Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Operazioni di elaborazione delle transazioni
I requisiti PCI PIN sono organizzati in Obiettivi di controllo. Ogni obiettivo di controllo raggruppa i requisiti per garantire un aspetto della sicurezza per. PINs
**Topics**
+ [Obiettivo di controllo 1: PINs utilizzato nelle transazioni regolate da questi requisiti, viene elaborato utilizzando apparecchiature e metodologie che ne garantiscono la sicurezza.](pin-compliance-control-1.md)
+ [Obiettivo di controllo 2: Le chiavi crittografiche utilizzate per il PIN encryption/decryption e la relativa gestione delle chiavi vengono create utilizzando processi che assicurano che non sia possibile prevedere alcuna chiave o determinare che determinate chiavi sono più probabili di altre chiavi.](pin-compliance-control-2.md)
+ [Obiettivo di controllo 3: le chiavi vengono convogliate o trasmesse in modo sicuro.](pin-compliance-control-3.md)
+ [Obiettivo di controllo 4: il caricamento delle chiavi HSMs e l'accettazione dei PIN dei POI vengono gestiti in modo sicuro.](pin-compliance-control-4.md)
+ [Obiettivo di controllo 5: Le chiavi vengono utilizzate in modo da prevenire o rilevare il loro utilizzo non autorizzato.](pin-compliance-control-5.md)
+ [Obiettivo di controllo 6: Le chiavi vengono amministrate in modo sicuro.](pin-compliance-control-6.md)
+ [Obiettivo di controllo 7: le apparecchiature utilizzate per l'elaborazione PINs e le chiavi sono gestite in modo sicuro.](pin-compliance-control-7.md)
# Obiettivo di controllo 1: PINs utilizzato nelle transazioni regolate da questi requisiti, viene elaborato utilizzando apparecchiature e metodologie che ne garantiscono la sicurezza.
*Requisito 1:* i HSMs dati utilizzati da AWS Payment Cryptography sono stati valutati nell'ambito della nostra valutazione del PIN PCI. Per i clienti che utilizzano il servizio, i requisiti 1-3 e 1-4 sono «in vigore» rispetto all'HSM gestito dal servizio. I risultati relativi a HSM confermeranno che i test sono stati confermati dal QPA. AWS È possibile fare riferimento all'attestato di conformità PIN. AWS Artifact Gli altri SCD, come i POI, presenti nella soluzione in uso dovranno essere inventariati e referenziati.
*Requisito 2:* la documentazione delle procedure deve specificare in che modo i titolari della carta PINs sono protetti per quanto riguarda la divulgazione al personale, i protocolli di traduzione del PIN implementati e la protezione durante l'elaborazione on-line e offline. Inoltre, la documentazione deve contenere un riepilogo dei metodi di gestione delle chiavi crittografiche utilizzati all'interno di ciascuna zona.
*Requisito 3:* I POI devono essere configurati per la crittografia e la trasmissione sicure del PIN. AWS Payment Cryptography supporta solo le traduzioni dei blocchi PIN specificate nel Requisito 3-3.
*Requisito 4:* l'applicazione non deve memorizzare blocchi PIN. I blocchi PIN, anche criptati, non devono essere conservati nei diari o nei registri delle transazioni. Il servizio non memorizza i blocchi PIN e la valutazione del PIN verifica che non siano presenti nei registri.
Si noti che lo standard di sicurezza PCI PIN si applica all'acquisizione della «gestione, elaborazione e trasmissione sicure dei dati del numero di identificazione personale (PIN) durante l'elaborazione delle transazioni online e offline con carte di pagamento presso i terminali ATMs e point-of-sale (POS)», come indicato nello standard. Tuttavia, lo standard viene spesso utilizzato per valutare la gestione delle chiavi crittografiche per i pagamenti che non rientrano nell'ambito previsto. Ciò può includere casi d'uso dell'emittente in cui vengono PINs archiviati. Le eccezioni ai requisiti per questi casi devono essere concordate con i destinatari della valutazione.
# Obiettivo di controllo 2: Le chiavi crittografiche utilizzate per il PIN encryption/decryption e la relativa gestione delle chiavi vengono create utilizzando processi che assicurano che non sia possibile prevedere alcuna chiave o determinare che determinate chiavi sono più probabili di altre chiavi.
*Requisito 5:* la generazione di chiavi mediante AWS Payment Cryptography è stata valutata nell'ambito della nostra valutazione PCI PIN. Questo può essere specificato nella colonna «Generato da» della tabella chiave.
*Requisito 6:* I controlli di sicurezza per le chiavi contenute nella crittografia dei AWS pagamenti sono stati valutati nell'ambito della valutazione del PIN PCI del servizio. Includi le descrizioni dei controlli di sicurezza relativi alla generazione delle chiavi all'interno dell'applicazione e con qualsiasi altro fornitore di servizi.
*Requisito 7:* È necessario disporre di una documentazione sulla politica di generazione delle chiavi che specifichi come vengono generate le chiavi e tutte le parti interessate devono essere a conoscenza di tali procedure/politiche. Le procedure per la creazione di chiavi utilizzando l'API APC devono includere l'uso di ruoli con autorizzazioni e approvazioni per la creazione di chiavi per l'esecuzione di script o altro codice che crea chiavi. AWS CloudTrail i log contengono tutti [CreateKey](https://docs.aws.amazon.com/payment-cryptography/latest/APIReference/API_CreateKey)gli eventi con data e ora, ARN chiave e ID utente. I numeri di serie e i registri HSM per l'accesso ai supporti fisici sono stati valutati nell'ambito della valutazione del PIN del servizio.
# Obiettivo di controllo 3: le chiavi vengono convogliate o trasmesse in modo sicuro.
*Requisito 8:* La trasmissione delle chiavi con la crittografia dei AWS pagamenti è stata valutata nell'ambito della nostra valutazione del PIN PCI. Dovrai documentare i meccanismi di protezione chiave per i trasferimenti prima dell'importazione e dopo l'esportazione da Payment Cryptography. AWS Il servizio fornisce valori di controllo chiave per tutte le chiavi per convalidare la corretta trasmissione.
Il requisito 8-4 richiede che le chiavi pubbliche vengano trasmesse in modo da proteggerne l'integrità e l'autenticità. La comunicazione tra l'applicazione e l'altra AWS è controllata dall'autenticazione dell'applicazione AWS, utilizzando AWS Identity and Access Management metodi, AWS l'autenticazione degli endpoint API all'applicazione tramite certificati del server TLS. Inoltre, le chiavi pubbliche esportate o importate in AWS Payment Cryptography hanno certificati firmati da documenti temporanei e specifici del cliente (vedi, e). CAs [GetPublicKeyCertificate[GetParametersForImport[GetParametersForExport](https://docs.aws.amazon.com/payment-cryptography/latest/APIReference/API_GetParametersForExport)](https://docs.aws.amazon.com/payment-cryptography/latest/APIReference/API_GetParametersForImport)](https://docs.aws.amazon.com/payment-cryptography/latest/APIReference/API_GetPublicKeyCertificate) CAs Non possono essere utilizzati come unico metodo di autenticazione, in quanto non sono conformi allo standard PCI PIN Security Annex A2. Tuttavia, i certificati forniscono ancora la garanzia di integrità per le chiavi pubbliche e IAM fornisce l'autenticazione.
Quando si scambiano chiavi pubbliche con i partner commerciali utilizzando metodi asimmetrici, è necessario provvedere all'autenticazione dell'azienda tramite il canale di comunicazione, ad esempio utilizzando un sito Web sicuro per lo scambio di file.
*Requisito 9:* il servizio non utilizza né supporta direttamente componenti chiave in testo non crittografato.
*Requisito 10:* Il servizio impone la forza fondamentale relativa della protezione delle chiavi per il trasporto. L'utente è responsabile della trasmissione delle chiavi prima dell'importazione e dopo l'esportazione da AWS Payment Cryptography e dell'utilizzo dei parametri API e TR-31 accurati per l'importazione, l'esportazione e la generazione delle chiavi. È necessario disporre di procedure documentate per descrivere i meccanismi di trasmissione delle chiavi e l'elenco delle chiavi crittografiche utilizzate per la trasmissione.
*Requisito 11:* La documentazione delle procedure deve specificare come vengono trasmesse le chiavi. Le procedure per la trasmissione delle chiavi mediante l'API AWS Payment Cryptography devono includere l'uso di ruoli con autorizzazioni e approvazioni di importazione ed esportazione delle chiavi per l'esecuzione di script o altro codice che crea le chiavi. AWS CloudTrail i registri contengono tutti gli eventi. [ImportKey[ExportKey](https://docs.aws.amazon.com/payment-cryptography/latest/APIReference/API_ExportKey)](https://docs.aws.amazon.com/payment-cryptography/latest/APIReference/API_ImportKey)
# Obiettivo di controllo 4: il caricamento delle chiavi HSMs e l'accettazione dei PIN dei POI vengono gestiti in modo sicuro.
*Requisito 12:* L'utente è responsabile del caricamento delle chiavi dai componenti o dalle condivisioni. La gestione delle chiavi principali HSM è stata valutata nell'ambito della valutazione del PIN del servizio. AWS Payment Cryptography non carica le chiavi da singole azioni o componenti. Consulta la sezione [Dettagli crittografici](cryptographic-details.md).
*Requisiti 13 e 14:* è necessario descrivere la protezione delle chiavi per i trasferimenti prima dell'importazione e dopo l'esportazione dal servizio.
*Requisito 15:* La crittografia dei AWS pagamenti fornisce valori di controllo chiave per tutte le chiavi del servizio e garantisce l'integrità per le chiavi pubbliche. L'applicazione è responsabile dell'utilizzo di questi controlli per convalidare le chiavi dopo l'importazione o l'esportazione dal servizio. È necessario documentare le procedure per garantire l'esistenza di un meccanismo di convalida.
Il requisito 15-2 richiede che le chiavi pubbliche siano caricate in modo da proteggerne l'integrità e l'autenticità. [ImportKey](https://docs.aws.amazon.com/payment-cryptography/latest/APIReference/API_ImportKey), insieme a [GetParametersForImport](https://docs.aws.amazon.com/payment-cryptography/latest/APIReference/API_GetParametersForImport), prevede la convalida dei certificati di firma forniti. Se i certificati forniti sono autofirmati, l'autenticazione deve essere fornita mediante un meccanismo separato, ad esempio lo scambio sicuro di file.
*Requisito 16:* la documentazione delle procedure deve specificare come le chiavi vengono caricate nel servizio. Le procedure per l'importazione delle chiavi tramite l'API devono includere l'uso di ruoli con autorizzazioni e approvazioni di importazione delle chiavi per l'esecuzione di script o altro codice che carica le chiavi. AWS CloudTrail i log contengono tutti gli eventi. [ImportKey](https://docs.aws.amazon.com/payment-cryptography/latest/APIReference/API_ImportKey) È necessario includere i meccanismi di registrazione nella documentazione. Il servizio fornisce valori di controllo chiave per tutte le chiavi per convalidare il corretto caricamento delle chiavi.
# Obiettivo di controllo 5: Le chiavi vengono utilizzate in modo da prevenire o rilevare il loro utilizzo non autorizzato.
*Requisito 17:* il servizio fornisce meccanismi, come tag e alias, per le chiavi che consentono il monitoraggio delle relazioni di condivisione delle chiavi. Inoltre, i valori di controllo delle chiavi devono essere conservati separatamente per dimostrare che i valori delle chiavi noti o predefiniti non vengono utilizzati quando le chiavi vengono condivise.
*Requisito 18:* il servizio fornisce controlli di integrità delle chiavi, tramite [GetKey](https://docs.aws.amazon.com/payment-cryptography/latest/APIReference/API_GetKey)e [ListKeys](https://docs.aws.amazon.com/payment-cryptography/latest/APIReference/API_ListKeys), tramite eventi di gestione delle chiavi AWS CloudTrail, che possono essere utilizzati per rilevare sostituzioni non autorizzate o monitorare la sincronizzazione delle chiavi tra le parti. Il servizio archivia le chiavi esclusivamente in blocchi chiave. L'utente è responsabile dell'archiviazione e dell'utilizzo delle chiavi prima dell'importazione e dopo l'esportazione da AWS Payment Cryptography.
È necessario disporre di procedure per un'indagine immediata in caso di discrepanza durante l'elaborazione di transazioni basate sul PIN o di eventi imprevisti di gestione delle chiavi.
*Requisito 19:* il servizio utilizza le chiavi esclusivamente nei blocchi chiave, nell' KeyUsageimposizione e in altri [attributi chiave](https://docs.aws.amazon.com/payment-cryptography/latest/APIReference/API_KeyAttributes) per tutte le operazioni. KeyModeOfUse Ciò include restrizioni sulle operazioni con chiavi private. È necessario utilizzare le chiavi pubbliche per un unico scopo: crittografia o verifica della firma digitale, ma non per entrambi. È necessario utilizzare account separati per la produzione e test/development i sistemi.
*Requisito 20:* l'utente si assume la responsabilità di questo requisito.
# Obiettivo di controllo 6: Le chiavi vengono amministrate in modo sicuro.
*Requisito 21:* la memorizzazione e l'uso delle chiavi con la crittografia dei AWS pagamenti sono stati valutati nell'ambito della valutazione del PIN PCI del servizio. Per i requisiti di archiviazione relativi ai componenti chiave, è responsabilità dell'utente archiviarli come indicato ai punti 21-2 e 21-3. È necessario descrivere i principali meccanismi di protezione nella documentazione relativa alla policy prima dell'importazione e dopo l'esportazione dal servizio.
*Requisito 22:* le principali procedure di compromesso per la crittografia dei AWS pagamenti sono state valutate nell'ambito della valutazione del PIN PCI del servizio. Dovrai descrivere le principali procedure di rilevamento e risposta alle compromissioni, tra cui il [monitoraggio e la risposta alle notifiche di](https://aws.amazon.com/security-incident-response/). AWS
*Requisito 23:* La crittografia dei AWS pagamenti non supporta varianti o altri metodi di calcolo delle chiavi reversibili. Le chiavi principali APC o le chiavi da esse cifrate non sono mai disponibili per i clienti. L'uso del calcolo reversibile delle chiavi è stato valutato nell'ambito della valutazione del PIN PCI del servizio.
*Requisito 24:* pratiche di distruzione delle chiavi private e segrete interne La crittografia dei AWS pagamenti è stata valutata nell'ambito della valutazione del PIN PCI del servizio. È necessario descrivere la procedura di distruzione delle chiavi prima dell'importazione e dopo l'esportazione da APC. I requisiti di distruzione relativi ai componenti chiave (24-2.2 e 24-2.3) restano di vostra responsabilità.
*Requisito 25:* L'accesso alle chiavi segrete e private all'interno di AWS Payment Cryptography è stato valutato nell'ambito della valutazione del PIN PCI del servizio. Dovrai disporre di un processo e di una documentazione per i controlli di accesso alle chiavi prima dell'importazione e dopo l'esportazione da AWS Payment Cryptography.
*Requisito 26:* è necessario descrivere la registrazione per qualsiasi accesso a chiavi, componenti chiave o materiali correlati utilizzati al di fuori del servizio. I registri per tutte le attività di gestione delle chiavi eseguite dall'applicazione con il servizio sono disponibili tramite. AWS CloudTrail
*Requisito 27:* è necessario descrivere le procedure di backup per chiavi, componenti chiave o materiali correlati utilizzati al di fuori del servizio.
*Requisito 28:* le procedure per l'amministrazione di tutte le chiavi che utilizzano l'API devono includere l'uso di ruoli con autorizzazioni e approvazioni di amministrazione chiave per l'esecuzione di script o altro codice che gestisce le chiavi. AWS CloudTrail i log contengono tutti gli eventi di amministrazione chiave
# Obiettivo di controllo 7: le apparecchiature utilizzate per l'elaborazione PINs e le chiavi sono gestite in modo sicuro.
*Requisito 29:* I requisiti di protezione fisica e logica HSMs sono soddisfatti mediante l'uso della crittografia dei AWS pagamenti.
*Requisito 30:* l'applicazione si assumerà la responsabilità di tutti i requisiti di protezione fisica e logica dei dispositivi POI.
*Requisito 31:* La protezione dei dispositivi crittografici sicuri (SCD) utilizzati da AWS Payment Cryptography è stata valutata nell'ambito della valutazione del PIN PCI del servizio. Dovrai dimostrare la protezione di tutti gli altri SCDs elementi utilizzati dall'applicazione.
*Requisito 32:* L'uso della crittografia SCDs utilizzata da AWS Payment Cryptography è stato valutato nell'ambito della valutazione del PIN PCI del servizio. Dovrai dimostrare il controllo degli accessi e la protezione di qualsiasi altro elemento SCDs utilizzato dall'applicazione.
*Requisito 33:* Dovrete descrivere le protezioni di qualsiasi apparecchiatura di elaborazione del PIN sotto il vostro controllo.