コントロールの目的 3: キーは安全な方法で伝達または送信されます。

要件 8: AWS Payment Cryptography によるキー伝達は、PCI PIN 評価の一環として評価されました。 AWS Payment Cryptography へのインポート前とエクスポート後の転送のキー保護メカニズムを文書化する必要があります。このサービスは、正しい伝達を検証するためのすべてのキーのキーチェック値を提供します。

要件 8-4 では、パブリックキーの整合性と信頼性を保護する方法でパブリックキーを伝達する必要があります。アプリケーションと の間の伝達 AWS は AWS、 AWS Identity and Access Management TLS サーバー証明書を介したアプリケーションへの AWS API エンドポイント認証に対するアプリケーションの認証によって制御されます。さらに、 AWS Payment Cryptography からエクスポートまたはインポートされたパブリックキーには、一時的な顧客固有の CAs によって署名された証明書があります (GetPublicKeyCertificate」、GetParametersForImport」、およびGetParametersForExport」を参照してください）。これらの CAsは PCI PIN Security Annex A2 に準拠していないため、認証の唯一の方法として使用することはできません。ただし、証明書は IAM が認証を提供するパブリックキーの整合性を引き続き保証します。

非対称方法を使用してビジネスパートナーとパブリックキーを交換する場合は、安全なファイル交換ウェブサイトなどを使用して、通信チャネルを介してビジネスの認証のために を提供する必要があります。

要件 9: サービスはクリアテキストキーコンポーネントを使用または直接サポートしていません。

要件 10: サービスは、伝達のためにキーを保護する相対的なキー強度を適用します。 AWS Payment Cryptography へのインポート前とエクスポート後のキー伝達、およびキーのインポート、エクスポート、生成に正確な API と TR-31 パラメータの使用については、お客様の責任となります。キー伝達メカニズムと伝達に使用される暗号化キーのリストを説明する手順が文書化されている必要があります。

要件 11: 手順のドキュメントでは、キーの伝達方法を指定する必要があります。 AWS Payment Cryptography API を使用したキー伝達の手順には、キーのインポートとエクスポートのアクセス許可を持つロールの使用と、キーを作成するスクリプトやその他のコードの実行の承認を含める必要があります。 AWS CloudTrail ログには、すべての ImportKey イベントと ExportKey イベントが含まれます。