コントロールの目的 6: キーは安全な方法で管理されます。

要件 21: AWS Payment Cryptography でのキーストレージと使用は、サービスの PCI PIN 評価の一部として評価されました。キーコンポーネント関連のストレージ要件については、21-2 および 21-3 で説明されているように保存する必要があります。サービスへのインポート前およびサービスからのエクスポート後に、ポリシードキュメントで主要な保護メカニズムを記述する必要があります。

要件 22: AWS Payment Cryptography の主要な侵害手順は、サービスの PCI PIN 評価の一部として評価されました。モニタリングや通知への応答など、主要な侵害の検出と対応 AWSの手順を説明する必要があります。

要件 23: AWS Payment Cryptography は、バリアントやその他の可逆的なキー計算方法をサポートしていません。お客様が Modbus メインキーまたはそれらによって暗号化されたキーを利用することはできません。可逆的なキー計算の使用は、サービスの PCI PIN 評価の一部として評価されました。

要件 24: 内部シークレットキーとプライベートキーの破棄プラクティス AWS Payment Cryptography は、サービスの PCI PIN 評価の一部として評価されました。キーのキー破棄手順は、 にインポートする前と、 からエクスポートした後に記述する必要があります。キーコンポーネント関連の破棄要件 (24-2.2 および 24-2.3) は引き続きお客様の責任となります。

要件 25: AWS Payment Cryptography 内のシークレットキーとプライベートキーへのアクセスは、サービスの PCI PIN 評価の一部として評価されました。 AWS Payment Cryptography へのインポート前とエクスポート後のキーのアクセスコントロールのプロセスとドキュメントが必要です。

要件 26: サービス外で使用されるキー、キーコンポーネント、または関連マテリアルへのアクセスのログ記録を記述する必要があります。アプリケーションで サービスで行うすべてのキー管理アクティビティのログは、 経由で入手できます AWS CloudTrail。

要件 27: サービス外で使用されるキー、キーコンポーネント、または関連マテリアルのバックアップ手順を説明する必要があります。

要件 28: API を使用したすべてのキー管理の手順には、キー管理アクセス許可を持つロールの使用と、キーを管理するスクリプトやその他のコードの実行の承認を含める必要があります。 AWS CloudTrail ログには、すべてのキー管理イベントが含まれます。