View a markdown version of this page

Temas comunes - AWS Criptografía de pagos
Responsabilidad compartidaConfiguración mínima de HSMIntercambio de claves entre el cliente y APC

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Temas comunes

La migración de aplicaciones desde una conexión a HSM a un servicio gestionado, como la criptografía de AWS pagos, plantea problemas y conceptos comunes para los clientes y sus asesores. En esta sección se proporciona información para aclarar cómo el uso seguro del servicio aborda estas situaciones.

Responsabilidad compartida

Los clientes que hayan asumido toda la responsabilidad en materia de seguridad y cumplimiento de las aplicaciones reestructurarán su conformidad para aprovechar la gestión de claves, los controles de seguridad y las capacidades gestionadas de HSM («el servicio») de AWS Payment Cryptography. Esto modificará por completo algunos requisitos AWS, como lo atestiguan las evaluaciones de terceros de AWS Payment Cryptography. Algunos requisitos se compartirán entre la solicitud del cliente y el servicio. Una aplicación es responsable de:

  • Proporcionar información precisa al servicio

  • Utilizar controles de seguridad de acuerdo con las recomendaciones del servicio y los requisitos de seguridad del PCI PIN

  • Implementar los controles de seguridad necesarios mediante las herramientas proporcionadas por el servicio

Los clientes y sus asesores utilizarán las guías de responsabilidad compartida e implementación publicadas con las certificaciones de cumplimiento AWS Artifact para implementar los controles y la supervisión del control, y luego planificarán y completarán las evaluaciones.

Configuración mínima de HSM

El estándar de seguridad de datos PCI, el estándar fundamental de otros estándares PCI, exige que todos los sistemas estén configurados con la funcionalidad mínima necesaria para su funcionamiento. Los estándares PCI PIN, P2PE y otros estándares de soluciones aplican este requisito a la solución. HSMs HSMs debe habilitar únicamente las funciones necesarias para la solución.

AWS los servicios deben tratarse como sistemas y configurarse para ofrecer la funcionalidad mínima requerida. El estándar de seguridad de datos del sector de tarjetas de pago (PCI DSS) v4.0 de AWS recomienda usar IAM para configurar la funcionalidad mínima de cada servicio de AWS que utilice la solución. Esto también se aplica a la criptografía de pagos. AWS Las políticas de IAM permiten permisos detallados para restringir las funciones criptográficas únicamente a los componentes de la aplicación que dependen de ellas.

Intercambio de claves entre el cliente y APC

PIN PIN Los requisitos de seguridad 8-4 y 15-2 exigen que el intercambio y la carga de las claves estén autenticadas y su integridad esté protegida. En el caso de la carga remota de los POI mediante claves, que se describe funcionalmente en el ANSI/ASC X9 TR-34 y se rige por el anexo A del PCI PIN, las claves públicas suelen figurar en certificados firmados por una autoridad de certificación que cumpla con el anexo A2. Para los intercambios entre organizaciones, las claves públicas utilizan otros mecanismos de autenticidad e integridad.

Todas las interacciones entre el cliente y AWS se realizan a través de AWS APIs, que autentica mutuamente cada llamada a la API y garantiza la integridad de las llamadas y las respuestas mediante TLS. AWS Identity and Access Management gestiona la autenticación de la aplicación del cliente con mecanismos como los tokens de seguridad y SigV4. El cliente autentica los puntos de enlace de la API de AWS mediante la autenticación del servidor TLS, que está integrada en AWS. SDKs Luego, TLS garantiza la confidencialidad e integridad de todos los datos que se transmiten entre el cliente y cada API de AWS.

APC APIs GetParametersForImport e ImportKey implementan una transferencia de claves del cliente al servicio. Si bien la autoridad de certificación (CA) proporcionada por GetParametersForImport ella no cumple con el anexo A2, es segura y exclusiva de la cuenta. Si bien no se puede confiar en que esta CA cumpla con los requisitos 8-4 y 15-2, sí que proporciona una verificación de integridad de la clave importada. También puede utilizar su propia CA aprovechando la API. GetCertificateSigningRequest

Los mecanismos que proporcionan autenticación de clave pública y garantía de integridad son:

  • Autenticación proporcionada por la API de AWS

  • La función MAC del certificado que proporciona proporciona la integridad de la clave GetParametersForImport, incluso si la información de identidad del certificado no es de confianza. La integridad de la clave también está asegurada por el MAC utilizado por TLS, protegiendo la sesión entre el cliente y AWS.

Los certificados y bloques de claves proporcionados por APC cumplen con el anexo A1, que especifica los requisitos para los certificados y la protección de claves mediante métodos asimétricos.