Objetivo de control 4: La carga de claves en los HSMs dispositivos que aceptan el PIN del POI se gestiona de forma segura.

Requisito 12: Usted es responsable de cargar las claves de los componentes o recursos compartidos. La gestión de las claves principales del HSM se evaluó como parte de la evaluación del PIN del servicio. AWS La criptografía de pagos no carga claves de recursos compartidos o componentes individuales. Consulte la sección Detalles criptográficos.

Requisitos 13 y 14: Deberá describir la protección clave para las transferencias antes y después de la exportación desde el servicio.

Requisito 15: La criptografía de AWS pagos proporciona valores de verificación de claves para todas las claves del servicio y garantiza la integridad de las claves públicas. Su aplicación es responsable de utilizar estas comprobaciones para validar las claves después de importarlas o exportarlas desde el servicio. Debe documentar los procedimientos para asegurarse de que existe un mecanismo de validación.

El requisito 15-2 exige que las claves públicas se carguen de manera que se proteja su integridad y autenticidad. ImportKey, junto con GetParametersForImport, prevé la validación de los certificados de firma proporcionados. Si los certificados proporcionados son autofirmados, la autenticación debe proporcionarse mediante un mecanismo independiente, por ejemplo, el intercambio seguro de archivos.

Requisito 16: La documentación de sus procedimientos debe especificar cómo se cargan las claves en el servicio. Los procedimientos para la importación de claves mediante la API deben incluir el uso de funciones con permisos de importación de claves y aprobaciones para ejecutar scripts u otro código que cargue claves. AWS CloudTrail los registros contienen todos los ImportKeyeventos. Debe incluir los mecanismos de registro en la documentación. El servicio proporciona valores de comprobación clave para todas las claves a fin de validar la carga correcta de las claves.