PIN de PEK para DUKPT PIN de PEK para PEK

Traduzir dados de PIN

As funções de tradução de dados de PIN são usadas para traduzir dados de PIN criptografados de um conjunto de chaves para outro sem que os dados criptografados saiam do HSM. Isso é usado para criptografia P2PE, na qual as chaves de trabalho devem mudar, mas o sistema de processamento não precisa ou não tem permissão para descriptografar os dados. As entradas primárias são os dados criptografados, a chave de criptografia usada para criptografar os dados, os parâmetros usados para gerar os valores de entrada. O outro conjunto de entradas são os parâmetros de saída solicitados, como a chave a ser usada para criptografar e os parâmetros usados para criar essa saída. As saídas primárias são um conjunto de dados recém-criptografado, bem como os parâmetros usados para gerá-lo.

nota

Para conformidade com o PCI, os PrimaryAccountNumber valores de entrada e saída devem corresponder. Não é permitido traduzir um PIN de um PAN para outro.

PIN de PEK para DUKPT

exemplo

Neste exemplo, traduziremos um PIN de um bloco AES ISO 4 PIN usando a criptografia DUKPT para PEK TDES usando o bloco ISO 0 PIN. Isso é comum quando um terminal de pagamento criptografa um PIN em ISO 4 e, em seguida, ele pode ser traduzido de volta para o TDES para processamento posterior, se a próxima conexão ainda não suportar AES.


$ aws payment-cryptography-data translate-pin-data --encrypted-pin-block "AC17DC148BDA645E" --outgoing-translation-attributes=IsoFormat0='{PrimaryAccountNumber=171234567890123}' --outgoing-key-identifier arn:aws:payment-cryptography:us-east-2:111122223333:key/ivi5ksfsuplneuyt  --incoming-key-identifier arn:aws:payment-cryptography:us-east-2:111122223333:key/4pmyquwjs3yj4vwe --incoming-translation-attributes IsoFormat4="{PrimaryAccountNumber=171234567890123}" --incoming-dukpt-attributes KeySerialNumber="FFFF9876543210E00008"



    {
            "PinBlock": "1F4209C670E49F83E75CC72E81B787D9",
            "KeyArn": "arn:aws:payment-cryptography:us-east-2:111122223333:key/ivi5ksfsuplneuyt",
            "KeyCheckValue": "7CC9E2"
        }

PIN de PEK para PEK

exemplo

Neste exemplo, traduzimos um PIN criptografado sob um PEK (PIN Encryption Key) para outro PEK. Isso geralmente é usado ao rotear transações entre sistemas ou parceiros diferentes que usam chaves de criptografia diferentes, mantendo a conformidade com o PIN PCI mantendo o PIN criptografado durante todo o processo. Ambas as chaves usam criptografia TDES 3KEY neste exemplo, mas várias opções estão disponíveis, incluindo AES ISO-4 a TDES ISO-0, DUKPT a PEK ou PEK. AS2805


$ aws payment-cryptography-data translate-pin-data --encrypted-pin-block "AC17DC148BDA645E" \
    --incoming-translation-attributes IsoFormat0='{PrimaryAccountNumber=171234567890123}' \
    --incoming-key-identifier arn:aws:payment-cryptography:us-east-2:111122223333:key/ivi5ksfsuplneuyt \
    --outgoing-translation-attributes IsoFormat0='{PrimaryAccountNumber=171234567890123}' \
    --outgoing-key-identifier arn:aws:payment-cryptography:us-east-2:111122223333:key/alsuwfxug3pgy6xh


{
    "PinBlock": "E8F2A6C4D1B93E7F",
    "KeyArn": "arn:aws:payment-cryptography:us-east-2:111122223333:key/alsuwfxug3pgy6xh",
    "KeyCheckValue": "9A325B"
}

O bloco PIN de saída agora está criptografado sob o segundo PEK e pode ser transmitido com segurança para o sistema downstream que contém a chave correspondente.

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Gerar, traduzir e verificar dados de PIN

Gerar dados de PIN