支付合规有保障，亚马逊云科技与百富携手守护客户云上数据安全

百富环球科技有限公司是全球领先电子支付终端解决方案供应商，专注为客户提供卓越、高性价比及优质的产品及服务。2021 年百富年全年收入超过 71 亿港元，净利润实现 10 亿港元里程碑，安卓智能支付终端同比增长 78%（超 32 亿港元）。至今，百富的电子支付终端全球总出货量超过 6000 万台。

概述 | 机会 | 解决方案 | 获得的收益 | 使用亚马逊云科技服务

20%

成本优化

40%

企业级用户产品交付周期缩短

满足

PCI 合规全套云上解决方案

概述

如今，全球各地走向无现金社会的趋向已不可逆转，将为电子支付终端解决方案行业带来巨大机遇。这其中的深度参与者 —— 全球领先的支付终端解决方案供应商 PAX Technology Inc.（简称 “百富”）紧抓机遇，自 2000 年成立起，业务持续呈现增长态势，这既得益于其海外市场渗透率的提升，同时也受益于支付终端智能化的普及和公司 SaaS 服务的不断推进。

为了保障支付卡用户交易安全，百富依托亚马逊云科技覆盖全球的基础设施和完善而丰富的安全合规产品 Amazon CloudHSM 、Amazon Security Hub 等服务，来满足 PCI 合规要求，支撑国际业务的拓展。如今，百富与全球超过 90 家分销商及伙伴合作，销售产品和服务至 120 多个国家，实现强大的「全球布局」。

机会 | 云端支付SaaS服务需提升安全合规能力

随着公司业务版图的持续扩张，百富在北美地区拓展了更多企业级别的长期战略用户，与此同时，对于 SaaS 服务的高可用性、系统安全、扩展性以及项目上线速度都有了更高的要求。

为了顺应金融上云的趋势，自 2020 年开始，百富就将旗下多个重要 SaaS 应用进行了云上迁移，并对项目的云上部署全面实施满足 PCI 合规的解决方案，确保用户信息安全。百富发现，传统的本地合规安全方案在落地过程中常会遇到一些问题，比如：多个供应商提供的各项安全服务标准不统一，难以相互集成，无法集中管理，且部署步骤复杂繁琐等等，迁移上云之后，迫切需要一个基础功能更强大的整体安全解决方案。

“此前，百富的海外业务基本都部署在亚马逊云科技上，” 百富云安全架构顾问李少奕认为：“对于重要战略客户特别关注的安全性需求，如 FIPS 140-2 Level 3，我们更偏向于使用与亚马逊云科技平台兼容性更强、更高效的方案，满足用户特别需求的同时，保障客户服务的稳定性并快速上线。”

亚马逊云科技为我们提供了满足 PCI 合规的全套云上解决方案，确保百富客户在持卡人数据环境 (CDE) 下每一笔交易都安全可靠，同时，其全方位的安全服务为百富提升 PCI 审计效率、减轻架构搭建压力、缩短产品交付周期提供了强大支撑。”

李少奕（Shaoyi Li）
PAX Technology Inc.云安全架构顾问

解决方案 | 在亚马逊云科技上构建安全合规的支付服务

PCI 合规安全服务统一部署、相互集成，多层防护云中安全

百富的云端支付 SaaS 服务一直将云安全视为最重要的技术环节，并且针对企业用户的不同需求，在 PCI 合规的基础上定制更严格的安全解决方案以满足其合规要求。亚马逊云科技不断在云安全领域开发更贴近用户需求的产品，并且持续优化创新以满足用户在某一领域的特殊需求。如 Amazon Security Hub（PCI DSS 合规标准）以及 Amazon CloudHSM 就为百富企业用户的安全合规提供了巨大保障和极大便捷。

李少奕表示：“这也使我们在进行安全架构设计中，有更集中、性价比更高、更优质，以及和我们自身服务兼容性更强的选择。”

更集中 —— 统一采用亚马逊云科技的云服务，可以相互集成，方便管理；
性价比更高 —— 采用即付即用的付费模式，不再需要年付，实现成本优化；
更优质 —— 功能齐全，技术支持强大，可替代市场同类安全产品，云上部署一键式更快速便捷。

百富的安全服务全面采用了亚马逊云科技云原生产品，目前用于 PCI 合规的安全服务包括：Amazon CloudHSM, Amazon IAM, Amazon Shield, Amazon WAF, Amazon GuardDuty, Amazon Secret Manager, Amazon Key Management Service (KMS) 等。

百富基于亚马逊云科技的云安全架构示意图

Amazon CloudHSM 云上专属加密机，满足百富客户特殊合规要求

目前，百富满足企业级用户特殊需求的典型案例是 Amazon CloudHSM，主要用于支付网关环境，百富的企业级战略客户使用这套系统在多租户场景下为其合作商户提供服务。这些企业级客户对于保护用户数据安全都有一套自己的合规规划，其中一些客户特别提出对于保护传输中的用户数据，需要使用符合 FIPS 140-2 Level 3 级别的加密机来保证安全，Amazon CloudHSM 提供经过 FIPS 140-2 Level 3 验证的 HSM 集群，完全可以满足此类需求。

除此之外，百富还根据亚马逊云科技提供的最佳实践以及 PCI 规范要求，在多个方面对 Amazon CloudHSM 进行全面保护，如密钥数据加密、法定身份验证 MFA、用户权限管理及角色访问管理等，进一步提升系统安全性。同时，百富部署了针对 Amazon CloudHSM 的高可用架构，设计出灾备方案以提升系统的稳定性和可用性。更为重要的是，Amazon CloudHSM 由百富完全管控，不与其他用户共享设备，可以进一步提高数据传输过程中的安全性，满足企业级用户的特殊合规需求。

获得的收益 | 通过成熟的技术支持，提升效率，节约成本，缩短交付周期

缩小 CDE 范围，提升审计效率

PCI 合规方案统一使用亚马逊云科技安全服务，将持卡人数据环境 (CDE) 统一集中在亚马逊云科技平台之上，避免审计范围过于宽泛，提高了审计效率。同时，有效利用亚马逊云科技 “责任共担模型”，精准定位百富在合规中的细分分工，减小 PCI 审计压力。

企业级用户产品交付周期缩短 40% 以上

统一安全服务供应商这一举措，在保证质量的同时也节省与各服务供应商分别洽谈、讨论方案和熟悉产品的时间。而在架构设计上采用 Amazon CloudHSM，则节省了搭建混合网络底层架构使用本地 HSM 的时间，亚马逊云科技为百富承担了 PCI 中关于数据中心物理设备访问的审计责任，使其 PCI 审计周期得以缩减，企业级用户产品交付周期缩短 40% 以上。

减轻架构搭建及运维压力，节约成本超过 20%

Amazon CloudHSM 与 HSM 之间的数据同步由亚马逊云科技自动托管，底层架构的管理和创建通过 API 提供给百富运维，大幅减轻 HSM 高可用设计方案和架构搭建的工作量与压力。CloudHSM 的弹性特点也可让百富运维人员随时灵活调整 Amazon CloudHSM 数量，以应对因业务增长而增加的用户链接数量。相对于本地托管和使用第三方服务，Amazon CloudHSM 成本模型架构更简单，成本更低，为百富节约成本超过 20%。

成熟且强大的技术支持，与百富云上应用兼容性强

亚马逊云科技安全团队和架构团队为百富提供强有力的技术服务支持，成熟和功能齐全的 SDK 工具满足了百富云上集成 Amazon CloudHSM 密钥使用和管理的各项功能，同时百富使用 Amazon Simple Storage Service (Amazon S3)、Amazon Lambda 和 Amazon EventBridge 等云原生服务，更好的与 Amazon CloudHSM 集成搭建灾备方案。

未来，百富将围绕亚马逊云科技良好架构框架（Well-Architected Framework）原则，结合其最佳实践全面升级云上 SaaS 应用服务设计，同时将本地私有云部署遗留服务全部迁移到亚马逊云科技。此外，百富还会与亚马逊云科技企业级支持服务（Enterprise Support）团队进行围绕成本、架构设计最佳实践的分析和优化，对重要服务云迁移进行基础事件管理和护航，通过 EOP 服务中的业务总结管理可视化展示百富的云上业务信息，为未来的业务升级提供数据支撑。顺应目前智能化、数字化需求，百富还计划将亚马逊云科技的数据分析、Al等服务引入现有业务之中，更好的满足用户需求。