Publicado: May 24, 2023
O AWS Key Management Service (KMS) anunciou hoje que os Hardware Security Modules (HSMs – Módulos de segurança de hardware) usados no serviço receberam a certificação de nível de segurança 3 da norma 140-2 do Federal Information Processing Standards (FIPS – Normas federais para processamento de informações) do National Institute of Standards and Technology (NIST – Instituto Nacional de Padrões e Tecnologia) dos EUA. O programa FIPS 140 valida áreas relacionadas ao projeto e implementação seguros de um módulo criptográfico, incluindo a exatidão das implementações de algoritmos criptográficos e a resistência/resposta a violações. Desde 2017, os HSMs do AWS KMS são certificados continuamente de acordo com o nível geral de segurança 2 do FIPS 140-2. Essa nova certificação dá aos clientes a garantia de que todas as operações criptográficas envolvendo suas chaves no AWS KMS são realizadas dentro de um HSM certificado no nível de segurança 3 do FIPS 140-2.
A certificação de nível de segurança 3 pode ajudar organizações que buscam conformidade com várias normas setoriais e regulatórias, como Federal Risk and Authorization Management Program (FedRAMP – Programa federal de gerenciamento de risco e autorização), Health Insurance Portability and Accountability Act (HIPAA – Lei de Portabilidade e Responsabilidade de Seguro de Saúde), Payment Card Industry (PCI – Setor de cartões de pagamento), General Data Protection Regulation (GDPR - Regulamento geral de proteção de dados) da União Europeia e ISO 27001 da International Organization for Standardization (ISO – Organização internacional de normalização), para práticas recomendadas de gerenciamento de segurança e controles de segurança abrangentes.
Os HSMs com certificação de nível 3 do FIPS 140-2 no AWS KMS são implantados em todas as regiões comerciais, incluindo as regiões AWS GovCloud (EUA). As regiões da China (Pequim) e da China (Ningxia) não oferecem suporte ao Programa de Validação de Módulos Criptográficos do FIPS 140-2. O AWS KMS usa HSMs certificados pela OSCCA para proteger as chaves KMS nas regiões da China. O certificado para a validação de nível 3 de segurança do FIPS 140-2 do AWS KMS está disponível no site do Programa de Validação de Módulos Criptográficos do NIST aqui.