PIN データ変換

この例では、DUKPT を使用した AES ISO 4 PIN ブロックから ISO 0 PIN ブロックを使用した PEK TDES 暗号化に PIN を変換します。これは、支払いターミナルが ISO 4 でピンを暗号化し、次の接続がまだ AES をサポートしていない場合に、ダウンストリーム処理のために TDES に変換される可能性がある場合に一般的です。

$ aws payment-cryptography-data translate-pin-data --encrypted-pin-block "AC17DC148BDA645E" --outgoing-translation-attributes=IsoFormat0='{PrimaryAccountNumber=171234567890123}' --outgoing-key-identifier arn:aws:payment-cryptography:us-east-2:111122223333:key/ivi5ksfsuplneuyt  --incoming-key-identifier arn:aws:payment-cryptography:us-east-2:111122223333:key/4pmyquwjs3yj4vwe --incoming-translation-attributes IsoFormat4="{PrimaryAccountNumber=171234567890123}" --incoming-dukpt-attributes KeySerialNumber="FFFF9876543210E00008"  
            

    {
            "PinBlock": "1F4209C670E49F83E75CC72E81B787D9",
            "KeyArn": "arn:aws:payment-cryptography:us-east-2:111122223333:key/ivi5ksfsuplneuyt",
            "KeyCheckValue": "7CC9E2"
        }
                

この例では、ある PEK (PIN 暗号化キー) で暗号化された PIN を別の PEK に変換します。これは一般的に、異なる暗号化キーを使用する異なるシステムまたはパートナー間でトランザクションをルーティングするときに使用され、プロセス全体で PIN を暗号化して PCI PIN コンプライアンスを維持します。どちらのキーもこの例では TDES 3KEY 暗号化を使用しますが、AES ISO-4 から TDES ISO-0、DUKPT から PEK、AS2805 から PEK へのさまざまなオプションを使用できます。

$ aws payment-cryptography-data translate-pin-data --encrypted-pin-block "AC17DC148BDA645E" \
    --incoming-translation-attributes IsoFormat0='{PrimaryAccountNumber=171234567890123}' \
    --incoming-key-identifier arn:aws:payment-cryptography:us-east-2:111122223333:key/ivi5ksfsuplneuyt \
    --outgoing-translation-attributes IsoFormat0='{PrimaryAccountNumber=171234567890123}' \
    --outgoing-key-identifier arn:aws:payment-cryptography:us-east-2:111122223333:key/alsuwfxug3pgy6xh

{
    "PinBlock": "E8F2A6C4D1B93E7F",
    "KeyArn": "arn:aws:payment-cryptography:us-east-2:111122223333:key/alsuwfxug3pgy6xh",
    "KeyCheckValue": "9A325B"
}

出力 PIN ブロックが 2 番目の PEK で暗号化され、対応するキーを保持するダウンストリームシステムに安全に送信できるようになりました。