在咖啡店买一杯咖啡，在电商平台下单一件商品，其消费流程背后，都要涉及到金融支付的多个环节，而其中对金融数据存储和流通的加密则是保障金融安全的重要环节。

加密是保障消费者支付流程安全的最大挑战。亚马逊云科技首席安全布道师江学森表示，“首先，消费者支付卡的密码，只能与卡的发卡行进行比对，中间的其他参与方（商户、支付网关、收单行、卡组织）都不能有任何明文的暴露，中间任何一个环节是不能解密的。第二，对于跨行交易，加密的信息，既需要确保中间的参与方不能看到密码，但同时还需要让他们知道下一步信息发给谁。”

“在金融行业的支付流程中，密钥和解密的过程，以及比对的过程，要求必须在专门的加密机（HSM）里进行，要保证它的安全性，没有人的参与，没有人可以窃取这个密钥。亚马逊云科技正在做的就是针对金融支付提供加密及密钥。”他说道。

近日，亚马逊云科技宣布推出金融支付加密服务Amazon Payment Cryptography，为支付处理类应用程序提供加密及密钥功能，简化处理借记卡、信用卡和储值卡的支付应用过程中为保护数据而进行的加密操作。

 

金融服务提供商和处理方使用Amazon Payment Cryptography，可将其支付专用加密和密钥管理功能迁移至云上，无需预置和管理本地金融数据加密机，同时满足合规性要求。

据悉，因为支付处理的复杂性、时间敏感性、高度监管要求，并需要多个金融服务提供商和支付网络共同作用，使用HSM的应用程序通常有很高的要求。每一次的付款都会在两个或多个金融服务提供商之间交换数据，并且每一步都必须进行解密、转换、加密或证实。这就需要处理过程涉及到的金融服务提供商具有高性能的加密能力和密钥管理程序。

而这些提供商可能有数千个密钥需要保护、管理、轮换和审计，这使得整个流程昂贵且难以扩展。此外，过去使用HSM会采用复杂且容易出错的流程，例如使用打印在纸面上的密钥组件来交换密钥，然后分别快递给多个密钥保管人，保管人在安全屋内在将这些组件组合起来。

当前，跨境电商日益活跃，中国企业出海进入白热化阶段，很多出海企业都面临着支付过程的处理困难。

江学森介绍称，处理支付过程，出海的小商户一般会寻找第三方支付网关，但是手续费非常高。而规模稍大的出海企业，则会考虑做自己的支付体系，需要使用支付加密技术，那就通常要用到标准支付加密流程必备的加密机。

“购买加密机，要用机房，要请人，这些都是成本。单台加密机的成本，国际上通用大概是40万到50万一台。一个出海的商户，要去全球布局不同的点，一上线可能就是10几台、20台的规模。”江学森说道。

据悉，亚马逊云科技最新推出的Amazon Payment Cryptography可生成密钥、借助电子方式导入和导出以及自动化密钥管理（存储、轮换、备份和恢复）。亚马逊云科技大中华区安全合规与治理产品总监白帆表示，“规模稍大的商户，无需再预置和管理本地金融数据加密机，同时可满足不同区域的合规性要求；中小企业使用该服务，可以根据活跃密钥数和API调用次数按实际用量付费，可避免第三方支付平台按交易额收取的高额手续费。同时，针对PCI（payment card industry）相关的认证，亚马逊云科技除了提供技术以外，也给客户提供课程和辅导培训。”

目前，Amazon Payment Cryptography已经在亚马逊云科技美国东部（北弗吉尼亚州）和美国西部（俄勒冈州）区域正式可用，其他区域也将很快推出。