PIN 데이터 변환

이 예제에서는 DUKPT를 사용하는 AES ISO 4 PIN 블록의 PIN을 ISO 0 PIN 블록을 사용하는 PEK TDES 암호화로 변환합니다. 이는 결제 터미널이 ISO 4의 핀을 암호화한 다음 다음 다음 연결이 아직 AES를 지원하지 않는 경우 다운스트림 처리를 위해 TDES로 다시 변환될 수 있는 경우에 흔히 발생합니다.

$ aws payment-cryptography-data translate-pin-data --encrypted-pin-block "AC17DC148BDA645E" --outgoing-translation-attributes=IsoFormat0='{PrimaryAccountNumber=171234567890123}' --outgoing-key-identifier arn:aws:payment-cryptography:us-east-2:111122223333:key/ivi5ksfsuplneuyt  --incoming-key-identifier arn:aws:payment-cryptography:us-east-2:111122223333:key/4pmyquwjs3yj4vwe --incoming-translation-attributes IsoFormat4="{PrimaryAccountNumber=171234567890123}" --incoming-dukpt-attributes KeySerialNumber="FFFF9876543210E00008"  
            

    {
            "PinBlock": "1F4209C670E49F83E75CC72E81B787D9",
            "KeyArn": "arn:aws:payment-cryptography:us-east-2:111122223333:key/ivi5ksfsuplneuyt",
            "KeyCheckValue": "7CC9E2"
        }
                

이 예제에서는 한 PEK(PIN 암호화 키)로 암호화된 PIN을 다른 PEK로 변환합니다. 이는 일반적으로 서로 다른 암호화 키를 사용하는 여러 시스템 또는 파트너 간에 트랜잭션을 라우팅하는 동시에 프로세스 전반에 걸쳐 PIN을 암호화하여 PCI PIN 규정 준수를 유지하는 데 사용됩니다. 이 예제에서는 두 키 모두 TDES 3KEY 암호화를 사용하지만 AES ISO-4에서 TDES ISO-0으로, DUKPT에서 PEK로, AS2805에서 PEK로 등 다양한 옵션을 사용할 수 있습니다.

$ aws payment-cryptography-data translate-pin-data --encrypted-pin-block "AC17DC148BDA645E" \
    --incoming-translation-attributes IsoFormat0='{PrimaryAccountNumber=171234567890123}' \
    --incoming-key-identifier arn:aws:payment-cryptography:us-east-2:111122223333:key/ivi5ksfsuplneuyt \
    --outgoing-translation-attributes IsoFormat0='{PrimaryAccountNumber=171234567890123}' \
    --outgoing-key-identifier arn:aws:payment-cryptography:us-east-2:111122223333:key/alsuwfxug3pgy6xh

{
    "PinBlock": "E8F2A6C4D1B93E7F",
    "KeyArn": "arn:aws:payment-cryptography:us-east-2:111122223333:key/alsuwfxug3pgy6xh",
    "KeyCheckValue": "9A325B"
}

이제 출력 PIN 블록이 두 번째 PEK로 암호화되어 해당 키를 보유한 다운스트림 시스템으로 안전하게 전송할 수 있습니다.