A AWS expande conformidade de pagamentos com PCI PIN e PCI P2PE
A Amazon Web Services (AWS) anunciou a conclusão bem-sucedida das avaliações de conformidade com os padrões Número de Identificação Pessoal da Indústria de Cartões de Pagamento (PCI PIN) e Criptografia Ponto a Ponto da Indústria de Cartões de Pagamento (PCI P2PE) para o serviço AWS Payment Cryptography. Essa conquista representa um avanço significativo no portfólio de conformidade do serviço e traz implicações diretas para empresas brasileiras que processam pagamentos eletrônicos na nuvem.
O que mudou no portfólio de conformidade
Com essa nova validação, a AWS passa a ser reconhecida como provedora de componentes em três categorias distintas dentro do ecossistema PCI:
- Gerenciamento de Chaves (KMCP — Key Management Component Provider)
- Carregamento de Chaves (KLCP — Key Loading Component Provider)
- Gerenciamento de Descriptografia (DMCP — Decryption Management Component Provider) — já existente anteriormente
Além do escopo ampliado de categorias, a cobertura PCI PIN e PCI P2PE foi estendida para duas novas regiões: América do Sul (São Paulo) e Ásia-Pacífico (Sydney). Para o mercado brasileiro, isso é especialmente relevante: significa que workloads de pagamento podem ser operadas diretamente na região de São Paulo com respaldo formal de conformidade PCI.
O que é o AWS Payment Cryptography
O AWS Payment Cryptography é um serviço que permite que aplicações de processamento de pagamentos utilizem módulos de segurança de hardware (HSMs — Hardware Security Modules) para pagamentos. Esses HSMs são certificados pelo padrão Segurança de Transações HSM PTS (PCI PIN Transaction Security) e são totalmente gerenciados pela AWS, com gerenciamento de chaves em conformidade com PCI PIN e PCI P2PE.
Na prática, isso significa que empresas que desenvolvem ou operam soluções de pagamento podem delegar à AWS a responsabilidade pela infraestrutura criptográfica regulada, reduzindo consideravelmente a carga operacional de manter essa conformidade internamente.
Para quais casos de uso essas certificações são relevantes
Cada certificação cobre um cenário específico dentro do ecossistema de pagamentos:
- PCI P2PE — Componente de Descriptografia: permite que aplicações de pagamento utilizem a AWS para descriptografar transações de cartão de crédito provenientes de terminais de pagamento.
- PCI PIN: obrigatório para aplicações que processam transações de débito baseadas em PIN (senha numérica do cartão).
- PCI P2PE — Componentes de Gerenciamento e Carregamento de Chaves: habilitam o uso da AWS para troca física de chaves criptográficas e para casos de uso de gerenciamento de chaves, incluindo injeção de chaves.
Para saber mais sobre o novo recurso de Troca Física de Chaves, a AWS publicou um anúncio no AWS What’s New com detalhes adicionais.
Documentos incluídos nos pacotes de conformidade
Os pacotes de conformidade PCI PIN e PCI P2PE para o AWS Payment Cryptography incluem um conjunto abrangente de documentos técnicos e regulatórios:
- Atestado de Conformidade PCI PIN (AOC — Attestation of Compliance): demonstra que o AWS Payment Cryptography foi validado com êxito contra o padrão PCI PIN, sem nenhuma não-conformidade identificada.
- Resumo de Responsabilidades PCI PIN: orienta os clientes da AWS sobre suas responsabilidades ao desenvolver e operar ambientes seguros para transações baseadas em PIN.
- Atestado de Validação PCI P2PE DMCP (AOV — Attestation of Validation): comprova a validação do serviço como Sistema de Gerenciamento de Descriptografia PCI P2PE, sem não-conformidades.
- Atestado de Validação PCI P2PE KMCP (AOV): comprova a validação como Provedor de Componente de Gerenciamento de Chaves PCI P2PE, sem não-conformidades.
- Atestado de Validação PCI P2PE KLCP (AOV): comprova a validação como Provedor de Componente de Carregamento de Chaves PCI P2PE, sem não-conformidades.
- Guia do Usuário do Componente P2PE e Relatório Anual do Componente: descreve o escopo de avaliação do serviço como Componente de Descriptografia, Componente de Carregamento de Chaves e Componente de Gerenciamento de Chaves PCI P2PE, além de ilustrar as responsabilidades de conformidade tanto do serviço quanto dos clientes que o utilizam para processamento de criptografia ponto a ponto.
Como acessar os documentos de conformidade
Todos os relatórios — incluindo o Atestado de Conformidade PCI PIN, o Resumo de Responsabilidades Compartilhadas PCI PIN, o Atestado de Validação PCI P2PE e o Guia do Usuário do Componente de Descriptografia P2PE — estão disponíveis para os clientes diretamente pelo AWS Artifact, o repositório centralizado de documentos de conformidade da AWS.
A avaliação foi conduzida pela Coalfire, uma Avaliadora de Segurança Qualificada (QSA — Qualified Security Assessor) terceirizada e independente, o que reforça a credibilidade das validações obtidas.
Contexto para equipes de conformidade e segurança
Para profissionais que lidam com conformidade regulatória em ambientes de pagamento, essa expansão do portfólio PCI do AWS Payment Cryptography representa uma oportunidade concreta de reduzir a complexidade operacional. Ao utilizar componentes já validados pela AWS, as equipes podem concentrar esforços nas responsabilidades que permanecem sob seu controle, em vez de precisar manter e auditar toda a infraestrutura criptográfica de ponta a ponta.
Para conhecer mais sobre os programas PCI e outros programas de conformidade e segurança disponíveis, a AWS disponibiliza informações na página de Programas de Conformidade da AWS. Dúvidas específicas sobre conformidade podem ser encaminhadas à equipe de Compliance da AWS pela página de Suporte de Conformidade, e questões técnicas podem ser tratadas diretamente pelo AWS Support.
Fonte
PCI PIN and P2PE compliance packages for AWS Payment Cryptography are now available (https://aws.amazon.com/blogs/security/pci-pin-and-p2pe-compliance-packages-for-aws-payment-cryptography-are-now-available/)
Leave a Reply