Segurança da infraestrutura em AWS Payment Cryptography

Como serviço gerenciado, AWS Payment Cryptography é protegido pelos procedimentos AWS globais de segurança de rede descritos no whitepaper Amazon Web Services: Visão geral dos processos de segurança.

Você usa chamadas de API AWS publicadas para acessar AWS Payment Cryptography pela rede. Os clientes devem oferecer suporte a Transport Layer Security (TLS) 1.2 ou posterior. Os clientes também devem oferecer suporte a pacotes de criptografia com sigilo direto perfeito (PFS), como Ephemeral (DHE) ou Elliptic Curve Ephemeral Diffie-Hellman (ECDHE). Diffie-Hellman A maioria dos sistemas modernos, como Java 7 e versões posteriores, comporta esses modos.

Além disso, as solicitações devem ser assinadas usando um ID da chave de acesso e uma chave de acesso secreta associada a uma entidade principal do IAM. Ou é possível usar o AWS Security Token Service (AWS STS) para gerar credenciais de segurança temporárias para assinar solicitações.

Isolamento de hosts físicos

A segurança da infraestrutura física usada pela AWS Payment Cryptography está sujeita aos controles descritos na seção Segurança física e ambiental da Amazon Web Services: visão geral dos processos de segurança. É possível encontrar mais detalhes em relatórios de conformidade e em descobertas de auditoria de terceiros listados na seção anterior.

A criptografia de pagamento da AWS é suportada por módulos de segurança de hardware (HSMs) PCI PTS HSM-listed dedicados e disponíveis no mercado. O material de chave para chaves de AWS Payment Cryptography é armazenado somente na memória volátil dos HSMs e enquanto a chave de criptografia de pagamento estiver em uso. Os HSMs ficam em racks de acesso controlado nos datacenters da Amazon que impõem controle duplo para qualquer acesso físico. Para obter informações detalhadas sobre a operação de HSMs da AWS Payment Cryptography, consulte Detalhes criptográficos da AWS Payment Cryptography.