PCI DSS 合规性

概览

140940_AWS_Multi-Logo Graphic_600x400_PCI

支付卡行业数据安全标准(也称为“PCI DSS”)是一组专有信息安全标准,由 PCI 安全标准委员会管理。PCI 安全标准委员会的创始成员包括 American Express、Discover Financial Services、JCB International、MasterCard Worldwide 和 Visa Inc.。

PCI DSS 适用于存储、处理或传输持卡者数据 (CHD) 和/或敏感性身份验证数据 (SAD) 的所有实体,包括商家、处理机构、购买方、发行机构和服务提供商。PCI DSS 由多家支付卡品牌联合制定,由支付卡行业安全标准委员会管理。

使用 AWS Artifact 申请 PCI DSS Attestation of Compliance (AOC) 和 Responsibility Summary。

  • AWS 获得 PCI DSS 认证了吗?

    是的,AWS 在 2010 年就通过了 PCI DSS 认证。2016 年 7 月 11 日,由外部合格安全评估机构 (QSAC) Coalfire Systems Inc. 评审,Amazon Web Services (AWS) 成功完成了 PCI 数据安全标准 3.2 第 1 级服务提供商评估,且下面列出的所有服务均符合标准。

    服务提供商级别定义方法如下所示:

    第 1 级:每年存储、处理和/或传输超过 30 万笔交易的任何服务提供商

    第 2 级:每年存储、处理和/或传输少于 30 万笔交易的任何服务提供商

  • 满足 PCI DSS 标准的 AWS 服务

    Amazon Web Services (AWS) 是一家不直接存储、传输或处理任何客户持卡者数据 (CHD) 的云服务提供商 (CSP)。但是,AWS 客户可以利用 AWS 产品创建自己的支付卡数据环境 (CDE),用于存储、传输或处理持卡者数据。

    符合 PCI DSS 的 AWS 服务可以在 AWS 按合规性计划提供的范围内服务中找到。如果您想要了解有关使用这些服务的更多信息,并且/或对其他服务感兴趣,请联系我们

  • 作为 PCI DSS 商家或服务提供商,这对我意味着什么?

    AWS 是一家符合 PCI DSS 标准的服务提供商,这意味着使用 AWS 产品和服务存储、处理或传输持卡者数据的客户可以利用我们的技术基础设施管理其 PDI DSS 合规性认证。

  • 作为非 PCI DSS 商家客户,这对我意味着什么?

    AWS 符合 PCI DSS 标准,这进一步证明了我们有实力保障各个级别的信息安全。由独立的外部第三方机构对我们进行 PCI DSS 标准认证,这还可以证明,我们的安全管理计划非常全面,并遵循了领先的行业做法。有了此项认证,客户将对我们的安全实践充满信心。

  • 作为 AWS 客户,我能否利用 AWS 合规性证明 (AOC) 来证明我已实现完全合规,还是说我需要通过其他测试?

    所有实体必须自行管理其 PCI DSS 合规性认证。对于在 AWS 中部署的持卡者环境,虽然您在接受 QSA 评估时可以利用 AWS 合规性证明 (AOC),但是您仍需满足所有其他 PCI DSS 要求。

  • 如何了解我需要承担哪些 PCI DSS 管理职责?

    有关详细信息,请参阅 AWS PCI DSS Compliance Package 中的“AWS 2016 PCI DSS 3.2 Responsibility Summary”部分。如需获得 AWS PCI DSS Compliance Package 副本,您需要提交申请。

  • 如何获取 AWS PCI Compliance Package?

    AWS PCI Compliance Package 面向使用 AWS Artifact 的客户提供。AWS Artifact 是一个用于按需访问 AWS 合规性报告的自助服务门户。立即开始使用 AWS Artifact。

  • AWS PCI DSS Compliance Package 包含哪些内容?

    AWS PCI DSS Compliance Package 包括:

    • AWS PCI DSS 3.2 合规性证明 (AOC)
    • AWS 2017 PCI DSS 3.2 职责概要

  • Visa 全球服务提供商注册表和 MasterCard 合规服务提供商列表中是否列出了 AWS?

    是。Visa 全球服务提供商注册表MasterCard 合规服务提供商列表中都列出了 AWS。AWS 列入服务提供商列表,这进一步表明,AWS 成功通过了 PCI DSS 合规性验证且满足所有适用的 Visa 和 MasterCard 计划要求。

  • 要通过 PCI DSS 标准认证,是否必须为单租户环境?

    否。AWS 环境是虚拟化的多租户环境。AWS 已有效地实施了安全管理流程、PCI DSS 要求以及其他补偿性控制措施,这些措施可以高效、安全地将各个客户隔离在各自受保护的环境中。该安全架构已通过独立 QSA 的验证,并符合 2016 年 4 月发布的 PCI DSS 3.2 版本的所有要求。

    PCI 安全标准委员会面向云计算服务客户、服务提供商和评估机构发布了 PCI DSS Cloud Computing Guidelines 2.0。它还介绍了各种服务模式以及如何在提供商与客户之间分配合规性管理角色和职责。

    此外,Third-Party Security Assurance 2016 提供了补充信息,说明了组织应如何选择、使用和管理与之共享持卡者数据的第三方服务提供商。

  • 第 1 级商家的 QSA 是否要求服务提供商的数据中心的实际演练?

    商家在接受 QSA 评估时始终可以利用 AWS 合规性证明 (AOC),以证明 AWS 数据中心的物理安全控制措施已通过一系列评估。

  • 如有需要,AWS 是否支持事故调查?

    是。AWS 在管理事故调查时遵循 DSS 要求 A 1.4。客户或其指定的合格事故反应评估机构 (QIRA) 可以按照要求联系 AWS 来进行事故调查。

  • 在涉及服务器或上传对象进行存储时,是否需要指定一个符合 PCI DSS 标准的特殊环境?

    否。支持范围内服务的整个基础设施都符合规定,无需使用单独的环境或特殊 API。在这些服务中部署或使用的任何服务器或数据对象均处于全球范围内的 PCI DSS 合规环境中。

  • AWS 合规性是否适用于全球范围?

    可以。以下地区的数据中心符合 PCI DSS 标准:美国东部 (弗吉尼亚北部)、美国东部 (俄亥俄)、美国西部 (俄勒冈)、美国西部 (加利福尼亚北部)、AWS GovCloud (美国)、加拿大 (中部)、欧洲 (爱尔兰)、欧洲 (法兰克福)、欧洲 (伦敦)、亚太地区 (新加坡)、亚太地区 (悉尼)、亚太地区 (东京)、亚太地区 (首尔)、亚太地区 (孟买) 和南美洲 (圣保罗)。

  • PCI DSS 标准是否公开?

    是。您可以直接从 PCI 安全标准委员会下载该标准。

  • 是否有客户通过 AWS 平台获得了 PCI DSS 认证?

    是的,许多 AWS 客户已在 AWS 上成功部署和认证了部分或所有持卡者环境。AWS 不会公开已获取 PCI DSS 证书的客户,但会定期在 AWS 上与客户及其 PCI DSS 评估机构一起对持卡者环境进行规划、部署、认证并进行季度审查。

  • 企业如何确保 PCI DSS 合规?

    企业主要使用两种方法来通过每年的 PCI DSS 合规性评估。第一种方法是聘请外部的合格安全评估机构 (QSA) 对您的适用环境进行评估,然后出具合规性报告 (ROC) 与合规性证明 (AOC);需要处理大量事务的实体通常会采用这种方法。第二种方法是执行自我评估问卷 (SAQ);只需处理少量事务的实体通常采用这种方法。

    请注意,应履行合规性要求的是支付卡品牌和购买方,而非 PCI 委员会。

    以下是对 12 项 PCI DSS 要求的概述。

    建立和维护一个安全的网络和系统

    1. 安装并维护防火墙配置,以保护持卡者数据

    2. 请勿使用供应商提供的系统密码和其他安全参数的默认设置

    保护持卡者数据

    3. 保护存储的持卡者数据

    4. 在开放公用网络上传输持卡者数据时进行加密

    维护漏洞管理程序

    5. 保护所有系统免受恶意软件攻击,定期更新杀毒软件或程序

    6. 开发并维护安全的系统和应用程序

    部署严格的访问控制措施

    7. 根据企业需要限制对持卡者数据的访问

    8. 对系统组件的访问进行识别和身份验证

    9. 限制对持卡者数据的物理访问

    定期监控和测试网络

    10. 跟踪并监控对网络资源和持卡者数据的所有访问

    11. 定期测试安全系统和流程

    维护信息安全策略

    12. 维护旨在为所有人员解决信息安全问题的策略

compliance-contactus-icon
有问题?与 AWS 合规性代表联系
寻找合规性产品?
立即申请 »
想更新 AWS 合规性产品?
在 Twitter 上关注我们 »