AWS Payment Cryptography とは？

AWS Payment Cryptography は、専用の決済 HSM インスタンスを調達しなくても、ペイメントカード業界 (PCI) 標準に従って支払い処理に使用される暗号化機能とキー管理にアクセスできるマネージド AWS サービスです。AWSPayment Cryptographyを使用すると、アクワイアラー、ペイメントファシリテーター、ネットワーク、スイッチ、プロセッサー、銀行などの決済機能を実行する顧客は、Payment Cryptography業務をクラウド内のアプリケーションに近づけ、専用の決済HSMを含む補助データセンターやコロケーション施設への依存を最小限に抑えることができます。

このサービスは、PCI PIN、PCI P2PE、PCI DSSなどの該当する業界ルールを満たすように設計されており、PCI PTS HSM V3およびFIPS 140-2レベル3認定を受けているハードウェアを活用しています。低レイテンシー、高レベルのアップタイム、耐障害性をサポートするように設計されています。AWSPayment Cryptography は柔軟性が高く、ハードウェアのプロビジョニング、キーマテリアルの安全な管理、安全な施設での緊急バックアップの維持など、オンプレミスHSMの運用要件の多くを排除します。AWSPayment Cryptography では、キーをパートナーと電子的に共有するオプションも用意されているため、ペーパークリアテキストコンポーネントを共有する必要がありません。

AWS Payment Cryptography コントロールプレーン API を使用してキーを作成および管理できます。

AWS Payment Cryptography データプレーン API を使用すると、支払い関連のトランザクション処理や関連する暗号化オペレーションに暗号化キーを使用できます。

AWS Payment Cryptography には、キーの管理に使用できる重要な機能があります。

• TDES、AES、RSA キーなどの対称型および非対称型の AWS Payment Cryptography キーを作成および管理し、CVV 生成や DUKPT キーの導出などの用途を指定します。

• AWS Payment Cryptography キーは、ハードウェアセキュリティモジュール (HSM) で保護された状態で自動的に安全に保存され、ユースケースごとにキーが分離されます。

• エイリアスを作成、削除、一覧表示、および更新します。エイリアスは、「フレンドリ名」であり、これを使用して、AWS Payment Cryptography キーへのアクセスまたはアクセスを制御できます。

• 識別、グループ化、オートメーション、アクセス制御、コスト追跡のために、AWS Payment Cryptography キーにタグ付けします。

• TR-31 (連携運用可能なセキュアキー交換キーブロック仕様) に従い、キー暗号化キー (KEK) を使用して、AWS Payment Cryptography と HSM (またはサードパーティ) 間の対称キーをインポートおよびエクスポートします。

• AWS非対称キーペアを使用する Payment Cryptography システムと他のシステムとの間で対称キー暗号キー (KEK) をインポートおよびエクスポートします。続いて、TR-34 (非対称技術を用いた対称キーの配布方法) などの電子的手段を使用します。

AWS Payment Cryptography キーは、次のような暗号化オペレーションに使用できます。

• 対称または非対称 AWS Payment Cryptography キーを使用して、データを暗号化、復号、再暗号化します。

• PCI PIN ルールに従い、クリアテキストを公開することなく、機密データ (カード所有者 PIN など) を暗号化キー間で安全に変換できます。

• CVV、CVV2、ARQC などのカード会員データを生成または検証します。

• カード会員ピンを生成して検証します。

• MAC 署名を生成または検証します。

関連サービス

AWS Key Management Service

AWS Key Management Service (AWS KMS) は、ユーザーのデータを保護するために使用される、暗号化キーの作成と制御を容易にするマネージドサービスです。AWSKMS では、ハードウェアセキュリティモジュール (HSM) を使用して AWS KMS キーを保護および検証します。

AWS CloudHSM

AWS CloudHSM は、AWS クラウド内の専用の汎用 HSM インスタンスを顧客に提供します。AWS CloudHSM はキーの作成、データ署名、データの暗号化と復号化など、さまざまな暗号化機能を提供できます。

詳細情報

• Payment Cryptography で使用される用語と概念については、「AWSAWS Payment Cryptography の概念」を参照してください。

• Payment Cryptography コントロールプレーン API の詳細については、「AWSAWS Payment Cryptography コントロールプレーン API リファレンス」を参照してください。

• Payment Cryptography データプレーン API の詳細については、「AWSAWS Payment Cryptography データプレーン API リファレンス」を参照してください。

• AWS が暗号化を使用し、KMS キーを保護する方法の詳細な技術情報については、「AWS暗号化の詳細」を参照してください。