Este artigo continua a apresentação dos Objetivos de controle de documento PCI PIN Security Requirements.
Lembrando que este documento do PCI é destinado a todas as instituições adquirentes e agentes (por exemplo, instalações de injeção de chave e processadores de certificados) responsáveis pelo processamento de transações de PIN participantes da indústria de cartão de pagamento.
Objetivo de Controle 4
O carregamento de chaves para HSMs e dispositivos de aceitação de PIN de POS é feito de maneira segura
Requisito 12
As chaves secretas e privadas devem ser inseridas em módulos de segurança de hardware (host) (HSMs) e dispositivos de aceitação de PIN de POS de maneira segura.
a) As chaves secretas ou privadas não criptografadas devem ser inseridas usando os princípios de dupla custódia e conhecimento dividido.
b) As técnicas de estabelecimento de chaves usando criptografia de chave pública devem ser implementadas com segurança.
Devem ser estabelecidos procedimentos que proíbam qualquer pessoa de ter acesso aos componentes suficientes para formar uma chave de criptografia quando os componentes forem removidos e devolvidos ao armazenamento para carregamento da chave.
Requisito 13
Os mecanismos usados para carregar chaves secretas e privadas – como terminais, PIN pads externos, armas de chave ou dispositivos e métodos semelhantes – devem ser protegidos para evitar qualquer tipo de monitoração que possa resultar na divulgação não autorizada de qualquer componente.
Requisito 14
Todos os mecanismos de hardware e acesso / autenticação (por exemplo, senhas / códigos de autenticação) usados para o carregamento da chave devem ser gerenciados sob dupla custódia.
Requisito 15
O carregamento de chaves ou componentes de chave deve incorporar um mecanismo de validação de forma que a autenticidade das chaves seja garantida e possa ser verificado que elas não foram adulteradas, substituídas ou comprometidas.
Requisito 16
Devem existir procedimentos documentados devem e estar comprovadamente em uso (incluindo trilhas de auditoria), para todas as atividades de carregamento de chaves.
