本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
常见话题
将应用程序从连接到 HSM 迁移到托管服务(例如 AWS 支付密码学)会给客户及其评估人员带来常见的问题和概念。本节提供信息以阐明安全使用该服务是如何解决这些情况的。
责任共担
对应用程序承担全部安全和合规责任的客户将调整其合规性,以利用 P AWS ayment Cryptography 的密钥管理、安全控制和托管 HSM 功能(“服务”)。正如Payment Cryptography的第三方评估所 AWS 证明的那样 AWS,这将完全将某些要求转移到其他方面。一些要求将在客户的应用程序和服务之间共享。应用程序负责:
-
为服务提供准确的信息
-
根据服务建议和 PCI PIN 安全要求使用安全控制
-
使用服务提供的工具实施所需的安全控制
客户及其评估人员将使用发布的责任共担和实施指南以及合规性证明 AWS Artifact 来实施控制和控制监控,然后规划和完成评估。
最低 HSM 配置
PCI 数据安全标准是其他 PCI 标准的基础标准,它要求所有系统都必须配置为其功能所需的最低功能。PCI PIN、P2PE 和其他解决方案标准将此要求应用于解决方案 HSMs 。 HSMs 只能启用解决方案所需的功能。
AWS 应将服务视为系统,并配置为最低要求的功能。AWS 上的支付卡行业数据安全标准 (PCI DSS) v
客户和 APC 之间的密钥交换
PIN PIN 安全要求 8-4 和 15-2 要求交换和加载密钥的公钥必须经过身份验证并保护完整性。对于 POI 的远程密钥加载(在 ANSI/ASC X9 TR-34 中进行了功能描述,受 PCI PIN 附录 A 管辖),公钥通常以符合附件 A2 的证书颁发机构签署的证书的形式传送。对于组织之间的交换,公钥使用其他机制来保证真实性和完整性。
客户与 AWS 之间的所有交互均通过 AWS 进行 APIs,AWS 使用 TLS 相互验证每个 API 调用,并确保呼叫和响应的完整性。客户应用程序的身份验证由 AWS Identity and Access Management 通过安全令牌和 Sigv4 等机制进行管理。AWS API 终端节点由客户使用 AWS 内置的 TLS 服务器身份验证进行身份验证 SDKs。然后,TLS 可确保在客户和每个 AWS API 之间传递的所有数据的机密性和完整性。
APC APIs GetParametersForImport 并 ImportKey 实施从客户到服务的密钥传输。虽然提供的 GetParametersForImport 证书颁发机构 (CA) 不符合附录 A2,但它是安全的,并且对账户来说是独一无二的。虽然不能依靠此 CA 来满足要求 8-4 和 15-2,但它确实为导入的密钥提供了完整性验证。您也可以利用 GetCertificateSigningRequest API 使用自己的 CA。
提供公钥身份验证和完整性保证的机制有:
AWS API 身份验证提供的身份验证
即使证书中的身份信息不受信任 GetParametersForImport,密钥的完整性也由提供的证书的 MAC 功能提供。TLS 使用的 MAC 保护客户与 AWS 之间的会话,这也保证了密钥的完整性
APC 提供的证书和密钥块符合附录 A1,其中规定了通过非对称方法进行证书和密钥保护的要求。
