PCI DSS

Visão geral

O Padrão de segurança de dados do Setor de cartões de pagamento (PCI DSS) é um padrão de segurança de informações exclusivas administrado pelo PCI Security Standards Council, o qual foi fundado pelas seguintes empresas: American Express, Discover Financial Services, JCB International, MasterCard Worldwide e Visa Inc.

O PCI DSS aplica-se às entidades que armazenam, processam ou transmitem Cardholder Data (CHD – Dados do titular do cartão) ou Sensitive Authentication Data (SAD – Dados confidenciais de autenticação), como comerciantes, processadores, compradores, emissores e fornecedores de serviços. O PCI DSS é controlado pelas bandeiras de cartão de pagamento e administrado pelo Payment Card Industry Security Standards Council.

O Attestation of Compliance (AOC – Atestado de conformidade) e o resumo de responsabilidades do PCI DSS estão disponíveis para os clientes por meio do AWS Artifact, um portal de autoatendimento para acesso sob demanda a relatórios de conformidade da AWS. Faça login no AWS Artifact no Console de Gerenciamento da AWS ou saiba mais em Conceitos básicos do AWS Artifact.

• A AWS é certificada pelo PCI DSS?

  Sim, a Amazon Web Services (AWS) é certificada como um provedor de serviços PCI DSS nível 1, o mais alto nível de avaliação disponível. A avaliação de conformidade foi realizada pela Coalfire Systems Inc., um Qualified Security Assessor (QSA – Avaliador de segurança qualificado). O Attestation of Compliance (AOC – Atestado de conformidade) e o resumo de responsabilidades do PCI DSS estão disponíveis para os clientes por meio do AWS Artifact, um portal de autoatendimento para acesso sob demanda a relatórios de conformidade da AWS. Faça login no AWS Artifact no Console de Gerenciamento da AWS ou saiba mais em Conceitos básicos do AWS Artifact.
  

• Quais serviços da AWS estão em conformidade com o PCI DSS?

  Para obter a lista de serviços da AWS em conformidade com o PCI DSS, consulte a guia PCI na página Serviços da AWS no escopo pelo programa de conformidade. Para obter mais informações sobre o uso desses serviços, entre em contato conosco.
  

• O que isso significa para mim enquanto comerciante ou provedor de serviços em conformidade com o PCI DSS?

  Como um cliente que usa serviços da AWS para armazenar, processar ou transmitir dados de titulares de cartão, você pode confiar na infraestrutura de tecnologia da AWS para gerenciar a sua própria certificação de conformidade com o PCI DSS.

  A AWS não armazena, transmite ou processa diretamente nenhum Cardholder Data (CHD – Dados do titular do cartão) dos clientes. No entanto, você pode criar seu próprio Cardholder Data Environment (CDE – Ambiente de dados de titulares de cartão), em que é possível armazenar, transmitir ou processar dados do titular do cartão usando serviços da AWS.
  

• O que isso significa para mim como cliente comerciante não vinculado ao PCI DSS?

  Mesmo que você não seja um cliente vinculado ao PCI DSS, a nossa conformidade com o PCI DSS demonstra o nosso compromisso com a segurança de informações em todos os níveis. Como o padrão PCI DSS foi validado por uma avaliação externa terceirizada independente, confirma que nosso programa de gerenciamento de segurança é abrangente e segue as principais práticas do setor.
  

• Como cliente da AWS, posso confiar na Declaração de conformidade (AOC) da AWS ou serão necessários testes adicionais para entrar totalmente em conformidade?

  Os clientes devem gerenciar sua própria certificação de conformidade com o PCI DSS. Serão necessários testes adicionais para verificar se o seu ambiente satisfaz a todos os requisitos do PCS DSS. No entanto, para a parte do Cardholder Data Environment (CDE – Ambiente de dados do titular do cartão) do PCI implementada na AWS, o Qualified Security Assessor (QSA – Avaliador de segurança qualificado) pode confiar no Attestation of Compliance (AOC – Atestado de conformidade) da AWS sem testes adicionais.
  

• Como posso saber mais sobre os controles do PCI DSS pelos quais sou responsável?

  Para obter informações detalhadas, consulte o “Resumo de responsabilidade do PCI DSS da AWS” no Pacote de conformidade com o PCI DSS da AWS disponível para os nossos clientes por meio do AWS Artifact, um portal de autoatendimento para acesso sob demanda aos relatórios de conformidade da AWS. Faça login no AWS Artifact no Console de Gerenciamento da AWS ou saiba mais em Conceitos básicos do AWS Artifact.
  

• Como posso obter o Pacote de conformidade com o PCI da AWS?

  O Pacote de conformidade com o PCI da AWS está disponível para os clientes que usam o AWS Artifact, um portal de autoatendimento para acesso sob demanda a relatórios de conformidade da AWS. Faça login no AWS Artifact no Console de Gerenciamento da AWS ou saiba mais em Conceitos básicos do AWS Artifact.
  

• Qual é o conteúdo do Pacote de conformidade com o PCI DSS da AWS?

  O Pacote de conformidade com o PCI da AWS inclui:

  • Atestado de conformidade (AOC) com o PCI DSS 3.2.1 da AWS
  • Resumo de responsabilidade do PCI DSS 3.2.1 da AWS

• A AWS faz parte da lista de Registro global de provedores de serviço Visa e da lista de Provedores de serviços compatíveis com a MasterCard?

  Sim, a AWS faz parte da lista do Registro global de provedores de serviço Visa e da Lista de provedores de serviço compatível com a MasterCard. As listas de provedores de serviços demonstram claramente que a AWS validou com êxito a conformidade com o PCI DSS e atendeu a todos os requisitos aplicáveis do programa da Visa e da MasterCard.
  

• O padrão PCI DSS exige ambientes dedicados para estabelecer conformidade?

  Não. O ambiente da AWS é um ambiente virtualizado multilocatário. A AWS implementou efetivamente processos de gestão da segurança, requisitos do PCI DSS e outros controles compensatórios que segregam de forma efetiva e segura cada cliente no seu próprio ambiente protegido. Essa arquitetura segura foi validada por um Qualified Security Assessor (QSA – Avaliador de segurança qualificado) independente e foi determinado que ela está em conformidade com todos os requisitos aplicáveis do PCI DSS.

  O PCI Security Standards Council publicou as Diretrizes de computação em nuvem do PCI DSS para clientes, provedores de serviços e avaliadores de serviços de computação em nuvem. Além de descreverem modelos de serviço, também mostram como funções e responsabilidades de conformidade são compartilhadas entre provedores e clientes.
  

• Os QSAs para comerciantes do nível 1 exigem uma demonstração física dos datacenters da AWS?

  Não. O Attestation of Compliance (AOC – Atestado de conformidade) da AWS demonstra uma avaliação extensa dos controles de segurança física dos datacenters da AWS. Não é necessário que o QSA de um comerciante verifique a segurança dos datacenters da AWS.
  

• A AWS oferece suporte a investigações forenses?

  A AWS não é considerada um “Provedor de Hospedagem Compartilhada” do PCI-DSS. Por esse motivo, o requisito A1.4 do DSS não é aplicável. Conforme o nosso Modelo de Responsabilidade Compartilhada, capacitamos nossos clientes a realizar investigações forenses em seus próprios ambientes da AWS sem precisar de assistência adicional da AWS. Essa capacitação é fornecida por meio dos serviços da AWS e de soluções de terceiros disponíveis por meio do AWS Marketplace. Para obter mais informações, consulte os recursos a seguir:

  • Simplify Security Incident Response and Digital Forensics on AWS
  • Guia de resposta a incidentes de segurança da AWS

• Existe algum ambiente especial em conformidade com o PCI DSS que preciso especificar ao conectar servidores ou enviar objetos para armazenamento?

  Desde que você usa serviços da AWS em conformidade com o PCI DSS, toda a infraestrutura que oferece suporte a serviços no escopo está em conformidade e não há um ambiente separado nem uma API especial para uso. Qualquer servidor ou objeto de dados implantado ou que utilize esses serviços está em um ambiente em conformidade com o PCI DSS, globalmente. Para obter a lista de serviços da AWS em conformidade com o PCI DSS, consulte a guia PCI na página Serviços da AWS no escopo por programa de conformidade.
  

• A conformidade da AWS é aplicável internacionalmente?

  Sim. Consulte o AOC mais recente do PCI DSS no AWS Artifact para obter a lista completa de locais em conformidade.
  

• O padrão PCI DSS é público?

  Sim. Você pode fazer download do padrão PCI DSS na biblioteca de documentos do PCI Security Standards Council.
  

• Alguém obteve a certificação do PCI DSS na plataforma da AWS?

  Sim. Vários clientes da AWS implantaram com sucesso e certificaram parte ou todos os ambientes de titulares de cartão na AWS. A AWS não revela os clientes que obtiveram a certificação do PCI DSS, mas trabalha frequentemente com seus clientes e avaliadores do PCI DSS no planejamento, na implantação, na certificação e na execução de verificações quadrimestrais dos ambientes do titular do cartão na AWS.
  

• Como as empresas cumprem o PCI DSS?

  Existem duas abordagens principais que as empresas usam para validar anualmente sua conformidade com o PCI DSS. A primeira é ter um Qualified Security Assessor (QSA – Avaliador de segurança qualificado) externo para avaliar seu ambiente aplicável e, então, criar um Report on Compliance (ROC – Relatório sobre a conformidade) e um Attestation of Compliance (AOC – Atestado de conformidade). Essa abordagem é a mais comum para entidades que administram grandes volumes de transações. A segunda abordagem é executar um questionário de autoavaliação (SAQ). Essa abordagem é a mais comum para entidades que administram volumes menores de transações.

  É importante observar que as bandeiras de cartões de pagamento e os compradores são responsáveis por aplicar a conformidade, não o PCI Council.
  

• Quais são os requisitos da conformidade com o PCI DSS?

  Veja abaixo uma visão geral básica dos requisitos do PCI DSS.

  Criar e manter rede e sistemas seguros	1. Instalar e manter uma configuração de firewall para proteger dados do titular do cartão 2. Não usar padrões do fornecedor para senhas do sistema e outros parâmetros de segurança
  Proteger os dados do titular do cartão	3. Proteger os dados armazenados do titular do cartão 4. Criptografar a transmissão de dados do titular do cartão em redes públicas abertas
  Manter um programa de gestão de vulnerabilidades	5. Proteger todos os sistemas contra malware e atualizar com frequência o software ou os programas antivírus 6. Desenvolver e manter sistemas e aplicativos seguros
  Implementar medidas rigorosas de controle de acesso	7. Restringir o acesso aos dados do titular do cartão com base na necessidade de consulta da empresa 8. Identificar e autenticar o acesso a componentes do sistema 9. Restringir o acesso físico aos dados do titular do cartão
  Monitorar e testar redes com frequência	10. Controlar e monitorar todo o acesso aos recursos de rede e dados do titular do cartão 11. Testar com frequência processos e sistemas de segurança
  Manter uma política de segurança da informação	12. Manter uma política direcionada à segurança da informação para toda a equipe

• Qual é a posição da AWS sobre a continuidade do suporte ao protocolo TLS 1.0?

  A AWS não tem uma campanha para descontinuar o TLS 1.0 em todos os serviços, pois alguns clientes (por exemplo, clientes não vinculados ao PCI) exigem essa opção de protocolo. No entanto, os serviços da AWS estão avaliando individualmente o impacto da desativação do TLS 1.0 sobre os clientes e podem optar por descontinuá-lo. Os clientes também podem usar endpoints FIPS para ajudar a garantir que utilizam criptografia forte. A AWS atualizará todos os endpoints FIPS para o mínimo do TLS versão 1.2. Consulte esta publicação do blog para obter mais detalhes.
  

• Como um cliente configura a arquitetura da AWS para cumprir o requisito de TLS seguro do PCI?

  Todos os serviços da AWS no escopo para o PCI habilitam o TLS 1.1 ou posterior e alguns desses serviços também oferecem suporte ao TLS 1.0 para clientes (não vinculados ao PCI) que precisam dele. É responsabilidade do cliente fazer upgrade de seus sistemas para iniciar uma comunicação com a AWS que usa TLS seguro, ou seja, TLS 1.1 ou posterior. Os clientes devem usar e configurar load balancers da AWS (Application Load Balancers ou Classic Load Balancers) para comunicação segura usando o TLS 1.1 ou posterior selecionando uma política de segurança pré-definida da AWS que garanta a negociação do protocolo de criptografia entre um cliente e o load balancer como, por exemplo, TLS 1.2. Por exemplo, a política de segurança ELBSecurityPolicy-TLS-1-2-2018-06 do AWS Load Balancer oferece suporte apenas ao TLS 1.2.
  

• Qual é a ação recomendada para um cliente se o TLS 1.0 aparecer nos resultados de verificação?

  Se a verificação de um Approved Scanning Vendor (ASV – Fornecedor de verificação aprovado) identificar o TLS 1.0 em um endpoint de API da AWS, isso significa que a API ainda oferece suporte ao TLS 1.0, além do TLS 1.1 ou posterior. Alguns serviços da AWS no escopo para o PCI podem ainda habilitar o TLS 1.0 para clientes que precisam dele para cargas de trabalho não vinculadas ao PCI. O cliente pode comprovar ao ASV que o endpoint de API da AWS oferece suporte ao TLS 1.1 ou posterior usando uma ferramenta, como Qualys SSL Labs, para identificar os protocolos usados. O cliente também pode fornecer evidências de que habilita uma comunicação segura via TLS com uma conexão por meio de um Elastic Load Balancer da AWS configurado com uma política de segurança apropriada que ofereça suporte somente ao TLS 1.1 ou posterior (por exemplo, a política de segurança ELBSecurityPolicy-TLS-1-2-2017-01 oferece suporte apenas à versão v1.2). O ASV pode exigir que o cliente siga um processo de contestação de vulnerabilidade de verificação e a evidência descrita pode ser usada como prova de conformidade. Como alternativa, a interação com o ASV logo no início do processo e o fornecimento dessa evidência ao ASV antes da verificação pode dinamizar a avaliação e apoiar a aprovação na verificação do ASV.