PCI DSS

概览

支付卡行业数据安全标准 (PCI DSS) 是一组专有信息安全标准，由 PCI 安全标准委员会管理，该委员会由 American Express、Discover Financial Services、JCB International、MasterCard Worldwide 和 Visa Inc. 创建。

PCI DSS 适用于存储、处理或传输持卡者数据 (CHD) 或敏感身份验证数据 (SAD) 的实体，包括商家、处理机构、购买方、发行机构和服务提供商。PCI DSS 由多家支付卡品牌联合制定，由支付卡行业安全标准委员会管理。

客户可以使用 AWS Artifact（一个允许按需访问 AWS 合规性报告的自助式门户）来获取 PCI DSS 合规性证明 (AOC) 和责任摘要。您可以登录 AWS 管理控制台中的 AWS Artifact 或 AWS Artifact 入门，了解更多信息。

• AWS 是否获得了 PCI DSS 认证？

  是。Amazon Web Services (AWS) 被认证为 PCI DSS 1 级服务提供商，这是级别最高的评估结果。合规性评估由 Coalfire Systems Inc. 执行，这是一家独立的合格安全评估机构 (QSA)。客户可以使用 AWS Artifact（一个允许按需访问 AWS 合规性报告的自助式门户）来获取 PCI DSS 合规性证明 (AOC) 和责任摘要。您可以登录 AWS 管理控制台中的 AWS Artifact 或 AWS Artifact 入门，了解更多信息。
  

• 哪些 AWS 服务符合 PCI DSS 标准？

  有关符合 PCI DSS 标准的 AWS 服务列表，请参阅按合规性计划提供的范围内 AWS 服务网页上的“PCI”选项卡。如需有关使用这些服务的更多信息，请联系我们。
  

• 作为 PCI DSS 商家或服务提供商，这对我意味着什么？

  作为使用 AWS 服务来存储、处理或传输持卡人数据的客户，您在管理自己的 PCI DSS 合规性认证时可以依赖 AWS 技术基础设施。

  AWS 不会直接存储、传输或处理任何客户持卡人数据 (CHD)。但是，您可以利用 AWS 服务创建自己的持卡人数据环境 (CDE)，用于存储、传输或处理持卡人数据。
  

• 作为非 PCI DSS 商家客户，这对我意味着什么？

  即使您是非 PCI DSS 客户，我们的 PCI DSS 合规性也证明了我们可以全面保障信息的安全性。由独立的外部第三方机构对我们进行 PCI DSS 标准认证，这还可以证明，我们的安全管理计划非常全面，并遵循了领先的行业做法。
  

• 作为 AWS 客户，我能否利用 AWS 合规性证明 (AOC) 来证明我完全合规，还是说我需要通过其他测试？

  客户必须自行管理其 PCI DSS 合规性认证，并且需要进行其他测试来验证您的环境是否满足所有 PCS DSS 要求。但对于在 AWS 中部署的 PCI 持卡人数据环境 (CDE)，您的合格安全评估机构 (QSA) 可以利用 AWS 合规性证明 (AOC)，而无需进行其他测试。
  

• 如何了解我需要承担哪些 PCI DSS 管理职责？

  有关详细信息，请参阅 AWS PCI DSS 合规性文件包中的“AWS PCI DSS 责任摘要”，客户可以使用 AWS Artifact（一个允许按需访问 AWS 合规性报告的自助式门户）来获取该软件包。您可以登录 AWS 管理控制台中的 AWS Artifact 或 AWS Artifact 入门，了解更多信息。
  

• 如何获取 AWS PCI 合规性软件包？

  AWS PCI Compliance Package 面向使用 AWS Artifact 的客户提供。AWS Artifact 是一个用于按需访问 AWS 合规性报告的自助服务门户。您可以登录 AWS 管理控制台中的 AWS Artifact 或 AWS Artifact 入门，了解更多信息。
  

• AWS PCI DSS 合规性软件包包含哪些内容？

  AWS PCI 合规性软件包包括：

  • AWS PCI DSS 3.2.1 合规性证明 (AOC)
  • AWS PCI DSS 3.2.1 职责概要

• Visa 全球服务提供商注册表和 MasterCard 合规服务提供商列表中是否列出了 AWS？

  是。Visa 全球服务提供商注册表和 MasterCard 合规服务提供商列表中都列出了 AWS。AWS 列入服务提供商列表，这进一步表明，AWS 成功通过了 PCI DSS 合规性验证且满足所有适用的 Visa 和 MasterCard 计划要求。
  

• 要通过 PCI DSS 标准认证，是否必须为单租户环境？

  否。AWS 环境是一个虚拟化的多租户环境。AWS 已有效地实施了安全管理流程、PCI DSS 要求以及其他补偿性控制措施，这些措施可以高效、安全地将各个客户隔离在各自受保护的环境中。该安全架构已通过独立 QSA 的验证，并符合 PCI DSS 的所有适用要求。

  PCI 安全标准委员会面向云计算服务客户、服务提供商和评估机构发布了 PCI DSS 云计算指南。它还介绍了各种服务模式以及如何在提供商与客户之间分配合规性管理角色和职责。
  

• 第 1 级商家的 QSA 是否要求 AWS 数据中心的实际演练？

  否。AWS 合规性证明 (AOC) 证明了 AWS 数据中心的物理安全控制措施已通过一系列评估。无需商家的 QSA 再验证 AWS 数据中心的安全性。
  

• AWS 是否支持事故调查？

  根据 PCI-DSS，AWS 不被视为“共享托管提供商”。因此，DSS 要求 A1.4 不适用。在我们的责任共担模型下，我们使客户能够在其自己的 AWS 环境中执行数字事故调查，无需 AWS 提供额外的帮助。这种支持通过使用 AWS 服务及通过 AWS Marketplace 提供的第三方解决方案来提供。有关更多信息，请参阅以下资源：

  • 简化 AWS 上的安全事故响应和数字事故
  • AWS 安全事故响应指南

• 在连接服务器或上传对象进行存储时，是否需要指定一个符合 PCI DSS 标准的特殊环境？

  只要您使用符合 PCI DSS 标准的 AWS 服务，支持范围内服务的整个基础设施都将符合规定，因此无需使用单独的环境或特殊 API。在这些服务中部署或使用的任何服务器或数据对象均处于全球范围内的 PCI DSS 合规环境中。有关符合 PCI DSS 标准的 AWS 服务列表，请参阅按合规性计划提供的范围内 AWS 服务网页上的“PCI”选项卡。
  

• AWS 合规性是否适用于全球范围？

  是。请参阅 AWS Artifact 中的最新 PCI DSS AOC，获取合规地点的完整列表。
  

• PCI DSS 标准是否公开？

  是。您可以从 PCI 安全标准委员会文档库下载 PCI DSS 标准。
  

• 是否有客户通过 AWS 平台获得了 PCI DSS 认证？

  是。许多 AWS 客户已在 AWS 上成功部署和认证了部分或所有持卡者环境。AWS 不会公开已获取 PCI DSS 证书的客户，但会定期在 AWS 上与客户及其 PCI DSS 评估机构一起对持卡者环境进行规划、部署、认证并进行季度审查。
  

• 企业如何确保 PCI DSS 合规？

  公司主要使用两种方法来执行每年的 PCI DSS 合规性评估。第一种方法是聘请外部的合格安全评估机构 (QSA) 对您的适用环境进行评估，然后出具合规性报告 (ROC) 与合规性证明 (AOC)；需要处理大量事务的实体通常会采用这种方法。第二种方法是执行自我评估问卷 (SAQ)；只需处理少量事务的实体通常采用这种方法。

  请注意，应履行合规性要求的是支付卡品牌和购买方，而非 PCI 委员会。
  

• PCI DSS 合规性有哪些要求？

  以下是对 PCI DSS 要求的概述。

  建立和维护一个安全的网络和系统	1. 安装并维护防火墙配置，以保护持卡者数据 2. 请勿使用供应商提供的系统密码和其他安全参数的默认设置
  保护持卡者数据	3. 保护存储的持卡者数据 4. 在开放公用网络上传输持卡者数据时进行加密
  维护漏洞管理程序	5. 保护所有系统免受恶意软件攻击，定期更新杀毒软件或程序 6. 开发并维护安全的系统和应用程序
  部署严格的访问控制措施	7. 根据企业需要限制对持卡者数据的访问 8. 对系统组件的访问进行识别和身份验证 9. 限制对持卡者数据的物理访问
  定期监控和测试网络	10. 跟踪并监控对网络资源和持卡者数据的所有访问 11. 定期测试安全系统和流程
  维护信息安全策略	12. 维护一套旨在为所有人员解决信息安全问题的策略

• AWS 继续支持 TLS 1.0 协议的立场是什么？

  由于某些客户（例如非 PCI 客户）需要选择此协议，因此 AWS 没有在所有服务中弃用 TLS 1.0，但 AWS 服务会单独评估针对客户服务禁用 TLS 1.0 为客户带来的影响，并且可能会选择弃用它。客户还可使用 FIPS 终端节点来确保其强加密的使用。AWS 会将所有 FIPS 终端节点更新到至少 TLS 1.2 版本。更多详细信息请参见此博客文章。
  

• 客户应如何配置 AWS 架构以符合 PCI 对安全 TLS 的要求？

  AWS 为 PCI 提供的所有范围内服务均支持 TLS 1.1 或更高版本；对于需要 TLS 1.0 的客户（非 PCI 客户），其中一些服务还会支持 TLS 1.0。客户有责任升级他们的系统以启动与 AWS 的握手，该握手使用安全 TLS，即 TLS 1.1 或更高版本。客户应使用和配置 AWS 负载均衡器（Application Load Balancer 或 Classic Load Balancer），以便使用 TLS 1.1 或更高版本进行安全通信，方法是选择预定义的 AWS 安全策略，该策略可确保客户端与负载均衡器之间的加密协议协商使用 TLS 1.2 等。例如，AWS Load Balancer 安全策略 ELBSecurityPolicy-TLS-1-2-2018-06 仅支持 TLS 1.2。
  

• 如果 TLS 1.0 出现在扫描结果中，建议客户采取什么措施？

  如果客户 ASV（获批的扫描提供商）扫描在 AWS API 终端节点上识别到 TLS 1.0，则意味着该 API 仍支持 TLS 1.0 以及 TLS 1.1 或更高版本。AWS 为 PCI 提供的某些范围内服务仍可为需要 TLS 1.0 来处理非 PCI 工作负载的客户启用 TLS 1.0。客户可以向 ASV 证明，AWS API 终端节点支持 TLS 1.1 或更高版本，方法是使用 Qualys SSL Labs 等工具来识别所使用的协议。客户还可以证明他们能够实现安全的 TLS 握手，方法是通过配置有仅支持 TLS 1.1 或更高版本的适当安全策略（例如，ELBSecurityPolicy-TLS-1-2-2017-01 仅支持 v1.2）的 AWS Elastic Load Balancer 进行连接。ASV 可能会要求客户遵循漏洞扫描争议处理流程，并且所列出的证据可用作合规性证明。此外，尽早使用 ASV 并在扫描之前向 ASV 提供此证明可以简化评估并支持通过 ASV 扫描。