习惯的转变、个人接受卡支付的需求以及对点对点支付日益增长的兴趣——在行业内引发了激烈的竞争,因为组织争相保持自己的地位或打破现状。如今的整个支付生态系统不再是一组孤立的支付流程,而是更广泛的商业格局的一个组成部分——作为必须涵盖互联网、移动设备、社交网络和云服务的全面 IT 安全框架的一部分,它在欺诈管理和数据隐私方面发挥着不可或缺的作用。
利用新的安全支付处理技术来简化和增强用户体验。在线交易已经改变了支付行业,非接触式卡、移动支付和配备读卡器的智能手机的潜力都可能预示着下一次革命。
适应点对点支付,因为它们将市场拓展到了零售业之外。即使在发展中国家,资金兑换的需求也已经引发了超越传统银行模式的创新。
通过接受停车收费表、自动售货机、高速公路通行费和其他购买的微支付,加速向无现金社会的转变,从而减少处理现金的不必要成本和不便。
坚决打击欺诈行为。电子商务已经证明,新技术几乎总是会带来新的威胁,并助长欺诈行为,这不仅包括滥用支付网络,还包括窃取可用于其他地方的数据。对于许多人来说,应对无卡欺诈是支付处理安全的下一个前沿。
与国际举措和技术保持一致。支付网络是全球基础设施,攻击者往往会利用最薄弱的环节。EMV 和 3D-Secure 等全球反欺诈举措已在某些市场建立,并正在向新市场推广 — 例如美国的 EMV。
确保遵守广泛的数据隐私义务。PCI 标准套件的演变只是隐私授权和数据泄露披露法律的冰山一角,其中大部分都强调了财务和支付相关数据的特殊重要性。
Thales HSM和相关产品经过专门设计,可满足并超越支付处理安全的行业标准和监管要求,并保持您的系统和内部流程灵活且可扩展。凭借Thales在支付处理市场的丰富专业知识和领导地位,以及我们与领先支付处理供应商的长期合作伙伴关系,这些成熟的产品和服务将降低您的风险、削减您的成本并帮助您的支付基础设施面向未来。
Thales的专用支付组合可以满足您的合规义务并创建高保证、灵活且易于管理的支付基础设施。
有效、高效地管理整个支付基础设施的加密密钥和硬件模块。
实施经过验证、认证的基于硬件的安全解决方案,并选择适合您要求的性能选项。
由于Thales产品可以与领先供应商的支付处理软件开箱即用地集成,因此可以加速部署。
简化甚至在某些情况下减少合规义务的范围。
利用广泛的 EMV 支持和部署专业知识。
在支付处理和卡及移动发行操作之间提供一致的 HSM 管理框架。
您可以直接联系我们获取更多资料,您还可以与揽阁信息的安全专家一起交流和讨论您的定制化解决方案。
揽阁信息 · 值得您信赖的信息安全顾问!
沪公网安备31011202021337号 网站地图
友情链接: Thales官网 芯片产品网站 服务热线
