Tujuan Kontrol 4: Pemuatan kunci ke HSMs dan perangkat penerimaan PIN POI ditangani dengan cara yang aman.

Persyaratan 12: Anda bertanggung jawab untuk memuat kunci dari komponen atau saham. Manajemen kunci utama HSM dinilai sebagai bagian dari penilaian PIN layanan. AWS Payment Cryptography tidak memuat kunci dari saham atau komponen individual. Lihat Detail kriptografi bagian.

Persyaratan 13 dan 14: Anda harus menjelaskan perlindungan kunci untuk transfer sebelum impor ke dan setelah ekspor dari layanan.

Persyaratan 15: Kriptografi Pembayaran AWS memberikan nilai pemeriksaan kunci untuk semua kunci dalam layanan dan jaminan integritas untuk kunci publik. Aplikasi Anda bertanggung jawab untuk menggunakan pemeriksaan ini untuk memvalidasi kunci setelah mengimpor atau mengekspor dari layanan. Anda harus mendokumentasikan prosedur untuk memastikan bahwa mekanisme validasi ada.

Persyaratan 15-2 mensyaratkan bahwa kunci publik dimuat dengan cara yang melindungi integritas dan keasliannya. ImportKey, bersama dengan GetParametersForImport, menyediakan validasi sertifikat penandatanganan yang disediakan. Jika sertifikat yang diberikan ditandatangani sendiri, maka otentikasi harus disediakan oleh mekanisme terpisah, misalnya pertukaran file aman.

Persyaratan 16: Dokumentasi prosedur Anda harus menentukan bagaimana kunci dimuat ke layanan. Prosedur untuk impor kunci menggunakan API harus mencakup penggunaan peran dengan izin impor kunci dan persetujuan untuk menjalankan skrip atau kode lain yang memuat kunci. AWS CloudTrail log berisi semua ImportKeyperistiwa. Anda harus menyertakan mekanisme logging dalam dokumentasi. Layanan ini menyediakan nilai pemeriksaan kunci untuk semua kunci untuk memvalidasi pemuatan kunci yang benar.