View a markdown version of this page

La protección de datos en la criptografía AWS de pagos - AWS Criptografía de pagos
Rotación del material de clavesCifrado de datosCifrado en reposoCifrado en tránsitoPrivacidad del tráfico entre redes

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

La protección de datos en la criptografía AWS de pagos

El modelo de se aplica a la protección de datos en la criptografía AWS de pagos. Como se describe en este modelo, AWS es responsable de proteger la infraestructura global en la que se ejecutan todos los Nube de AWS. Eres responsable de mantener el control sobre el contenido alojado en esta infraestructura. También eres responsable de las tareas de administración y configuración de seguridad para los Servicios de AWS que utiliza. Para obtener más información sobre la privacidad de los datos, consulte las Preguntas frecuentes sobre privacidad de datos y los . Para obtener información sobre la protección de datos en Europa, consulte el Centro del Reglamento General de Protección de Datos (GDPR).

Para proteger los datos, le recomendamos que proteja Cuenta de AWS las credenciales y configure los usuarios individuales con AWS IAM Identity Center o AWS Identity and Access Management (IAM). De esta manera, solo se otorgan a cada usuario los permisos necesarios para cumplir sus obligaciones laborales. También recomendamos proteger sus datos de la siguiente manera:

  • Utiliza la autenticación multifactor (MFA) en cada cuenta.

  • Se utiliza SSL/TLS para comunicarse con AWS los recursos. Exigimos TLS 1.2 y recomendamos TLS 1.3.

  • Configure la API y el registro de actividad de los usuarios con AWS CloudTrail. Para obtener información sobre el uso de CloudTrail senderos para capturar AWS actividades, consulte Cómo trabajar con CloudTrail senderos en la Guía del AWS CloudTrail usuario.

  • Utilice soluciones de AWS cifrado, junto con todos los controles de seguridad predeterminados que contienen Servicios de AWS.

  • Utiliza servicios de seguridad administrados avanzados, como Amazon Macie, que lo ayuden a detectar y proteger la información confidencial almacenada en Amazon S3.

  • Si necesita módulos criptográficos validados por FIPS 140-3 para acceder a AWS través de una interfaz de línea de comandos o una API, utilice un punto final FIPS. Para obtener más información sobre los puntos de conexión de FIPS disponibles, consulte Estándar de procesamiento de la información federal (FIPS) 140-3.

Se recomienda encarecidamente no introducir nunca información confidencial o sensible, como por ejemplo, direcciones de correo electrónico de clientes, en etiquetas o campos de formato libre, tales como el campo Nombre. Esto incluye cuando trabaja con criptografía de AWS pagos u otro tipo Servicios de AWS mediante la consola, la API o los SDK. AWS CLI AWS Cualquier dato que introduzca en etiquetas o campos de formato libre utilizados para los nombres se pueden emplear para los registros de facturación o diagnóstico. Si proporciona una URL a un servidor externo, recomendamos encarecidamente que no incluya información de credenciales en la URL a fin de validar la solicitud para ese servidor.

AWS Payment Cryptography almacena y protege sus claves de cifrado de pagos para que estén altamente disponibles al mismo tiempo que le proporciona un control de acceso sólido y flexible.

Rotación del material de claves

Por defecto, AWS Payment Cryptography protege el material criptográfico de las claves de pago gestionadas por el servicio. Además, AWS Payment Cryptography ofrece opciones para importar material de claves creado fuera del servicio. Para obtener más detalles sobre las claves de pago y el material de claves, consulte los detalles de criptografía de AWS Payment Cryptography.

Cifrado de datos

Los datos de AWS Payment Cryptography consisten en claves de AWS Payment Cryptography, el material de claves criptográficas que representan y sus atributos de uso. El material de claves solo existe en texto sin formato dentro de los módulos de seguridad de hardware (HSM) de AWS Payment Cryptography y solo cuando estén en uso. De lo contrario, el material de la clave y los atributos se cifran y se almacenan en almacenamiento persistente duradero.

El material de claves que AWS Payment Cryptography genera o carga para las claves de pago nunca abandona el límite de los HSM de AWS Payment Cryptography sin cifrar. Puede ser exportado cifrado por las operaciones API de AWS Payment Cryptography.

Cifrado en reposo

La criptografía de pagos de AWS genera material clave para las claves de pago en los HSM PCI PTS HSM-listed . Cuando no se utiliza, el material de claves se cifra mediante una clave de HSM y se escribe en un almacenamiento duradero y persistente. El material de las claves de Payment Cryptography y las claves de cifrado que protegen el material de claves nunca dejan los HSM en forma de texto sin formato.

El cifrado y la administración del material de claves para las claves de Payment Cryptography está completamente a cargo del servicio.

Para obtener más información, consulte el documento técnico Detalles criptográficos de AWS Key Management Service.

Cifrado en tránsito

El material clave que la criptografía de AWS pagos genera o carga para las claves de pago nunca se exporta ni transmite en las operaciones de la API de criptografía de AWS pagos en texto claro. AWS La criptografía de pagos utiliza identificadores clave para representar las claves en las operaciones de la API.

Sin embargo, algunas operaciones de API exportan claves cifradas mediante una clave de intercambio de claves previamente compartida o asimétrica. Además, los clientes pueden usar las operaciones de la API para importar material de claves encriptadas para las claves de pago.

Todas las llamadas a la API de criptografía de AWS pagos deben firmarse y transmitirse mediante Transport Layer Security (TLS). AWS La criptografía de pagos requiere versiones TLS y conjuntos de cifrado definidos por PCI como «criptografía sólida». Todos los terminales de servicio admiten el TLS 1.2—1.3 y el TLS poscuántico híbrido.

Para obtener más información, consulte el documento técnico Detalles criptográficos de AWS Key Management Service.

Privacidad del tráfico entre redes

AWS La criptografía de pagos admite una consola de administración de AWS y un conjunto de operaciones de API que le permiten crear y administrar claves de pago y utilizarlas en operaciones criptográficas.

AWS La criptografía de pagos admite dos opciones de conectividad de red desde su red privada a AWS.

  • Una conexión de una conexión de VPN IPSec a través de Internet.

  • AWS Direct Connect vincula su red interna con una ubicación de AWS Direct Connect a través de cable estándar Ethernet de fibra óptica.

Todas las llamadas de la API de Payment Cryptography deben firmarse y transmitirse mediante seguridad de la capa de transporte (TLS). Las llamadas también requieren un paquete de cifrado moderno que admita el secreto perfecto en el futuro. El tráfico a los módulos de seguridad de hardware (HSM) que almacenan material de claves para las claves de pago solo se permite desde hosts de la API de AWS Payment Cryptography a través de la red interna de AWS.

Para conectarse directamente a la criptografía de pagos de AWS desde su nube privada virtual (VPC) sin enviar tráfico a través de la Internet pública, utilice los puntos de enlace de VPC, con tecnología de AWS. PrivateLink Para obtener más información, consulte Conexión a AWS Payment Cryptography a través de un punto de conexión de VPC.

AWS Payment Cryptography admite también una opción de intercambio híbrido postcuántico de claves para el protocolo de cifrado de red de seguridad de la capa de transporte (TLS). Puede utilizar esta opción de TLS cuando se conecte a los puntos de conexión de la API de AWS Payment Cryptography.