Objectif de contrôle 4 : Le chargement des clés vers les dispositifs d'acceptation du code PIN HSMs et des POI est géré de manière sécurisée.

Exigence 12 : Vous êtes responsable du chargement des clés à partir de composants ou de partages. La gestion des clés principales du HSM a été évaluée dans le cadre de l'évaluation du code PIN du service. AWS La cryptographie des paiements ne charge pas les clés provenant d'actions ou de composants individuels. Consultez la section Détails cryptographiques.

Exigences 13 et 14 : Vous devrez décrire la protection clé pour les transferts avant et après l'importation depuis le service.

Exigence 15 : La cryptographie des AWS paiements fournit des valeurs de vérification des clés pour toutes les clés du service et une assurance d'intégrité pour les clés publiques. Votre application est chargée d'utiliser ces contrôles pour valider les clés après l'importation ou l'exportation depuis le service. Vous devez documenter les procédures pour vous assurer qu'un mécanisme de validation est en place.

L'exigence 15-2 exige que les clés publiques soient chargées de manière à protéger leur intégrité et leur authenticité. ImportKey, ainsi que GetParametersForImport, permet la validation des certificats de signature fournis. Si les certificats fournis sont auto-signés, l'authentification doit être fournie par un mécanisme distinct, par exemple un échange de fichiers sécurisé.

Exigence 16 : La documentation de vos procédures doit spécifier la manière dont les clés sont chargées dans le service. Les procédures d'importation de clés à l'aide de l'API doivent inclure l'utilisation de rôles dotés d'autorisations d'importation clés et d'approbations pour exécuter des scripts ou tout autre code chargeant des clés. AWS CloudTrail les journaux contiennent tous les ImportKeyévénements. Vous devez inclure les mécanismes de journalisation dans la documentation. Le service fournit des valeurs de vérification pour toutes les clés afin de valider le chargement correct des clés.