Key Encrypting Key
Proteja as chaves usadas para proteger os dados do titular do cartão contra a divulgação e uso indevido
Um fortificado controle de acesso, auditoria e registro de suas chaves. As chaves devem ser armazenadas em um local que seja seguro e "ausente" dos dados criptografados. Isso significa que os dados principais não devem ser armazenados em servidores web, servidores de banco de dados, etc.
O acesso às chaves deve ser restrito à menor quantidade possível de usuários. Este grupo de usuários será, idealmente, usuários que são altamente confiáveis e treinados para desempenhar os deveres do Custodiante. Obviamente, haverá um requisito para que as contas do sistema / serviço acessem os dados-chave para executar criptografia / descriptografia de dados.
As próprias chaves não devem ser armazenadas na versão em pleno texto, mas criptografadas com um KEK (Key Encrypting Key). O KEK não deve ser armazenado no mesmo local que as chaves de criptografia que está criptografando.
Totalmente documentar e implementar todos os processos e procedimentos de gerenciamento de chaves para chaves criptográficas usadas para criptografia de dados do titular do cartão