Le chiavi crittografiche sono gestite esclusivamente in AWS KMS e sono separate fisicamente e logicamente dai dati protetti. AWS KMS si basa su un backend HSM rafforzato con certificazione FIPS 140-2 Livello 3.

Nessun collaboratore ha accesso diretto alle chiavi — solo componenti di servizio AWS autorizzati possono utilizzarle. In casi eccezionali giustificati, l’accesso può essere richiesto con l’approvazione esplicita della direzione tecnica.

Tutti gli utilizzi delle chiavi sono registrati tramite CloudTrail. La rotazione automatica annuale è attivata per tutte le chiavi KMS. Le credenziali di accesso AWS vengono ruotate ogni 90 giorni, i token del database IAM scadono dopo 15 minuti.