View a markdown version of this page

Sujets courants - AWS Cryptographie des paiements
Responsabilité partagéeConfiguration minimale du HSMÉchange de clés entre le client et APC

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Sujets courants

La migration des applications d'une connexion au HSM vers un service géré tel que la cryptographie des AWS paiements soulève des problèmes et des concepts courants pour les clients et leurs évaluateurs. Cette section fournit des informations pour clarifier la manière dont l'utilisation sécurisée du service répond à ces situations.

Responsabilité partagée

Les clients qui ont assumé l'entière responsabilité de la sécurité et de la conformité des applications restructureront leur conformité afin de tirer parti de la gestion des clés, des contrôles de sécurité et des fonctionnalités HSM gérées de AWS Payment Cryptography (« le service »). Cela transférera complètement certaines exigences AWS, comme en témoignent les évaluations tierces AWS de Payment Cryptography. Certaines exigences seront partagées entre l'application du client et le service. Une application est chargée de :

  • Fournir des informations précises au service

  • Utilisation des contrôles de sécurité conformément aux recommandations du service et aux exigences de sécurité du code PIN PCI

  • Mise en œuvre des contrôles de sécurité requis à l'aide des outils fournis par le service

Les clients et leurs évaluateurs utiliseront des guides de responsabilité partagée et de mise en œuvre publiés avec des attestations de conformité AWS Artifact pour mettre en œuvre les contrôles et le suivi des contrôles, puis planifier et terminer les évaluations.

Configuration minimale du HSM

La norme de sécurité des données PCI, norme fondamentale pour les autres normes PCI, exige que tous les systèmes soient configurés avec le minimum de fonctionnalités nécessaires à leur fonctionnement. Les normes PCI PIN, P2PE et autres normes de solution appliquent cette exigence HSMs à la solution. HSMs doit uniquement activer les fonctions nécessaires à la solution.

AWS les services doivent être traités comme des systèmes et configurés pour les fonctionnalités minimales requises. La norme PCI DSS (Payment Card Industry Data Security Standard) v4.0 sur AWS recommande d'utiliser IAM pour configurer les fonctionnalités minimales de chaque service AWS utilisé par la solution. Cela vaut également pour la cryptographie des AWS paiements. Les politiques IAM permettent d'obtenir des autorisations précises pour restreindre les fonctions cryptographiques uniquement aux composants de l'application qui en dépendent.

Échange de clés entre le client et APC

Code PIN Les exigences de sécurité 8-4 et 15-2 exigent que les clés publiques soient authentifiées pour l'échange et le chargement des clés et que leur intégrité soit protégée. Pour le chargement à distance des POI, décrit fonctionnellement dans le ANSI/ASC X9 TR-34 et régi par l'annexe A du code PIN PCI, les clés publiques sont le plus souvent transmises sous forme de certificats signés par une autorité de certification conforme à l'annexe A2. Pour les échanges entre organisations, les clés publiques utilisent d'autres mécanismes d'authenticité et d'intégrité.

Toutes les interactions entre le client et AWS se font via AWS APIs, qui authentifie mutuellement chaque appel d'API et garantit l'intégrité des appels et des réponses à l'aide du protocole TLS. L'authentification de l'application client est gérée par AWS Identity and Access Management à l'aide de mécanismes tels que les jetons de sécurité et le SigV4. Les points de terminaison de l'API AWS sont authentifiés par le client à l'aide de l'authentification du serveur TLS, intégrée à AWS. SDKs Le protocole TLS garantit ensuite la confidentialité et l'intégrité de toutes les données transmises entre le client et chaque API AWS.

APC APIs GetParametersForImport et ImportKey implémentez un transfert de clé du client au service. Bien que l'autorité de certification (CA) fournie par ne GetParametersForImport soit pas conforme à l'annexe A2, elle est sécurisée et propre au compte. Bien que cette autorité de certification ne soit pas fiable pour la conformité aux exigences 8-4 et 15-2, elle fournit une vérification de l'intégrité de la clé importée. Vous pouvez également utiliser votre propre autorité de certification en tirant parti de l' GetCertificateSigningRequest API.

Les mécanismes qui fournissent l'authentification par clé publique et l'assurance de l'intégrité sont les suivants :

  • Authentification fournie par l'authentification de l'API AWS

  • L'intégrité de la clé est assurée par la fonction MAC du certificat fourni par GetParametersForImport, même si les informations d'identité contenues dans le certificat ne sont pas fiables. L'intégrité de la clé est également garantie par le MAC utilisé par TLS pour protéger la session entre le client et AWS.

Les certificats et blocs de clés fournis par APC sont conformes à l'annexe A1, qui spécifie les exigences relatives aux certificats et à la protection des clés par des méthodes asymétriques.