O que foi anunciado
A Amazon Web Services (AWS) anunciou a conclusão bem-sucedida da auditoria de conformidade com o padrão PCI PIN (Número de Identificação Pessoal da Indústria de Cartões de Pagamento) para o serviço AWS CloudHSM. A avaliação foi conduzida pela Coalfire, uma empresa qualificada como Avaliadora de Segurança Terceirizada (QSA), e o resultado foi zero constatações de não-conformidade.
Esse resultado abre novas possibilidades para organizações brasileiras e globais que operam com sistemas de pagamento regulados e precisam manter seus ambientes em conformidade com os rigorosos padrões PCI PIN.
O que é o CloudHSM e por que isso importa
O CloudHSM é um serviço gerenciado que fornece módulos de segurança de hardware (HSM) validados no nível 3 do FIPS 140-3. O diferencial é que você mantém o hardware sob seu controle exclusivo — são instâncias single-tenant rodando dentro da sua própria nuvem privada virtual (VPC).
Para operações de pagamento que envolvem tradução de PIN ou manipulação sensível desses dados, o CloudHSM oferece uma abordagem que reduz significativamente a complexidade de conformidade regulatória, já que você gerencia pessoalmente a segurança do hardware criptográfico.
Componentes do pacote de conformidade PCI PIN
A AWS disponibiliza dois documentos essenciais que formam o pacote de conformidade:
- Atestado de Conformidade (AOC) do PCI PIN — demonstra que o CloudHSM foi validado com sucesso contra o padrão PCI PIN, com resultado de zero achados
- Resumo de Responsabilidades do PCI PIN — fornece orientação clara sobre quais responsabilidades cabem aos clientes na hora de construir e operar um ambiente seguro para manipular transações baseadas em PIN
Ambos os documentos estão disponíveis através do AWS Artifact, a plataforma da AWS onde clientes acessam relatórios de conformidade, certificações e outros documentos de auditoria.
Alternativa para pagamentos: AWS Payment Cryptography
É importante observar que para operações de pagamento como tradução de PIN, a AWS recomenda também considerar a AWS Payment Cryptography, um serviço totalmente gerenciado que também atende aos requisitos de conformidade PCI PIN, oferecendo uma opção com overhead operacional ainda menor.
Como acessar os relatórios
Clientes que precisam dos relatórios de conformidade PCI PIN podem acessá-los diretamente no AWS Artifact. Para compreender melhor os programas de conformidade e segurança oferecidos pela AWS, recomenda-se consultar a página de Programas de Conformidade da AWS.
Dúvidas específicas sobre esta certificação ou sobre como integrar o CloudHSM em sua arquitetura de pagamentos podem ser direcionadas à equipe de conformidade da AWS ou ao suporte técnico da AWS.
Implicações práticas
Essa atualização é especialmente relevante para empresas de fintech, processadoras de pagamento e instituições financeiras que operam no Brasil e em outros mercados regulados. A certificação PCI PIN fornece a base de confiança necessária para que clientes corporativos implementem soluções criptográficas robustas sem abrir mão da flexibilidade da nuvem.
Fonte
Updated PCI PIN compliance package for AWS CloudHSM now available (https://aws.amazon.com/blogs/security/updated-pci-pin-compliance-package-for-aws-cloudhsm-now-available/)
Leave a Reply