PCI DSS

Übersicht

Der „Payment Card Industry Data Security Standard“ (PCI DSS) ist ein proprietärer Datensicherheitsstandard, der vom PCI Security Standards Council, das von American Express, Discover Financial Services, JCB International, MasterCard Worldwide und Visa Inc. gegründet wurde, verwaltet wird.

PCI DSS gilt für alle Entitäten, die Karteninhaberdaten (Cardholder Data, CHD) oder vertrauliche Authentifizierungsdaten (Sensitive Authentication Data, SAD) speichern, verarbeiten oder übertragen, darunter Händler, Hersteller, Ankäufer, Herausgeber und Serviceanbieter. PCI DSS untersteht dem Mandat der Kartenmarken und wird vom Payment Card Industry Security Standards Council verwaltet.

Die Zusammenfassung der PCI DSS-Konformitätsbescheinigung (AOC) und der Verantwortung steht Kunden über AWS Artifact zur Verfügung, ein Self-Service-Portal für den On-Demand-Zugriff auf AWS-Konformitätsberichte. Melden Sie sich bei AWS Artifact in der AWS-Managementkonsole an oder erfahren Sie mehr unter Erste Schritte mit AWS Artifact.

  • Ja, Amazon Web Services (AWS) ist als PCI DSS Level 1-Dienstanbieter zertifiziert. Dies ist die höchste verfügbare Bewertungsstufe. Die Bewertung der Compliance wurde von Coalfire Systems Inc. durchgeführt, einem unabhängigen Qualified Security Assessor (QSA). Die PCI DSS-Konformitätsbescheinigung (AOC) und die Zusammenfassung der Verantwortlichkeiten stehen Kunden über AWS Artifact zur Verfügung, ein Self-Service-Portal für den On-Demand-Zugriff auf AWS-Konformitätsberichte. Melden Sie sich bei AWS Artifact in der AWS-Managementkonsole an oder erfahren Sie mehr unter Erste Schritte mit AWS Artifact.

  • Eine Liste der PCI DSS-konformen AWS-Services finden Sie auf der Registerkarte "PCI" der Webseite AWS-Services in Scope nach Compliance-Programm. Bei Fragen zur Verwendung dieser Services kontaktieren Sie uns.

  • Als Kunde, der AWS-Services zum Speichern, Verarbeiten oder Übertragen von Karteninhaberdaten verwendet, können Sie sich bei der Verwaltung Ihrer eigenen PCI DSS-Konformitätszertifizierung auf die AWS-Technologieinfrastruktur verlassen.

    Karteninhaberdaten von Kunden werden von AWS nicht direkt gespeichert, übertragen oder verarbeitet. Sie können jedoch eine eigene Karteninhaberdatenumgebung (Card Data Environment, CDE) erstellen, in der Karteninhaberdaten mithilfe von AWS-Services gespeichert, übertragen oder verarbeitet werden können.

  • Selbst wenn Sie nicht als PCI DSS-konformer Händler zertifiziert sind, weist unsere PCI DSS-Compliance unsere Verpflichtung zur Informationssicherheit auf jeder Ebene nach. Da der PCI DSS-Standard von einer unabhängigen dritten Partei überprüft wird, kann auf diese Weise bestätigt werden, dass unser Sicherheitsverwaltungsprogramm umfassend ist und den führenden Branchenpraktiken folgt.

  • Kunden müssen die PCI DSS-Compliance ihres Unternehmens selbst zertifizieren lassen. Für Ihr Unternehmen muss Ihr Qualified Security Assessor (QSA) durch zusätzliche Tests nachweisen, dass Ihre Umgebung alle Anforderungen des PCS DSS erfüllt. Bei dem Teil der PCI-Karteninhaberdatenumgebung (CDE), der auf AWS bereitgestellt wird, kann sich Ihr QSA jedoch ganz auf die für AWS ausgestellte Attestation of Compliance (AOC) verlassen, ohne weitere Tests durchführen zu müssen.

  • Ausführliche Informationen finden Sie unter "AWS PCI DSS-Verantwortlichkeitsübersicht" aus dem AWS PCI DSS-Konformitätspaket, das Kunden über AWS Artifact, ein Self-Service-Portal für den On-Demand-Zugriff auf AWS-Konformitätsberichte, zur Verfügung steht. Melden Sie sich bei AWS Artifact in der AWS-Managementkonsole an oder erfahren Sie mehr unter Erste Schritte mit AWS Artifact.

  • Das AWS PCI-Konformitätspaket steht Kunden über AWS Artifact zur Verfügung, ein Self-Service-Portal für den On-Demand-Zugriff auf AWS-Konformitätsberichte. Melden Sie sich bei AWS Artifact in der AWS-Managementkonsole an oder erfahren Sie mehr unter Erste Schritte mit AWS Artifact.

  • Das AWS PCI Compliance-Paket enthält Folgendes:

    • AWS PCI DSS 3.2.1 Attestation of Compliance (AOC)
    • AWS PCI DSS 3.2.1 Responsibility Summary
  • Ja, AWS ist im Visa-Verzeichnis der weltweiten Serviceanbieter und auf der Liste der MasterCard-fähigen Serviceanbieter enthalten. Die Serviceanbieter-Auflistungen zeigen außerdem, dass AWS die PCI DSS-Compliance erfolgreich überprüft hat und alle entsprechenden Visa- und MasterCard-Programmanforderungen erfüllt.

  • Nein. Die AWS-Umgebung ist eine virtualisierte Mehrmandantenumgebung. AWS hat effektive Sicherheitsverwaltungsprozesse, PCI DSS-Anforderungen und andere Sicherheitskontrollen eingerichtet, mit deren Hilfe die Daten der einzelnen Kunden in eigenen geschützten Umgebungen wirksam und sicher voneinander getrennt werden. Diese sichere Architektur wurde von einem unabhängigen QSA validiert und entspricht allen geltenden Anforderungen von PCI DSS.

    Der PCI Security Standards Council hat PCI DSS Cloud Computing-Richtlinien für Kunden, Dienstanbieter und Bewerter von Cloud Computing-Diensten veröffentlicht. Dort werden außerdem Servicemodelle und die gemeinsame Nutzung von Compliance-Rollen und -Verantwortlichkeiten durch Anbieter und Kunden beschrieben.

  • Nein. Die für AWS ausgestellte Attestation of Compliance (AOC) weist eine umfassende Bewertung der physischen Sicherheitskontrollen in den Rechenzentren von AWS nach. Eine Überprüfung der Sicherheit der AWS-Rechenzentren durch den QSA eines Händlers ist nicht erforderlich.

  • AWS gilt nicht als „Shared Hosting Provider“ gemäß PCI-DSS. Daher trifft die DSS-Anforderung A1.4 nicht zu. Im Rahmen unseres Modells der gemeinsamen Verantwortung ermöglichen wir unseren Kunden das Durchführen digitaler forensischer Untersuchungen in ihren eigenen AWS-Umgebungen, ohne dass zusätzliche Unterstützung von AWS zu erforderlich ist. Diese Möglichkeit wird sowohl durch die Nutzung von AWS-Services als auch durch Lösungen von Drittanbietern geboten, die über AWS Marketplace verfügbar sind. Weitere Informationen finden Sie in den folgenden Ressourcen:

  • Solange Sie PCI DSS-konforme AWS-Services verwenden, ist die gesamte Infrastruktur, die diese In-scope-Services unterstützt, PCI DSS-konform, Sie müssen also keine spezielle Umgebung oder API aufrufen. Alle Server oder Datenobjekte, die bereitgestellt werden oder diese Services nutzen, befinden sich global in einer PCI DSS-konformen Umgebung. Eine Liste der PCI DSS-konformen AWS-Services finden Sie auf der Registerkarte "PCI" der Webseite AWS-Services in Scope nach Compliance-Programm.

  • Ja. Die vollständige Liste der kompatiblen Standorte finden Sie im neuesten PCI DSS AOC in AWS Artifact.

  • Ja. Sie können den PCI DSS-Standard aus der Bibliothek PCI Security Standards Council Document Library herunterladen.

  • Ja, zahlreiche AWS-Kunden haben ihre Karteninhaberumgebungen erfolgreich ganz oder teilweise auf AWS bereitgestellt und zertifiziert. AWS gibt die Kunden nicht preis, die die PCI DSS-Zertifizierung erlangt haben. Doch AWS arbeitet regelmäßig mit Kunden und ihren PCI DSS-Prüfern bei der Planung, Bereitstellung, Zertifizierung und Durchführung vierteljährlicher Überprüfungen von Karteninhaberumgebungen in AWS zusammen.

  • Es gibt zwei Hauptansätze, mit denen Unternehmen die PCI DSS-Compliance jährlich nachweisen können. Der erste Ansatz ist ein externer Qualified Security Assessor (QSA), der die jeweilige Umgebung bewertet und dann einen Report on Compliance (ROC) und eine Attestation of Compliance (AOC) erstellt. Dieser Ansatz wird am häufigsten für Entitäten verwendet, die eine große Anzahl von Transaktionen verarbeiten. Der zweite Ansatz ist die Durchführung eines Self-Assessment Questionnaire (SAQ). Dieser Ansatz wird am häufigsten für Entitäten verwendet, die eine kleinere Anzahl von Transaktionen verarbeiten.

    Beachten Sie unbedingt, dass die Zahlungsmarken und Ankäufer für das Durchsetzen der Compliance verantwortlich sind, nicht das PCI-Council.

  • Unten finden Sie eine allgemeine Übersicht der PCI DSS-Anforderungen.

    Aufbauen und Warten sicherer Netzwerke und Systeme

    1. Installieren und Warten einer Firewall-Konfiguration zum Schutz von Karteninhaberdaten

    2. Ändern der vom Anbieter festgelegten Standardeinstellungen für Systempasswörter und andere Sicherheitsparameter

    Schützen von Karteninhaberdaten

    3.  Schützen gespeicherter Karteninhaberdaten

    4. Verschlüsseln der Übertragung von Karteninhaberdaten über offene, öffentliche Netze

    Betreiben eines Programms zur Prüfung auf Schwachstellen

    5. Schützen aller Systeme vor Malware und reguläres Aktualisieren der Antivirus-Software bzw. -Programme

    6. Entwickeln und Warten sicherer Systeme und Anwendungen

    Implementieren strenger Zugriffssteuerungsmaßnahmen

    7. Beschränken des Zugriffs auf Karteninhaberdaten je nach geschäftlichem Informationsbedarf

    8. Identifizieren und Authentifizieren des Zugriffs auf Systemkomponenten

    9. Beschränken des physischen Zugriffs auf Karteninhaberdaten

    Regelmäßiges Überwachen und Testen der Netzwerke

    10. Verfolgen und Überwachen des gesamten Zugriffs auf Netzwerkressourcen und Karteninhaberdaten

    11. Regelmäßiges Testen der Sicherheitssysteme und -prozesse

    Befolgen einer Richtlinie für Informationssicherheit

    12. Befolgen einer Richtlinie, die die Datensicherheit für alle Mitarbeiter regelt

  • AWS unternimmt keine konzertierte Aktion, den veralteten Standard TLS 1.0 in allen Services zu entfernen, da dieses Protokoll von einigen Kunden, die nicht vom PCI-Standard betroffen sind, noch verwendet wird. Für einzelne AWS-Services wird jedoch untersucht, welche Auswirkung die Entfernung von TLS 1.0 auf die Kunden hat, wobei über die Entfernung des Protokolls individuell entschieden wird. Kunden können auch FIPS-Endpunkte verwenden, um sicherzustellen, dass sie eine starke Kryptografie verwenden. AWS aktualisiert alle FIPS-Endpunkte auf ein Minimum von TLS Version 1.2. In diesem Blogbeitrag finden Sie weitere Details.

  • Alle mit dem PCI-Standard konformen AWS-Services bieten TLS 1.1 oder höher und einige davon unterstützen weiterhin TLS 1.0 für Kunden, die nicht vom PCI-Standard betroffen sind und diese Protokollversion noch benötigen. Es unterliegt dem Kunden, seine Systeme zu aktualisieren, um ein Handshake mit AWS zu initiieren, das sicheres TLS, also TLS 1.1 oder höher verwendet. Kunden sollten AWS Load Balancer (Application Load Balancer oder Classic Load Balancer) verwenden und für die sichere Kommunikation mit TLS 1.1 oder höher konfigurieren. Hierzu sollten sie eine vordefinierte AWS-Sicherheitsrichtlinie auswählen, die sicherstellt, dass bei der Verhandlung des Verschlüsselungsprotokolls zwischen einem Client und dem Load Balancer beispielsweise TLS 1.2 verwendet wird. Geeignet wäre hierfür zum Beispiel die AWS-Sicherheitsrichtlinie "ELBSecurityPolicy-TLS-1-2-2018-06" für Load Balancer, die nur TLS 1.2 unterstützt.

  • Wenn der Scan eines Kunden-ASV (Approved Scanning Vendor) auf einem AWS-API-Endpunkt TLS 1.0 ermittelt, bedeutet dies, dass die API zusätzlich zu TLS 1.1 oder höher noch TLS 1.0 unterstützt. Einige mit dem PCI-Standard konforme AWS-Services unterstützen TLS 1.0 noch für Kunden, die diese Protokollversion weiterhin für ihre Nicht-PCI-Workloads benötigen. Der Kunde kann dem ASV mittels eines Tools wie Qualys SSL Labs, das die verwendeten Protokolle identifiziert, nachweisen, dass der AWS-API-Endpunkt TLS 1.1 oder höher unterstützt. Der Kunde kann auch nachweisen, dass er einen sicheren TLS-Handshake ermöglicht, indem er eine Verbindung über einen AWS Elastic Load Balancer herstellt, der mit einer geeigneten Sicherheitsrichtlinie konfiguriert ist, die nur TLS 1.1 oder höher unterstützt (z. B. ELBSecurityPolicy-TLS-1-2-2017-01 unterstützt nur v1.2). Eventuell verlangt der ASV vom Kunden die Klärung der vermeintlichen Schwachstelle, wobei Sie die oben beschriebenen Nachweise zur Belegung der Compliance heranziehen können. Vorzuziehen ist dem in jedem Fall, den ASV frühzeitig auf die Möglichkeit eines falschen Scanergebnisses vorzubereiten und ihm diesen Nachweis noch vor dem Scan vorzulegen. Sie beschleunigen dadurch die Bewertung und fördern das Bestehen des ASV-Scans.

Haben Sie noch Fragen? Einen AWS-Business-Mitarbeiter kontaktieren
Sie erkunden Compliance-Rollen?
Melden Sie sich jetzt an »
Sie möchten über Neuigkeiten zur AWS-Compliance informiert werden?
Folgen Sie uns auf Twitter »