Traducir datos PIN

Las funciones de traducir datos PIN se utilizan para traducir los datos PIN cifrados de un conjunto de claves a otro sin que los datos cifrados salgan del HSM. Se utiliza para el cifrado P2PE, en el que las claves de trabajo deberían cambiar, pero el sistema de procesamiento no necesita descifrar los datos o no está autorizado a hacerlo. Las entradas principales son los datos cifrados, la clave de cifrado utilizada para cifrar los datos y los parámetros utilizados para generar los valores de entrada. El otro conjunto de entradas son los parámetros de salida solicitados, como la clave que se utilizará para cifrar la salida y los parámetros que se utilizarán para crear esa salida. Las salidas principales son un conjunto de datos recién cifrado, así como los parámetros utilizados para generarlo.

nota

Para cumplir con la normativa PCI, los PrimaryAccountNumber valores de entrada y salida deben coincidir. No está permitido traducir un PIN de un PAN a otro.

PIN de PEK a DUKPT

ejemplo

En este ejemplo, traduciremos un PIN de un bloque AES ISO 4 PIN usando el cifrado DUKPT a PEK TDES usando un bloque ISO 0 PIN. Esto es habitual cuando un terminal de pago cifra un PIN en ISO 4 y, después, puede volver a traducirlo al TDES para su procesamiento posterior si la siguiente conexión aún no admite el AES.


$ aws payment-cryptography-data translate-pin-data --encrypted-pin-block "AC17DC148BDA645E" --outgoing-translation-attributes=IsoFormat0='{PrimaryAccountNumber=171234567890123}' --outgoing-key-identifier arn:aws:payment-cryptography:us-east-2:111122223333:key/ivi5ksfsuplneuyt  --incoming-key-identifier arn:aws:payment-cryptography:us-east-2:111122223333:key/4pmyquwjs3yj4vwe --incoming-translation-attributes IsoFormat4="{PrimaryAccountNumber=171234567890123}" --incoming-dukpt-attributes KeySerialNumber="FFFF9876543210E00008"



    {
            "PinBlock": "1F4209C670E49F83E75CC72E81B787D9",
            "KeyArn": "arn:aws:payment-cryptography:us-east-2:111122223333:key/ivi5ksfsuplneuyt",
            "KeyCheckValue": "7CC9E2"
        }

PIN de PEK a PEK

ejemplo

En este ejemplo, traducimos un PIN cifrado con un PEK (clave de cifrado PIN) a otro PEK. Esto se suele utilizar para enrutar transacciones entre diferentes sistemas o socios que utilizan diferentes claves de cifrado y, al mismo tiempo, se mantiene el cumplimiento del PIN PCI al mantener el PIN cifrado durante todo el proceso. En este ejemplo, ambas claves utilizan el cifrado TDES de 3 claves, pero hay una variedad de opciones disponibles, que incluyen AES ISO-4 a TDES ISO-0, DUKPT a PEK o PEK. AS2805


$ aws payment-cryptography-data translate-pin-data --encrypted-pin-block "AC17DC148BDA645E" \
    --incoming-translation-attributes IsoFormat0='{PrimaryAccountNumber=171234567890123}' \
    --incoming-key-identifier arn:aws:payment-cryptography:us-east-2:111122223333:key/ivi5ksfsuplneuyt \
    --outgoing-translation-attributes IsoFormat0='{PrimaryAccountNumber=171234567890123}' \
    --outgoing-key-identifier arn:aws:payment-cryptography:us-east-2:111122223333:key/alsuwfxug3pgy6xh


{
    "PinBlock": "E8F2A6C4D1B93E7F",
    "KeyArn": "arn:aws:payment-cryptography:us-east-2:111122223333:key/alsuwfxug3pgy6xh",
    "KeyCheckValue": "9A325B"
}

El bloque PIN de salida ahora está cifrado con el segundo PEK y se puede transmitir de forma segura al sistema descendente que contiene la clave correspondiente.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Generar, traducir y verificar los datos del PIN

Generar datos PIN