Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés. # Importación y exportación de claves Puede importar claves de criptografía de AWS pagos desde otras soluciones y exportarlas a otras soluciones, como los HSM. Muchos clientes intercambian claves con los proveedores de servicios mediante la funcionalidad de importación y exportación. Diseñamos la criptografía de AWS pagos para utilizar un enfoque electrónico moderno en la gestión de claves que le ayude a mantener el cumplimiento y los controles. Recomendamos utilizar el intercambio electrónico de claves basado en estándares en lugar de componentes clave en papel. Si necesita seguir procesando componentes clave en papel hasta que todos los socios admitan el intercambio electrónico de claves, puede utilizar[Intercambio de claves físicas](keys-physicalkeyexchange.md). **Puntos clave mínimos y efecto en las funciones de importación y exportación** La PCI requiere fortalezas clave mínimas específicas para las operaciones criptográficas, el almacenamiento y la transmisión de claves. Estos requisitos pueden cambiar cuando se revisan los estándares de PCI. Las normas especifican que el embalaje de las llaves utilizadas para el almacenamiento o el transporte debe ser al menos tan resistente como la clave que se está protegiendo. Aplicamos este requisito automáticamente durante la exportación y evitamos que las claves estén protegidas por claves más débiles, como se muestra en la siguiente tabla. En la siguiente tabla se muestran las combinaciones admitidas de llaves para envolver, llaves para proteger y métodos de protección. [See the AWS documentation website for more details](http://docs.aws.amazon.com/es_es/payment-cryptography/latest/userguide/keys-importexport.html) Para obtener más información, consulte [el apéndice D: Tamaños y fortalezas de clave mínimos y equivalentes para los algoritmos aprobados](https://docs-prv.pcisecuritystandards.org/PTS/Derived%20Test%20Requirements/PCI_HSM_DTRs_v4.pdf) en las normas PCI HSM. **Intercambio de claves de cifrado (KEK)** Recomendamos utilizar el estándar [ X9.24 TR-34ANSI](terminology.md#terms.tr34). Este tipo de clave inicial puede denominarse clave de cifrado de clave (KEK), clave maestra de zona (ZMK) o clave maestra de control de zona (ZCMK). [Si sus sistemas o socios TR-34 aún no son compatibles, puede usar RSA. Wrap/Unwrap](terminology.md#terms.rsawrap) [Si sus necesidades incluyen el intercambio de AES-256 claves, puede utilizar el ECDH.](terminology.md#terms.ecdh) Para importar sus propias claves de prueba o sincronizarlas con sus HSM existentes, consulte el código de ejemplo de criptografía de AWS pagos que aparece en. [GitHub](https://github.com/aws-samples/samples-for-payment-cryptography-service/tree/main/key-import-export) **Intercambio de claves de trabajo (WK)** Utilizamos los estándares del sector ([ANSI X9.24 TR 31-2018](terminology.md#terms.tr31) y X9.143) para intercambiar las claves de trabajo. Para ello, es necesario que ya haya intercambiado una KEK mediante RSA Wrap TR-34, ECDH o esquemas similares. Este enfoque cumple con el requisito del PIN PCI para vincular criptográficamente el material clave según su tipo y uso en todo momento. Las claves de trabajo incluyen las claves de trabajo del adquirente, las claves de trabajo del emisor, el BDK y el IPEK. **Topics** + [Importar claves](keys-import.md) + [Exportar claves](keys-export.md) + [Temas avanzados](keyexchange-advanced.md)