Il lancio dei pagamenti su cloud è un tema che genera ancora parecchie perplessità tra gli istituti finanziari. Uno degli argomenti più discussi e controversi riguarda come implementare gli HSM sul cloud mantenendo gli standard di sicurezza PCI.

Abbiamo ottenuto risposte chiare e pertinenti a tale questione nel corso di una discussione formale con quattro esperti del settore, ovvero un fornitore globale di HSM di pagamento in formula "as a service", un fornitore leader di software per i pagamenti digitali, un acquirer di esercenti per e-commerce globale e un consulente indipendente. Questi esperti ci hanno illustrato come le nuove tecnologie possono eliminare problemi e CAPEX dal processo di migrazione al cloud delle infrastrutture di pagamento essenziali.

Leggi di seguito un riepilogo dei punti salienti di questa discussione. Per assistere al video completo del webinar, compila questo modulo. Buona lettura!

I nostri relatori

Darren Busby, Global Head of Sales di MYHSM, parte delle soluzioni di sicurezza IT di Utimaco. Fornitore globale di HSM di pagamento "as a service".

Dmitry Yatskaer, CTO di OpenWay, fornitore pluripremiato di software per i pagamenti digitali implementabili su cloud e on-premise. OpenWay fornisce ai suoi clienti, banche e processori in tutto il mondo, inclusa Credorax, l'accesso al servizio MYHSM.

Ilya Dubinsky, vicepresidente dell'ufficio CTO di Credorax, un acquirer globale di e-commerce. Credorax è cliente di OpenWay dal 2013 e di MYHSM dal 2021.

Zilvinas Bareisis, Head of Retail Banking Practice presso Celent, società leader di consulenza tecnologica per le istituzioni finanziarie. Ha recentemente concluso una ricerca su attività bancarie e HSM basati su cloud.

Indice dei contenuti

Fai clic su un titolo per passare direttamente alla relativa sezione.

I pagamenti su cloud sono il futuro
Cosa bisogna sapere prima di trasferire gli HSM su cloud
Come funzionano gli standard di sicurezza PCI e HSM su cloud
Affidabilità degli HSM basati su cloud
Aziende partecipanti
Accedi al modulo per visualizzare la registrazione del webinar

I pagamenti su cloud sono il futuro

Zilvinas Bareisis: Quasi il 60% degli istituti finanziari intervistati nella nostra recente ricerca si mostra selettivo riguardo alle modalità di migrazione su cloud dei propri sistemi. Anche se sembra che certi elementi, come le piattaforme di core banking, siano destinati a rimanere on-premise, per il momento, quasi il 40% degli intervistati ha in programma la migrazione su cloud di una parte consistente dei propri sistemi. Negli ultimi anni abbiamo assistito a un cambio di mentalità radicale. Per la maggior parte delle banche, iniziare a operare su cloud è solo questione di tempo. In principio, era soprattutto una questione di hosting, e dunque di riduzione dei costi. Ultimamente, si tratta sempre più di una questione di agilità, velocità di lancio sul mercato e flessibilità. Gli operatori iniziano a rendersi conto dei vantaggi unici offerti dal cloud.

Siamo ancora agli inizi dell'adozione del cloud su vasta scala. Una delle domande che ho posto più spesso è stata: chi sono i potenziali primi utenti? Per capirlo, è utile partire dalla situazione dell'azienda. È un'azienda affermata o uno sviluppatore greenfield? È un emittente o un acquirer? E solo successivamente si deve pensare alla soluzione che si ha in mente. Ovviamente, per una società greenfield, sarà molto più facile iniziare direttamente su cloud. Molte fintech nascono già sul cloud. Per loro è una scelta naturale, visto che non hanno mai conosciuto altre opzioni. Per una banca affermata, che ha sempre gestito la sua infrastruttura di pagamento in sede, la situazione è ben diversa. Con più probabilità essa inizia con un ambiente di test piuttosto che passare direttamente e completamente sulla produzione in un ambiente cloud.

L'altra distinzione è tra emittenti e acquirer. Direi che, probabilmente, sono gli acquirer ad aprire la strada. Un esempio tra tutti è Credorax. Ha davvero rivoluzionato il settore con la sua offerta di servizi innovativa e creativa per gli esercenti. Ma gli enti emittenti stanno recuperando terreno. Anche sul fronte dell'emissione stanno avvenendo molti cambiamenti, ma io punterei sugli acquirer che hanno maggiori probabilità di essere i primi ad addottare servizi basati su cloud.

Le aziende che collaborano con fornitori di software come OpenWay hanno maggiori probabilità di essere le prime ad addottare, rispetto a quelle che lavorano con app sviluppate internamente e profondamente integrate nell'infrastruttura. Parte del motivo è che aziende come OpenWay collaborano e lavorano con fornitori come MYHSM per integrare le loro offerte nelle proprie soluzioni.

Quali sono le tendenze che Lei sta osservando in OpenWay negli ultimi 12 mesi? E come hanno influito sul settore dei pagamenti e sui requisiti dei clienti?

Dmitry Yatskaer: Anche se i nostri clienti hanno dimensioni molto varie e lavorano in ambiti diversi del settore pagamenti, come emissione di carte, acquiring di esercenti o wallet digitali, riscontro tendenze comuni tra loro. OpenWay serve sia aziende affermate come Credorax e Nets in Europa, sia aziende fintech come Enfuce, un innovativo processore di pagamenti su cloud dei paesi nordici, insieme al quale abbiamo vinto il PayTech Award come "Miglior fornitore di soluzioni per sistemi di pagamento su cloud". A quel tempo, gestire le attività di pagamento su cloud non era considerata un'impresa facile.

Il remoto è diventato la nuova normalità negli ultimi 12-18 mesi, a causa degli eventi che tutti ben conosciamo. Preoccupazioni come dove si trova fisicamente il proprio team sono irrilevanti finché si dispone di una buona connessione. Allo stesso tempo, questa situazione ha dato al settore bancario e dei pagamenti una grande spinta verso la preparazione al cloud e alla sua adozione. Si può vedere una tendenza simile nell'adozione dell'e-commerce. Era già in crescita, ma ad un tratto ha visto un'espansione esponenziale. Lo stesso fenomeno si è verificato per l'adozione del cloud. La pandemia ha contribuito a farci considerare il cloud la nuova normalità, piuttosto che una soluzione radicalmente innovativa. Trattandosi di una normalità alquanto recente, i clienti non hanno ancora molta esperienza, con l'eccezione di quelle società greenfield di cui parlava Zil, che sono nate sul cloud. Ma le banche e i processori di pagamento affermati con cui parliamo, sono desiderosi di conoscere l'argomento cloud. E si aspettano da noi che forniamo soluzioni compatibili con vari modelli di implementazione, e su qualsiasi piattaforma, perché non esiste una soluzione cloud che si adatti a tutti. Quindi, dobbiamo essere flessibili. Queste sono le mie osservazioni sugli ultimi 12 mesi.

Quale sarà l'impatto delle tecnologie cloud sulle soluzioni di pagamento?

Zilvinas Bareisis: La premessa da cui siamo partiti, per il trasferimento dei pagamenti su cloud, era la riduzione dei costi. Ma penso che ora gli operatori inizino a rendersi conto che il vantaggio principale è l'agilità. La capacità di "componentizzare" le soluzioni, ovvero permettere al cliente di assemblarsi sul momento una soluzione su misura. Non si tratta più solo del cloud, ovvero del servizio di hosting, ma di intere tecnologie a cui dà accesso, come i microservizi e la connettività API. Sono queste le caratteristiche che conferiscono agilità. L'altro motivo che rende il cloud indispensabile è la resilienza. La pandemia ci ha mostrato quanto la resilienza dei sistemi di pagamento sia fondamentale. I mainframe sono lo standard di riferimento per l'affidabilità, ma il cloud offre elasticità e scalabilità integrate. Basta osservare come sono precipitati improvvisamente i volumi di vendita durante i lockdown, e la marcata differenza tra i volumi delle transazioni transfrontaliere rispetto a quelle dei supermercati, o tra i volumi del settore dei viaggi rispetto a quello delle macchine per fare il pane. Senza il cloud, far fronte a oscillazioni tanto drastiche diventa molto difficile.

Darren Busby: Un altro vantaggio fondamentale del cloud è l'accessibilità indipendente dai confini geografici. Il cloud permette alle aziende che operano in luoghi diversi di implementare le nuove soluzioni di pagamento nelle varie regioni praticamente all'istante. Questo è un chiaro vantaggio.

Per le aziende che ormai utilizzano il cloud, o addirittura nascono su di esso, come si ripercuote tutto questo sulla loro capacità di innovazione?

Darren Busby: Le aziende che nascono su cloud non devono preoccuparsi di gestire processi obsoleti e scomodi legati ai sistemi statici on-premise. Come la gestione dei contanti, le spese commerciali e operative… Tanto per fare un esempio, basta guardare l'ecosistema di pagamento HSM che forniamo in formula "as a service". I costi operativi e gestionali sono assolutamente sproporzionati rispetto al costo del dispositivo stesso. Questo è solo uno degli aspetti che le aziende dovrebbero prendere in considerazione prima di lanciare sul mercato le loro idee innovative. Per gli operatori che intendono lanciare nuovi servizi, scegliere una strategia orientata su cloud permette di ricollocare fondi e risorse che altrimenti andrebbero all'implementazione e alla manutenzione dei sistemi on-premise, mentre potrebbero concentrare quel flusso di entrate sulle loro offerte principali, o su qualunque tecnologia innovativa stiano sviluppando per lanciarla sul mercato, adattarla e innovarla in modo tempestivo.

Le aziende che scelgono le tecnologie cloud moltiplicano i propri vantaggi perché il valore della piattaforma scelta, diciamo Way4 (la piattaforma di OpenWay), si combina con quello della tecnologia del fornitore di servizi cloud. Questo porta ad un aumento dell'affidabilità, ma anche della flessibilità nella scalabilità dell'infrastruttura, in quanto elimina la necessità di sviluppare una capacità ridondante per gestire i picchi. Inoltre, i fornitori di servizi cloud investono nell'affidabilità e nella resilienza dei loro servizi risorse di gran lunga maggiori di quanto una qualsiasi società di pagamenti potrebbe permettersi.

Quali sono le maggiori difficoltà per le società di pagamenti quando iniziano a implementare soluzioni di pagamento basate su cloud o migrano i loro sistemi su cloud?

Ilya Dubinsky: Andando in ordine di priorità, uno degli ostacoli maggiori è che molte soluzioni di pagamento su cloud e molti fornitori di servizi cloud non hanno una chiara visione del settore. Prendiamo un generico fornitore di IaaS. Certo, sono in grado di configurare diversi parametri secondo i requisiti del cliente. Ma non sono in grado di fornirti prontamente la conformità PCI-DSS. È un servizio che solo ora inizia a comparire sul mercato. Gli operatori che selezionano una soluzione cloud generica, non direttamente collegata al settore dei pagamenti, non risolvono il problema della conformità. È un aspetto che ancora si fatica a comprendere nel settore. Noi siamo nati come azienda tecnologica, quindi disponiamo di tutti gli strumenti tecnici per trasferire e migrare i sistemi con relativa facilità. Quindi la sfida più grande è il dover spiegare a molti fornitori come procedere per raggiungere la conformità sia alla legislazione specifica per i pagamenti che a quella europea, ad esempio al GDPR.

Direi che questa è la preoccupazione numero uno. Le altre sono le solite sfide comuni a tutte le aziende: il grado di controllo operativo, la resilienza, la maturità della soluzione e la connettività. Ma non le definirei sfide peculiari del settore. Risolvere il problema della potenza di calcolo condivisa è facile, in teoria: basta collegare insieme un gruppo di computer. Non tutti capiscono la differenza tra saper risolvere quel particolare problema ed essere pronti ad affrontare le sfide del mercato dei pagamenti.

Come si lancia sul mercato una soluzione di pagamento basata su cloud completa?

Dmitry Yatskaer: Dunque, secondo la nostra esperienza generale, bisogna eguagliare l'efficienza di una società nata sul cloud, anche se non ci si è nati. Bisogna sfruttare tutti i vantaggi offerti dal cloud, a partire dal più scontato: la capacità di funzionare su cloud. Per fortuna, noi utilizzavamo già da vari anni un'architettura compatibile col cloud, quindi non abbiamo avuto problemi in questo senso.

L'altra sfida che abbiamo affrontato proprio agli inizi è stata dove collocare i dispositivi HSM fisici. Prima di conoscere MYHSM, è stato per noi un problema serio. Se li collochiamo nel nostro data center, come possiamo assicurare un collegamento affidabile al cloud? Se volessimo collocarli nel nostro stesso paese, dove troviamo un data center vicino a noi? Ormai, anche questo non è più un problema. Ci basta controllare qual è il data center MYHSM più vicino. Per i punti di accesso Visa e MasterCard, naturalmente, sono ancora necessari dispositivi fisici. Ma spero che entro un anno anche questi circuiti implementeranno i punti d'accesso via cloud.

Un altro aspetto interessante, quando crei un'offerta cloud, è che ora i clienti si attendono automaticamente un'offerta di più modelli operativi cloud diversi. Devi assumerti l'esatto livello di onere operativo che richiede il cliente. O, al contrario, non devi occuparti di alcun aspetto operativo, se è questo che vuole il cliente. Ma se ti chiedono di occuparti della conformità PCI DSS, devi accontentarli. Se invece preferiscono occuparsene da soli, devi essere in grado di dargli i consigli giusti.

Insomma, i fornitori di soluzioni di pagamento sono tenuti ad adeguarsi a una moltitudine di modelli cloud diversi, in ogni parte del cloud, in ogni parte del mondo. Quando riesci a fare tutto questo, allora puoi fornire una soluzione cloud completa.

Cosa bisogna sapere prima di trasferire gli HSM su cloud

Zilvinas Bareisis: Alcune delle ricerche che ho svolto durante lo scorso anno riguardavano proprio gli HSM di pagamento e, in particolare, le potenziali difficoltà di migrare gli HSM di pagamento su cloud.

Credo che tutti qui si rendano conto del ruolo indispensabile degli HSM. Sono standard di sicurezza obbligatori, chiunque intenda offrire pagamenti al dettaglio deve averli. Il problema è che i costi legati a eseguire gli HSM dal proprio data center lievitano in fretta. Non solo occorre tenere HSM separati per ciascun ambiente, per esempio uno per i test di produzione e un altro per il backup, ma c'è anche un costo di investimento preliminare, ovvero il ciclo di vita dell'HSM. Ogni 5-7 anni occorre aggiornare i dispositivi: acquistarne di nuovi, smaltire quelli vecchi in sicurezza. Si va incontro a tutta una serie di incombenze, che non richiedono solo costi economici ma anche risorse umane.

E poi ci sono i costi operativi. Si sa che questi HSM dovranno essere integrati nel nostro data center e ne consumeranno le risorse. E, ancora più importante, sarà necessario impiegare personale esperto per far funzionare e gestire non solo la parte hardware, ma anche le chiavi crittografiche, un componente di grande rilevanza che richiede conoscenze specialistiche.

E a tutto questo si sommano i costi per raggiungere la conformità. Bisogna ottenere certificazioni e superare audit non solo per lo standard PCI DSS ma, in base all'ambiente in cui si opera, anche per quelli di PCI PIN Security e PCI Point-to-Point Encryption (P2PE). Tutti questi standard e queste procedure devono essere documentati e corredati da prove. Le certificazioni vanno rinnovate ogni 24 mesi, con tutti i costi annessi. Per la maggior parte delle compagnie è un sollievo liberarsi di tutte queste incombenze.

In passato, gli HSM di pagamento hanno costituito un ostacolo alla migrazione dei pagamenti su cloud. Questo perché fino a oggi, a causa degli standard di sicurezza PCI e requisiti vari, nemmeno i maggiori fornitori di servizi cloud erano in grado di offrire HSM di pagamento. Dunque, è nata l'esigenza di un approccio alternativo.

E per rispondere a tale esigenza nascono gli HSM di pagamento in formula "as a service". Si tratta di un approccio alternativo che porta tutti i vantaggi del cloud garantendo al contempo la costante conformità a tutti i requisiti che un HSM di pagamento deve possedere.

Ma quali requisiti occorre possedere per offrire questo servizio? Quali sono gli elementi costitutivi? Naturalmente è necessario l'hardware, ad esempio gli HSM Utimaco o prodotti equivalenti. Ed è necessario uno spazio fisico dove collocarli, un data center. Per quello ci si può rivolgere a fornitori come Equinix e Cyxtera. In pratica, questi fornitori ti consentono di rimanere a distanza ravvicinata dall'infrastruttura di cloud pubblico e dunque di mantenere tempi di latenza ridotti e una connessione estremamente rapida. Certo, la gestione delle chiavi spetta ancora al cliente, ma uno dei punti di forza dell'HSM as a service è che consente al fornitore di assistere il cliente con la gestione, sia attraverso il modello BYOK (Bring Your Own Key), sia prendendo direttamente in carico la gestione con la formula Key Management as a Service. I vari fornitori differenziano le proprie offerte con servizi aggiuntivi, come la velocità di provisioning, o gli ambienti che mettono a disposizione del cliente. Ma tutti offrono al cliente la garanzia di ottenere le certificazioni, la conformità e gli standard necessari per svolgere la loro attività.

In che modo le aziende possono fornire al mercato una soluzione di pagamento completa per il cloud?

Darren Busby: Per chi non ha mai sentito parlare di noi, forniamo un servizio di gestione completa di HSM di pagamento. Non ci limitiamo a conservare, montare su rack ed eseguire stack di HSM. È un servizio di gestione completa. Ci facciamo carico della maggior parte delle incombenze che coinvolgono gli HSM di pagamento. Il nostro stesso servizio è multi-vendor, completamente certificato per PCI PIN e PCI DSS. Vanta una delle più alte disponibilità sul mercato ed è accessibile a livello globale. Abbiamo iniziato a offrire il servizio due anni fa e operiamo già in 30 paesi, con tempi di operatività del 100%. Offriamo un servizio di estrema rilevanza per qualsiasi società del settore pagamenti, dalle fintech appena nate alle banche di Classe 1 già consolidate. Tutte possono utilizzare il nostro servizio.

Collaboriamo con due fornitori di data center, ovvero Equinix e Cyxtera. Implementiamo i nostri HSM di pagamento a livello globale attraverso i loro data center. Quindi ci appoggiamo a questi fornitori di livello globale, che investono risorse ingenti nei loro data center. Installiamo gli HSM di pagamento presso quei data center e nel Regno Unito abbiamo il servizio che ci permette di controllare, gestire, configurare e fornire supporto per i nostri HSM in tutto il mondo da remoto, indipendentemente da dove si trovano fisicamente. Anche i nostri clienti possono connettersi a noi, indipendentemente dal modello di cloud che utilizzano, anche se utilizzano cloud misti o perfino se hanno un'infrastruttura on-premise. È indifferente. Si tratta di un servizio realmente universale che colma le lacune del cloud pubblico, dove, come è noto, nessun fornitore è in grado di offrire supporto per gli HSM di pagamento.

Come decidere tra un HSM di pagamento on-premise, ibrido o a gestione completa?

Ilya Dubrovsky: La mia società è passata dagli HSM generici del servizio di elaborazione agli HSM on-premise e infine alla soluzione gestita di MYHSM. Tra le ragioni dietro a queste decisioni, vedevamo la disponibilità e la maturità delle soluzioni. Certo, è una decisione difficile spostare un'infrastruttura pagata con CAPEX salatissimo finché non l'hai spremuta fino all'ultima risorsa, specialmente se si tratta di attrezzature relativamente costose, e dopo una procedura di installazione complessa come quella richiesta dagli HSM di pagamento. Eppure non abbiamo mai esitato a migrare sul cloud o a lanciare una nuova applicazione direttamente su cloud, per noi non è mai stato un problema.

Questa nostra mossa ha ragioni ben chiare. Avevamo formulato certe previsioni sulla stabilità globale, che poi si sono rivelate errate. Dietro c'è una storia lunga e non molto allegra. Noi possediamo due data center: uno a Francoforte e l'altro negli Stati Uniti. Durante le fasi di progettazione e implementazione, scherzavamo tra noi sostenendo che con la nostra soluzione avremmo potuto continuare a lavorare anche in caso di un attacco nucleare sulla costa orientale. Poi, un giorno, fu rinvenuta una bomba della Seconda guerra mondiale a Francoforte, proprio a 300 metri dal nostro data center, che dovette essere evacuato. La nostra supposizione n°1 si rivelò errata. Infatti arrivò il divieto di spostamento, rendendo impossibile raggiungere fisicamente i nostri HSM. Non avevamo personale da remoto. Così abbiamo esaminato il quadro generale e abbiamo compreso le sfide a cui andavamo incontro. Quando ci hanno presentato la soluzione MYHSM, abbiamo capito subito che era il servizio adatto a noi.

Darren Busby: Beh, Ilya ha fatto una dichiarazione non da poco. Per i clienti poter scegliere è un lusso. In questo caso, hanno davanti a loro tre scelte per gestire i pagamenti.

Possono fare ciò che le altre società fanno ormai da decenni: acquistare HSM on-premise che necessitano di manutenzione costante. Hanno bisogno di personale per gestirli. Queste risorse stanno diventando più rare e devono collocarsi in almeno due data center diversi per garantire la resilienza e avere sempre un certo numero di HSM. E la lista continua, con le spese ecc.

Possono invece appoggiarsi a Equinix o a un fornitore equivalente, per ridurre il costo di manutenzione del proprio data center. Ma questa soluzione non risolve il problema della conformità. Devono comunque assicurarsi che il loro ambiente ottenga le certificazioni PCI DSS e PCI PIN. Hanno comunque bisogno di personale per farlo funzionare. Hanno comunque bisogno di fare un investimento preliminare per acquistare i dispositivi, hanno comunque quel CAPEX. Devono comunque continuare a preoccuparsi di aggiornamenti, manutenzione e della situazione geografica perché, come abbiamo visto, devono recarsi fisicamente presso quegli HSM. Dunque, questa soluzione offre dei vantaggi a livello logistico, ma non risolve tutti i problemi.

Infine, possono scegliere l'outsourcing e qui entriamo in gioco noi. Offriamo un modello completo: liberiamo il cliente da tutte le spese relative agli HSM di pagamento. Gli HSM sono delle scatole di metallo con spie luminose che giacciono abbandonate nel data center, dimenticate da tutti. Continuano a fare ciò che devono senza che nessuno faccia caso a loro, ma appena smettono di funzionare, il tuo business cessa di esistere. Per questo noi offriamo un servizio di prima classe. Possiamo vantare un tempo di operatività del 100%. Ci rendiamo perfettamente conto delle perplessità delle società che vogliono fare il grande passo: spaventa iniziare a fare le cose in modo diverso rispetto a come si è sempre fatto. Ma noi possiamo vantare un curriculum di tutto rispetto. Collaboriamo con alcune tra le più grandi aziende del mondo, aziende che hanno investito milioni nei loro data center. Abbiamo uno staff molto qualificato ed esperto di HSM di pagamento e l'accesso a queste competenze è un altro vantaggio del servizio che offriamo.

Dunque, le tre opzioni percorribili per le società sono queste. Non esistono molte alternative.

Guarda il webinar →

La piattaforma di OpenWay è compatibile con MYHSM? Per Way4 c'è qualche differenza se il modello di HSM utilizzato per il servizio MYHSM è un Thales o un Utimaco?

Dmitry Yatskaer: La risposta è sì. La nostra piattaforma software per i pagamenti digitali Way4 è compatibile con MYHSM. Abbiamo eseguito dei test per accertarcene. Riguardo alla seconda domanda, il cliente può scegliere il protocollo che desidera. Se, in base alla sua esperienza, un HSM in particolare offre un prezzo più conveniente o altri vantaggi, può sceglierlo liberamente.

Qual è la posizione di Visa e MasterCard sulle soluzioni HSM basate su cloud?

Dmitry Yatskaer: Mantengono una posizione neutrale. Per loro è sufficiente che garantiamo la conformità agli standard PCI DSS, PCI PIN o PCI 3DS. Almeno secondo la nostra esperienza, non sono contrarie al servizio.

Ilya Dubinsky: Non amo usare il termine "HSM su cloud" perché, nella mia esperienza, gli HSM basati su cloud hanno prestazioni mediocri oppure non sono idonei al nostro caso d'utilizzo specifico. Intendo, gli HSM su cloud offerti dai fornitori di servizi cloud non specializzati. Qualcuno ha menzionato Azure, ci siamo informati anche su quello. Quegli HSM non sono idonei all'elaborazione dei PIN. L'importante per i circuiti, stando alla loro stessa documentazione ufficiale, è che la società si sottoponga a un audit e ottenga l'approvazione dal revisore specificatamente selezionato per valutare la procedura di elaborazione del PIN. Qualsiasi soluzione che riesca a ottenere l'approvazione è valida. Anzi, è preferibile orientarsi su un HSM su cloud. Simile alla versione di MYHSM.

MYHSM è più veloce da implementare rispetto a un HSM hardware?

Darren Busby: Senza dubbio. Possiamo collegare il cliente al nostro servizio in 3 giorni lavorativi. Se il cliente desidera connettersi al nostro servizio live condiviso, il nostro SLA richiede 10 giorni lavorativi. Basta confrontarlo con tutte le operazioni necessarie per ottenere l'HSM hardware. Non solo in termini di kit fisico da installare, ma anche di infrastruttura, di risorse umane, di staff, di persone coinvolte. Non c'è paragone.

Ilya Dubinsky: Per noi, la sfida più grande nel connettersi a MYHSM è stata fornire la documentazione appropriata per l'architettura e ottenere la conferma dal team della sicurezza. Il resto del processo è stato una passeggiata.

Come funzionano gli standard di sicurezza PCI per gli HSM su cloud?

In che modo le aziende con soluzioni di pagamento basate su cloud pubblico possono utilizzare il servizio MYHSM e garantire la conformità PCI PIN?

Darren Busby: Il servizio MYHSM è pienamente conforme al PCI PIN. Ciò non significa che il cliente può fare a meno del PCI PIN. È sempre soggetto allo standard PCI PIN, tuttavia la maggior parte delle incombenze e delle responsabilità passano a MYHSM. Nella nostra collaborazione con il cliente, se richiesto, lavoriamo insieme al loro QSA per fornire le prove necessarie a ottenere la certificazione PCI PIN. Lavoriamo con Advantio, uno dei maggiori QSA in Europa. Per questo, per i clienti è un vantaggio scegliere Advantio come QSA. Ma possiamo lavorare con qualsiasi QSA. Quindi la risposta breve è che non esenta la società dal PCI PIN, ma riduce le incombenze che l'azienda deve sostenere per conformarsi.

Per un cliente, qual è il valore aggiunto della soluzione MYHSM rispetto alla soluzione gestita offerta dai provider di cloud pubblici, ad esempio Azure, che affermano di avere tutte le certificazioni di pagamento necessarie?

Darren Busby: Non ho ancora visto alcun servizio Azure che utilizzi HSM di pagamento certificati con PCI PIN. So che offrirlo in forma di servizio ospitato, non completamente gestito, fa parte dei loro piani per il futuro. Ma non so a che punto siano. Il servizio che Azure offre in questo momento è concepito per un utilizzo generico, non supporta i pagamenti.

Dmitry Yatskaer: Si tratta di un malinteso abbastanza comune nel settore. Si pensa che, se un HSM viene offerto da un cloud pubblico e se tale cloud pubblico ha una certificazione PCI DSS, allora anche l'HSM di pagamento sarà conforme allo standard PCI, ma in realtà non è così. Si tratta di un semplice HSM per utilizzo generico, sufficiente per crittografare PAN e dati sensibili del cliente su file. Non è assolutamente in grado di supportare processi come la "traduzione" del PIN o la verifica della crittografia EMV.

Ilya Dubinsky: E anche se fosse in grado di supportarli dal punto di vista tecnico, non andrebbe utilizzato.

Una soluzione come MYHSM torna molto utile nella nostra offerta all'ecosistema di partner. Abbiamo partner in diversi siti, alcuni dei quali hanno grande esperienza nel settore dei pagamenti. Altri, invece, sono appena agli inizi. Quando un fornitore dice loro: "Ma certo che possiamo eseguire la traduzione del PIN, per esempio, il nostro HSM su cloud…", allora interveniamo dicendo: "Per queste operazioni è richiesta la conformità. Quella soluzione non è affatto conforme. Se non ci sono controlli di accesso fisico, non è idoneo per la traduzione del PIN. Tuttavia, possiamo suggerirti un servizio che serve apposta per quello." E questo è un grande aiuto per i nostri partner, perché si ritrovano con un servizio che abbiamo già verificato per loro. Siamo già sicuri che funzioni, e questo semplifica la vita ai partner con meno esperienza. Gli basta implementare una soluzione specifica e passare alla prossima sfida. Abbiamo constatato che i nostri partner hanno ridotto significativamente i tempi di lancio sul mercato.

In che modo MYHSM ha ottenuto il certificato PCI PIN, contando che normalmente è necessaria un'ubicazione fisica per l'HSM?

Darren Busby: Immagino sia questa la ragione per cui i provider pubblici non possono fornire HSM di pagamento: non ci si può aspettare una qualsiasi conformità al PCI PIN da un HSM collegato in un data center Amazon o Google. Noi abbiamo implementato una serie di procedure approvate, perfino per l'apertura della scatola dell'HSM, che richiede doppi comandi. Seguendo queste procedure, garantiamo la continua certificazione PCI PIN del servizio. Gestiamo con la massima cautela il data center. Ai nostri clienti forniamo perfino un attestato di conformità che possono esibire davanti al loro QSA come prova della nostra certificazione.

Che implicazioni hanno le leggi in materia di residenza dei dati per il servizio MYHSM?

Darren Busby: In alcuni paesi vigono delle leggi sulla residenza dei dati, quindi molto spesso i potenziali clienti ci interrogano sulle eventuali ripercussioni, nel caso in cui i dati devano essere conservati per legge in territorio nazionale. La questione della residenza dei dati, per quanto concerne il servizio MYHSM, è questa: noi operiamo HSM di pagamento e dal momento che nessun dato risiede negli HSM di pagamento, il problema non si pone. I dati inviati all'HSM sono completamente crittografati, quindi non possono essere decodificati per identificare una persona. Non si tratta neppure di dati classificabili come informazioni a carattere personale. Quindi, la natura stessa del funzionamento del servizio esclude i problemi relativi alla residenza e alla sovranità dei dati.

Guarda il webinar →

Affidabilità degli HSM basati su cloud

Cosa accade se il carico delle transazioni aumenta improvvisamente? Ha ripercussioni in termini di costi per i clienti? Quali implicazioni comporta per MYHSM e per i clienti in generale?

Dmitry Yatskaer: Offriamo diversi modelli, concordiamo con il cliente su ciò che sia più adatto alle sue preferenze.

Ad esempio, se il cliente gestisce il software da solo, in genere il volume ha poca rilevanza. È sufficiente assicurarsi che l'infrastruttura sia scalabile ed elastica, oppure ridimensionarla preventivamente in previsione del picco. Lo stesso vale per la capacità produttiva dell'HSM, che nella maggior parte dei casi è comunque superiore ai picchi previsti. Darren può dirvi di più.

Per chi sceglie il modello su abbonamento, il modello SaaS, ovviamente può basare l'abbonamento sul volume delle transazioni, se è significativo. La soluzione varia di caso in caso.

Darren Busby: Ogni singolo HSM collegato al nostro servizio sul servizio condiviso è dotato di licenza completa, quindi i clienti possono usufruire della capacità massima del servizio effettivo. Non ci sono limitazioni sul volume in quanto tale. La fattura si basa sull'utilizzo mensile. Dunque non è necessario modificare gli HSM quando il volume aumenta.

Dmitry Yatskaer: I test pratici che abbiamo eseguito mostrano una capacità di circa duemila autorizzazioni al secondo, incluse quelle su cloud. Nelle operazioni reali, il valore maggiore e più veloce che siamo riusciti a raggiungere con la nostra piattaforma è di circa 4.500 autorizzazioni al secondo, e in parallelo circa 7.000 chiamate API al secondo. Noi ci auguriamo che nel settore dei pagamenti si inseriscano tanti nuovi operatori, sia emittenti che acquirer, e che possano sfruttare appieno questi livelli di volume.

Offrite soluzioni active-active in tutte le principali regioni geografiche? Per esempio, in Nord America ed Europa?

Darren Busby: Offriamo soluzioni active-active in molte regioni. Negli Stati Uniti, abbiamo data center sulla costa orientale e occidentale, a San Jose e in Virginia, e anche a Washington, per i nostri clienti statunitensi. Vengono utilizzati anche da alcune società latinoamericane. In Europa, abbiamo data center nel Regno Unito e ad Amsterdam. Sono tutti active-active, come dicevo.

Che impatto ha la latenza sulle prestazioni di un ambiente completamente su cloud con soluzione di pagamento HSM?

Darren Busby: Quella sulla latenza è tra le domande che ci pongono più di frequente, eppure non è l'unico elemento da tenere in considerazione quando si guarda alle prestazioni complessive. Certo, la vicinanza geografica all'HSM del gateway di pagamento è un parametro da considerare, ma non l'unico. Abbiamo clienti fino in Giappone e in Africa meridionale che accedono ai nostri HSM situati in Regno Unito e Amsterdam. E godono di ottime prestazioni. Tuttavia, esistono anche altri modi per ottimizzare il servizio. Ai nostri clienti offriamo delle procedure consigliate volte a ottimizzare il nostro servizio per il gateway di pagamento. Manteniamo un data center in ciascuna regione e, a richiesta, possiamo aprire un nuovo data center a seconda delle necessità.

MYHSM può condividere qualche metrica per valutare la latenza?

Darren Busby: È un po' come misurare la lunghezza di un pezzo di spago. Dipende da dove si trova il gateway di pagamento del cliente e da dove il cliente si connette. Parliamo di meno di dieci millisecondi in andata e ritorno per chiamata. E se il cliente riesce a concatenare queste chiamate HSM per transazione di visitatore in una singola chiamata verso l'HSM, cosa che succede spesso, diventano un paio di millisecondi per chiamata per le transazioni commerciali. Circa 10 millisecondi è già un ottimo tempo. Praticamente impercettibile. Ma su distanze maggiori, la latenza può arrivare a 80-90 millisecondi, a seconda di dove si trova il cliente, e in questo caso c'è tutta una serie di altri fattori da considerare. Tuttavia, diciamo che nel complesso di una transazione commerciale si tratta di tempi gestibili. Finora non abbiamo mai avuto problemi di transazioni poco performanti, indipendentemente da dove si trovi il cliente.

Cosa accade quando un HSM cessa di funzionare?

Dmitry Yatskaer: Ottima domanda. Con Way4 Switch, la faccenda è semplice. Utilizziamo sempre minimo due HSM, quindi se uno cessa di funzionare, le richieste vengono indirizzate tutte a quello ancora attivo. Per chi desidera un'ulteriore protezione, possiamo aggiungere HSM supplementari.

Darren Busby: Noi offriamo al cliente un gruppo di minimo tre HSM a cui connettersi. Ciascun HSM è sempre in stato active-active su due data center situati in ubicazioni fisiche diverse. Così garantiamo una disponibilità del 99.999% anche con un HSM fuori uso. Il cliente può sempre richiedere un servizio dedicato con il numero di HSM che desidera. Ma, generalmente, il minimo è tre.

Aziende partecipanti

Nata nel 1995 come startup, OpenWay è cresciuta fino a diventare leader globale nel settore dei software di pagamento digitale. Le sue soluzioni Way4 coprono l'intera gamma dei pagamenti end-to-end: emissione per tutti i tipi di carte, acquiring end-to-end per canali, switching di pagamento e wallet digitali. Nel corso degli anni, OpenWay è salita in vetta alle classifiche di software per CMS e wallet digitali. Insieme alla società partner Enfuce, innovativo processore per i pagamenti su cloud operante nei paesi nordici, ha vinto il PayTech Award 2019 per i sistemi di pagamento su cloud.

MYHSM fornisce alle aziende una suite di moduli di sicurezza hardware (HSM) di pagamento basati sui modelli Utimaco Atalla AT1000 e Thales payShield 10K, in formula "as a service" completamente gestita e conforme allo standard PCI PIN, in alternativa alla gestione on-premise di una serie di HSM di proprietà.

Fondato nel 1964, Utimaco è un fornitore globale di HSM con una lunga storia alle spalle. Ha sede principale in Germania, sede secondaria negli Stati Uniti, nella Bay Area, e uffici sparsi in tutto il mondo.

Credorax è una banca per acquiring di esercenti autorizzata che fornisce servizi transfrontalieri di smart acquiring a esercenti e fornitori di servizi di pagamento di tutto il mondo. Fedele alle sue radici e al suo orientamento hi-tech, Credorax sta sviluppando la prossima generazione di soluzioni bancarie potenziate dalla tecnologia per l'arena del settore e-commerce.

Celent è una società leader di ricerca e consulenza specializzata in tecnologie per le istituzioni finanziarie a livello globale.

Compila il modulo per accedere alla registrazione completa del webinar:

Nome

Cognome

E-mail aziendale

N.B. Non è possibile registrarsi come partecipanti con un indirizzo email non aziendale (gmail, hotmail ecc.)

Azienda

Qualifica lavorativa

Paese

Inviando i miei dati, accetto di ricevere aggiornamenti sulle soluzioni di pagamento digitali e utili informazioni di settore da OpenWay. Sono consapevole di poter annullare l'iscrizione in qualsiasi momento.

HSM per i pagamenti cloud: tutto quello che volevi sapere