Obiettivo di controllo 1: PINs utilizzato nelle transazioni regolate da questi requisiti, viene elaborato utilizzando apparecchiature e metodologie che ne garantiscono la sicurezza. - AWS Crittografia dei pagamenti

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Obiettivo di controllo 1: PINs utilizzato nelle transazioni regolate da questi requisiti, viene elaborato utilizzando apparecchiature e metodologie che ne garantiscono la sicurezza.

Requisito 1: i HSMs dati utilizzati da AWS Payment Cryptography sono stati valutati nell'ambito della nostra valutazione del PIN PCI. Per i clienti che utilizzano il servizio, i requisiti 1-3 e 1-4 sono «in vigore» rispetto all'HSM gestito dal servizio. I risultati relativi a HSM confermeranno che i test sono stati confermati dal QPA. AWS È possibile fare riferimento all'attestato di conformità PIN. AWS Artifact Gli altri SCD, come i POI, presenti nella soluzione in uso dovranno essere inventariati e referenziati.

Requisito 2: la documentazione delle procedure deve specificare in che modo i titolari della carta PINs sono protetti per quanto riguarda la divulgazione al personale, i protocolli di traduzione del PIN implementati e la protezione durante l'elaborazione on-line e offline. Inoltre, la documentazione deve contenere un riepilogo dei metodi di gestione delle chiavi crittografiche utilizzati all'interno di ciascuna zona.

Requisito 3: I POI devono essere configurati per la crittografia e la trasmissione sicure del PIN. AWS Payment Cryptography supporta solo le traduzioni dei blocchi PIN specificate nel Requisito 3-3.

Requisito 4: l'applicazione non deve memorizzare blocchi PIN. I blocchi PIN, anche criptati, non devono essere conservati nei diari o nei registri delle transazioni. Il servizio non memorizza i blocchi PIN e la valutazione del PIN verifica che non siano presenti nei registri.

Si noti che lo standard di sicurezza PCI PIN si applica all'acquisizione della «gestione, elaborazione e trasmissione sicure dei dati del numero di identificazione personale (PIN) durante l'elaborazione delle transazioni online e offline con carte di pagamento presso i terminali ATMs e point-of-sale (POS)», come indicato nello standard. Tuttavia, lo standard viene spesso utilizzato per valutare la gestione delle chiavi crittografiche per i pagamenti che non rientrano nell'ambito previsto. Ciò può includere casi d'uso dell'emittente in cui vengono PINs archiviati. Le eccezioni ai requisiti per questi casi devono essere concordate con i destinatari della valutazione.