Obiettivo di controllo 4: il caricamento delle chiavi HSMs e l'accettazione dei PIN dei POI vengono gestiti in modo sicuro.

Requisito 12: L'utente è responsabile del caricamento delle chiavi dai componenti o dalle condivisioni. La gestione delle chiavi principali HSM è stata valutata nell'ambito della valutazione del PIN del servizio. AWS Payment Cryptography non carica le chiavi da singole azioni o componenti. Consulta la sezione Dettagli crittografici.

Requisiti 13 e 14: è necessario descrivere la protezione delle chiavi per i trasferimenti prima dell'importazione e dopo l'esportazione dal servizio.

Requisito 15: La crittografia dei AWS pagamenti fornisce valori di controllo chiave per tutte le chiavi del servizio e garantisce l'integrità per le chiavi pubbliche. L'applicazione è responsabile dell'utilizzo di questi controlli per convalidare le chiavi dopo l'importazione o l'esportazione dal servizio. È necessario documentare le procedure per garantire l'esistenza di un meccanismo di convalida.

Il requisito 15-2 richiede che le chiavi pubbliche siano caricate in modo da proteggerne l'integrità e l'autenticità. ImportKey, insieme a GetParametersForImport, prevede la convalida dei certificati di firma forniti. Se i certificati forniti sono autofirmati, l'autenticazione deve essere fornita mediante un meccanismo separato, ad esempio lo scambio sicuro di file.

Requisito 16: la documentazione delle procedure deve specificare come le chiavi vengono caricate nel servizio. Le procedure per l'importazione delle chiavi tramite l'API devono includere l'uso di ruoli con autorizzazioni e approvazioni di importazione delle chiavi per l'esecuzione di script o altro codice che carica le chiavi. AWS CloudTrail i log contengono tutti gli eventi. ImportKey È necessario includere i meccanismi di registrazione nella documentazione. Il servizio fornisce valori di controllo chiave per tutte le chiavi per convalidare il corretto caricamento delle chiavi.