PCI DSS

Panoramica

Il Payment Card Industry Data Security Standard (PCI DSS) è uno standard proprietario per la sicurezza informatica gestito dal PCI Security Standards Council, fondato da American Express, Discover Financial Services, JCB International, MasterCard Worldwide e Visa Inc.

Lo standard PCI DSS si applica alle entità che archiviano, elaborano o trasmettono dati relativi ai titolari di carte di credito (CHD) o dati sensibili di autenticazione (SAD), tra cui esercenti, entità incaricate dell'elaborazione dei dati, acquirenti, autorità emittenti e fornitori di servizi. Lo standard PCI DSS è imposto dalle autorità emittenti delle carte di credito ed è gestito dal Payment Card Industry Security Standards Council.

L'attestato di conformità (AOC) e il riepilogo delle responsabilità del PCI DSS sono disponibili per i clienti mediante AWS Artifact, un portale self-service per l'accesso on demand ai report di conformità di AWS. Accedi ad AWS Artifact nella Console di gestione AWS o scopri di più nella pagina Nozioni di base su AWS Artifact.

• AWS è certificato secondo lo standard PCI DSS?

  Sì, Amazon Web Services (AWS) è certificato come fornitore di servizi di Livello 1 PCI DSS, il più alto livello di valutazione disponibile. La valutazione di conformità è stata condotta da Coalfire Systems Inc., un valutatore qualificato per la sicurezza (QSA) indipendente. L'attestato di conformità (AOC) e il riepilogo delle responsabilità del PCI DSS sono disponibili per i clienti mediante AWS Artifact, un portale self-service per l'accesso on demand ai report di conformità di AWS. Accedi ad AWS Artifact nella Console di gestione AWS o scopri di più nella pagina Nozioni di base su AWS Artifact.
  

• Quali servizi AWS sono conformi allo standard PCI DSS?

  Per l'elenco dei servizi AWS conformi allo standard PCI DSS, consultare la scheda PCI sulla pagina web Servizi AWS nell'ambito per programma di conformità. Per ulteriori informazioni sull'utilizzo di questi servizi, contattaci.
  

• Quali sono le conseguenze per i commercianti e i fornitori di servizi che cercano la certificazione PCI DSS?

  In qualità di cliente che utilizza i servizi AWS per archiviare, elaborare o trasmettere dati di titolari di carta di credito, puoi contare sull'infrastruttura della tecnologia AWS per gestire la tua certificazione di conformità allo standard PCI DSS.

  AWS non archivia, trasmette o elabora direttamente i dati dei titolari di carta di credito (CHD) dei clienti. Tuttavia, puoi creare un tuo ambiente con i dati del titolare della carte di credito in grado di eseguire tali operazioni usando i servizi AWS.
  

• Quali sono le conseguenze per i commercianti privi di certificazione PCI DSS?

  Anche se non sei un cliente PCI DSS, la nostra conformità PCI DSS dimostra il nostro impegno per la sicurezza delle informazioni a tutti i livelli. Poiché lo standard PCI DSS viene convalidato da una società esterna indipendente, ciò costituisce una conferma che il programma di gestione della sicurezza è completo e segue le best practice di settore.
  

• Come cliente AWS, posso affidarmi all'attestato di conformità (AOC) di AWS, oppure sono necessari ulteriori controlli per accertare la conformità?

  I clienti devono gestire la propria certificazione di conformità PCI DSS e sono necessari ulteriori controlli per verificare che l'ambiente soddisfi tutti i requisiti PCS DSS. Tuttavia, per la parte dell'ambiente dati dei titolari di carta di credito PCI (CDE) distribuita in AWS, il valutatore qualificato per la sicurezza (QSA) può fare affidamento sull'attestato di conformità (AOC) di AWS senza ulteriori controlli.
  

• In che modo i clienti possono individuare di quali controlli PCI DSS sono responsabile?

  Per informazioni dettagliate, vedere "Riepilogo delle responsabilità di AWS rispetto allo standard PCI DSS" dal pacchetto di conformità PCI DSS di AWS, disponibile per i clienti tramite AWS Artifact, un portale self-service per l'accesso on demand ai report di conformità di AWS. Accedi a AWS Artifact nella Console di gestione AWS oppure scopri di più nella pagina Nozioni di base su AWS Artifact. I clienti possono anche richiedere servizi di audit e consulenza sulla conformità al team di AWS Security Assurance Services.

• Come è possibile ottenere il pacchetto di conformità PCI di AWS?

  Il pacchetto di conformità PCI di AWS è disponibile per i clienti tramite AWS Artifact, un portale self-service per l'accesso on demand ai report di conformità AWS. Accedi ad AWS Artifact nella console di gestione AWS o scopri di più nella pagina Nozioni di base su AWS Artifact.
  

• Che cosa contiene il pacchetto di conformità PCI DSS di AWS?

  Il pacchetto di conformità PCI di AWS include:

  • Attestato di conformità (AOC) di AWS PCI DSS 3.2.1
  • Riepilogo delle responsabilità di AWS PCI DSS 3.2.1

• AWS è inclusa negli elenchi Visa Global Registry of Service Providers e MasterCard Compliant Service Provider List?

  Sì, AWS è incluso sia nell'elenco Visa Global Registry of Service Providers sia nell'elenco MasterCard Compliant Service Provider List. Questi riconoscimenti attestano la conformità di AWS allo standard PCI DSS tramite una valutazione e in ottemperanza a tutti i requisiti applicabili dei programmi Visa e MasterCard.
  

• Lo standard PCI DSS necessita di ambienti in single-tenant per mantenere la conformità?

  No. L'ambiente di AWS è virtualizzato e multi-tenant. AWS ha implementato in modo efficace i processi di gestione della sicurezza, i requisiti PCI DSS e altri controlli compensativi che consentono di mantenere separato ciascun cliente nel proprio ambiente protetto in modo efficace e sicuro. Questa architettura protetta è stata convalidata da un valutatore qualificato per la sicurezza indipendente e valutata conforme a tutti i requisiti applicabili dello standard PCI DSS.

  Il PCI Security Standards Council ha pubblicato le Linee guida per il cloud computing di PCI DSS per clienti, fornitori di servizi e valutatori di servizi di cloud computing. Il documento descrive inoltre i modelli di servizio e il modo in cui responsabilità e compiti di conformità sono condivisi tra fornitore e cliente.
  

• I valutatori qualificati per la sicurezza per i commercianti di livello 1 richiedono un'ispezione fisica dei centri dati AWS?

  L'attestato di conformità (AOC) di AWS dimostra un'ampia valutazione dei controlli di sicurezza fisica dei centri dati AWS. Non è necessario che il valutatore qualificato per la sicurezza di un commerciante verifichi la sicurezza dei centri dati AWS.
  

• AWS supporta le indagini forensi?

  AWS non è considerato un "Servizio di hosting condiviso" ai sensi dello standard PCI DSS. Pertanto, il requisito A1.4 dello standard DSS non si applica. Ai sensi del nostro Modello di responsabilità condivisa, permettiamo ai nostri clienti di condurre indagini forensi digitali nei propri ambienti AWS senza che sia richiesta assistenza aggiuntiva da parte di AWS. Questa possibilità è fornita tramite l'utilizzo dei servizi AWS e delle soluzioni di terza parte disponibili in AWS Marketplace. Per ulteriori informazioni, consulta le risorse seguenti:

  • Semplifica la risposta agli incidenti di sicurezza e le indagini digitali su AWS
  • Guida sulla risposta agli incidenti di sicurezza di AWS

• È previsto un ambiente specifico conforme allo standard PCI DSS da specificare nel momento in cui vengono connessi server o caricati oggetti da archiviare?

  Finché si utilizzano servizi AWS conformi allo standard PCI DSS, l'intera infrastruttura che supporta i servizi compresi nell'ambito è conforme e non è necessario utilizzare un ambiente separato o API speciali. Tutti i server e gli oggetti dati distribuiti o configurati per utilizzare questi servizi a livello globale si trovano in un ambiente conforme allo standard PCI DSS. Per l'elenco dei servizi AWS conformi allo standard PCI DSS, consulta la scheda PCI sulla pagina web Servizi AWS nell'ambito per programma di conformità.
  

• La conformità di AWS si applica a livello internazionale?

  Sì. Fai riferimento all'ultimo attestato di conformità (AOC) dello standard PCI DSS in AWS Artifact per visualizzare l'elenco completo delle location conformi.
  

• Lo standard PCI DSS è pubblico?

  Sì. È possibile scaricare lo standard PCI DSS dalla Libreria di documenti del PCI Security Standards Council.
  

• Sono molti i clienti che hanno ottenuto la certificazione PCI DSS sulla piattaforma AWS?

  Sì, numerosi clienti AWS hanno distribuito e certificato con successo alcuni o tutti i propri ambienti in cui gestiscono carte su AWS. AWS non divulga i nomi dei clienti che hanno ottenuto la certificazione PCI DSS, ma collabora stabilmente con clienti e relativi valutatori PCI DSS per pianificare, distribuire, certificare e scansionare trimestralmente i loro ambienti di gestione delle carte di credito in AWS.
  

• In che modo le aziende ottengono la conformità allo standard PCI DSS?

  Le aziende possono adottare due approcci principali per convalidare a cadenza annuale la loro conformità allo standard PCI DSS. Il primo approccio consiste nel richiedere la valutazione del proprio ambiente da parte di un valutatore qualificato per la sicurezza (QSA), che crei un report di conformità (ROC) e un attestato di conformità (AOC). Si tratta dell'approccio più comune per le aziende che gestiscono elevati volumi di transazioni. Il secondo approccio è sottoporsi a un questionario di autovalutazione o SAQ (Self-Assessment Questionnaire); questo approccio è più comune per le aziende che gestiscono volumi ridotti di transazioni.

  È importante notare che marchi di pagamento e acquirenti sono responsabili del mantenimento della conformità, non il PCI Council.
  

• Quali sono i requisiti di conformità dello standard PCI DSS?

  Di seguito è riportata una panoramica dei requisiti dello standard PCI DSS.

  Creare e gestire rete e sistemi sicuri	1. Installa e gestisci i controlli di sicurezza della rete. 2. Applica configurazioni sicure a tutti i componenti del sistema.
  Proteggi i dati dell'account	3. Proteggi i dati archiviati dell'account. 4. Proteggi i dati dei titolari di carte con una crittografia avanzata durante la trasmissione su reti pubbliche aperte.
  Mantenere un programma di gestione delle vulnerabilità	5. Proteggi tutti i sistemi e le reti da software dannosi. 6. Sviluppa e gestisci applicazioni e sistemi sicuri.
  Implementare misure rigorose per il controllo degli accessi	7. Limita l'accesso ai componenti di sistema e ai dati dei titolari di carte in base alle esigenze aziendali. 8. Identifica e autentica l'accesso ai componenti di sistema. 9. Limita l'accesso fisico ai dati dei titolari di carte di credito.
  Monitorare e testare regolarmente le reti	10. Registra e monitora tutti gli accessi ai componenti del sistema e ai dati dei titolari di carta. 11. Verifica regolarmente la sicurezza di sistemi e reti.
  Mantenere una policy per la sicurezza delle informazioni	12. Sostieni la sicurezza delle informazioni con policy e programmi organizzativi.

• Sono disponibili servizi AWS certificati PCI PIN, PCI P2PE?

  Sì, AWS CloudHSM è certificato PCI PIN e AWS Payment Cryptography è certificato PCI PIN e P2PE. I loro report sono disponibili in AWS Artifact e possono essere usati dai clienti.

• L'attestazione PCI 3DS è disponibile per AWS?

  Sì, i nostri report annuali PCI 3DS sono disponibili in Artifact. Sebbene AWS non esegua direttamente le funzioni 3DS, l'attestazione di conformità AWS PCI 3DS può aiutare i clienti a ottenere la propria conformità PCI 3DS per i propri servizi in esecuzione su AWS.