我想了解有关云中 PCI DSS 的信息
AWS PCI 合规性

支付卡行业数据安全标准(也称为“PCI DSS”)是一组专有信息安全标准,由 PCI 安全标准委员会管理。PCI 安全标准委员会的创始成员包括 American Express、Discover Financial Services、JCB International、MasterCard Worldwide 和 Visa Inc.。

PCI DSS 适用于存储、处理或传输持卡者数据 (CHD) 和/或敏感性身份验证数据 (SAD) 的所有实体,包括商家、处理机构、购买方、发行机构和服务提供商。PCI DSS 由多家支付卡品牌联合制定,由支付卡行业安全标准委员会管理。

使用 AWS Artifact 申请 PCI DSS Attestation of Compliance (AOC) 和 Responsibility Summary。



是的,AWS 在 2010 年就通过了 PCI DSS 认证。2016 年 7 月 11 日,由外部合格安全评估机构 (QSAC) Coalfire Systems Inc. 评审,Amazon Web Services (AWS) 成功完成了 PCI 数据安全标准 3.2 第 1 级服务提供商评估,且下面列出的所有服务均符合标准。

服务提供商级别定义方法如下所示:

第 1 级:每年存储、处理和/或传输超过 30 万笔交易的任何服务提供商

第 2 级:每年存储、处理和/或传输少于 30 万笔交易的任何服务提供商

Amazon Web Services (AWS) 是一家不直接存储、传输或处理任何客户持卡者数据 (CHD) 的云服务提供商 (CSP)。但是,AWS 客户可以利用 AWS 产品创建自己的支付卡数据环境 (CDE),用于存储、传输或处理持卡者数据。

符合 PCI DSS 的 AWS 服务可以在 AWS 按合规性计划提供的范围内服务中找到。如果您想要了解有关使用这些服务的更多信息,并且/或对其他服务感兴趣,请联系我们

AWS 是一家符合 PCI DSS 标准的服务提供商,这意味着,使用 AWS 产品和服务存储、处理或传输持卡者数据的客户可以利用我们的技术基础设施管理其 PDI DSS 合规性认证。 

AWS 符合 PCI DSS 标准,这进一步证明了我们有实力保障各个级别的信息安全。由独立的外部第三方机构对我们进行 PCI DSS 标准认证,这还可以证明,我们的安全管理计划非常全面,并遵循了领先的行业做法。有了此项认证,客户将对我们的安全实践充满信心。

所有实体必须自行管理其 PCI DSS 合规性认证。对于在 AWS 中部署的持卡者环境,虽然您在接受 QSA 评估时可以利用 AWS 合规性证明 (AOC),但是您仍需满足所有其他 PCI DSS 要求。

有关详细信息,请参阅 AWS PCI DSS Compliance Package 中的“AWS 2016 PCI DSS 3.2 Responsibility Summary”部分。如需获得 AWS PCI DSS Compliance Package 副本,您需要提交申请。

AWS PCI Compliance Package 面向使用 AWS Artifact 的客户提供。AWS Artifact 是一个用于按需访问 AWS 合规性报告的自助服务门户。立即开始使用 AWS Artifact。

AWS PCI DSS Compliance Package 包括:

•  AWS PCI DSS 3.2 合规性证明 (AOC)
•  AWS 2016 PCI DSS 3.2 职责概要

是。Visa 全球服务提供商注册表MasterCard 合规服务提供商列表中都列出了 AWS。AWS 列入服务提供商列表,这进一步表明,AWS 成功通过了 PCI DSS 合规性验证且满足所有适用的 Visa 和 MasterCard 计划要求。

否。AWS 环境是虚拟化的多租户环境。AWS 已有效地实施了安全管理流程、PCI DSS 要求以及其他补偿性控制措施,这些措施可以高效、安全地将各个客户隔离在各自受保护的环境中。该安全架构已通过独立 QSA 的验证,并符合 2016 年 4 月发布的 PCI DSS 3.2 版本的所有要求。

PCI 安全标准委员会面向客户、服务提供商和评估机构发布了 PCI DSS Cloud Computing Guidelines 2.0 云计算服务指南。它还介绍了各种服务模式以及如何在提供商与客户之间分配合规性管理角色和职责。

此外,Third-Party Security Assurance 2016 提供了补充信息,说明了组织应如何选择、使用和管理与之共享持卡者数据的第三方服务提供商。

商家在接受 QSA 评估时始终可以利用 AWS 合规性证明 (AOC),以证明 AWS 数据中心的物理安全控制措施已通过一系列评估。

是。AWS 在管理事故调查时遵循 DSS 要求 A 1.4。客户或其指定的合格事故反应评估机构 (QIRA) 可以按照要求联系 AWS 来进行事故调查。

否。支持范围内服务的整个基础设施都符合规定,无需使用单独的环境或特殊 API。在这些服务中部署或使用这些服务的任何服务器或数据对象均处于全球范围内的 PCI DSS 合规环境中。

可以。以下地区的数据中心符合 PCI DSS 标准:美国东部 (弗吉尼亚北部)、美国东部 (俄亥俄)、美国西部 (俄勒冈)、美国西部 (加利福尼亚北部)、AWS GovCloud (美国)、加拿大 (中部)、欧洲 (爱尔兰)、欧洲 (法兰克福)、欧洲 (伦敦)、亚太地区 (新加坡)、亚太地区 (悉尼)、亚太地区 (东京)、亚太地区 (首尔)、亚太地区 (孟买) 和南美洲 (圣保罗)。

是。您可以直接从 PCI 安全标准协会下载标准

是的,许多 AWS 客户已在 AWS 上成功部署和认证了部分或所有持卡者环境。AWS 不会公开哪些客户已通过 PCI DSS 认证,但会定期在 AWS 上与客户及其 PCI DSS 评估机构一起对持卡者环境进行规划、部署、认证并进行季度审查。

企业主要使用两种方法来通过每年的 PCI DSS 合规性评估。第一种方法是聘请外部的合格安全评估机构 (QSA) 对您的适用环境进行评估,然后出具合规性报告 (ROC) 与合规性证明 (AOC);需要处理大量事务的实体通常会采用这种方法。第二种方法是执行自我评估问卷 (SAQ);只需处理少量事务的实体通常采用这种方法。

请注意,应履行合规性要求的是支付卡品牌和购买方,而非 PCI 委员会。

以下是对 12 项 PCI DSS 要求的概述。

建立和维护一个安全的网络和系统

1. 安装并维护防火墙配置,以保护持卡者数据

2. 请勿使用供应商提供的系统密码和其他安全参数的默认设置

保护持卡者数据

3. 保护存储的持卡者数据

4. 在开放公用网络上传输持卡者数据时进行加密

维护漏洞管理程序

5. 保护所有系统免受恶意软件攻击,定期更新杀毒软件或程序

6. 开发并维护安全的系统和应用程序

部署严格的访问控制措施

7. 根据企业需要限制对持卡者数据的访问

8. 对系统组件的访问进行识别和身份验证

9. 限制对持卡者数据的物理访问

定期监控和测试网络

10. 跟踪并监控对网络资源和持卡者数据的所有访问

11. 定期测试安全系统和流程

维护信息安全策略

12. 维护旨在为所有人员解决信息安全问题的策略

 

联系我们