Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Operaciones de clientes
AWS La criptografía de pagos es totalmente responsable del cumplimiento físico del HSM según las normas PCI. El servicio también proporciona un almacén de claves seguro y garantiza que las claves solo se puedan utilizar para los fines permitidos por los estándares PCI y que usted especifique durante la creación o la importación. Usted es responsable de configurar los atributos clave y el acceso para aprovechar las capacidades de seguridad y cumplimiento del servicio.
Temas
Generación de claves
Al crear las claves, debe establecer los atributos que el servicio utiliza para hacer cumplir el uso de la clave:
Longitud de algoritmo y clave
Uso
Disponibilidad y vencimiento
Las etiquetas que se utilizan para el control de acceso basado en atributos (ABAC) se utilizan para limitar las claves para su uso con socios o aplicaciones específicos. Asegúrese de incluir políticas para limitar los roles permitidos para borrar o cambiar etiquetas.
Debe asegurarse de que las políticas que determinan los roles que pueden utilizar y gestionar la clave se establecen antes de la creación de la clave.
nota
Las políticas de IAM relativas a los CreateKey comandos se pueden utilizar para imponer y demostrar un doble control en la generación de claves.
Importación de claves
Al importar claves, el servicio establece los atributos para imponer el uso conforme de la clave utilizando la información criptográficamente vinculada del bloque de claves. El mecanismo para establecer el contexto de clave fundamental consiste en utilizar bloques de claves creados con el HSM de origen y protegidos por un KEK compartido o asimétrico. Esto se ajusta a los requisitos del PCI PIN y preserva el uso, el algoritmo y la solidez de las claves de la aplicación de origen.
En el momento de la importación, se deben establecer los atributos clave, las etiquetas y las políticas de control de acceso importantes, además de la información del bloque clave.
La importación de claves mediante criptogramas no transfiere los atributos clave de la aplicación de origen. Debe configurar los atributos de forma adecuada utilizando este mecanismo.
A menudo, las claves se intercambian utilizando componentes de texto claro, se transmiten por los custodios de las claves y, a continuación, se cargan con la ceremonia que implementa el doble control en una sala segura. Esto no es compatible directamente con la criptografía de AWS pagos. La API exportará una clave pública con un certificado que puede ser importado por su propio HSM para exportar un bloque de claves que sea importable por el servicio. Esto permite utilizar su propio HSM para cargar componentes de texto no cifrado.
Debe utilizar los valores de comprobación de claves (KCV) para verificar que las claves importadas coinciden con las claves de origen.
Las políticas de IAM de la ImportKey API se pueden utilizar para aplicar y demostrar un doble control en la importación de claves.
Exportación de claves
Para compartir claves con socios o aplicaciones en las instalaciones, es posible que sea necesario exportar las claves. El uso de bloques clave para las exportaciones mantiene el contexto fundamental de las claves con el material de las claves cifradas.
Las etiquetas de las claves pueden utilizarse para limitar la exportación de claves a KEK que compartan la misma etiqueta y el mismo valor.
AWS La criptografía de pagos no proporciona ni muestra un texto claro sobre los componentes clave. Esto requiere el acceso directo de los custodios de claves a los dispositivos criptográficos seguros (SCD) probados por la PCI PTS HSM o la ISO 13491 para su visualización o impresión. Puede establecer una KEK asimétrica o una KEK simétrica con su SCD para llevar a cabo la ceremonia de creación de componentes clave de texto claro bajo doble control.
Los valores de comprobación clave (KCV) se deben utilizar para comprobar que los valores importados por el HSM de destino coinciden con las claves de origen.
Eliminación de claves de
Puede usar la API de eliminación de claves para programar la eliminación de las claves tras el período de tiempo que usted configure. Antes de ese momento, las claves se pueden recuperar. Una vez que se eliminan las claves, se eliminan permanentemente del servicio.
Las políticas de IAM de la DeleteKey API se pueden utilizar para aplicar y demostrar un doble control a la hora de eliminar las claves.
Rotar claves de
El efecto de la rotación de claves puede implementarse utilizando alias de claves creando o importando una nueva clave y modificando después el alias de claves para que haga referencia a la clave nueva. La clave anterior se eliminaría o deshabilitaría, según sus prácticas de administración.
