BBVA使用AWS CloudHSM實現(xiàn)完全合規(guī)的NFC支付

當BBVA決定為其客戶提供移動非接觸式支付技術時，它就知道這是一個挑戰(zhàn)。這家全球金融服務集團希望在其移動銀行應用程序中啟用近場通信(NFC)支付，或通過將手機放在支付終端附近進行的非接觸式支付。然而，該解決方案需要符合其產(chǎn)品的所有國際和特定國家標準——移動非接觸式支付受到特別嚴格的規(guī)則的約束。由于BBVA在35個國家/地區(qū)開展業(yè)務，該公司知道開發(fā)新的、符合國際標準的解決方案可能既昂貴又耗時。

為促進符合全球要求并縮小認證和審計范圍，BBVA選擇在Amazon Web Services(AWS)上構建其NFC功能。在開發(fā)并成功實施完全合規(guī)的GP2解決方案后，BBVA成為第一家在秘魯、阿根廷和哥倫比亞推出NFC支付的金融機構。

“使用AWS CloudHSM，我們能夠在不犧牲高質量服務的情況下遵守NFC密鑰管理要求?！?/p>

Alfredo Sanz San Juan

BBVA全球支付技術經(jīng)理兼GP2平臺負責人

NFC支付的跨國經(jīng)營法規(guī)

BBVA成立于1857年，業(yè)務遍及35個國家，包括墨西哥、西班牙、土耳其和秘魯。BBVA的目標是提供可訪問、易于使用的金融服務解決方案來滿足客戶的需求，它已被公認為世界上最好的可持續(xù)金融投資銀行之一。遵守國際和特定國家/地區(qū)的法規(guī)，例如支付卡行業(yè)數(shù)據(jù)安全標準(PCI DSS)要求，是BBVA業(yè)務的重要組成部分。“PCI DSS法規(guī)并不是我們必須滿足的唯一標準，”BBVA全球支付技術經(jīng)理兼GP2平臺負責人Alfredo Sanz San Juan說?！叭虮O(jiān)管機構都有自己的認證和要求，有時比PCI DSS更嚴格。”

在開發(fā)新的金融技術時，BBVA必須考慮PCI DSS認證和審計的時間，這可能會延長項目時間并阻礙創(chuàng)新。該公司經(jīng)常制定策略來克服這些障礙?！拔覀冋趯ふ夷軌驕p少所需審計的時間和成本并且不會使公司目標或項目面臨風險的解決方案，”Sanz說。為了在其移動應用程序中開發(fā)全球兼容的NFC支付功能，BBVA求助于AWS。

自2018年以來，BBVA已使用多項AWS服務來構建其移動NFC解決方案，遵守跨機構的多項法規(guī)，并為其全球客戶提供非接觸式支付功能。

在AWS上構建完全合規(guī)的支付服務

為了支持NFC支付，BBVA需要一個硬件安全模塊(HSM)來管理某些安全密鑰。這一要求為BBVA團隊設置了障礙?！癏SM對我們來說是一個挑戰(zhàn)，”Sanz說?！斑@些類型的機器并不常見，并且具有特定且昂貴的硬件。在本地擴展這些系統(tǒng)也很困難。”BBVA通過使用AWS CloudHSM構建解決方案來解決這個問題，這是一種基于云的HSM，讓開發(fā)人員可以輕松地在AWS上生成和使用他們自己的加密密鑰。“使用AWS CloudHSM，我們能夠在不犧牲高質量服務的情況下遵守NFC密鑰管理要求，”Sanz說?！霸贏WS上，我們可以根據(jù)當前的需求審核或刪除HSM實例，從而進行擴展以滿足高水平的需求?！?/p>

在開發(fā)這個初始項目后，BBVA團隊很快意識到需要改變方向?！拔覀円庾R到我們的架構正在超負荷運行，”Sanz說?！斑@一事實促使我們開發(fā)出一種解決方案，能夠以更低的成本適用于多個用例。”因此，BBVA實施了Amazon Elastic Kubernetes Service(Amazon EKS)——它提供了在AWS或本地啟動、運行和擴展Kubernetes的靈活性——作為其核心架構。BBVA使用Amazon EKS根據(jù)實時需求動態(tài)擴展，與其開發(fā)的第一個解決方案相比，其運營成本降低了80%。

許多AWS服務都經(jīng)過PCI DSS認證，包括AWS CloudHSM，這讓BBVA更容易獲得PCI DSS認證。此外，AWS責任共擔模型—一項在AWS及其客戶之間分擔安全性和合規(guī)性責任的協(xié)議—在BBVA的開發(fā)過程中節(jié)省了資源。“使用AWS責任共擔模型，我們大大減少了PCI DSS審計的時間和范圍，”Sanz說?！芭c物理安全和硬件甚至數(shù)據(jù)庫相關的所有點都被排除在審計范圍之外，因為AWS服務已通過PCI DSS認證?！盙P2解決方案需要2個月的時間才能獲得PCI DSS認證，這個過程是本地解決方案的兩倍?！巴ㄟ^使用AWS，我們可以滿足多項PCI DSS認證要求，”Sanz說。

此外，BBVA可以在AWS上同時在多個國家/地區(qū)部署和實施功能。如果某個功能沒有按預期工作，公司可以快速關閉它，從而實現(xiàn)更加敏捷和靈活的開發(fā)環(huán)境。“我們已經(jīng)構建了改進客戶支付方式的解決方案，”Sanz說。“在這種情況下，我們能夠更準確、更動態(tài)地適應實時需求。當然，在所有這些方面，我們可以保持完全的PCI DSS合規(guī)性?！?/p>

突破金融技術的極限

使用AWS，BBVA能夠構建和實施符合PCI DSS的解決方案。GP2解決方案現(xiàn)已在BBVA域內的多個國家/地區(qū)使用，并為數(shù)十萬用戶提供服務。該公司還計劃在更多國家實施其NFC支付解決方案。

“在AWS上構建這個解決方案提高了我們的創(chuàng)新速度和上市時間，”Sanz說。“通過靈活的解決方案，我們的路線圖上有更多的支付功能。我們的想法是繼續(xù)使用和發(fā)展解決方案，以全球方式提供所有這些新功能。”

BBVA參考架構

關于BBVA

BBVA是一家以客戶為中心的全球金融服務集團，業(yè)務遍及30多個國家。它是墨西哥最大的金融機構之一，在南美和美國太陽帶地區(qū)擁有領先的特許經(jīng)營權，并且是土耳其Garanti BBVA的主要股東。