View a markdown version of this page

Allgemeine Themen - AWS Kryptografie für Zahlungen
Gemeinsame VerantwortlichkeitMinimale HSM-KonfigurationSchlüsselaustausch zwischen Kunde und APC

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Allgemeine Themen

Die Migration von Anwendungen von einer Verbindung zu HSM zu einem verwalteten Dienst wie AWS Payment Cryptography wirft häufig auftretende Probleme und Konzepte für Kunden und deren Prüfer auf. Dieser Abschnitt enthält Informationen, um zu verdeutlichen, wie die sichere Nutzung des Dienstes diese Situationen behebt.

Gemeinsame Verantwortlichkeit

Kunden, die die vollständige Sicherheits- und Compliance-Verantwortung für Anwendungen übernommen haben, werden ihre Compliance-Anforderungen neu strukturieren, um die Vorteile der Schlüsselverwaltung, der Sicherheitskontrollen und der verwalteten HSM-Funktionen von AWS Payment Cryptography („der Service“) zu nutzen. Dadurch werden sich einige Anforderungen vollständig darauf verlagern AWS, wie die Bewertungen von AWS Payment Cryptography durch Dritte belegen. Einige Anforderungen werden zwischen der Anwendung des Kunden und dem Service gemeinsam gelten. Eine Anwendung ist verantwortlich für:

  • Bereitstellung genauer Informationen für den Dienst

  • Verwendung von Sicherheitskontrollen gemäß den Empfehlungen des Dienstes und den PCI-PIN-Sicherheitsanforderungen

  • Implementierung der erforderlichen Sicherheitskontrollen mithilfe der vom Service bereitgestellten Tools

Kunden und ihre Prüfer verwenden Leitfäden zur gemeinsamen Verantwortung und zur Implementierung, die zusammen mit Konformitätsbescheinigungen veröffentlicht werden, AWS Artifact um die Kontrollen und die Kontrollüberwachung zu implementieren und anschließend die Bewertungen zu planen und abzuschließen.

Minimale HSM-Konfiguration

Der PCI-Datensicherheitsstandard, der grundlegende Standard für andere PCI-Standards, verlangt, dass alle Systeme mit den für ihre Funktion erforderlichen Mindestfunktionen konfiguriert werden. PCI PIN, P2PE und andere Lösungsstandards wenden diese Anforderung HSMs in der Lösung an. HSMs darf nur Funktionen aktivieren, die für die Lösung benötigt werden.

AWS Dienste sollten wie Systeme behandelt und für die erforderliche Mindestfunktionalität konfiguriert werden. Payment Card Industry Data Security Standard (PCI DSS) v4.0 auf AWS empfiehlt die Verwendung von IAM, um die Mindestfunktionalität für jeden von der Lösung verwendeten AWS-Service zu konfigurieren. Dies gilt auch für Zahlungskryptografie. AWS IAM-Richtlinien ermöglichen detaillierte Berechtigungen, um kryptografische Funktionen nur auf die Anwendungskomponenten zu beschränken, die darauf angewiesen sind.

Schlüsselaustausch zwischen Kunde und APC

PIN Die Sicherheitsanforderungen 8-4 und 15-2 erfordern, dass öffentliche Schlüssel für den Austausch und das Laden von Schlüsseln authentifiziert und die Integrität geschützt sind. Für das Laden von POI-Schlüsseln per Fernzugriff, dessen Funktionsweise in ANSI/ASC X9 TR-34 beschrieben ist und durch die PCI-PIN Anhang A geregelt wird, werden öffentliche Schlüssel meistens in Zertifikaten übertragen, die von einer nach Anhang A2 konformen Zertifizierungsstelle signiert wurden. Für den Austausch zwischen Organisationen nutzen öffentliche Schlüssel andere Authentizitäts- und Integritätsmechanismen.

Alle Interaktionen zwischen dem Kunden und AWS erfolgen über AWS APIs, das jeden API-Aufruf gegenseitig authentifiziert und die Integrität von Aufrufen und Antworten mithilfe von TLS sicherstellt. Die Authentifizierung der Kundenanwendung wird von AWS Identity and Access Management mit Mechanismen wie Sicherheitstoken und SigV4 verwaltet. AWS-API-Endpunkte werden vom Kunden mithilfe der TLS-Serverauthentifizierung authentifiziert, die in AWS integriert ist. SDKs Dann gewährleistet TLS die Vertraulichkeit und Integrität aller Daten, die zwischen dem Kunden und jeder AWS-API übertragen werden.

APC APIs GetParametersForImport und ImportKey implementieren Sie eine Schlüsselübertragung vom Kunden zum Service. Die von GetParametersForImport bereitgestellte Zertifizierungsstelle (CA) entspricht zwar nicht Anhang A2, ist aber sicher und nur für das Konto bestimmt. Zwar kann man sich nicht darauf verlassen, dass diese Zertifizierungsstelle die Anforderungen 8-4 und 15-2 erfüllt, sie bietet jedoch eine Integritätsprüfung des importierten Schlüssels. Sie können auch Ihre eigene CA verwenden, indem Sie die API nutzen. GetCertificateSigningRequest

Die Mechanismen, die die Authentifizierung mit öffentlichen Schlüsseln und die Integritätssicherung ermöglichen, sind:

  • Authentifizierung durch AWS-API-Authentifizierung

  • Die Integrität des Schlüssels wird durch die MAC-Funktion des von bereitgestellten Zertifikats gewährleistet GetParametersForImport, auch wenn die Identitätsinformationen im Zertifikat nicht vertrauenswürdig sind. Die Integrität des Schlüssels wird auch durch den von TLS verwendeten MAC gewährleistet, der die Sitzung zwischen dem Kunden und AWS schützt.

Die von APC bereitgestellten Zertifikate und Schlüsselblöcke entsprechen Anhang A1, der die Anforderungen an Zertifikate und den Schutz von Schlüsseln durch asymmetrische Methoden festlegt.