Evervault支付数据加密的默认安全技术架构

Evervault融资2500万美元，以扩展其支付数据加密的“默认安全”方法

支付数据加密初创公司Evervault Inc. 今日表示，在完成2500万美元的B轮融资后，其目标是成为互联网的“敏感数据清算中心”。

此轮融资由Ribbit Capital领投，Sequoia Capital和Index Ventures参投，使该公司迄今为止的融资总额达到4600万美元。

该初创公司创造了一种新颖的“默认安全”方法来加密敏感数据，例如信用卡号、交易详情和个人身份信息。它面向支付公司，确保敏感数据永远不会以明文形式存储——既不会存储在客户系统中，也不会存储在商家系统中——从而使其对黑客来说几乎无法入侵。相反，它采用“双托管”模式，即客户存储加密数据，而该公司持有加密密钥。

在数据采集时，Evervault使用安全合规的iframe从用户的网络浏览器收集敏感卡数据，并立即使用公钥对其进行加密，防止该信息以明文形式通过任何商家的服务器。所有加密操作仅在某机构的Nitro Enclaves内进行。这些是经过加固的、隔离的虚拟机，旨在处理过程中保护数据。

该公司使用行业标准加密算法，如用于数据对称加密的AES-256-GCM和用于密钥交换的椭圆曲线迪菲-赫尔曼。加密密钥使用Shamir秘密共享方案进行分割，一半存储在客户的基础设施上，另一半由自身安全保障。这意味着黑客必须同时攻破Evervault和客户的系统才能获取完整的加密密钥。

Evervault的Relay技术作为一个可配置的网络代理，在HTTP请求到达服务器之前自动加密其中的敏感数据。只有当数据到达支付处理器拥有的受信任第三方应用程序编程接口时，它才会解密该信息。所有加密操作仅在某机构的Nitro Enclaves内进行，这些是经过加固、隔离的虚拟机，旨在处理过程中保护数据。交易处理完毕后，数据将从安全区中永久删除。

Evervault创始人兼首席执行官表示，其平台不仅让敏感数据坚不可摧，还减轻了客户的合规负担。客户可以将其PCI DSS合规范围降低到最简单的级别，这仅仅是因为他们的基础设施从未接触过任何原始支付数据。

这使得客户每年可节省约10万美元的合规相关成本。他解释道：“大多数合规框架都假设敏感数据会以明文形式存在于某处，但对于自动化、高速的数据来说，这是一种 liability。我们认为敏感数据应被视为危险物质。系统的设计必须首先确保不会接触到这些数据。”

一位分析人士表示，很高兴看到安全领域出现更多创新，因为商业和金融日益数字化，扩大了信用卡和交易数据的攻击面。

该分析师解释说：“确保客户信用卡数据的安全并非易事，随着威胁数量的增加，这对任何试图在线开展业务的人来说都是一个巨大的负担。简而言之，处理这个不是他们的核心业务，只是对他们真正业务的干扰。如果Evervault能帮助企业更多地关注他们应该做的事情，而不是安全方面，那将对企业有利。”

该初创公司表示，它在卡支付行业获得了很大的发展势头，已经服务于“数百家”客户。在过去一年中，其收入增长了四倍多，并在此期间安全处理了超过50亿美元的总交易量。

它声称与银行和金融机构有超过7000个集成点。未来，它计划扩展其加密基础设施以使其更加安全，投资于新产品开发，并扩充其产品和工程团队。

一位投资方普通合伙人认为，未来对Evervault服务的需求会更大，因为随着更多商业活动转移到线上，流经数字系统的敏感数据量正在激增。“每个人都必须弄清楚如何安全地处理这些数据，”他说。“这是一个涉及每个行业的、巨大的全球性问题，而Evervault正在构建安全移动和处理这些数据的核心基础设施。”FINISHED