Objetivo de controle 4: O carregamento de chaves HSMs e os dispositivos de aceitação de PIN de POI são tratados de maneira segura.

Requisito 12: Você é responsável por carregar as chaves dos componentes ou compartilhamentos. O gerenciamento das chaves principais do HSM foi avaliado como parte da avaliação do PIN do serviço. AWS A criptografia de pagamento não carrega chaves de ações ou componentes individuais. Consulte a seção Detalhes criptográficos.

Requisitos 13 e 14: Você precisará descrever a proteção das chaves para transferências antes da importação e após a exportação do serviço.

Requisito 15: A criptografia de AWS pagamento fornece valores-chave de verificação para todas as chaves no serviço e garantia de integridade para chaves públicas. Seu aplicativo é responsável por usar essas verificações para validar as chaves após a importação ou exportação do serviço. Você deve documentar os procedimentos para garantir a existência de um mecanismo de validação.

O requisito 15-2 exige que as chaves públicas sejam carregadas de forma a proteger sua integridade e autenticidade. ImportKey, junto com GetParametersForImport, fornece a validação dos certificados de assinatura fornecidos. Se os certificados fornecidos forem autoassinados, a autenticação deverá ser fornecida por um mecanismo separado, por exemplo, troca segura de arquivos.

Requisito 16: A documentação de seus procedimentos deve especificar como as chaves são carregadas no serviço. Os procedimentos para importação de chaves usando a API devem incluir o uso de funções com permissões de importação de chaves e aprovações para executar scripts ou outros códigos que carreguem chaves. AWS CloudTrail os registros contêm todos os ImportKeyeventos. Você deve incluir os mecanismos de registro na documentação. O serviço fornece valores de verificação de chave para todas as chaves para validar o carregamento correto da chave.