本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 控制目标 4：以安全的方式处理密钥加载 HSMs 和 POI PIN 接收设备。
<a name="pin-compliance-control-4"></a>

*要求 12：*您负责从组件或共享中加载密钥。作为该服务 PIN 评估的一部分，对 HSM 主密钥的管理进行了评估。 AWS 支付密码学不会从单个股票或组件加载密钥。请参阅 [加密详细信息](cryptographic-details.md) 部分。

*要求 13 和 14：*在导入服务之前和从服务导出之后，您需要描述对传输的密钥保护。

*要求 15：*Paym AWS ent Cryptography 为服务中的所有密钥提供密钥检查值，并为公钥提供完整性保证。您的应用程序负责在导入服务或从服务导出后使用这些检查来验证密钥。您应记录这些程序，以确保验证机制到位。

要求 15-2 要求以保护公钥完整性和真实性的方式加载公钥。 [ImportKey](https://docs.aws.amazon.com/payment-cryptography/latest/APIReference/API_ImportKey)以及规定对提供的签名证书进行验证。[GetParametersForImport](https://docs.aws.amazon.com/payment-cryptography/latest/APIReference/API_GetParametersForImport)如果提供的证书是自签名的，则必须通过单独的机制（例如安全文件交换）提供身份验证。

*要求 16：*过程文档必须指定如何将密钥加载到服务。使用 API 导入密钥的程序应包括使用具有密钥导入权限和批准运行脚本或其他加载密钥的代码的角色。 AWS CloudTrail 日志包含所有[ImportKey](https://docs.aws.amazon.com/payment-cryptography/latest/APIReference/API_ImportKey)事件。您应该在文档中包括日志机制。该服务为所有密钥提供密钥检查值，以验证密钥加载是否正确。