Segurança da infraestrutura em AWS Payment Cryptography

Como serviço gerenciado, AWS Payment Cryptography é protegido pelos procedimentos AWS globais de segurança de rede descritos no whitepaper Amazon Web Services: Visão geral dos processos de segurança.

Você usa API chamadas AWS publicadas para acessar AWS Payment Cryptography pela rede. Os clientes devem oferecer suporte ao Transport Layer Security (TLS) 1.2 ou posterior. Os clientes também devem oferecer suporte a pacotes de criptografia com sigilo direto perfeito (), como Ephemeral Diffie-Hellman (PFS) ou Elliptic Curve Ephemeral Diffie-Hellman (). DHE ECDHE A maioria dos sistemas modernos, como Java 7 e versões posteriores, comporta esses modos.

Além disso, as solicitações devem ser assinadas usando uma ID de chave de acesso e uma chave de acesso secreta associada a um IAM principal. Ou é possível usar o AWS Security Token Service (AWS STS) para gerar credenciais de segurança temporárias para assinar solicitações.

Isolamento de hosts físicos

A segurança da infraestrutura física que a criptografia de AWS pagamento usa está sujeita aos controles descritos na seção Segurança física e ambiental da Amazon Web Services: Visão geral dos processos de segurança. É possível encontrar mais detalhes em relatórios de conformidade e em descobertas de auditoria de terceiros listados na seção anterior.

AWSA criptografia de pagamento é suportada por módulos dedicados commercial-off-the-shelf PCI PTS HSM de segurança de hardware listados ()HSMs. O material chave das chaves AWS de criptografia de pagamento é armazenado somente na memória volátil doHSMs, e somente enquanto a chave de criptografia de pagamento estiver em uso. HSMsestão em racks de acesso controlado nos data centers da Amazon que impõem controle duplo para qualquer acesso físico. Para obter informações detalhadas sobre a operação da criptografia de AWS pagamentoHSMs, consulte Detalhes criptográficos da criptografia de AWS pagamento.