Tujuan Kontrol 1: PINs digunakan dalam transaksi yang diatur oleh persyaratan ini diproses menggunakan peralatan dan prosedur yang memastikan mereka tetap aman. - AWS Kriptografi Pembayaran

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Tujuan Kontrol 1: PINs digunakan dalam transaksi yang diatur oleh persyaratan ini diproses menggunakan peralatan dan prosedur yang memastikan mereka tetap aman.

Persyaratan 1: HSMs digunakan oleh AWS Payment Cryptography dinilai sebagai bagian dari penilaian PIN PCI kami. Untuk pelanggan yang menggunakan layanan ini, Persyaratan 1-3 dan 1-4 adalah “In Place” relatif terhadap HSM yang dikelola oleh layanan. Temuan untuk HSM akan menyatakan bahwa pengujian telah dibuktikan oleh AWS QPA. Pengesahan Kepatuhan PIN tersedia untuk direferensikan di Artifact AWS. SCD lainnya, seperti POI, dalam solusi Anda perlu diinventarisasi dan direferensikan.

Persyaratan 2: Dokumentasi prosedur Anda harus menentukan bagaimana pemegang kartu PINs dilindungi sehubungan dengan membocorkan kepada personel Anda, protokol terjemahan PIN yang diterapkan, dan perlindungan selama pemrosesan on-line dan off-line. Selain itu, dokumentasi Anda harus berisi ringkasan metode manajemen kunci kriptografi yang digunakan dalam setiap zona.

Persyaratan 3: POI harus dikonfigurasi untuk enkripsi dan transmisi PIN yang aman. AWS Payment Cryptography hanya mendukung terjemahan blok PIN yang ditentukan dalam Persyaratan 3-3.

Persyaratan 4: Aplikasi tidak boleh menyimpan blok PIN. Blok PIN, bahkan dienkripsi, tidak boleh disimpan dalam jurnal transaksi atau log. Layanan tidak menyimpan blok PIN dan penilaian PIN memverifikasi bahwa mereka tidak ada dalam log.

Perhatikan bahwa standar Keamanan PIN PCI berlaku untuk memperoleh “manajemen, pemrosesan, dan transmisi data nomor identifikasi pribadi (PIN) yang aman selama pemrosesan transaksi kartu pembayaran online dan offline di terminal ATMs dan point-of-sale (POS)”, sebagaimana dinyatakan dalam standar. Namun, standar ini sering digunakan untuk menilai manajemen kunci kriptografi untuk pembayaran di luar ruang lingkup yang dimaksudkan. Ini mungkin termasuk kasus penggunaan penerbit di mana PINs disimpan. Pengecualian untuk persyaratan untuk kasus-kasus ini harus disepakati dengan audiens yang dituju untuk penilaian.