控制目標 3：以安全的方式傳遞或傳輸金鑰。

要求 8： AWS 付款密碼編譯的金鑰傳遞已評估為 PCI PIN 評估的一部分。匯入付款 AWS 密碼編譯之前和匯出之後，您將需要記錄傳輸的金鑰保護機制。此服務為所有金鑰提供金鑰檢查值，以驗證正確的傳輸。

要求 8-4 要求以保護公有金鑰完整性和真實性的方式進行傳遞。您的應用程式與 之間的傳遞， AWS 是由應用程式的身分驗證使用 AWS Identity and Access Management 方法 AWS，透過 TLS 伺服器憑證對應用程式進行 AWS API 端點身分驗證所控制。此外，從 AWS 付款密碼編譯匯出或匯入的公有金鑰具有暫時性、客戶特定 CAs 簽署的憑證 （請參閱 GetPublicKeyCertificate、GetParametersForImport 和 GetParametersForExport)。這些 CAs不能用作唯一身分驗證方法，因為它們不符合 PCI PIN 安全附件 A2。不過，憑證仍會透過提供身分驗證的 IAM 為公有金鑰提供完整性保證。

使用非對稱方法與業務合作夥伴交換公有金鑰時，您必須使用安全的檔案交換網站等，透過通訊管道提供 以進行企業身分驗證。

要求 9：服務不使用或直接支援純文字金鑰元件。

要求 10：此服務會強制執行保護傳輸金鑰的相對金鑰強度。從 AWS 付款密碼編譯匯出至 之前和匯出之後，您必須負責金鑰傳遞，並使用對金鑰匯入、匯出和產生而言準確的 API 和 TR-31 參數。您應該有文件化程序來描述金鑰傳輸機制，以及用於傳輸的密碼編譯金鑰清單。

要求 11：程序的文件必須指定傳遞金鑰的方式。使用 AWS Payment Cryptography API 的金鑰傳遞程序應包括使用具有金鑰匯入和匯出許可的角色，以及執行指令碼或建立 key. AWS CloudTrail logs 的其他程式碼的核准，其中包含所有 ImportKey 和 ExportKey 事件。