泰雷兹如何通过亚马逊云科技上的代币化解决方案实现 PCI-DSS 合规性

作者：Sanyam Bassi，首席解决方案架构师 — 泰雷兹
作者：Nizar Kheir，高级解决方案架构师 — 亚马逊云科技

全球范围内正在收紧数据隐私法规，要求组织增强其在云端处理和存储敏感数据的安全态势。对于银行、金融服务和保险 (BFSI) 客户而言，这种情况尤其严重，因为他们继续将其关键工作负载迁移到亚马逊云科技，并且必须遵守支付卡行业数据安全标准 (PCI-DSS) 等严格标准。

在可用的安全控制措施中，代币化是一种安全技术，它用加密生成的称为令牌的非敏感标识符取代持卡人数据（CHD）等敏感支付信息。每个令牌在数学上都与原始数据无关，但保留了其格式，使其既安全又可用。这种方法减少了组织系统中的敏感数据量，从而减少了 PCI-DSS 审计范围内的系统数量，并节省了与合规相关的成本。

实施代币化的组织面临着影响其安全态势和运营效率的架构决策。他们不是孤立地看待代币化，而是将其视为其安全与合规框架不可分割的一部分。这种观点在数据保护和业务敏捷性之间建立了平衡，解决了敏感数据如何流经系统，同时保持运营连续性。

现代代币化架构提供了两种不同的方法来满足业务需求。集中式代币库为整个组织提供统一的控制和简化的代币管理，而分布式、无保管库的解决方案通过实时代币生成而具有优势，无需依赖数据库。选择取决于数据主权要求、性能指标和现有的安全基础架构。随着威胁的出现和法规的发展，组织需要能够实施和配置的安全解决方案和技术，以满足这些不断变化的需求。

泰雷兹提供保管式和无保管式代币化解决方案，帮助组织满足 PCI-DSS 合规性要求。这些解决方案使企业能够实施强大的数据保护机制，同时保持亚马逊云科技云的敏捷性和可扩展性优势。

在这篇文章中，我们将探讨在亚马逊云科技上实施的最新泰雷兹 CipherTrust 代币化解决方案 CipherTrust RESTful 数据保护如何帮助组织满足 PCI-DSS 合规要求，同时保护敏感的支付数据。该平台使用保留格式的令牌替换敏感数据，并且作为基于亚马逊云科技构建的云原生解决方案，可以原生集成到客户的亚马逊云科技环境中。

代币化是泰雷兹 CipherTrust 数据安全平台（CDSP）的关键组成部分，该平台可帮助企业在多个环境和应用程序中保护其数据，同时满足各种安全要求。

泰雷兹 CipherTrust 数据安全平台 (CDSP)

泰雷兹 CDSP 通过三项关键功能帮助用户管理敏感数据：发现、保护和控制。这简化了安全管理并简化了合规性报告。

泰勒斯-cdsp 图 1：泰雷兹 CipherTrust 数据安全平台

泰雷兹 CDSP 的主要优势是：

集中式密钥管理和控制 — 通过单一平台管理多个环境中的所有加密密钥，确保策略和做法的一致性，并通过集中流程来降低管理加密密钥的复杂性，使其更易于部署和维护。
合规性和审计就绪性 — 通过安全地管理和保护敏感数据，确保遵守《通用数据保护条例》(GDPR)、《健康保险流通与责任法案》(HIPAA) 和 PCI-DSS 等监管要求。这包括维护所有关键管理活动的详细日志和报告、简化审计流程和证明合规性
可扩展性和灵活性 — 跨云和本地管理密钥，无论数据位于何处，都能实现无缝的数据保护，同时还可以根据需要使用令牌化、加密和访问控制模块扩展功能。
数据安全性和可用性 — 通过令牌化、加密、数据泛化、数据屏蔽、编辑、细粒度访问控制和高可用性功能，保护静态、传输和使用中的数据，即使在硬件出现故障时也能确保持续服务。
与现有系统集成 — 通过 API 与现有应用程序和工作流程集成，在不中断业务运营的情况下实现无缝采用。

亚马逊云科技上的泰雷兹 CDSP 代币化工作流程

泰雷兹 CDSP 提供保管式和无保管式代币化方法，具有两个基本操作：令牌化（将敏感数据转换为令牌）和解毒（授权后恢复原始数据）。

在令牌化过程中，用户与 Web 应用程序交互，以明文形式提交敏感数据。然后，使用泰雷兹的 CipherTrust 技术安全地对这些数据进行代币化，在将数据存储到数据库之前，将原始敏感数据替换为非敏感等效数据。

在解毒过程中，应用程序从数据库中获取令牌化数据，并根据与用户相对应的预定义访问控制策略对其进行解毒。此过程可确保根据用户的权限将敏感信息暴露给用户，从而在数据的整个生命周期中保持数据安全。

Amazon EKS 上的泰雷兹 CDSP

泰雷兹 CDSP 利用 RESTful API 通过多种加密操作和数据保护方法保护敏感数据。该解决方案使用 Amazon Virtual Private Cloud（Amazon VPC）在亚马逊云科技区域内部署，并利用亚马逊云科技服务为处理敏感数据提供可扩展、安全和合规的环境，而泰雷兹的 CipherTrust 技术则确保了令牌化和密钥管理能力。

它的核心是使用 Amazon Elastic Kubernetes Service（Amazon EKS）集群来协调三个主要组件：

提供用户界面的 WebApp 部署
管理代币化操作的 CipherTrust RESTful 数据保护 (CRDP) pod
处理安全数据存储的 MySQL 部署

代币化过程 图 2：泰雷兹 CDSP 数据代币化流程

如图 2 所示，数据令牌化工作流程从通过亚马逊云科技应用程序负载均衡器 (ALB) 将用户请求分发到 WebApp 容器开始。该架构支持横向扩展同一区域内的多个亚马逊云科技可用区，从而确保高可用性和容错能力。当需要令牌化时，WebApp 容器会将纯文本数据转发到 CRDP 容器。然后，CRDP 容器与泰雷兹虚拟密码信任管理器进行交互，后者托管在位于相同或单独的 VPC 中的单独 Amazon Elastic Compute Cloud (Amazon EC2) 实例上。虚拟 CipherTrust 管理器为代币化过程提供了必要的密钥和保护策略。它充当 CDSP 的中央管理点。它管理关键生命周期任务，包括生成、轮换、销毁、导入和导出，为密钥和策略提供基于角色的访问控制，并支持审计和报告。

CRDP 容器根据在 CipherTrust Manager 中管理的保护策略对数据进行代币化，然后将代币化后的数据发送回 WebApp，WebApp 最终将其存储在 MySQL 数据库中。

排毒过程 图 3：泰雷兹 CDSP 数据解毒流程

图 3 说明了数据解毒过程。当需要解毒时，WebApp 会从 MySQL 数据库检索代币化数据并将其发送到 CRDP 容器。然后，CRDP pod 向泰雷兹的 CipherTrust Manager 咨询与用户对应的策略，并根据用户的访问权限进行排毒。

泰雷兹 CDSP 客户亮点

泰雷兹的 CipherTrust 数据安全平台使全球企业获得了显著的收益。例如，一家金融服务组织迅速发现并保护了超过 50% 的数据，同时集中了 100% 的密钥管理，从而减少了数据泄露的影响。一家电信提供商整合了本地和云端的加密密钥管理。另一家金融公司使用 CipherTrust 来保护资产，同时简化合规和政策管理。

这些客户亮点展示了 CipherTrust 平台在各行各业的广泛适用性和切实的好处。CipherTrust 平台的数据发现、分类、保护和集中式密钥管理功能已帮助企业增强安全性并提高运营效率。

结论

随着金融服务、医疗保健和电信等不同行业的组织将工作负载迁移到云端，他们需要有效的数据保护解决方案来满足合规性要求。泰雷兹在亚马逊云科技上的代币化解决方案可帮助企业使用云计算，同时保持数据安全性和合规性。在亚马逊云科技上使用泰雷兹代币化的组织可以保护敏感数据，包括信用卡号、社会保险号和其他个人身份信息。该解决方案有助于满足 PCI-DSS 要求，同时保护数据免受潜在威胁。

泰雷兹 CipherTrust 与包括 Amazon EKS 和 EC2 在内的亚马逊云科技服务整合，使客户能够使用亚马逊云科技云原生技术构建安全合规的环境来处理敏感数据。

我们邀请各组织探讨泰雷兹在亚马逊云科技上的代币化解决方案如何满足其数据保护和合规性需求。要了解有关在亚马逊云科技上实施泰雷兹代币化解决方案的更多信息以及它如何使您的组织受益，请联系您的亚马逊云科技代表或在 Amazon Marketplace 上咨询泰雷兹的产品。