Objectif de contrôle 3 : Les clés sont transmises ou transmises de manière sécurisée.

Exigence 8 : La transmission des clés par cryptographie de AWS paiement a été évaluée dans le cadre de notre évaluation du code PIN PCI. Vous devrez documenter les mécanismes de protection des clés pour les transferts avant l'importation vers et après l'exportation depuis AWS Payment Cryptography. Le service fournit des valeurs de contrôle pour toutes les clés afin de valider le bon transport.

L'exigence 8-4 exige que les clés publiques soient transmises de manière à protéger leur intégrité et leur authenticité. Le transfert entre votre application et AWS est contrôlé par l'authentification de l'application AWS, à l'aide de AWS Identity and Access Management méthodes, par l'authentification du point de AWS terminaison de l'API auprès de l'application via des certificats de serveur TLS. En outre, les clés publiques exportées ou importées vers AWS Payment Cryptography comportent des certificats signés de manière éphémère, spécifiques au client CAs (voir GetPublicKeyCertificate, et). GetParametersForImport GetParametersForExport Ils CAs ne peuvent pas être utilisés comme seule méthode d'authentification, car ils ne sont pas conformes à l'annexe A2 de sécurité du code PIN PCI. Cependant, les certificats garantissent toujours l'intégrité des clés publiques, IAM fournissant l'authentification.

Lorsque vous échangez des clés publiques avec vos partenaires commerciaux à l'aide de méthodes asymétriques, vous devez prévoir l'authentification de l'entreprise via le canal de communication, en utilisant un site Web d'échange de fichiers sécurisé, par exemple.

Exigence 9 : Le service n'utilise pas ou ne prend pas directement en charge les composants clés en texte clair.

Exigence 10 : Le service applique la force relative des clés en matière de protection des clés pour le transport. Vous êtes responsable du transfert des clés avant l'importation vers et après l'exportation depuis AWS Payment Cryptography et vous utilisez les paramètres de l'API et du TR-31 précis pour l'importation, l'exportation et la génération des clés. Vous devez disposer de procédures documentées décrivant les mécanismes de transfert des clés et la liste des clés cryptographiques utilisées pour le transport.

Exigence 11 : La documentation de vos procédures doit préciser le mode de transmission des clés. Les procédures de transfert de clés à l'aide de l'API de cryptographie des AWS paiements doivent inclure l'utilisation de rôles dotés d'autorisations d'importation et d'exportation de clés et d'approbations pour l'exécution de scripts ou d'autres codes créant des clés. AWS CloudTrail les journaux contiennent tous ImportKeyles ExportKeyévénements.

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Objectif de contrôle 2 : Les clés cryptographiques utilisées pour le code PIN encryption/decryption et la gestion des clés associées sont créées à l'aide de processus qui garantissent qu'il n'est pas possible de prédire une clé ou de déterminer que certaines clés sont plus probables que d'autres clés.

Objectif de contrôle 4 : Le chargement des clés vers les dispositifs d'acceptation du code PIN HSMs et des POI est géré de manière sécurisée.