BBVA使用AWS CloudHSM實(shí)現(xiàn)完全合規(guī)的NFC支付

當(dāng)BBVA決定為其客戶提供移動(dòng)非接觸式支付技術(shù)時(shí)，它就知道這是一個(gè)挑戰(zhàn)。這家全球金融服務(wù)集團(tuán)希望在其移動(dòng)銀行應(yīng)用程序中啟用近場(chǎng)通信(NFC)支付，或通過(guò)將手機(jī)放在支付終端附近進(jìn)行的非接觸式支付。然而，該解決方案需要符合其產(chǎn)品的所有國(guó)際和特定國(guó)家標(biāo)準(zhǔn)——移動(dòng)非接觸式支付受到特別嚴(yán)格的規(guī)則的約束。由于BBVA在35個(gè)國(guó)家/地區(qū)開(kāi)展業(yè)務(wù)，該公司知道開(kāi)發(fā)新的、符合國(guó)際標(biāo)準(zhǔn)的解決方案可能既昂貴又耗時(shí)。

為促進(jìn)符合全球要求并縮小認(rèn)證和審計(jì)范圍，BBVA選擇在Amazon Web Services(AWS)上構(gòu)建其N(xiāo)FC功能。在開(kāi)發(fā)并成功實(shí)施完全合規(guī)的GP2解決方案后，BBVA成為第一家在秘魯、阿根廷和哥倫比亞推出NFC支付的金融機(jī)構(gòu)。

“使用AWS CloudHSM，我們能夠在不犧牲高質(zhì)量服務(wù)的情況下遵守NFC密鑰管理要求?！?/p>

Alfredo Sanz San Juan

BBVA全球支付技術(shù)經(jīng)理兼GP2平臺(tái)負(fù)責(zé)人

NFC支付的跨國(guó)經(jīng)營(yíng)法規(guī)

BBVA成立于1857年，業(yè)務(wù)遍及35個(gè)國(guó)家，包括墨西哥、西班牙、土耳其和秘魯。BBVA的目標(biāo)是提供可訪問(wèn)、易于使用的金融服務(wù)解決方案來(lái)滿足客戶的需求，它已被公認(rèn)為世界上最好的可持續(xù)金融投資銀行之一。遵守國(guó)際和特定國(guó)家/地區(qū)的法規(guī)，例如支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)(PCI DSS)要求，是BBVA業(yè)務(wù)的重要組成部分?！癙CI DSS法規(guī)并不是我們必須滿足的唯一標(biāo)準(zhǔn)，”BBVA全球支付技術(shù)經(jīng)理兼GP2平臺(tái)負(fù)責(zé)人Alfredo Sanz San Juan說(shuō)?！叭虮O(jiān)管機(jī)構(gòu)都有自己的認(rèn)證和要求，有時(shí)比PCI DSS更嚴(yán)格?！?/p>

在開(kāi)發(fā)新的金融技術(shù)時(shí)，BBVA必須考慮PCI DSS認(rèn)證和審計(jì)的時(shí)間，這可能會(huì)延長(zhǎng)項(xiàng)目時(shí)間并阻礙創(chuàng)新。該公司經(jīng)常制定策略來(lái)克服這些障礙。“我們正在尋找能夠減少所需審計(jì)的時(shí)間和成本并且不會(huì)使公司目標(biāo)或項(xiàng)目面臨風(fēng)險(xiǎn)的解決方案，”Sanz說(shuō)。為了在其移動(dòng)應(yīng)用程序中開(kāi)發(fā)全球兼容的NFC支付功能，BBVA求助于AWS。

自2018年以來(lái)，BBVA已使用多項(xiàng)AWS服務(wù)來(lái)構(gòu)建其移動(dòng)NFC解決方案，遵守跨機(jī)構(gòu)的多項(xiàng)法規(guī)，并為其全球客戶提供非接觸式支付功能。

在AWS上構(gòu)建完全合規(guī)的支付服務(wù)

為了支持NFC支付，BBVA需要一個(gè)硬件安全模塊(HSM)來(lái)管理某些安全密鑰。這一要求為BBVA團(tuán)隊(duì)設(shè)置了障礙?！癏SM對(duì)我們來(lái)說(shuō)是一個(gè)挑戰(zhàn)，”Sanz說(shuō)。“這些類(lèi)型的機(jī)器并不常見(jiàn)，并且具有特定且昂貴的硬件。在本地?cái)U(kuò)展這些系統(tǒng)也很困難。”BBVA通過(guò)使用AWS CloudHSM構(gòu)建解決方案來(lái)解決這個(gè)問(wèn)題，這是一種基于云的HSM，讓開(kāi)發(fā)人員可以輕松地在AWS上生成和使用他們自己的加密密鑰?！笆褂肁WS CloudHSM，我們能夠在不犧牲高質(zhì)量服務(wù)的情況下遵守NFC密鑰管理要求，”Sanz說(shuō)。“在AWS上，我們可以根據(jù)當(dāng)前的需求審核或刪除HSM實(shí)例，從而進(jìn)行擴(kuò)展以滿足高水平的需求?！?/p>

在開(kāi)發(fā)這個(gè)初始項(xiàng)目后，BBVA團(tuán)隊(duì)很快意識(shí)到需要改變方向?！拔覀円庾R(shí)到我們的架構(gòu)正在超負(fù)荷運(yùn)行，”Sanz說(shuō)。“這一事實(shí)促使我們開(kāi)發(fā)出一種解決方案，能夠以更低的成本適用于多個(gè)用例。”因此，BBVA實(shí)施了Amazon Elastic Kubernetes Service(Amazon EKS)——它提供了在AWS或本地啟動(dòng)、運(yùn)行和擴(kuò)展Kubernetes的靈活性——作為其核心架構(gòu)。BBVA使用Amazon EKS根據(jù)實(shí)時(shí)需求動(dòng)態(tài)擴(kuò)展，與其開(kāi)發(fā)的第一個(gè)解決方案相比，其運(yùn)營(yíng)成本降低了80%。

許多AWS服務(wù)都經(jīng)過(guò)PCI DSS認(rèn)證，包括AWS CloudHSM，這讓BBVA更容易獲得PCI DSS認(rèn)證。此外，AWS責(zé)任共擔(dān)模型—一項(xiàng)在AWS及其客戶之間分擔(dān)安全性和合規(guī)性責(zé)任的協(xié)議—在BBVA的開(kāi)發(fā)過(guò)程中節(jié)省了資源?！笆褂肁WS責(zé)任共擔(dān)模型，我們大大減少了PCI DSS審計(jì)的時(shí)間和范圍，”Sanz說(shuō)?！芭c物理安全和硬件甚至數(shù)據(jù)庫(kù)相關(guān)的所有點(diǎn)都被排除在審計(jì)范圍之外，因?yàn)锳WS服務(wù)已通過(guò)PCI DSS認(rèn)證?！盙P2解決方案需要2個(gè)月的時(shí)間才能獲得PCI DSS認(rèn)證，這個(gè)過(guò)程是本地解決方案的兩倍?！巴ㄟ^(guò)使用AWS，我們可以滿足多項(xiàng)PCI DSS認(rèn)證要求，”Sanz說(shuō)。

此外，BBVA可以在AWS上同時(shí)在多個(gè)國(guó)家/地區(qū)部署和實(shí)施功能。如果某個(gè)功能沒(méi)有按預(yù)期工作，公司可以快速關(guān)閉它，從而實(shí)現(xiàn)更加敏捷和靈活的開(kāi)發(fā)環(huán)境?！拔覀円呀?jīng)構(gòu)建了改進(jìn)客戶支付方式的解決方案，”Sanz說(shuō)。“在這種情況下，我們能夠更準(zhǔn)確、更動(dòng)態(tài)地適應(yīng)實(shí)時(shí)需求。當(dāng)然，在所有這些方面，我們可以保持完全的PCI DSS合規(guī)性?！?/p>

突破金融技術(shù)的極限

使用AWS，BBVA能夠構(gòu)建和實(shí)施符合PCI DSS的解決方案。GP2解決方案現(xiàn)已在BBVA域內(nèi)的多個(gè)國(guó)家/地區(qū)使用，并為數(shù)十萬(wàn)用戶提供服務(wù)。該公司還計(jì)劃在更多國(guó)家實(shí)施其N(xiāo)FC支付解決方案。

“在AWS上構(gòu)建這個(gè)解決方案提高了我們的創(chuàng)新速度和上市時(shí)間，”Sanz說(shuō)。“通過(guò)靈活的解決方案，我們的路線圖上有更多的支付功能。我們的想法是繼續(xù)使用和發(fā)展解決方案，以全球方式提供所有這些新功能?！?/p>

BBVA參考架構(gòu)

關(guān)于BBVA

BBVA是一家以客戶為中心的全球金融服務(wù)集團(tuán)，業(yè)務(wù)遍及30多個(gè)國(guó)家。它是墨西哥最大的金融機(jī)構(gòu)之一，在南美和美國(guó)太陽(yáng)帶地區(qū)擁有領(lǐng)先的特許經(jīng)營(yíng)權(quán)，并且是土耳其Garanti BBVA的主要股東。