コントロールの目的 4: HSMsおよび POI PIN 承認デバイスへのキーロードは、安全な方法で処理されます。

要件 12: コンポーネントまたは共有からキーをロードする責任があります。HSM メインキーの管理は、サービスの PIN 評価の一部として評価されました。 AWS Payment Cryptography は、個々の共有またはコンポーネントからキーをロードしません。「暗号化の詳細」セクションを参照してください。

要件 13 および 14: サービスからのインポート前とエクスポート後の転送のキー保護を記述する必要があります。

要件 15: AWS Payment Cryptography は、サービス内のすべてのキーのキーチェック値と、パブリックキーの整合性保証を提供します。アプリケーションは、これらのチェックを使用して、サービスへのインポートまたはサービスからのエクスポート後にキーを検証する責任があります。検証メカニズムが設定されていることを確認する手順を文書化する必要があります。

要件 15-2 では、パブリックキーの整合性と信頼性を保護する方法でロードする必要があります。ImportKey は GetParametersForImport とともに、提供された署名証明書の検証を提供します。提供された証明書が自己署名の場合、認証は安全なファイル交換などの別のメカニズムで提供する必要があります。

要件 16: 手順のドキュメントでは、キーをサービスにロードする方法を指定する必要があります。API を使用したキーのインポートの手順には、キーのインポート許可を持つロールの使用と、キーをロードするスクリプトやその他のコードの実行の承認を含める必要があります。 AWS CloudTrail ログには、すべての ImportKey イベントが含まれます。ログ記録メカニズムをドキュメントに含める必要があります。このサービスは、正しいキーロードを検証するために、すべてのキーのキーチェック値を提供します。