本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
常見主題
將應用程式從連線至 HSM 遷移至受管服務,例如 AWS 付款密碼編譯,為客戶及其評估者帶來常見問題和概念。本節提供的資訊說明 服務的安全使用如何解決這些情況。
共同的責任
承擔應用程式完整安全與合規責任的客戶將重組其合規,以利用 AWS Payment Cryptography 的金鑰管理、安全控制和受管 HSM 功能 (「服務」)。這將完全將一些要求轉移到 AWS,如 AWS Payment Cryptography 的第三方評估所證明。有些需求會在客戶的應用程式和服務之間共用。應用程式負責:
-
為服務提供準確的資訊
-
根據服務的建議和 PCI PIN 安全要求使用安全控制
-
使用 服務提供的工具實作必要的安全控制
客戶及其評估人員將使用 上發佈的共同責任和實作指南, AWS Artifact 以實作控制和控制監控,然後規劃並完成評估。
最低 HSM 組態
PCI Data Security Standard 是其他 PCI 標準的基礎標準,需要以其函數所需的最低功能來設定所有系統。PCI PIN、P2PE 和其他解決方案標準將此要求套用至解決方案中的 HSMs。HSMs只能啟用解決方案所需的函數。
AWS 服務應視為系統,並針對最低必要功能進行設定。AWS 上的支付卡產業資料安全標準 (PCI DSS) 4.0 版
客戶與 APC 之間的金鑰交換
PIN 安全要求 8-4 和 15-2 需要公有金鑰才能交換,並對金鑰的載入進行身分驗證並保護完整性。對於功能上描述於 ANSI/ASC X9 TR-34 且受 PCI PIN Annex A 規範的 POI 遠端金鑰載入,公有金鑰通常會在由 Annex A2-compliant憑證授權單位簽署的憑證中傳遞。對於組織之間的交換,公有金鑰會使用其他機制來確保真實性和完整性。
客戶和 AWS 之間的所有互動都是透過 AWS APIs 進行,可相互驗證每個 API 呼叫,並確保使用 TLS 進行呼叫和回應的完整性。客戶應用程式的身分驗證是由 AWS Identity and Access Management 使用安全權杖和 SigV4 等機制進行管理。AWS API 端點是由客戶使用內建於 AWS SDKs的 TLS 伺服器身分驗證進行身分驗證。然後,TLS 會確保客戶和每個 AWS API 之間傳遞的所有資料的機密性和完整性。
APC APIs GetParametersForImport 和 ImportKey 會實作從客戶到服務的金鑰傳輸。雖然 GetParametersForImport 提供的憑證授權機構 (CA) 不符合 Annex A2-compliant,但對帳戶而言是安全且唯一的。雖然無法依賴此 CA 以符合要求 8-4 和 15-2,但它確實提供匯入金鑰的完整性驗證。您也可以利用 GetCertificateSigningRequest API 來使用自己的 CA。
提供公有金鑰身分驗證和完整性保證的機制包括:
AWS API 身分驗證提供的身分驗證
金鑰的完整性是由 GetParametersForImport 所提供憑證的 MAC 功能所提供,即使憑證中的身分資訊不受信任也一樣。TLS 用來保護客戶和 AWS 之間工作階段的 MAC 也會確保金鑰的完整性
APC 提供的憑證和金鑰區塊符合 Annex A1,其指定非對稱方法對憑證和金鑰保護的要求。
