Protección de datos en criptografía AWS de pagos - AWS Criptografía de pagos
Rotación del material de clavesCifrado de datosCifrado en reposoCifrado en tránsitoPrivacidad del tráfico entre redes

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Protección de datos en criptografía AWS de pagos

El modelo de se aplica a protección de datos en la criptografía de AWS pagos. Como se describe en este modelo, AWS es responsable de proteger la infraestructura global que ejecuta todos los Nube de AWS. Eres responsable de mantener el control sobre el contenido alojado en esta infraestructura. También eres responsable de las tareas de administración y configuración de seguridad para los Servicios de AWS que utiliza. Para obtener más información sobre la privacidad de los datos, consulta las Preguntas frecuentes sobre la privacidad de datos. Para obtener información sobre la protección de datos en Europa, consulta la publicación de blog sobre el Modelo de responsabilidad compartida de AWS y GDPR en el Blog de seguridad de AWS .

Con fines de protección de datos, le recomendamos que proteja Cuenta de AWS las credenciales y configure los usuarios individuales con AWS IAM Identity Center o AWS Identity and Access Management (IAM). De esta manera, solo se otorgan a cada usuario los permisos necesarios para cumplir sus obligaciones laborales. También recomendamos proteger sus datos de la siguiente manera:

  • Utiliza la autenticación multifactor (MFA) en cada cuenta.

  • Utilice SSL/TLS para comunicarse con los recursos. AWS Se recomienda el uso de TLS 1.2 y recomendamos TLS 1.3.

  • Configure la API y el registro de actividad de los usuarios con. AWS CloudTrail Para obtener información sobre el uso de CloudTrail senderos para capturar AWS actividades, consulte Cómo trabajar con CloudTrail senderos en la Guía del AWS CloudTrail usuario.

  • Utilice soluciones de AWS cifrado, junto con todos los controles de seguridad predeterminados Servicios de AWS.

  • Utiliza servicios de seguridad administrados avanzados, como Amazon Macie, que lo ayuden a detectar y proteger los datos confidenciales almacenados en Amazon S3.

  • Si necesita módulos criptográficos validados por FIPS 140-3 para acceder a AWS través de una interfaz de línea de comandos o una API, utilice un punto final FIPS. Para obtener más información sobre los puntos de conexión de FIPS disponibles, consulta Estándar de procesamiento de la información federal (FIPS) 140-3.

Se recomienda encarecidamente no introducir nunca información confidencial o sensible, como por ejemplo, direcciones de correo electrónico de clientes, en etiquetas o campos de formato libre, tales como el campo Nombre. Esto incluye cuando trabaja con criptografía de AWS pagos u otra forma Servicios de AWS mediante la consola, la API o. AWS CLI AWS SDKs Cualquier dato que ingrese en etiquetas o campos de texto de formato libre utilizados para nombres se puede emplear para los registros de facturación o diagnóstico. Si proporciona una URL a un servidor externo, recomendamos encarecidamente que no incluya información de credenciales en la URL a fin de validar la solicitud para ese servidor.

AWS Payment Cryptography almacena y protege sus claves de cifrado de pagos para que estén altamente disponibles al mismo tiempo que le proporciona un control de acceso sólido y flexible.

Rotación del material de claves

Por defecto, AWS Payment Cryptography protege el material criptográfico de las claves de pago gestionadas por el servicio. Además, AWS Payment Cryptography ofrece opciones para importar material de claves creado fuera del servicio. Para obtener más detalles sobre las claves de pago y el material de claves, consulte los detalles de criptografía de AWS Payment Cryptography.

Cifrado de datos

Los datos de AWS Payment Cryptography consisten en claves de AWS Payment Cryptography, el material de claves criptográficas que representan y sus atributos de uso. El material clave solo existe en texto plano en los módulos de seguridad de hardware de criptografía de pagos de AWS (HSMs) y solo cuando está en uso. De lo contrario, el material de la clave y los atributos se cifran y se almacenan en almacenamiento persistente duradero.

El material clave que la criptografía de pagos de AWS genera o carga para las claves de pago nunca sale de los límites de la criptografía HSMs de pagos de AWS sin cifrar. Puede ser exportado cifrado por las operaciones API de AWS Payment Cryptography.

Cifrado en reposo

La criptografía de pagos de AWS genera material clave para las claves de pago en las listas PCI PTS HSM. HSMs Cuando no se utiliza, el material de claves se cifra mediante una clave de HSM y se escribe en un almacenamiento duradero y persistente. El material clave para las claves de criptografía de pagos y las claves de cifrado que protegen el material clave nunca están en formato de texto plano. HSMs

El cifrado y la administración del material de claves para las claves de Payment Cryptography está completamente a cargo del servicio.

Para obtener más información, consulte el documento técnico Detalles criptográficos de AWS Key Management Service.

Cifrado en tránsito

El material de claves que AWS Payment Cryptography genera o carga para las claves de pago nunca se exporta o transmite en texto claro en las operaciones API de AWS Payment Cryptography. AWS Payment Cryptography utiliza identificadores de clave para representar las claves en las operaciones de API.

Sin embargo, algunas operaciones de la API de AWS Payment Cryptography exportan claves cifradas por una clave de intercambio de claves previamente compartida o asimétrica. Además, los clientes pueden usar las operaciones de la API para importar material de claves encriptadas para las claves de pago.

Todas las llamadas de la API de AWS Payment Cryptography deben firmarse y transmitirse mediante seguridad de la capa de transporte (TLS). La criptografía de pagos de AWS requiere versiones de TLS y conjuntos de cifrado definidos por PCI como «criptografía sólida». Todos los puntos de conexión del servicio admiten TLS 1.0-1.3 y TLS híbrido post-cuántico.

Para obtener más información, consulte el documento técnico Detalles criptográficos de AWS Key Management Service.

Privacidad del tráfico entre redes

AWS Payment Cryptography admite una consola de administración de AWS y un conjunto de operaciones de API que le permiten crear y administrar claves de pago y usarlas en operaciones criptográficas.

La criptografía de pagos de AWS admite dos opciones de conectividad de red desde su red privada a AWS.

  • Una conexión IPSec VPN a través de Internet.

  • AWS Direct Connect vincula su red interna con una ubicación de AWS Direct Connect a través de cable estándar Ethernet de fibra óptica.

Todas las llamadas de la API de Payment Cryptography deben firmarse y transmitirse mediante seguridad de la capa de transporte (TLS). Las llamadas también requieren un paquete de cifrado moderno que admita el secreto perfecto en el futuro. El tráfico a los módulos de seguridad de hardware (HSMs) que almacenan el material clave para las claves de pago solo está permitido desde hosts conocidos de la API de criptografía de pagos de AWS a través de la red interna de AWS.

Para conectarse directamente a la criptografía de pagos de AWS desde su nube privada virtual (VPC) sin enviar tráfico a través de la Internet pública, utilice los puntos de enlace de VPC, con tecnología de AWS. PrivateLink Para obtener más información, consulte Conexión a AWS Payment Cryptography a través de un punto de conexión de VPC.

AWS Payment Cryptography admite también una opción de intercambio híbrido postcuántico de claves para el protocolo de cifrado de red de seguridad de la capa de transporte (TLS). Puede utilizar esta opción de TLS cuando se conecte a los puntos de conexión de la API de AWS Payment Cryptography.