Publicado en: May 24, 2023
AWS Key Management Service (KMS) anunció hoy que los módulos de seguridad de hardware (HSM) que se usan en el servicio recibieron la certificación de nivel 3 de seguridad de los Estándares Federales de Procesamiento de la Información (FIPS) 140-2 del NIST (National Institute of Standards and Technology) de EE. UU. El programa FIPS 140 valida las áreas relacionadas con el diseño y la implementación seguros de un módulo criptográfico, incluida la exactitud de las implementaciones de algoritmos criptográficos y la resistencia/respuesta a la manipulación indebida. Los HSM de AWS KMS cuentan con la certificación del nivel 2 de seguridad general de FIPS 140-2 de forma continua desde 2017. Esta nueva certificación ofrece a los clientes la seguridad de que todas las operaciones criptográficas relacionadas con sus claves en AWS KMS se realizan dentro de un HSM con certificación de nivel 3 de seguridad de FIPS 140-2.
La certificación de nivel 3 de seguridad puede ayudar a las organizaciones a cumplir con varios estándares industriales y normativos, entre ellos: el Programa Federal de Gestión de Riesgos y Autorizaciones (FedRAMP), la Ley de Portabilidad y Responsabilidad de los Seguros Médicos (HIPAA), las normas del sector de tarjetas de pago (PCI), el Reglamento General de Protección de Datos (GDPR) de la Unión Europea y la norma 27001 de la ISO (International Organization for Standardization) sobre las prácticas recomendadas de gestión de la seguridad y los controles de seguridad integrales.
Los HSM con certificación de nivel 3 de seguridad de FIPS 140-2 en AWS KMS se implementan en todas las regiones comerciales, incluidas las regiones de AWS GovCloud (EE. UU.). Las regiones de China (Pekín) y China (Ningxia) no admiten el programa de validación del módulo criptográfico FIPS 140-2. AWS KMS utiliza los HSM certificados por OSCCA para proteger las claves de KMS en las regiones de China. El certificado para la validación de nivel 3 de seguridad de FIPS 140-2 para AWS KMS está disponible en el sitio web del programa de validación de módulos criptográficos del NIST.