Specifiche e ciclo di vita HSM Sicurezza fisica dei dispositivi HSM Inizializzazione HSM Assistenza e riparazione HSM Smantellamento HSM Aggiornamento del firmware HSM Accesso da parte dell'operatore Gestione delle chiavi

Operazioni interne

Questo argomento descrive i requisiti interni implementati dal servizio per proteggere le chiavi dei clienti e le operazioni crittografiche per un servizio di crittografia dei pagamenti e gestione delle chiavi distribuito a livello globale e scalabile.

Specifiche e ciclo di vita HSM

AWS Payment Cryptography utilizza una flotta di HSM disponibili in commercio. Gli HSM sono convalidati secondo lo standard FIPS 140-2 di livello 3 e utilizzano anche versioni firmware e la politica di sicurezza elencate nell'elenco dei dispositivi PCI PTS approvato dal PCI Security Standards Council come certificato PCI HSM v3. Lo standard PCI PTS HSM include requisiti aggiuntivi per la produzione, la spedizione, l'implementazione, la gestione e la distruzione dell'hardware HSM, importanti per la sicurezza e la conformità dei pagamenti ma non soddisfatti dal FIPS 140.

Tutti gli HSM sono gestiti in modalità PCI e configurati con la politica di sicurezza PCI PTS HSM. Sono abilitate solo le funzioni necessarie per supportare i casi d'uso della crittografia dei AWS pagamenti. AWS Payment Cryptography non prevede la stampa, la visualizzazione o la restituzione di PIN in testo non crittografato.

Sicurezza fisica dei dispositivi HSM

Solo gli HSM con chiavi del dispositivo firmate da un'autorità di certificazione (CA) di crittografia dei AWS pagamenti (CA) del produttore prima della consegna possono essere utilizzati dal servizio. La AWS Payment Cryptography è una CA secondaria della CA del produttore che è alla base della fiducia per i certificati dei produttori e dei dispositivi HSM. La CA del produttore implementa ANSI TR 34 e ha attestato la conformità all'allegato A sulla sicurezza del PCI PIN e all'allegato A. Il produttore verifica che tutti gli HSM con chiavi del dispositivo firmate da AWS Payment Cryptography CA vengano spediti al destinatario designato di AWS.

Come richiesto da PCI PIN Security, il produttore fornisce un elenco di numeri seriali tramite un canale di comunicazione diverso da quello di spedizione HSM. Questi numeri di serie vengono controllati in ogni fase del processo di installazione di HSM nei data center AWS. Infine, gli operatori AWS di Payment Cryptography convalidano l'elenco degli HSM installati confrontandolo con l'elenco del produttore prima di aggiungere il numero di serie all'elenco degli HSM autorizzati a ricevere le chiavi di crittografia dei pagamenti. AWS

Gli HSM sono archiviati in modo sicuro o sotto doppio controllo in qualsiasi momento, il che include:

Spedizione dal produttore a un impianto di assemblaggio su rack AWS.
Durante l'assemblaggio del rack.
Spedizione dall'impianto di assemblaggio del rack a un data center.
Ricezione e installazione in una sala di elaborazione sicura del data center. I rack HSM prevedono un doppio controllo con serrature con accesso tramite scheda, sensori allarmati sulle porte e telecamere.
Durante le operazioni.
Durante lo smantellamento e la distruzione.

Per ogni HSM viene mantenuto e monitorato un sistema completo chain-of-custody, con responsabilità individuale.

Inizializzazione HSM

Un HSM viene inizializzato come parte della flotta AWS Payment Cryptography solo dopo che la sua identità e integrità sono state convalidate mediante numeri di serie, chiavi del dispositivo installate dal produttore e checksum del firmware. Dopo la convalida dell'autenticità e dell'integrità di un HSM, questo viene configurato, inclusa l'attivazione della modalità PCI. Quindi vengono stabilite le chiavi principali della regione AWS Payment Cryptography e le chiavi principali del profilo e l'HSM è disponibile per il servizio.

Assistenza e riparazione HSM

HSM dispone di componenti riparabili che non richiedono la violazione del limite crittografico del dispositivo. Questi componenti includono ventole di raffreddamento, alimentatori e batterie. Se un HSM o un altro dispositivo all'interno del rack HSM necessita di assistenza, il doppio controllo viene mantenuto per tutto il periodo di apertura del rack.

Smantellamento HSM

La disattivazione avviene a causa end-of-life o a un guasto di un HSM. Gli HSM vengono logicamente azzerati prima di essere rimossi dal rack, se funzionanti, e poi distrutti all'interno delle sale di elaborazione sicure dei data center AWS. Non vengono mai restituiti al produttore per la riparazione, utilizzati per altri scopi o altrimenti rimossi da una sala di elaborazione sicura prima della distruzione.

Aggiornamento del firmware HSM

Gli aggiornamenti del firmware HSM vengono applicati quando necessario per mantenere l'allineamento con le versioni elencate di PCI PTS HSM e FIPS 140-2 (o FIPS 140-3), se un aggiornamento è legato alla sicurezza o se si stabilisce che i clienti possono beneficiare delle funzionalità di una nuova versione. AWS Gli HSM di crittografia dei pagamenti eseguono il firmware, corrispondente alle versioni PCI PTS elencate in HSM. off-the-shelf L'integrità delle nuove versioni del firmware viene convalidata con le versioni del firmware certificate PCI o FIPS, quindi testate per verificarne la funzionalità prima dell'implementazione su tutti gli HSM.

Accesso da parte dell'operatore

Gli operatori possono accedere a HSM senza console per la risoluzione dei problemi nei rari casi in cui le informazioni raccolte da HSM durante le normali operazioni non siano sufficienti per identificare un problema o pianificare una modifica. Vengono eseguiti i seguenti passaggi:

Le attività di risoluzione dei problemi vengono sviluppate e approvate e viene pianificata la sessione non basata sulla console.
Un HSM viene rimosso dal servizio di elaborazione clienti.
Le chiavi principali vengono eliminate, sotto doppio controllo.
All'operatore è consentito l'accesso all'HSM senza console per eseguire attività di risoluzione dei problemi approvate, sotto doppio controllo.
- Al termine della sessione non consolle, viene eseguito il processo di provisioning iniziale sull'HSM, restituendo il firmware e la configurazione standard, quindi sincronizzando la chiave principale, prima di restituire l'HSM ai clienti.
- I record della sessione vengono registrati nel monitoraggio delle modifiche.
- Le informazioni ottenute dalla sessione vengono utilizzate per pianificare le modifiche future.

Tutti i record di accesso non relativi alla console vengono esaminati per verificarne la conformità dei processi e le potenziali modifiche al monitoraggio HSM, al processo di non-console-access gestione o alla formazione degli operatori.

Gestione delle chiavi

Tutti gli HSM di una regione sono sincronizzati con una chiave principale regionale. Una Region Main Key protegge almeno una Profile Main Key. Una Profile Main Key protegge le chiavi del cliente.

Tutte le chiavi principali sono generate da un HSM e distribuite mediante distribuzione simmetrica delle chiavi utilizzando tecniche asimmetriche, in linea con ANSI X9 TR 34 e PCI PIN Annex A.

Argomenti

Generazione
Sincronizzazione delle chiavi principali della regione
Rotazione dei tasti principali della regione
Sincronizzazione delle chiavi principali del profilo
Rotazione della chiave principale del profilo
Protezione
Durabilità
Sicurezza delle comunicazioni
Gestione delle chiavi dei clienti
Registrazione di log e monitoraggio

Generazione

Le chiavi principali AES a 256 bit vengono generate su uno degli HSM predisposti per il parco HSM del servizio, utilizzando il generatore di numeri casuali PCI PTS HSM.

Sincronizzazione delle chiavi principali della regione

Le chiavi principali della regione HSM sono sincronizzate dal servizio su tutta la flotta regionale con meccanismi definiti da ANSI X9 TR-34, che includono:

Autenticazione reciproca tramite chiavi e certificati KDH (Key Distribution Host) e Key Receiver Device (KRD) per garantire l'autenticazione e l'integrità delle chiavi pubbliche.
I certificati sono firmati da un'autorità di certificazione (CA) che soddisfa i requisiti del PIN PCI allegato A2, ad eccezione degli algoritmi asimmetrici e dei punti di forza chiave appropriati per proteggere le chiavi AES a 256 bit.
Identificazione e protezione delle chiavi per le chiavi simmetriche distribuite in conformità con ANSI X9 TR-34 e PCI PIN Annex A1, ad eccezione degli algoritmi asimmetrici e dei punti di forza chiave appropriati per proteggere le chiavi AES a 256 bit.

Le chiavi principali della regione vengono stabilite per gli HSM che sono stati autenticati e forniti per una regione da:

Una chiave principale viene generata su un HSM della regione. Tale HSM è designato come host di distribuzione delle chiavi.
Tutti gli HSM forniti nella regione generano un token di autenticazione KRD, che contiene la chiave pubblica dell'HSM e informazioni di autenticazione non rigiocabili.
I token KRD vengono aggiunti all'elenco di autorizzazioni KDH dopo che il KDH ha convalidato l'identità e l'autorizzazione dell'HSM a ricevere le chiavi.
Il KDH produce un token di chiave principale autenticabile per ogni HSM. I token contengono informazioni di autenticazione KDH e una chiave principale crittografata che può essere caricata solo su un HSM per cui sono stati creati.
A ogni HSM viene inviato il token chiave principale creato appositamente. Dopo aver convalidato le informazioni di autenticazione proprie dell'HSM e le informazioni di autenticazione KDH, la chiave principale viene decrittografata dalla chiave privata KRD e caricata nella chiave principale.

Nel caso in cui un singolo HSM debba essere risincronizzato con una regione:

Viene riconvalidato e dotato di firmware e configurazione.
Se è nuovo nella regione:
- L'HSM genera un token di autenticazione KRD.
- Il KDH aggiunge il token all'elenco degli elementi consentiti.
- Il KDH genera un token chiave principale per l'HSM.
- L'HSM carica la chiave principale.
- L'HSM viene messo a disposizione del servizio.

Ciò garantisce che:

Solo gli HSM convalidati per l'elaborazione della crittografia dei AWS pagamenti all'interno di una regione possono ricevere la chiave principale di quella regione.
Solo una chiave master di un AWS Payment Cryptography HSM può essere distribuita a un HSM del parco macchine.

Rotazione dei tasti principali della regione

Le chiavi principali della regione vengono ruotate alla scadenza del periodo crittografico, nell'improbabile eventualità che si sospetti una compromissione della chiave o dopo modifiche al servizio che si ritiene abbiano un impatto sulla sicurezza della chiave.

Una nuova chiave principale della regione viene generata e distribuita come durante il provisioning iniziale. Le chiavi principali del profilo salvate devono essere tradotte nella nuova chiave principale della regione.

La rotazione delle chiavi principali della regione non influisce sull'elaborazione dei clienti.

Sincronizzazione delle chiavi principali del profilo

Le chiavi principali del profilo sono protette dalle chiavi principali della regione. Ciò limita un profilo a una regione specifica.

Le chiavi principali del profilo vengono fornite di conseguenza:

Una chiave principale del profilo viene generata su un HSM con la chiave principale della regione sincronizzata.
La chiave principale del profilo viene archiviata e crittografata con la configurazione del profilo e altri contesti.
Il profilo viene utilizzato per le funzioni crittografiche del cliente da qualsiasi HSM della regione con la chiave principale della regione.

Rotazione della chiave principale del profilo

Le chiavi principali del profilo vengono ruotate alla scadenza del periodo crittografico, dopo una sospetta compromissione della chiave o dopo modifiche al servizio che si ritiene abbiano un impatto sulla sicurezza della chiave.

Fasi di rotazione:

Una nuova chiave principale del profilo viene generata e distribuita come chiave principale in sospeso, come nel caso del provisioning iniziale.
Un processo in background traduce il materiale chiave del cliente dalla chiave principale del profilo stabilito alla chiave principale in sospeso.
Quando tutte le chiavi del cliente sono state crittografate con la chiave in sospeso, la chiave in sospeso viene promossa alla chiave principale del profilo.
Un processo in background elimina il materiale chiave del cliente protetto dalla chiave scaduta.

La rotazione delle chiavi principali del profilo non influisce sull'elaborazione dei clienti.

Protezione

Le chiavi dipendono solo dalla gerarchia delle chiavi per la protezione. La protezione delle chiavi principali è fondamentale per prevenire la perdita o la compromissione di tutte le chiavi del cliente.

Le chiavi principali della regione sono ripristinabili dal backup solo su sistemi HSM autenticati e forniti per il servizio. Queste chiavi possono essere archiviate solo come token di chiave principale crittografati e reciprocamente autenticabili da un KDH specifico per un HSM specifico.

Le chiavi master del profilo vengono archiviate con la configurazione del profilo e le informazioni di contesto crittografate per regione.

Le chiavi del cliente sono archiviate in blocchi chiave, protetti da una chiave master del profilo.

Tutte le chiavi esistono esclusivamente all'interno di un HSM o sono archiviate protette da un'altra chiave con una forza crittografica uguale o superiore.

Durabilità

Le chiavi del cliente per la crittografia delle transazioni e le funzioni aziendali devono essere disponibili anche in situazioni estreme che in genere causerebbero interruzioni. AWS La crittografia dei pagamenti utilizza un modello di ridondanza a più livelli tra zone e regioni di disponibilità. AWS Il cliente che richiede una disponibilità e una durabilità maggiori per le operazioni crittografiche di pagamento rispetto a quelle fornite dal servizio deve implementare architetture multiregionali.

L'autenticazione HSM e i token della chiave principale vengono salvati e possono essere utilizzati per ripristinare una chiave principale o sincronizzarsi con una nuova chiave principale, nel caso in cui sia necessario reimpostare un HSM. I token vengono archiviati e utilizzati solo sotto doppio controllo quando necessario.

Sicurezza delle comunicazioni

Esterno

AWS Gli endpoint dell'API Payment Cryptography soddisfano gli standard AWS di sicurezza tra cui TLS versione 1.2 o superiore e Signature Version 4 per l'autenticazione e l'integrità delle richieste.

Le connessioni TLS in entrata vengono terminate sui sistemi di bilanciamento del carico di rete e inoltrate ai gestori API tramite connessioni TLS interne.

Interno

Le comunicazioni interne tra i componenti del servizio e tra i componenti del servizio e altri servizi AWS sono protette da TLS utilizzando una crittografia avanzata.

Gli HSM si trovano su una rete privata non virtuale raggiungibile solo dai componenti del servizio. Tutte le connessioni tra HSM e i componenti del servizio sono protette con TLS reciproco (mTLS), pari o superiore a TLS 1.2. I certificati interni per TLS e MTL sono gestiti da Amazon Certificate Manager utilizzando un'autorità di certificazione privata AWS. I VPC interni e la rete HSM vengono monitorati per attività e modifiche di configurazione impreviste.

Gestione delle chiavi dei clienti

At AWS, la fiducia dei clienti è la nostra massima priorità. Mantieni il pieno controllo delle chiavi che carichi o crei nel servizio con il tuo account AWS e la responsabilità della configurazione dell'accesso alle chiavi.

AWS Payment Cryptography ha la piena responsabilità della conformità fisica HSM e della gestione delle chiavi per le chiavi gestite dal servizio. Ciò richiede la proprietà e la gestione delle chiavi principali HSM e l'archiviazione delle chiavi protette del cliente all'interno del database delle chiavi di AWS Payment Cryptography.

Separazione dello spazio delle chiavi del cliente

AWS Payment Cryptography applica politiche chiave per tutti gli usi delle chiavi, inclusa la limitazione dei principi all'account proprietario della chiave, a meno che una chiave non venga esplicitamente condivisa con un altro account.

Backup e ripristino

Il backup delle chiavi e delle informazioni chiave di una regione viene eseguito in archivi crittografati da. AWS Gli archivi richiedono un doppio controllo AWS per il ripristino.

Blocchi chiave

Tutte le chiavi sono memorizzate in blocchi chiave in formato ANSI X9 TR-31.

Le chiavi possono essere importate nel servizio da crittogrammi o altri formati di blocchi di chiavi supportati da. ImportKey Allo stesso modo, le chiavi possono essere esportate, se esportabili, in altri formati di blocchi di chiavi o crittogrammi supportati dai profili di esportazione delle chiavi.

Uso delle chiavi

L'uso delle chiavi è limitato a quello configurato KeyUsage dal servizio. Il servizio fallirà qualsiasi richiesta con utilizzo della chiave, modalità di utilizzo o algoritmo inappropriati per l'operazione di crittografia richiesta.

Relazioni di scambio di chiavi

PCI PIN Security e PCI P2PE richiedono che le organizzazioni che condividono chiavi che crittografano i PIN, inclusa la KEK utilizzata per condividere tali chiavi, non condividano tali chiavi con altre organizzazioni. È consigliabile condividere le chiavi simmetriche solo tra due parti, anche all'interno della stessa organizzazione. Ciò riduce al minimo l'impatto dei sospetti compromessi chiave che impongono la sostituzione delle chiavi interessate.

Anche i casi aziendali che richiedono la condivisione delle chiavi tra più di 2 parti dovrebbero mantenere il numero di parti al minimo.

AWS Payment Cryptography fornisce tag chiave che possono essere utilizzati per tracciare e far rispettare l'utilizzo delle chiavi entro tali requisiti.

Ad esempio, KEK e BDK per diversi impianti di iniezione di chiavi possono essere identificati impostando un «KIF» = «POSStation» per tutte le chiavi condivise con quel fornitore di servizi. Un altro esempio potrebbe essere quello di etichettare le chiavi condivise con le reti di pagamento con «Network» = «». PayCard L'etichettatura consente di creare controlli di accesso e creare report di audit per applicare e dimostrare le pratiche di gestione chiave.

Eliminazione delle chiavi

DeleteKey contrassegna le chiavi nel database per l'eliminazione dopo un periodo configurabile dal cliente. Dopo questo periodo la chiave viene eliminata irrimediabilmente. Si tratta di un meccanismo di sicurezza per impedire l'eliminazione accidentale o dolosa di una chiave. Le chiavi contrassegnate per l'eliminazione non sono disponibili per nessuna azione tranne RestoreKey.

Le chiavi eliminate rimangono nei backup dei servizi per 7 giorni dopo l'eliminazione. Non sono ripristinabili durante questo periodo.

Le chiavi che appartengono agli account AWS chiusi sono contrassegnate per l'eliminazione. Se l'account viene riattivato prima del termine di eliminazione, tutte le chiavi contrassegnate per l'eliminazione vengono ripristinate, ma disattivate. È necessario riattivarle dall'utente per poterle utilizzare per operazioni crittografiche.

Registrazione di log e monitoraggio

I registri di servizio interni includono:

CloudTrail registri delle chiamate al servizio AWS effettuate dal servizio
CloudWatch registri di entrambi gli eventi registrati direttamente nei log o CloudWatch negli eventi da HSM
File di registro da HSM e dai sistemi di servizio
Archivi di registro

Tutte le fonti di registro monitorano e filtrano le informazioni sensibili, incluse quelle relative alle chiavi. I log vengono esaminati sistematicamente per garantire che contengano informazioni riservate sui clienti e non contengano informazioni riservate.

L'accesso ai registri è limitato alle persone necessarie per completare i ruoli lavorativi.

Tutti i log vengono conservati in linea con le policy di conservazione dei log di AWS.

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Fondazioni

Operazioni con i clienti