Zahrnuje generování, distribuci, rotaci, uložení a zneplatnění klíčů pro šifrování i podpisy. V praxi funguje využívat HSM nebo cloud KMS a omezit přístup rolemi. Politiky musí stanovit délky klíčů, algoritmy a intervaly rotace podle rizik. Důležitá je segregace povinností a auditní stopa všech operací s klíči. Zálohy klíčů musí být šifrované a testované pro obnovu při havárii. Integrace s CI/CD zamezí tvrdému kódování tajemství v repozitářích. Chybí-li řízené správy klíčů ztrácí kryptografie smysl i právní účinek.
