

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

# 공통 주제
<a name="compliance.pin.commontopics"></a>

애플리케이션을 HSM 연결에서 AWS Payment Cryptography와 같은 관리형 서비스로 마이그레이션하면 고객과 평가자에게 일반적인 문제와 개념이 발생합니다. 이 섹션에서는 서비스의 안전한 사용이 이러한 상황을 해결하는 방법을 명확히 하기 위한 정보를 제공합니다.

**Topics**
+ [공동 책임](#compliance.pin.commontopics.sharedresponsibility)
+ [최소 HSM 구성](#compliance.pin.commontopics.hsmconfig)
+ [고객과 APC 간의 키 교환](#compliance.pin.commontopics.keyconfig)

## 공동 책임
<a name="compliance.pin.commontopics.sharedresponsibility"></a>

애플리케이션에 대한 완전한 보안 및 규정 준수 책임을 맡은 고객은 AWS Payment Cryptography의 키 관리, 보안 제어 및 관리형 HSM 기능(“서비스”)을 활용하도록 규정 준수를 재구성합니다. 이렇게 하면 AWS Payment Cryptography의 타사 평가에서 증명한 AWS대로 일부 요구 사항이 로 완전히 전환됩니다. 일부 요구 사항은 고객의 애플리케이션과 서비스 간에 공유됩니다. 애플리케이션은 다음을 담당합니다.
+ 서비스에 정확한 정보 제공
+ 서비스의 권장 사항 및 PCI PIN 보안 요구 사항에 따라 보안 제어 사용
+ 서비스에서 제공하는 도구를 사용하여 필요한 보안 제어 구현

고객과 평가자는에 규정 준수 증명과 함께 게시된 공동 책임 및 구현 가이드를 사용하여 제어 및 제어 모니터링을 AWS Artifact 구현한 다음 평가를 계획하고 완료합니다.

## 최소 HSM 구성
<a name="compliance.pin.commontopics.hsmconfig"></a>

다른 PCI 표준의 기본 표준인 PCI 데이터 보안 표준에서는 함수에 필요한 최소 기능으로 모든 시스템을 구성해야 합니다. PCI PIN, P2PE 및 기타 솔루션 표준은 솔루션의 HSMs에이 요구 사항을 적용합니다. HSMs 솔루션에 필요한 함수만 활성화해야 합니다.

AWS 서비스는 시스템으로 취급하고 최소 필수 기능을 위해 구성해야 합니다. [AWS의 Payment Card Industry Data Security Standard(PCI DSS) v4.0](https://aws.amazon.com/blogs/security/pci-dss-v4-0-on-aws-compliance-guide-now-available/)에서는 IAM을 사용하여 솔루션에서 사용하는 각 AWS 서비스에 대한 최소 기능을 구성하는 것이 좋습니다. 이는 AWS Payment Cryptography에도 적용됩니다. IAM 정책을 사용하면 암호화 함수를 사용하는 애플리케이션 구성 요소로만 암호화 함수를 제한할 수 있는 세분화된 권한을 사용할 수 있습니다.

## 고객과 APC 간의 키 교환
<a name="compliance.pin.commontopics.keyconfig"></a>

PIN PIN 보안 요구 사항 8-4 및 15-2에서는 키 교환 및 로드에 대한 퍼블릭 키가 인증되고 무결성이 보호되어야 합니다. ANSI/ASC X9 TR-34에서 기능적으로 설명되고 PCI PIN 부속서 A에서 관리하는 POI의 원격 키 로드의 경우, 퍼블릭 키는 부속서 A2-compliant 인증 기관에서 서명한 인증서로 전달되는 경우가 많습니다. 조직 간 교환의 경우 퍼블릭 키는 신뢰성과 무결성을 위한 다른 메커니즘을 사용합니다.

고객과 AWS 간의 모든 상호 작용은 각 APIs 상호 인증하고 TLS를 사용하여 호출 및 응답의 무결성을 보장하는 AWS API를 통해 이루어집니다. 고객 애플리케이션의 인증은 보안 토큰 및 SigV4와 같은 메커니즘을 사용하여 AWS Identity and Access Management에서 관리합니다. SigV4 AWS API 엔드포인트는 AWS SDKs. 그런 다음 TLS는 고객과 각 AWS API 간에 전달되는 모든 데이터의 기밀성과 무결성을 보장합니다.

APC APIs GetParametersForImport 및 ImportKey는 고객에서 서비스로의 키 전송을 구현합니다. GetParametersForImport에서 제공하는 인증 기관(CA)은 부속서 A2-compliant 않지만 안전하고 계정에 고유합니다. 이 CA는 요구 사항 8-4 및 15-2를 준수하기 위해에 의존할 수 없지만 가져온 키의 무결성 확인을 제공합니다. GetCertificateSigningRequest API를 활용하여 자체 CA를 사용할 수도 있습니다.

퍼블릭 키 인증 및 무결성 보장을 제공하는 메커니즘은 다음과 같습니다.
+ AWS API 인증에서 제공하는 인증
+ 키의 무결성은 인증서의 자격 증명 정보가 신뢰할 수 없는 경우에도 GetParametersForImport에서 제공하는 인증서의 MAC 기능에 의해 제공됩니다. TLS가 고객과 AWS 간의 세션을 보호하는 데 사용하는 MAC에서도 키의 무결성을 보장합니다.

 APC에서 제공하는 인증서 및 키 블록은 비대칭 메서드에 의한 인증서 및 키 보호 요구 사항을 지정하는 부속서 A1을 준수합니다.