Secondo Requisito PCI-DSS 3.5.2 :
Le chiavi segrete e private utilizzate per crittografare / decodificare i dati dei titolari di carta dovrebbero essere archiviati in uno dei seguenti moduli in ogni momento:
-
Crittografato con una chiave di crittografia della chiave che è strong almeno quanto la chiave di crittografia dei dati, e cioè memorizzato separatamente dalla chiave di crittografia dei dati .
-
all'interno di un dispositivo crittografico sicuro (come un modulo di sicurezza host ( HSM ) o PTS -approved point-of- dispositivo di interazione).
-
Almeno due componenti chiave a lunghezza intera o condivisioni di chiavi, in conformità con un metodo accettato dal settore .
Le mie domande:
-
Come archiviare Key-Encrypting Key separatamente dalla chiave di crittografia dei dati e è una best practice ?
-
Se decidiamo di archiviare KEK separatamente da DEK , allora dovremmo memorizzare DEK in un server e KEK in un server separato
-
Se decidi di memorizzare le chiavi in un dispositivo crittografico , allora quale sarà una best practice tra HSM e PTS ?
-
Quali sono i due componenti chiave o le condivisioni di chiavi a lunghezza intera ? Qualcuno potrebbe spiegarlo?
Sono disponibili link o documenti utili?