先日開催されたre:Inforceカンファレンスで、AWSは決済暗号処理を管理する新サービスPayment Cryptographyを発表した。この新しい柔軟なオプションは、決済処理アプリケーションの鍵管理を簡素化し、顧客がPCIセキュリティ要件を満たすのを支援する。
PaymentCryptographyは、通常オンプレミスの決済用ハードウェア・セキュリティ・モジュール(HSM)が提供する、決済に特化した暗号化および鍵管理機能を置き換えるために使用できる。開発者は、平文を公開することなく、決済関連データを暗号化・復号化し、カード会員のPINなどの機密データを管理可能だ。
新しいマネージド・サービスでは、TDES、AES、RSA鍵を含む対称・非対称鍵を管理できる。Payment Cryptographyは、これらの鍵をHSMに保存し、ユースケース間の鍵の分離を強制し、識別とアクセス制御のためのリストとタグをサポートするのだ。AWSのEMEAチーフ・エバンジェリストであるDanilo Poccia氏は次のように説明している。
決済HSMを使用するアプリケーションには、難しい要件がある。なぜなら、決済処理は複雑で、時間に敏感で、高度に規制されており、複数の金融サービスプロバイダーや決済ネットワークとのやり取りが必要だからだ。決済を行うたびに、データは2つ以上の金融サービス・プロバイダー間でやり取りされ、各段階で復号化、変換、暗号化、検証を行う必要がある。
AWSによると、この新サービスは、外部のデータセンターやコロケーション施設に配置された専用のHSMへの依存を最小限に抑えることで、決済仲介者、処理業者、銀行を支援するという。Poccia氏はこう付け加える。
準拠した方法で弾力的な暗号機能を提供するため、AWS Payment CryptographyはPCI PTS HSMデバイスの承認を受けたHSMを使用している。これらの機能には、カードデータの暗号化と復号化、鍵の作成、PINの変換などが含まれるのだ。また、AWS Payment Cryptographyは、PCI DSS、PCI PIN、PCI P2PEなどのPCIセキュリティ標準に準拠して設計されており、コンプライアンスニーズを満たすための証拠とレポートを提供する。
Payment Cryptographyは、AWSが暗号操作のために提供する最初の製品ではない。鍵管理サービス (KMS)は暗号鍵を管理するサービスであり、AWS CloudHSMは専用のシングルテナントHSMを提供し、顧客はクラスタを積極的に管理する必要がある。
この新サービスは初期投資が不要で、APIコール1回あたりの料金(APIコール1万回あたり2ドルから)と、アクティブな鍵の数(アクティブな鍵1つあたり1ドル)の2つの要素に基づく価格設定となっている。ディープ・シンキングのディレクター、ジョナサン・コンウェイ氏は以下のようにツイートしている。
自動化は容易だが、初期段階のFintech企業にとっては、この価格設定は非常に魅力的だ。
この新サービスは現在、米国東部と西部でのみ利用可能である。