Perlindungan data dalam Kriptografi AWS Pembayaran - AWS Kriptografi Pembayaran
Melindungi bahan utamaEnkripsi dataEnkripsi diamEnkripsi bergerakPrivasi lalu lintas antar jaringan

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Perlindungan data dalam Kriptografi AWS Pembayaran

Model tanggung jawab AWS bersama model berlaku untuk perlindungan data dalam Kriptografi AWS Pembayaran. Seperti yang dijelaskan dalam model AWS ini, bertanggung jawab untuk melindungi infrastruktur global yang menjalankan semua AWS Cloud. Anda bertanggung jawab untuk mempertahankan kendali atas konten yang di-host pada infrastruktur ini. Anda juga bertanggung jawab atas tugas-tugas konfigurasi dan manajemen keamanan untuk layanan AWS yang Anda gunakan. Untuk informasi selengkapnya tentang privasi data, lihat Privasi Data FAQ. Untuk informasi tentang perlindungan data di Eropa, lihat Model Tanggung Jawab AWS Bersama dan posting GDPR blog di Blog AWS Keamanan.

Untuk tujuan perlindungan data, kami menyarankan Anda melindungi Akun AWS kredensyal dan mengatur pengguna individu dengan AWS IAM Identity Center atau AWS Identity and Access Management ()IAM. Dengan cara itu, setiap pengguna hanya diberi izin yang diperlukan untuk memenuhi tanggung jawab tugasnya. Kami juga menyarankan supaya Anda mengamankan data dengan cara-cara berikut:

  • Gunakan otentikasi multi-faktor (MFA) dengan setiap akun.

  • GunakanSSL/TLSuntuk berkomunikasi dengan AWS sumber daya. Kami membutuhkan TLS 1.2 dan merekomendasikan TLS 1.3.

  • Siapkan API dan log aktivitas pengguna dengan AWS CloudTrail.

  • Gunakan solusi AWS enkripsi, bersama dengan semua kontrol keamanan default di dalamnya layanan AWS.

  • Gunakan layanan keamanan terkelola lanjut seperti Amazon Macie, yang membantu menemukan dan mengamankan data sensitif yang disimpan di Amazon S3.

  • Jika Anda memerlukan FIPS 140-3 modul kriptografi yang divalidasi saat mengakses AWS melalui antarmuka baris perintah atau, gunakan titik akhir. API FIPS Untuk informasi selengkapnya tentang FIPS titik akhir yang tersedia, lihat Standar Pemrosesan Informasi Federal (FIPS) 140-3.

Kami sangat merekomendasikan agar Anda tidak pernah memasukkan informasi identifikasi yang sensitif, seperti nomor rekening pelanggan Anda, ke dalam tanda atau bidang isian bebas seperti bidang Nama. Ini termasuk ketika Anda bekerja dengan Kriptografi AWS Pembayaran atau lainnya layanan AWS menggunakan konsol,, API AWS CLI, atau AWS SDKs. Data apa pun yang Anda masukkan ke dalam tanda atau bidang isian bebas yang digunakan untuk nama dapat digunakan untuk log penagihan atau log diagnostik. Jika Anda memberikan URL ke server eksternal, kami sangat menyarankan agar Anda tidak menyertakan informasi kredensyal dalam URL untuk memvalidasi permintaan Anda ke server tersebut.

AWSKriptografi Pembayaran menyimpan dan melindungi kunci enkripsi pembayaran Anda untuk membuatnya sangat tersedia sambil memberi Anda kontrol akses yang kuat dan fleksibel.

Melindungi bahan utama

Secara default, Kriptografi AWS Pembayaran melindungi materi kunci kriptografi untuk kunci pembayaran yang dikelola oleh layanan. Selain itu, Kriptografi AWS Pembayaran menawarkan opsi untuk mengimpor materi utama yang dibuat di luar layanan. Untuk detail teknis tentang kunci pembayaran dan materi utama, lihat Detail Kriptografi Kriptografi AWS Pembayaran.

Enkripsi data

Data dalam Kriptografi AWS Pembayaran terdiri dari kunci Kriptografi AWS Pembayaran, materi kunci enkripsi yang mereka wakili, dan atribut penggunaannya. Materi kunci ada dalam teks biasa hanya dalam modul keamanan perangkat keras Kriptografi AWS Pembayaran (HSMs) dan hanya saat digunakan. Jika tidak, bahan dan atribut utama dienkripsi dan disimpan dalam penyimpanan persisten yang tahan lama.

Materi utama yang AWS dihasilkan atau dimuat oleh Kriptografi Pembayaran untuk kunci pembayaran tidak pernah meninggalkan batas Kriptografi AWS Pembayaran tidak terenkripsi. HSMs Itu dapat diekspor dienkripsi oleh operasi Kriptografi AWS Pembayaran. API

Enkripsi diam

AWSKriptografi Pembayaran menghasilkan materi kunci untuk kunci pembayaran di PCI PTS HSM HSMs -listed. Saat tidak digunakan, bahan kunci dienkripsi oleh HSM kunci dan ditulis ke penyimpanan yang tahan lama dan persisten. Materi utama untuk kunci Kriptografi Pembayaran dan kunci enkripsi yang melindungi materi kunci tidak pernah meninggalkan HSMs dalam bentuk teks biasa.

Enkripsi dan pengelolaan materi kunci untuk kunci Kriptografi Pembayaran ditangani sepenuhnya oleh layanan.

Untuk detail selengkapnya, lihat Rincian Kriptografi Layanan Manajemen AWS Kunci.

Enkripsi bergerak

Materi kunci yang AWS dihasilkan atau dimuat oleh Kriptografi Pembayaran untuk kunci pembayaran tidak pernah diekspor atau ditransmisikan dalam API operasi Kriptografi AWS Pembayaran dalam cleartext. AWSKriptografi Pembayaran menggunakan pengidentifikasi kunci untuk mewakili kunci dalam API operasi.

Namun, beberapa API operasi Kriptografi AWS Pembayaran mengekspor kunci yang dienkripsi oleh kunci pertukaran kunci yang sebelumnya dibagikan atau asimetris. Selain itu, pelanggan dapat menggunakan API operasi untuk mengimpor bahan kunci terenkripsi untuk kunci pembayaran.

Semua API panggilan Kriptografi AWS Pembayaran harus ditandatangani dan ditransmisikan menggunakan Transport Layer Security (TLS). AWSKriptografi Pembayaran membutuhkan TLS versi dan cipher suite yang didefinisikan PCI sebagai “kriptografi kuat”. Semua titik akhir layanan mendukung TLS 1.0-1.3 dan hybrid post-quantum. TLS

Untuk detail selengkapnya, lihat Rincian Kriptografi Layanan Manajemen AWS Kunci.

Privasi lalu lintas antar jaringan

AWSKriptografi Pembayaran mendukung Konsol AWS Manajemen dan serangkaian API operasi yang memungkinkan Anda membuat dan mengelola kunci pembayaran dan menggunakannya dalam operasi kriptografi.

AWSPament Cryptography mendukung dua opsi konektivitas jaringan dari jaringan pribadi Anda ke. AWS

  • IPSecVPNKoneksi melalui internet.

  • AWSDirect Connect, yang menghubungkan jaringan internal Anda ke lokasi AWS Direct Connect melalui kabel serat optik Ethernet standar.

Semua API panggilan Kriptografi Pembayaran harus ditandatangani dan ditransmisikan menggunakan Transport Layer Security (TLS). Panggilan juga memerlukan suite penyandian modern yang mendukung kerahasiaan penerusan sempurna. Lalu lintas ke modul keamanan perangkat keras (HSMs) yang menyimpan materi kunci untuk kunci pembayaran hanya diizinkan dari API host Kriptografi AWS Pembayaran yang diketahui melalui jaringan AWS internal.

Untuk terhubung langsung ke Kriptografi AWS Pembayaran dari cloud pribadi virtual Anda (VPC) tanpa mengirim lalu lintas melalui internet publik, gunakan VPC titik akhir, yang didukung oleh. AWS PrivateLink Untuk informasi selengkapnya, lihat Menghubungkan ke Kriptografi AWS Pembayaran melalui titik VPC akhir.

AWSKriptografi Pembayaran juga mendukung opsi pertukaran kunci pasca-kuantum hibrida untuk protokol enkripsi jaringan Transport Layer Security (TLS). Anda dapat menggunakan opsi ini TLS ketika Anda terhubung ke titik API akhir Kriptografi AWS Pembayaran.