翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# 一般的なトピック
<a name="compliance.pin.commontopics"></a>

アプリケーションを HSM への接続から AWS Payment Cryptography などのマネージドサービスに移行すると、顧客と評価者に共通の問題と概念が生じます。このセクションでは、サービスの安全な使用がこれらの状況にどのように対処するかを明確にする情報を提供します。

**Topics**
+ [共有責任](#compliance.pin.commontopics.sharedresponsibility)
+ [最小 HSM 設定](#compliance.pin.commontopics.hsmconfig)
+ [顧客と Modbus 間のキー交換](#compliance.pin.commontopics.keyconfig)

## 共有責任
<a name="compliance.pin.commontopics.sharedresponsibility"></a>

アプリケーションに対する完全なセキュリティとコンプライアンスの責任を引き受けたお客様は、 AWS Payment Cryptography のキー管理、セキュリティコントロール、マネージド HSM 機能 (「サービス」) を活用できるようにコンプライアンスを再構築します。これにより、 AWS Payment Cryptography のサードパーティー評価で証明されているように AWS、一部の要件が完全に に移行されます。一部の要件は、お客様のアプリケーションと サービス間で共有されます。アプリケーションは以下を担当します。
+ サービスに正確な情報を提供する
+ サービスの推奨事項と PCI PIN セキュリティ要件に従ったセキュリティコントロールの使用
+ サービスが提供するツールを使用して必要なセキュリティコントロールを実装する

お客様とその評価者は、 のコンプライアンス認証とともに公開された責任共有ガイドと実装ガイドを使用して AWS Artifact 、コントロールとコントロールモニタリングを実装し、評価を計画して完了します。

## 最小 HSM 設定
<a name="compliance.pin.commontopics.hsmconfig"></a>

他の PCI 標準の基本標準である PCI データセキュリティ標準では、すべてのシステムをその機能に必要な最小限の機能で設定する必要があります。PCI PIN、P2PE、およびその他のソリューション標準は、この要件をソリューションHSMs に適用します。HSMs、ソリューションに必要な関数のみを有効にする必要があります。

AWS サービスはシステムとして扱われ、必要最小限の機能に設定する必要があります。[Payment Card Industry Data Security Standard (PCI DSS) v4.0 on AWS](https://aws.amazon.com/blogs/security/pci-dss-v4-0-on-aws-compliance-guide-now-available/) では、IAM を使用して、ソリューションで使用される各 AWS サービスの最小機能を設定することをお勧めします。これは AWS Payment Cryptography にも適用されます。IAM ポリシーは、詳細なアクセス許可を有効にして、暗号化関数に依存するアプリケーションコンポーネントのみに制限します。

## 顧客と Modbus 間のキー交換
<a name="compliance.pin.commontopics.keyconfig"></a>

PIN PIN セキュリティ要件 8-4 および 15-2 では、キーの交換とロードにパブリックキーが認証され、整合性が保護されている必要があります。ANSI/ASC X9 TR-34 で機能的に記述され、PCI PIN Annex A によって管理される POI のリモートキーロードの場合、パブリックキーは Annex A2-compliantの認証局によって署名された証明書で最もよく伝達されます。組織間の交換の場合、パブリックキーは真正性と整合性のために他のメカニズムを使用します。

顧客と AWS 間のすべてのやり取りは AWS APIs を介して行われます。これにより、各 API コールが相互に認証され、TLS を使用したコールとレスポンスの整合性が保証されます。カスタマーアプリケーションの認証は、セキュリティトークンや SigV4 などのメカニズムを使用して AWS Identity and Access Management によって管理されます。AWS API エンドポイントは、AWS SDKs。その後、TLS は顧客と各 AWS API の間で渡されるすべてのデータの機密性と完全性を保証します。

Modbus APIs GetParametersForImport と ImportKey は、顧客からサービスへのキー転送を実装します。GetParametersForImport が提供する認証機関 (CA) は Annex A2-compliantしていませんが、安全でアカウントに固有です。この CA は要件 8-4 および 15-2 への準拠には依存できませんが、インポートされたキーの整合性検証を提供します。GetCertificateSigningRequest API を活用して、独自の CA を使用することもできます。

パブリックキー認証と整合性保証を提供するメカニズムは次のとおりです。
+ AWS API 認証によって提供される認証
+ キーの整合性は、証明書の ID 情報が信頼されていない場合でも、GetParametersForImport によって提供される証明書の MAC 機能によって提供されます。キーの整合性は、顧客と AWS 間のセッションを保護する TLS によって使用される MAC によっても保証されます。

 Modbus が提供する証明書とキーブロックは、非対称メソッドによる証明書とキー保護の要件を指定する Annex A1 に準拠しています。