Objectif de contrôle 1 : PINs les transactions régies par ces exigences sont traitées à l'aide d'équipements et de méthodologies garantissant leur sécurité.

Exigence 1 : les HSMs données utilisées par AWS Payment Cryptography ont été évaluées dans le cadre de notre évaluation du code PIN PCI. Pour les clients utilisant le service, les exigences 1 à 3 et 1 à 4 sont « en place » par rapport au HSM géré par le service. Les résultats pour HSM indiqueront que les tests ont été attestés par la AWS QPA. L'attestation de conformité PIN peut être consultée sur AWS Artifact. Les autres SCD de votre solution, tels que les POI, devront être inventoriés et référencés.

Exigence 2 : La documentation de vos procédures doit préciser comment le titulaire PINs de la carte est protégé en ce qui concerne la divulgation à votre personnel, le ou les protocoles de traduction du code PIN mis en œuvre et la protection lors du traitement en ligne et hors ligne. En outre, votre documentation doit contenir un résumé des méthodes de gestion des clés cryptographiques utilisées dans chaque zone.

Exigence 3 : le POI doit être configuré pour un cryptage et une transmission sécurisés par code PIN. AWS La cryptographie des paiements ne prend en charge que les traductions par blocs de code PIN spécifiées dans l'exigence 3-3.

Exigence 4 : L'application ne doit pas stocker de blocs de code PIN. Les blocs de code PIN, même chiffrés, ne doivent pas être conservés dans les journaux ou journaux de transactions. Le service ne stocke pas les blocs de code PIN et l'évaluation du code PIN vérifie qu'ils ne figurent pas dans les journaux.

Notez que la norme de sécurité PCI PIN s'applique à l'acquisition « de la gestion, du traitement et de la transmission sécurisés des données du numéro d'identification personnel (PIN) lors du traitement des transactions par carte de paiement en ligne ATMs et hors ligne sur les terminaux et point-of-sale (POS) », comme indiqué dans la norme. Cependant, la norme est souvent utilisée pour évaluer la gestion des clés cryptographiques pour les paiements en dehors de cette portée prévue. Cela peut inclure des cas d'utilisation par l'émetteur où PINs sont stockés. Les exceptions aux exigences applicables à ces cas doivent être convenues avec le public visé par l'évaluation.

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Opérations de traitement des transactions

Objectif de contrôle 2 : Les clés cryptographiques utilisées pour le code PIN encryption/decryption et la gestion des clés associées sont créées à l'aide de processus qui garantissent qu'il n'est pas possible de prédire une clé ou de déterminer que certaines clés sont plus probables que d'autres clés.