Operasi internal - AWS Kriptografi Pembayaran
Spesifikasi dan siklus hidup HSMKeamanan fisik perangkat HSM Inisialisasi HSM Layanan dan perbaikan HSM Penonaktifan HSM Pembaruan firmware HSM Akses operator Manajemen kunci

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Operasi internal

Topik ini menjelaskan persyaratan internal yang diterapkan oleh layanan untuk mengamankan kunci pelanggan dan operasi kriptografi untuk kriptografi pembayaran yang didistribusikan secara global dan terukur dan layanan manajemen kunci.

Spesifikasi dan siklus hidup HSM

AWS Kriptografi Pembayaran menggunakan armada HSM yang tersedia secara komersial. HSM adalah FIPS 140-2 Level 3 yang divalidasi dan juga menggunakan versi firmware dan kebijakan keamanan yang tercantum pada daftar Perangkat PCI PCI PTS yang disetujui Dewan Standar Keamanan PCI sebagai keluhan PCI HSM v3. Standar PCI PTS HSM mencakup persyaratan tambahan untuk pembuatan, pengiriman, penyebaran, manajemen, dan penghancuran perangkat keras HSM yang penting untuk keamanan dan kepatuhan pembayaran tetapi tidak ditangani oleh FIPS 140.

Semua HSM dioperasikan dalam Mode PCI dan dikonfigurasi dengan kebijakan keamanan PCI PTS HSM. Hanya fungsi yang diperlukan untuk mendukung kasus penggunaan Kriptografi AWS Pembayaran yang diaktifkan. AWS Kriptografi Pembayaran tidak menyediakan pencetakan, tampilan, atau pengembalian PIN teks yang jelas.

Keamanan fisik perangkat HSM

Hanya HSM yang memiliki kunci perangkat yang ditandatangani oleh otoritas sertifikat Kriptografi AWS Pembayaran (CA) oleh produsen sebelum pengiriman yang dapat digunakan oleh layanan. Kriptografi AWS Pembayaran adalah sub-CA dari CA pabrikan yang merupakan akar kepercayaan untuk produsen HSM dan sertifikat perangkat. CA pabrikan mengimplementasikan ANSI TR 34 dan telah membuktikan kepatuhan dengan PCI PIN Security Annex A dan PCI P2PE Annex A. Pabrikan memverifikasi bahwa semua HSM dengan kunci perangkat yang ditandatangani oleh Payment Cryptography CA dikirim ke penerima yang ditunjuk AWS. AWS

Seperti yang dipersyaratkan oleh PCI PIN Security, pabrikan memasok daftar nomor seri melalui saluran komunikasi yang berbeda dari pengiriman HSM. Nomor seri ini diperiksa pada setiap langkah dalam proses instalasi HSM ke pusat data AWS. Akhirnya, operator Kriptografi AWS Pembayaran memvalidasi daftar HSM yang diinstal terhadap daftar pabrikan sebelum menambahkan nomor seri ke daftar HSM yang diizinkan untuk menerima AWS kunci Kriptografi Pembayaran.

HSM berada dalam penyimpanan aman atau di bawah kendali ganda setiap saat, yang meliputi:

  • Pengiriman dari pabrikan ke fasilitas perakitan rak AWS.

  • Selama perakitan rak.

  • Pengiriman dari fasilitas perakitan rak ke pusat data.

  • Tanda terima dan pemasangan ke ruang pemrosesan aman pusat data. Rak HSM memberlakukan kontrol ganda dengan kunci yang dikontrol akses kartu, sensor pintu alarm, dan kamera.

  • Selama operasi.

  • Selama dekomisioning dan penghancuran.

Lengkap chain-of-custody, dengan akuntabilitas individu, dipertahankan dan dipantau untuk setiap HSM.

Inisialisasi HSM

HSM hanya diinisialisasi sebagai bagian dari armada Kriptografi AWS Pembayaran setelah identitas dan integritasnya divalidasi oleh nomor seri, kunci perangkat yang diinstal pabrikan, dan checksum firmware. Setelah keaslian dan integritas HSM divalidasi, itu dikonfigurasi, termasuk mengaktifkan Mode PCI. Kemudian kunci utama wilayah Kriptografi AWS Pembayaran dan kunci utama profil ditetapkan dan HSM tersedia untuk layanan.

Layanan dan perbaikan HSM

HSM memiliki komponen yang dapat diservis yang tidak memerlukan pelanggaran batas kriptografi perangkat. Komponen-komponen ini termasuk kipas pendingin, catu daya, dan baterai. Jika HSM atau perangkat lain dalam rak HSM membutuhkan servis, kontrol ganda dipertahankan selama seluruh periode rak terbuka.

Penonaktifan HSM

Penonaktifan terjadi karena end-of-life atau kegagalan HSM. HSM secara logis di-zero-ized sebelum dikeluarkan dari raknya, jika berfungsi, kemudian dihancurkan di dalam ruang pemrosesan yang aman dari pusat data AWS. Mereka tidak pernah dikembalikan ke pabrikan untuk diperbaiki, digunakan untuk tujuan lain, atau dikeluarkan dari ruang pemrosesan yang aman sebelum kehancuran.

Pembaruan firmware HSM

Pembaruan firmware HSM diterapkan bila diperlukan untuk menjaga keselarasan dengan versi terdaftar PCI PTS HSM dan FIPS 140-2 (atau FIPS 140-3), jika pembaruan terkait keamanan, atau ditentukan bahwa pelanggan dapat memperoleh manfaat dari fitur dalam versi baru. AWS Kriptografi Pembayaran HSM menjalankan off-the-shelf firmware, cocok dengan versi PCI PTS HSM yang terdaftar. Versi firmware baru divalidasi untuk integritas dengan versi firmware bersertifikat PCI atau FIPS kemudian diuji fungsionalitasnya sebelum diluncurkan ke semua HSM.

Akses operator

Operator dapat memiliki akses non-konsol ke HSM untuk pemecahan masalah dalam kasus yang jarang terjadi bahwa informasi yang dikumpulkan dari HSM selama operasi normal tidak cukup untuk mengidentifikasi masalah atau merencanakan perubahan. Langkah-langkah berikut dijalankan:

  • Kegiatan pemecahan masalah dikembangkan dan disetujui dan sesi non-konsol dijadwalkan.

  • HSM dihapus dari layanan pemrosesan pelanggan.

  • Tombol utama dihapus, di bawah kendali ganda.

  • Operator diizinkan akses non-konsol ke HSM untuk melakukan aktivitas pemecahan masalah yang disetujui, di bawah kendali ganda.

    • Setelah penghentian sesi non-konsol, proses penyediaan awal dilakukan pada HSM, mengembalikan firmware dan konfigurasi standar, kemudian menyinkronkan kunci utama, sebelum mengembalikan HSM untuk melayani pelanggan.

    • Catatan sesi dicatat dalam pelacakan perubahan.

    • Informasi yang diperoleh dari sesi digunakan untuk merencanakan perubahan masa depan.

Semua catatan akses non-konsol ditinjau untuk kepatuhan proses dan potensi perubahan pada pemantauan HSM, proses non-console-access manajemen, atau pelatihan operator.

Manajemen kunci

Semua HSM di suatu wilayah disinkronkan ke Kunci Utama Wilayah. Kunci Utama Wilayah melindungi setidaknya satu Kunci Utama Profil. Kunci Utama Profil melindungi kunci pelanggan.

Semua kunci utama dihasilkan oleh HSM dan didistribusikan dengan distribusi kunci simetris menggunakan teknik asimetris, selaras dengan ANSI X9 TR 34 dan PCI PIN Lampiran A.

Generasi

Kunci utama AES 256 bit dihasilkan pada salah satu HSM yang disediakan untuk armada layanan HSM, menggunakan generator nomor acak PCI PTS HSM.

Sinkronisasi kunci utama wilayah

Kunci utama wilayah HSM disinkronkan oleh layanan di seluruh armada regional dengan mekanisme yang ditentukan oleh ANSI X9 TR-34, yang meliputi:

  • Otentikasi bersama menggunakan kunci dan sertifikat host distribusi kunci (KDH) dan perangkat penerima kunci (KRD) untuk memberikan otentikasi dan integritas untuk kunci publik.

  • Sertifikat ditandatangani oleh otoritas sertifikat (CA) yang memenuhi persyaratan PCI PIN Annex A2, kecuali untuk algoritma asimetris dan kekuatan kunci yang sesuai untuk melindungi kunci AES 256 bit.

  • Identifikasi dan perlindungan kunci untuk kunci simetris terdistribusi yang konsisten dengan ANSI X9 TR-34 dan PCI PIN Annex A1, kecuali untuk algoritme asimetris dan kekuatan kunci yang sesuai untuk melindungi kunci AES 256 bit.

Kunci utama wilayah dibuat untuk HSM yang telah diautentikasi dan disediakan untuk suatu wilayah dengan:

  • Kunci utama dihasilkan pada HSM di wilayah tersebut. HSM itu ditetapkan sebagai host distribusi utama.

  • Semua HSM yang disediakan di wilayah tersebut menghasilkan token otentikasi KRD, yang berisi kunci publik HSM dan informasi otentikasi yang tidak dapat diputar ulang.

  • Token KRD ditambahkan ke daftar izin KDH setelah KDH memvalidasi identitas dan izin HSM untuk menerima kunci.

  • KDH menghasilkan token kunci utama yang dapat diautentikasi untuk setiap HSM. Token berisi informasi otentikasi KDH dan kunci utama terenkripsi yang hanya dapat dimuat pada HSM yang telah dibuat untuknya.

  • Setiap HSM dikirimkan token kunci utama yang dibuat untuk itu. Setelah memvalidasi informasi otentikasi HSM sendiri dan informasi otentikasi KDH, kunci utama didekripsi oleh kunci pribadi KRD dan dimuat ke kunci utama.

Jika satu HSM harus disinkronkan ulang dengan suatu wilayah:

  • Ini divalidasi ulang dan disediakan dengan firmware dan konfigurasi.

  • Jika baru di wilayah ini:

    • HSM menghasilkan token otentikasi KRD.

    • KDH menambahkan token ke daftar izinnya.

    • KDH menghasilkan token kunci utama untuk HSM.

    • HSM memuat kunci utama.

    • HSM tersedia untuk layanan ini.

Ini memastikan bahwa:

  • Hanya HSM yang divalidasi untuk pemrosesan Kriptografi AWS Pembayaran dalam suatu wilayah yang dapat menerima kunci utama wilayah tersebut.

  • Hanya kunci master dari Kriptografi AWS Pembayaran HSM yang dapat didistribusikan ke HSM di armada.

Rotasi kunci utama wilayah

Kunci utama wilayah diputar pada saat berakhirnya periode kripto, jika terjadi dugaan kompromi kunci, atau setelah perubahan pada layanan yang ditentukan untuk memengaruhi keamanan kunci.

Kunci utama wilayah baru dihasilkan dan didistribusikan seperti penyediaan awal. Kunci utama profil yang disimpan harus diterjemahkan ke kunci utama wilayah baru.

Rotasi kunci utama wilayah tidak memengaruhi pemrosesan pelanggan.

Sinkronisasi kunci utama profil

Kunci utama profil dilindungi oleh kunci utama wilayah. Ini membatasi profil ke wilayah tertentu.

Kunci utama profil disediakan sesuai:

  • Kunci utama profil dihasilkan pada HSM yang memiliki kunci utama wilayah yang disinkronkan.

  • Kunci utama profil disimpan dan dienkripsi dengan konfigurasi profil dan konteks lainnya.

  • Profil ini digunakan untuk fungsi kriptografi pelanggan oleh HSM mana pun di wilayah dengan kunci utama wilayah.

Profil rotasi kunci utama

Kunci utama profil diputar pada saat berakhirnya periode kripto, setelah dugaan kompromi kunci, atau setelah perubahan pada layanan yang ditentukan untuk memengaruhi keamanan kunci.

Langkah rotasi:

  • Kunci utama profil baru dihasilkan dan didistribusikan sebagai kunci utama yang tertunda seperti penyediaan awal.

  • Proses latar belakang menerjemahkan materi kunci pelanggan dari kunci utama profil yang ditetapkan ke kunci utama yang tertunda.

  • Ketika semua kunci pelanggan telah dienkripsi dengan kunci yang tertunda, kunci yang tertunda dipromosikan ke kunci utama profil.

  • Proses latar belakang menghapus materi kunci pelanggan yang dilindungi oleh kunci kedaluwarsa.

Rotasi kunci utama profil tidak memengaruhi pemrosesan pelanggan.

Perlindungan

Kunci hanya bergantung pada hierarki kunci untuk perlindungan. Perlindungan kunci utama sangat penting untuk mencegah kehilangan atau membahayakan semua kunci pelanggan.

Kunci utama wilayah dapat dipulihkan dari cadangan hanya ke HSM yang diautentikasi dan disediakan untuk layanan. Kunci ini hanya dapat disimpan sebagai token kunci utama yang dapat diautentikasi dan dienkripsi dari KDH tertentu untuk HSM tertentu.

Kunci master profil disimpan dengan konfigurasi profil dan informasi konteks yang dienkripsi berdasarkan wilayah.

Kunci pelanggan disimpan dalam blok kunci, dilindungi oleh kunci master profil.

Semua kunci ada secara eksklusif dalam HSM atau disimpan dilindungi oleh kunci lain dengan kekuatan kriptografi yang sama atau lebih kuat.

Daya tahan

Kunci pelanggan untuk kriptografi transaksi dan fungsi bisnis harus tersedia bahkan dalam situasi ekstrem yang biasanya menyebabkan pemadaman. AWS Kriptografi Pembayaran menggunakan model redundansi tingkat ganda di seluruh zona dan wilayah ketersediaan. AWS Pelanggan yang membutuhkan ketersediaan dan daya tahan yang lebih tinggi untuk operasi kriptografi pembayaran daripada yang disediakan oleh layanan harus menerapkan arsitektur multi-wilayah.

Otentikasi HSM dan token kunci utama disimpan dan dapat digunakan untuk mengembalikan kunci utama atau menyinkronkan dengan kunci utama baru, jika HSM harus diatur ulang. Token diarsipkan dan digunakan hanya di bawah kendali ganda bila diperlukan.

Keamanan komunikasi

Eksternal

AWS Titik akhir API Kriptografi Pembayaran memenuhi standar AWS keamanan termasuk TLS pada atau di atas 1.2 dan Signature Versi 4 untuk otentikasi dan integritas permintaan.

Koneksi TLS yang masuk dihentikan pada penyeimbang beban jaringan dan diteruskan ke penangan API melalui koneksi TLS internal.

Internal

Komunikasi internal antara komponen layanan dan antara komponen layanan dan layanan AWS lainnya dilindungi oleh TLS menggunakan kriptografi yang kuat.

HSM berada di jaringan pribadi non-virtual yang hanya dapat dijangkau dari komponen layanan. Semua koneksi antara HSM dan komponen layanan diamankan dengan TLS bersama (MTL), pada atau di atas TLS 1.2. Sertifikat internal untuk TLS dan mTL dikelola oleh Amazon Certificate Manager menggunakan AWS Private Certificate Authority. VPC internal dan jaringan HSM dipantau untuk aktivitas dan perubahan konfigurasi yang tidak terkecuali.

Manajemen kunci pelanggan

Pada AWS, kepercayaan pelanggan adalah prioritas utama kami. Anda mempertahankan kontrol penuh atas kunci yang Anda unggah atau buat di layanan di bawah akun AWS Anda dan bertanggung jawab untuk mengonfigurasi akses ke kunci.

AWS Kriptografi Pembayaran memiliki tanggung jawab penuh atas kepatuhan fisik HSM dan manajemen kunci untuk kunci yang dikelola oleh layanan. Ini membutuhkan kepemilikan dan pengelolaan kunci utama HSM dan penyimpanan kunci pelanggan yang dilindungi dalam basis data kunci Kriptografi AWS Pembayaran.

Pemisahan ruang kunci pelanggan

AWS Kriptografi Pembayaran memberlakukan kebijakan utama untuk semua penggunaan kunci, termasuk membatasi prinsipal ke akun yang memiliki kunci, kecuali kunci secara eksplisit dibagikan dengan akun lain.

Pencadangan dan pemulihan

Kunci dan informasi kunci untuk suatu wilayah dicadangkan ke arsip terenkripsi oleh. AWS Arsip membutuhkan kontrol ganda AWS untuk memulihkan.

Blok kunci

Semua kunci disimpan dalam blok kunci format ANSI X9 TR-31.

Kunci dapat diimpor ke layanan dari kriptogram atau format blok kunci lainnya yang didukung oleh ImportKey. Demikian pula, kunci dapat diekspor, jika dapat diekspor, ke format blok kunci lain atau kriptogram yang didukung oleh profil ekspor utama.

Penggunaan kunci

Penggunaan kunci dibatasi untuk yang dikonfigurasi KeyUsage oleh layanan. Layanan akan gagal setiap permintaan dengan penggunaan kunci yang tidak tepat, mode penggunaan, atau algoritma untuk operasi kriptografi yang diminta.

Hubungan pertukaran kunci

PCI PIN Security dan PCI P2PE mengharuskan organisasi yang berbagi kunci yang mengenkripsi PIN, termasuk KEK yang digunakan untuk berbagi kunci tersebut, tidak berbagi kunci tersebut dengan organisasi lain. Ini adalah praktik terbaik bahwa kunci simetris dibagi antara hanya 2 pihak, termasuk dalam organisasi yang sama. Ini meminimalkan dampak dari dugaan kompromi kunci yang memaksa penggantian kunci yang terkena dampak.

Bahkan kasus bisnis yang memerlukan kunci berbagi antara lebih dari 2 pihak, harus menjaga jumlah pihak ke jumlah minimum.

AWS Kriptografi Pembayaran menyediakan tag kunci yang dapat digunakan untuk melacak dan menegakkan penggunaan kunci dalam persyaratan tersebut.

Misalnya, KEK dan BDK untuk fasilitas injeksi kunci yang berbeda dapat diidentifikasi dengan menetapkan “KIF” = “POSStation” untuk semua kunci yang dibagikan dengan penyedia layanan tersebut. Contoh lain adalah menandai kunci yang dibagikan dengan jaringan pembayaran dengan “Jaringan” = “PayCard”. Penandaan memungkinkan Anda membuat kontrol akses dan membuat laporan audit untuk menegakkan dan mendemonstrasikan praktik manajemen utama Anda.

Penghapusan kunci

DeleteKey menandai kunci dalam database untuk dihapus setelah periode yang dapat dikonfigurasi pelanggan. Setelah periode ini kuncinya dihapus secara permanen. Ini adalah mekanisme keamanan untuk mencegah penghapusan kunci yang tidak disengaja atau berbahaya. Kunci yang ditandai untuk penghapusan tidak tersedia untuk tindakan apa pun kecuali. RestoreKey

Kunci yang dihapus tetap dalam cadangan layanan selama 7 hari setelah penghapusan. Mereka tidak dapat dipulihkan selama periode ini.

Kunci milik akun AWS tertutup ditandai untuk dihapus. Jika akun diaktifkan kembali sebelum periode penghapusan tercapai, kunci apa pun yang ditandai untuk penghapusan dipulihkan, tetapi dinonaktifkan. Mereka harus diaktifkan kembali oleh Anda untuk menggunakannya untuk operasi kriptografi.

Pencatatan dan pemantauan

Log layanan internal meliputi:

  • CloudTrail log panggilan layanan AWS yang dilakukan oleh layanan

  • CloudWatch log dari kedua peristiwa langsung masuk ke CloudWatch log atau peristiwa dari HSM

  • File log dari HSM dan sistem layanan

  • Arsip log

Semua sumber log memantau dan memfilter informasi sensitif, termasuk tentang kunci. Log ditinjau secara sistematis untuk memastikan bahwa mereka mengandung tidak mengandung informasi pelanggan yang sensitif.

Akses ke log dibatasi untuk individu yang dibutuhkan untuk menyelesaikan peran pekerjaan.

Semua log disimpan selaras dengan kebijakan penyimpanan log AWS.