本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 交易處理操作
PCI PIN 要求會整理在控制目標中。每個控制目標都會將保護 PINs 安全方面的要求分組。
**Topics**
+ [控制目標 1:用於受這些要求控管之交易的 PINs碼會使用設備和方法處理,以確保它們的安全。](pin-compliance-control-1.md)
+ [控制目標 2:用於 PIN 加密/解密和相關金鑰管理的加密金鑰是使用程序建立,以確保無法預測任何金鑰或判斷某些金鑰比其他金鑰更有可能。](pin-compliance-control-2.md)
+ [控制目標 3:以安全的方式傳遞或傳輸金鑰。](pin-compliance-control-3.md)
+ [控制目標 4:以安全的方式處理對 HSMs 和 POI PIN 接受裝置的金鑰載入。](pin-compliance-control-4.md)
+ [控制目標 5:金鑰的使用方式可防止或偵測其未經授權的使用。](pin-compliance-control-5.md)
+ [控制目標 6:以安全的方式管理金鑰。](pin-compliance-control-6.md)
+ [控制目標 7:用於處理 PINs和金鑰的設備是以安全的方式管理。](pin-compliance-control-7.md)
# 控制目標 1:用於受這些要求控管之交易的 PINs碼會使用設備和方法處理,以確保它們的安全。
*要求 1:* AWS 付款密碼編譯使用的 HSMs 已評估為 PCI PIN 評估的一部分。對於使用 服務的客戶,要求 1-3 和 1-4 相對於服務管理的 HSM 是「就地」。HSM 的問題清單會指出 AWS QPA 已向 證明測試。PIN 合規證明可供參考 AWS Artifact。解決方案中的其他 SCD,例如 POI,將需要清查和參考。
*要求 2:*程序的文件必須指定如何在向人員洩露、實作PINs 翻譯協定以及在線上和離線處理期間保護 (PIN) 方面保護持卡人 PIN。此外,您的文件應包含每個區域中使用的密碼編譯金鑰管理方法摘要。
*要求 3:*POI 必須設定為安全 PIN 加密和傳輸。 AWS 付款加密僅支援要求 3-3 中指定的 PIN 區塊轉譯。
*要求 4:*應用程式不得存放 PIN 區塊。PIN 區塊即使已加密,也不得保留在交易日誌或日誌中。服務不會儲存 PIN 區塊,而且 PIN 評估會驗證它們不在日誌中。
請注意,PCI PIN 安全標準適用於取得「在 ATMs 和point-of-sale (POS) 終端機線上和離線支付卡交易處理期間的個人識別號碼 (PIN) 資料的安全管理、處理和傳輸」,如標準所述。不過,標準通常用於評估密碼編譯金鑰管理是否有超出該預期範圍的付款。這可能包括存放 PINs發行者使用案例。這些案例要求的例外狀況應與評估的預期對象達成一致。
# 控制目標 2:用於 PIN 加密/解密和相關金鑰管理的加密金鑰是使用程序建立,以確保無法預測任何金鑰或判斷某些金鑰比其他金鑰更有可能。
*要求 5:* AWS 付款密碼編譯產生的金鑰已評估為 PCI PIN 評估的一部分。這可以在「產生者」資料欄中指定。
*要求 6:* AWS 付款密碼編譯中保留之金鑰的安全控制會評估為服務 PCI PIN 評估的一部分。包含與您應用程式內和任何其他服務提供者產生金鑰相關的安全控制描述。
*要求 7:*您必須擁有金鑰產生政策文件,該文件應指定金鑰的產生方式,且所有受影響方都必須了解這些程序/政策。使用 APC API 建立金鑰的程序應包括使用具有金鑰建立許可的角色,以及執行指令碼或建立 key. AWS CloudTrail logs 之其他程式碼的核准。 日誌包含具有日期和時間、金鑰 ARN 和使用者 ID 的所有 [CreateKey](https://docs.aws.amazon.com/payment-cryptography/latest/APIReference/API_CreateKey) 事件。存取實體媒體的 HSM 序號和日誌被評估為服務 PIN 評估的一部分。
# 控制目標 3:以安全的方式傳遞或傳輸金鑰。
*要求 8:* AWS 付款密碼編譯的金鑰傳遞已評估為 PCI PIN 評估的一部分。匯入付款 AWS 密碼編譯之前和匯出之後,您將需要記錄傳輸的金鑰保護機制。服務提供所有金鑰的金鑰檢查值,以驗證正確的傳輸。
要求 8-4 要求以保護公有金鑰完整性和真實性的方式傳遞公有金鑰。您的應用程式與 之間的傳遞, AWS 是由應用程式的身分驗證使用 AWS Identity and Access Management 方法 AWS,透過 TLS 伺服器憑證對應用程式進行 AWS API 端點身分驗證所控制。此外,從 AWS 付款密碼編譯匯出或匯入的公有金鑰具有暫時性、客戶特定 CAs 簽署的憑證 (請參閱 [GetPublicKeyCertificate](https://docs.aws.amazon.com/payment-cryptography/latest/APIReference/API_GetPublicKeyCertificate)、[GetParametersForImport](https://docs.aws.amazon.com/payment-cryptography/latest/APIReference/API_GetParametersForImport) 和 [GetParametersForExport](https://docs.aws.amazon.com/payment-cryptography/latest/APIReference/API_GetParametersForExport))。這些 CAs不能用作唯一身分驗證方法,因為它們不符合 PCI PIN 安全附件 A2。不過,憑證仍會透過提供身分驗證的 IAM 為公有金鑰提供完整性保證。
使用非對稱方法與業務合作夥伴交換公有金鑰時,您必須使用安全的檔案交換網站等,透過通訊管道提供 以進行企業身分驗證。
*要求 9:*服務不使用或直接支援純文字金鑰元件。
*要求 10:*服務會強制執行保護傳輸金鑰的相對金鑰強度。從 AWS 付款密碼編譯匯出至 之前和匯出之後,您必須負責金鑰傳遞,並使用適用於金鑰匯入、匯出和產生之正確 API 和 TR-31 參數。您應該有記錄的程序來描述金鑰傳輸機制,以及用於傳輸的密碼編譯金鑰清單。
*要求 11:*程序的文件必須指定傳遞金鑰的方式。使用 AWS 付款密碼編譯 API 的金鑰傳遞程序應包括使用具有金鑰匯入和匯出許可的角色,以及執行指令碼或建立 key. AWS CloudTrail logs 的其他程式碼的核准,其中包含所有 [ImportKey](https://docs.aws.amazon.com/payment-cryptography/latest/APIReference/API_ImportKey) 和 [ExportKey](https://docs.aws.amazon.com/payment-cryptography/latest/APIReference/API_ExportKey) 事件。
# 控制目標 4:以安全的方式處理對 HSMs 和 POI PIN 接受裝置的金鑰載入。
*要求 12:*您負責從元件或共享載入金鑰。HSM 主金鑰的管理被評估為服務 PIN 評估的一部分。 AWS 付款密碼編譯不會從個別共用或元件載入金鑰。請參閱 [密碼編譯詳細資訊](cryptographic-details.md) 一節。
*要求 13 和 14:*在匯入至服務之前和匯出之後,您將需要描述傳輸的金鑰保護。
*要求 15:* AWS 付款密碼編譯提供服務和公有金鑰完整性保證中所有金鑰的金鑰檢查值。您的應用程式負責使用這些檢查,在匯入至服務或從服務匯出後驗證金鑰。您應該記錄程序,以確保驗證機制已就緒。
要求 15-2 要求以保護公有金鑰完整性和真實性的方式載入公有金鑰。[ImportKey](https://docs.aws.amazon.com/payment-cryptography/latest/APIReference/API_ImportKey) 與 [GetParametersForImport](https://docs.aws.amazon.com/payment-cryptography/latest/APIReference/API_GetParametersForImport) 一起提供提供的簽署憑證驗證。如果提供的憑證是自我簽署的,則身分驗證必須由不同的機制提供,例如安全的檔案交換。
*要求 16:*程序的文件必須指定金鑰如何載入服務。使用 API 匯入金鑰的程序應包括使用具有金鑰匯入許可的角色,以及執行指令碼或載入 key. AWS CloudTrail logs 之其他程式碼的核准。 日誌包含所有 [ImportKey](https://docs.aws.amazon.com/payment-cryptography/latest/APIReference/API_ImportKey) 事件。您應該在文件中包含記錄機制。此服務為所有金鑰提供金鑰檢查值,以驗證正確的金鑰載入。
# 控制目標 5:金鑰的使用方式可防止或偵測其未經授權的使用。
*要求 17:*此服務為啟用追蹤金鑰共用關係的金鑰提供機制,例如標籤和別名。此外,金鑰檢查值應分開保留,以證明共用金鑰時不會使用已知或預設的金鑰值。
*要求 18:*此服務透過 [GetKey](https://docs.aws.amazon.com/payment-cryptography/latest/APIReference/API_GetKey) 和 [ListKeys](https://docs.aws.amazon.com/payment-cryptography/latest/APIReference/API_ListKeys) 提供金鑰完整性檢查,並透過 提供金鑰管理事件 AWS CloudTrail,可用於偵測未經授權的替換或監控各方之間的金鑰同步。服務只會將金鑰存放在金鑰區塊中。從 AWS 付款密碼編譯匯出至 之前和匯出之後,您必須負責金鑰儲存和使用 。
如果在處理 PIN 型交易或非預期金鑰管理事件期間發生任何差異,您應該制定立即調查的程序。
*要求 19:*服務僅在金鑰區塊中使用金鑰,強制 KeyUsage、KeyModeOfUse 和所有操作的其他[金鑰屬性](https://docs.aws.amazon.com/payment-cryptography/latest/APIReference/API_KeyAttributes)。這包括對私有金鑰操作的限制。您應該將公有金鑰用於單一用途,例如加密或數位簽章驗證,但不能同時使用兩者。您應該針對生產和測試/開發系統使用不同的帳戶。
*要求 20:*您仍需對此要求負責。
# 控制目標 6:以安全的方式管理金鑰。
*要求 21:*金鑰儲存和與 AWS 付款密碼編譯搭配使用已評估為服務 PCI PIN 評估的一部分。對於與金鑰元件相關的儲存需求,您需負責存放它們,如 21-2 和 21-3 所述。在匯入至 服務之前和匯出自服務之後,您將需要在政策文件中描述金鑰保護機制。
*要求 22:* AWS 付款密碼編譯的金鑰洩露程序已評估為服務 PCI PIN 評估的一部分。您需要描述關鍵入侵偵測和回應程序,包括[監控和回應來自 的通知 AWS](https://aws.amazon.com/security-incident-response/)。
*要求 23:* AWS 付款密碼編譯不支援變體或其他可逆金鑰計算方法。APC 主金鑰或由它們加密的金鑰絕不可供客戶使用。可逆金鑰計算的使用已評估為服務 PCI PIN 評估的一部分。
*要求 24:*內部秘密和私有金鑰的銷毀實務 AWS 付款密碼編譯已評估為服務 PCI PIN 評估的一部分。從 APC 匯出至 之前和匯出之後,您將需要描述金鑰的金鑰銷毀程序。關鍵元件相關的銷毀要求 (24-2.2 和 24-2.3) 仍由您負責。
*要求 25:*在 AWS Payment Cryptography 中存取秘密和私有金鑰已評估為服務 PCI PIN 評估的一部分。從 AWS 付款密碼編譯匯出至 之前和匯出之後,您將需要擁有金鑰存取控制的程序和文件。
*要求 26:*您將需要描述對在服務之外使用之金鑰、金鑰元件或相關資料的任何存取的記錄。您的應用程式使用服務執行的所有金鑰管理活動的日誌可透過 取得 AWS CloudTrail。
*要求 27:*您將需要描述在服務之外使用的金鑰、金鑰元件或相關資料的備份程序。
*要求 28:*使用 API 進行所有金鑰管理的程序應包括使用具有金鑰管理許可的角色,以及執行指令碼或管理金鑰的其他程式碼的核准。 AWS CloudTrail 日誌包含所有金鑰管理事件
# 控制目標 7:用於處理 PINs和金鑰的設備是以安全的方式管理。
*要求 29:*使用 AWS 付款密碼編譯可滿足您對 HSMs 的實體和邏輯保護的要求。
*要求 30:*您的應用程式將保留對 POI 裝置要求的所有實體和邏輯保護的責任。
*要求 31:* AWS 付款密碼編譯所使用的安全密碼編譯裝置 (SCD) 的保護已評估為服務 PCI PIN 評估的一部分。您需要示範對應用程式使用的任何其他 SCDs的保護。
*要求 32:* AWS 付款密碼編譯所使用的 SCDs 的使用已評估為服務 PCI PIN 評估的一部分。您需要示範應用程式所使用的任何其他 SCDs的存取控制和保護。
*要求 33:*您將需要描述受您控制的任何 PIN 處理設備的保護。