(EN) There is disclosed a payment HSM (200) hosted in a data center (201) and comprising a host interface (20) accessible by a remote end-user entity (110) running a payment application (120) using critical resources protected in the payment HSM, a second interface (10) for main, operational management of the payment HSM by the end-user entity, and an Out-Of-Band, OOB, management interface (30) being distinct and physically isolated from the communication channel of the second interface, and configured to allow secure access to the payment HSM by a third-party entity (130), distinct from the end-user entity. A resident, remotely configurable provisioning state-machine is implemented in the HSM for the management of the provisioning of the payment HSM for service to one or more end-user entities, under the control of the third-party entity over the OOB management interface.
(FR) Est divulgué un module matériel de sécurité (HSM) de paiement (200) hébergé dans un centre de données (201) et comprenant une interface hôte (20) accessible par une entité d'utilisateur final à distance (110) exécutant une application de paiement (120) à l'aide de ressources critiques protégées dans le HSM de paiement, une seconde interface (10) correspondant à une gestion opérationnelle principale du HSM de paiement par l'entité d'utilisateur final, et une interface de gestion hors bande, OOB, (30) étant distincte et physiquement isolée du canal de communication de la seconde interface, et configurée pour permettre un accès sécurisé au HSM de paiement par une entité tierce (130), distincte de l'entité d'utilisateur final. Une machine d'état d'approvisionnement résidente, configurable à distance, est mise en œuvre dans le HSM correspondant à la gestion de l'approvisionnement du HSM de paiement en vue d'un service à une ou plusieurs entités d'utilisateur final, sous le contrôle de l'entité tierce sur l'interface de gestion OOB.
