PCI DSS

نظرة عامة

معيار أمن بيانات صناعة بطاقات الدفع (PCI DSS) هو معيار أمن معلومات مسجل الملكية يديره مجلس المعايير الأمنية لصناعة بطاقات الدفع، الذي تم تأسيسه من قِبل American Express، وDiscover Financial Services، وJCB International، وMasterCard Worldwide وVisa Inc.

يُطبَّق معيار PCI DSS على الكيانات التي تخزن بيانات حاملي البطاقات (CHD)، أو بيانات المصادقة الحساسة (SAD)، أو تعالجها أو تنقلها، بمن في ذلك التجار والمعالجون والمحصِّلون وجهات الإصدار ومزودو الخدمات. تلتزم العلامات التجارية للبطاقات بتطبيق المعيار PCI DSS، ويديره مجلس المعايير الأمنية لصناعة بطاقات الدفع.

يستطيع العملاء مطالعة "التصديق على الامتثال (AOC) للمعيار PCI DSS" و"ملخص المسؤولية" من خلال AWS Artifact، وهي بوابة خدمة ذاتية تتيح الوصول إلى تقارير امتثال AWS عند الطلب. سجِّل الدخول إلى AWS Artifact في وحدة إدارة تحكم AWS، أو اطّلع على المزيد من المعلومات من خلال أساسيات البدء مع AWS Artifact.

• هل AWS حاصلة على اعتماد PCI DSS؟

  نعم، إن Amazon Web Services (AWS) معتمدة وفقًا لشهادة "PCI DSS المستوى 1 - مزود خدمات"، وهي أعلى مستوى تقييم متاح. لقد أُجريَ تقييم الامتثال هذا من قِبَل شركة Coalfire Systems Inc.، وهي "مقيِّم أمني مؤهل" (QSA) مستقل. يستطيع العملاء مطالعة "التصديق على الامتثال (AOC) للمعيار PCI DSS" و"ملخص المسؤولية" من خلال AWS Artifact، وهي بوابة خدمة ذاتية تتيح الوصول إلى تقارير امتثال AWS عند الطلب. سجِّل الدخول إلى AWS Artifact في وحدة إدارة تحكم AWS أو اطّلع على المزيد من المعلومات من خلال أساسيات البدء مع AWS Artifact.
  

• ما خدمات AWS الممتثلة للمعيار PCI DSS؟

  للاطلاع على قائمة خدمات AWS التي تمتثل للمعيار PCI DSS، انظر علامة تبويب "PCI" على صفحتنا الإلكترونية "خدمات AWS ضمن نطاق برنامج الامتثال". لمزيد من المعلومات عن استخدام هذه الخدمات، يرجى الاتصال بنا.
  

• ماذا يعني أن أكون تاجرًا أو مزود خدمات ممتثلًا للمعيار PCI DSS؟

  بصفتك عميلًا يستخدم خدمات AWS لتخزين بيانات حاملي البطاقات أو معالجتها أو نقلها، يمكنك الاعتماد على البنية الأساسية التكنولوجية لدى AWS، في حين تدير شهادة امتثال PCI DSS الخاصة بك.

  لا تقوم AWS بتخزين بيانات حاملي بطاقات العملاء (CHD)، أو نقلها، أو معالجتها بشكل مباشر. ولكن يمكنك إنشاء بيئة بيانات حاملي البطاقات (CDE) الخاصة بك تستطيع من خلالها تخزين بيانات حاملي البطاقات، أو نقلها، أو معالجتها باستخدام خدمات AWS.
  

• ما الذي يعنيه بالنسبة لي أن أكون عميلًا تاجرًا غير ممتثل للمعيار DSS PCI؟

  حتى إن كنت عميلًا غير ممتثل للمعيار PCI DSS، فإن امتثالنا لهذا المعيار يدل على التزامنا بأمن المعلومات على جميع المستويات. نظرًا إلى أن معيار PCI DSS يجب التصديق عليه من جانب طرف ثالث مستقل خارجي، فهذا يؤكد أن برنامج الإدارة الأمنية لدينا شامل ويتبع الممارسات الصناعية الرائدة.
  

• باعتباري عميلاَ لدى AWS، هل يمكنني الاعتماد على "التصديق على الامتثال" (AOC) الخاص بـ AWS، أم أن الأمر يتطلب اختبارًا إضافيًا من أجل الامتثال الكامل؟

  يتعين أن يدير كل عميل شهادة امتثاله للمعيار PCI DSS، ويلزم إجراء اختبار إضافي للتحقق من أن بيئته تفي بجميع متطلبات PCS DSS. ولكن، بالنسبة للجزء من بيئة بيانات حاملي البطاقات (CDE) في إطار صناعة بطاقات الدفع (PCI) لديك المنشور على AWS، يستطيع "المقيِّم الأمني المؤهل" (QSA) أن يعتمد على التصديق على الامتثال (AOC) الخاص بـ AWS بدون إجراء المزيد من الاختبارات.
  

• كيف يمكنني معرفة وحدات تحكم PCI DSS التي تقع ضمن مسؤوليتي؟

  للحصول على معلومات تفصيلية، يرجى الاطلاع على "ملخص مسؤولية AWS PCI DSS" من "مجموعة امتثال AWS PCI DSS"، المتاح للعملاء من خلال AWS Artifact، وهي بوابة خدمات ذاتية تتيح الوصول إلى تقارير امتثال AWS عند الطلب. سجِّل الدخول إلى AWS Artifact في وحدة إدارة تحكم AWS أو اطّلع على مزيد من المعلومات من خلال أساسيات البدء مع AWS Artifact.
  

• كيف يمكنني الحصول على "مجموعة امتثال AWS PCI"؟

  يستطيع العملاء مطالعة "مجموعة امتثال AWS PCI" من خلال AWS Artifact، وهي بوابة خدمات ذاتية تتيح الوصول إلى تقارير امتثال AWS عند الطلب. سجِّل الدخول إلى AWS Artifact في وحدة إدارة تحكم AWS أو اطّلع على المزيد من المعلومات من خلال أساسيات البدء مع AWS Artifact.
  

• علامَ تحتوي "مجموعة امتثال AWS PCI DSS"؟

  تتضمن "مجموعة امتثال AWS PCI" ما يلي:

  • التصديق على الامتثال (AOC) AWS PCI DSS 3.2.1
  • ملخص مسؤولية AWS PCI DSS 3.2.1

• هل ِAWS مدرجة في "سجل Visa العالمي لمزودي الخدمات" و"قائمة MasterCard لمزودي الخدمات الممتثلين"؟

  نعم، إن AWS مدرجة في كل من "سجل Visa العالمي لمزودي الخدمات" و"قائمة MasterCard لمزودي الخدمات الممتثلين". من شأن إدراج AWS في قوائم مزودي الخدمات أن يثبت أيضًا صحة امتثالها للمعيار PCI DSS بنجاح، وأنها قد استوفت جميع متطلبات Visa وبرنامج MasterCard المطبقة.
  

• هل يشترط المعيار PCI DSS أن تكون البيئات ذات مثيل وحيد لكي تكون ممتثلة؟

  لا. فإن بيئة AWS عبارة عن بيئة افتراضية متعددة المثيلات. ولقد نفذت AWS بفعالية عمليات الإدارة الأمنية، ومتطلبات PCI DSS، وغير ذلك من وحدات التحكم التعويضية التي تفصل بين بيئات العملاء المحمية بصورة فعالة وآمنة. وتمت مصادقة هذه البنية الآمنة من قِبل مقيِّم أمني مؤهل (QSA) مستقل، وتبين أنها تمتثل لجميع متطلبات PCI DSS المطبقة.

  لقد نشر مجلس المعايير الأمنية لصناعة بطاقات الدفع "إرشادات الحوسبة السحابية بشأن PCI DSS" للعملاء ومزودي الخدمات ومقيِّمي خدمات الحوسبة السحابية. ويقدم المجلس أيضًا وصفًا لنماذج الخدمات، وكيفية تقاسم أدوار الامتثال ومسؤولياته بين مزودي الخدمات والعملاء.
  

• هل يشترط المقيِّمون الأمنيون المؤهلون إجراء تدقيق مادي لمراكز بيانات AWS لمنح شهادة الامتثال الخاصة بالتجار من المستوى 1؟

  لا. إن التصديق على الامتثال (AOC) الخاص بـ AWS يثبت إجراء تقييم واسع النطاق لوحدات تحكم الأمن المادي لمراكز بيانات AWS. وليس من الضروري أن يتحقق المقيِّم الأمني المؤهل التابع للتاجر من مراكز بيانات AWS.
  

• أتدعم AWS إجراء تحقيقات تشخيصية؟

  لا تُعد AWS "مزودة استضافة مشتركة" في إطارPCI-DSS. وعلى هذا النحو، لا ينطبق مطلب DSS A1.4. وفي إطار نموذج المسؤولية المشتركة لدينا، إننا نمكِّن عملاءنا من إجراء تحقيقات تشخيصية رقمية في بيئات AWS الخاصة بهم بدون الحاجة إلى مساعدة إضافية من AWS. يتوفر هذا التمكين من خلال استخدام كل من خدمات AWS وحلول الأطراف الثالثة المتاحة عن طريق AWS Marketplace. لمزيد من المعلومات، راجع الموارد التالية:

  • تبسيط الاستجابة للحوادث الأمنية والتشخيصات الرقمية على AWS
  • دليل استجابة AWS للحوادث الأمنية

• هل هناك بيئة خاصة ممتثلة للمعيار PCI DSS أحتاج إلى تحديدها عند ربط الخوادم أو تحميل الأشياء المطلوب تخزينها؟

  ما دمت تستخدم خدمات AWS الممتثلة للمعيار PCI DSS، فإن البنية الأساسية بالكامل التي تدعم الخدمات المغطاة ضمن هذا النطاق تكون ممتثلة، ولا توجد بيئة منفصلة، أو واجهة برمجة تطبيقات (API) خاصة من المقرر استخدامها. أي خادم أو كائن بيانات منشور على هذه الخدمات، أو يستخدمها يكون في بيئة ممتثلة للمعيار PCI DSS بشكل عام. وللاطلاع على قائمة خدمات AWS الممتثلة للمعيار PCI DSS، انظر علامة تبويب PCI على صفحة الويب الخاصة بـ خدمات AWS ضمن نطاق برنامج الامتثال.
  

• هل ينطبق امتثال AWS على الصعيد الدولي؟

  نعم. يرجى الرجوع إلى أحدث تصديق على الامتثال للمعيار PCI DSS في AWS Artifact للاطلاع على قائمة كاملة بالمواقع الممتثلة.
  

• هل المعيار PCI DSS عام؟

  نعم. يمكنك تنزيل المعيار PCI DSS من مكتبة وثائق مجلس المعايير الأمنية لصناعة بطاقات الدفع.
  

• هل حصل أي شخص على شهادة PCI DSS على منصة AWS؟

  نعم، فقد نجح العديد من عملاء AWS في نشر بيئات حاملي البطاقات على AWS، واعتمادها جزئيًا أو كليًا. لا تفصح AWS عن العملاء الذين حصلوا على شهادةPCI DSS، ولكنها تعمل بانتظام مع العملاء ومقيِّمي PCI DSS التابعين لهم في التخطيط لبيئة حاملي بطاقات، ونشرها على AWS، واعتمادها، وإجراء فحص فصلي لها.
  

• كيف تمتثل الشركات للمعيار PCI DSS؟

  هناك نهجان رئيسان تتبعهما الشركات للتحقق من امتثالها لمعيار PCI DSS على أساس سنوي. يتلخص النهج الأول في تكليف "مقيِّم أمني مؤهل" (QSA) مستقل بتقييم بيئتك المناسبة، ومن ثم إنشاء "تقرير حول الامتثال" (ROC) وإصدار "تصديق على الامتثال" (AOC)، ويشيع استخدام هذا النهج مع الكيانات التي تتعامل مع كميات كبيرة من المعاملات. أما النهج الثاني، فيتلخص في إجراء استبيان تقييم ذاتي (SAQ)، ويشيع استخدام هذا النهج مع الكيانات التي تتعامل مع كميات أصغر من المعاملات.

  من المهم ملاحظة أن العلامات التجارية والمحصِّلين المعنيين بالمدفوعات مسؤولون عن إنفاذ معايير الامتثال، ولا تقع على المجلس المعني بصناعة بطاقات الدفع أي مسؤولية.
  

• ما شروط امتثال PCI DSS؟

  فيما يلي لمحة عامة رفيعة المستوى عن متطلبات PCI DSS.

  بناء شبكة وأنظمة آمنة وصيانتهما	1. تثبيت تكوين جدار حماية من أجل حماية بيانات حاملي البطاقات وصيانته 2. عدم استخدام الإعدادات الافتراضية المزودة من قِبل المورّد بالنسبة لكلمات سر الأنظمة والمعلمات الأمنية الأخرى
  حماية بيانات حاملي البطاقات	3. حماية بيانات حاملي البطاقات المخزنة 4. تشفير نقل بيانات حاملي البطاقات عبر الشبكات العامة المفتوحة
  الحفاظ على برنامج إدارة الثغرات الأمنية	5. حماية جميع الأنظمة من البرامج الضارة وتحديث البرامج المكافحة للفيروسات أو البرامج الضارة بانتظام 6. تطوير أنظمة وتطبيقات آمنة وصيانتها
  تنفيذ تدابير قوية للتحكم في الوصول	7. حظر الوصول إلى بيانات حاملي البطاقات إلا للأعمال التي من الضروري الاطلاع عليها 8. تحديد عناصر النظام وفرض المصادقة للوصول إليها 9. حظر الوصول المادي إلى بيانات حاملي البطاقات
  رصد الشبكات واختبارها بانتظام	10. تتبع جميع سبل الوصول إلى موارد الشبكة وبيانات حاملي البطاقات ورصدها 11. اختبار الأنظمة والعمليات الأمنية بانتظام
  الحفاظ على سياسة أمن معلومات	12. الحفاظ على سياسة تعالج أمن المعلومات لجميع الموظفين

• ما موقف AWS من الدعم المستمر لإصدار البروتوكول TLS 1.0؟

  لا يوجد لدى AWS حملة لتعطيل أمان طبقة النقل 1.0 (TLS 1.0) عبر جميع الخدمات، لأن بعض العملاء (مثل أولئك خارج صناعة بطاقات الدفع) يحتاجون إلى الخيار المتضمن هذا البروتوكول، ولكن تجري خدمات AWS تقييمات لأثر العملاء بصورة فردية في حال تعطيل TLS 1.0 للخدمات التي يستخدمونها، ويمكنهم إيقافه إن أرادوا. وبإمكان العملاء أيضًا استخدام نقاط نهاية معايير معالجة المعلومات الفيدرالية (FIPS) للمساعدة على ضمان استخدامهم للتشفير القوي. تُحدِّث AWS جميع نقاط نهاية معايير معالجة المعلومات الفيدرالية (FIPS)، بحيث لا تقل عن الإصدار TLS 1.2. يرجى الاطلاع على منشور المدونة هذا للمزيد من التفاصيل.
  

• كيف يستطيع العميل تكوين بنية AWS من أجل الامتثال لمتطلب صناعة بطاقات الدفع (PCI) المتمثل في تطبيق بروتوكول أمان طبقة النقل (TLS) الآمن؟

  تقع كل خدمات AWS ضمن نطاق الامتثال لإصدارات بروتوكول TLS الداعمة لصناعة بطاقات الدفع، بدءًا من الإصدار 1.1 فأعلى، ومن بين هذه الخدمات ما تدعم أيضًا الإصدار TLS 1.0 للعملاء (خارج صناعة بطاقات الدفع) الذين يحتاجون إليه. يتولى العميل مسؤولية ترقية أنظمته بما يلائم AWS التي تستخدم بروتوكول أمان طبقة النقل (TLS) الآمن بدءًا من الإصدار TLS 1.1 فأعلى. يجب على العملاء استخدام موازنات تحميل AWS (Application Load Balancers أو Classic Load Balancers)، وتكوينها من أجل الاتصالات المؤمنة باستخدام TLS 1.1 والإصدارات الأعلى من خلال اختيار واحدة من سياسات AWS الأمنية المحددة سلفًا التي يمكن أن تضمن التفاوض على بروتوكول التشفير بين العميل وموازنات التحميل التي تستخدم TLS 1.2 مثلاً. على سبيل المثال، السياسة الأمنية لموازن التحميل في AWS المسماة "ELBSecurityPolicy-TLS-1-2-2018-06" لا تدعم سوى TLS 1.2.
  

• ما الإجراء الموصى به للعميل إذا ظهر البروتوكول TLS 1.0 في نتائج الفحص؟

  إذا أجرى مورّد فحص معتمد (ASV) تابع لعميل فحصًا كشف عن وجود البروتوكول TLS 1.0 على نقطة نهاية واجهة برمجة تطبيقات (API) AWS، فهذا يعني أن هذه الواجهة لا تزال تدعم TLS 1.0، وكذلك TLS 1.1، أو أعلى. بعض خدمات AWS التي تندرج ضمن نطاق PCI قد لا تزال تمكِّن أمان طبقة النقل (TLS) 1.0 للعملاء الذين يحتاجون إليها من أجل أعباء العمل غير الممتثلة لـ PCI. ويمكن للعميل أن يقدم دليلًا إلى مورّد الفحص المعتمد (ASV) على أن نقطة نهاية واجهة برمجة تطبيقات (API) AWS تدعم أمان طبقة النقل (TLS) 1.1 أو أعلى باستخدام أداة، مثل Qualys SSL Labs، لتحديد البروتوكولات المستخدمة. ويستطيع العميل أيضًا أن يقدم الدليل على أنه قام بتمكين مطابقة أمان طبقة النقل (TLS) الآمن بالربط من خلال AWS Elastic Load Balancer الذي تم تكوينه بسياسة أمنية مناسبة لا تدعم سوى TLS 1.1 أو أعلى (على سبيل المثال، لا تدعم السياسة ELBSecurityPolicy-TLS-1-2-2017-01 سوى الإصدار 1.2 فحسب). قد يشترط مورّد الفحص المعتمد (ASV) على العميل أن يتبع عملية منازعة حول الثغرات الأمنية التي أظهرها الفحص، ويمكن استخدام الأدلة المحددة بوصفها إثباتًا على الامتثال. بدلًا من ذلك، فإن إشراك مورّد الفحص المعتمد (ASV) التابع للعميل في وقت مبكر وتزويده بهذا الدليل قبل إجراء الفحص قد يبسط التقييم ويدعم اجتياز ذلك الفحص.