Die kryptographischen Schlüssel werden ausschliesslich in AWS KMS verwaltet und sind physisch sowie logisch von den geschützten Daten getrennt. AWS KMS basiert auf einem gehärteten HSM-Backend mit FIPS 140-2 Level 3 Zertifizierung.

Kein Mitarbeitender hat direkten Zugriff auf die Schlüssel — nur autorisierte AWS-Dienstkomponenten können sie verwenden. In begründeten Ausnahmefällen kann Zugriff mit expliziter Genehmigung der technischen Leitung angefordert werden.

Alle Schlüsselverwendungen werden über CloudTrail protokolliert. Die jährliche automatische Rotation ist für alle KMS-Schlüssel aktiviert. AWS-Zugangsdaten werden alle 90 Tage rotiert, IAM-Datenbanktokens laufen nach 15 Minuten ab.