PCI DSS

概览

140940_AWS_Multi-Logo Graphic_600x400_PCI

支付卡行业数据安全标准 (PCI DSS) 是一组专有信息安全标准,由 PCI 安全标准委员会管理,该委员会由 American Express、Discover Financial Services、JCB International、MasterCard Worldwide 和 Visa Inc. 创建。

PCI DSS 适用于存储、处理或传输持卡者数据 (CHD) 或敏感身份验证数据 (SAD) 的所有实体,包括商家、处理机构、购买方、发行机构和服务提供商。PCI DSS 由多家支付卡品牌联合制定,由支付卡行业安全标准委员会管理。

客户可以使用 AWS Artifact(一个允许按需访问 AWS 合规性报告的自助式门户)来获取 PCI DSS 合规性证明 (AOC) 和责任摘要。您可以在 AWS 管理控制台中登录 AWS Artifact,也可以在 AWS Artifact 入门中了解更多信息。

  • AWS 获得 PCI DSS 认证了吗?

    是的,Amazon Web Services (AWS) 被认证为 PCI DSS 3.2 1 级服务提供商,这是级别最高的评估结果。合规性评估由 Coalfire Systems Inc. 执行,这是一家独立的合格安全评估机构 (QSA)。客户可以使用 AWS Artifact(一个允许按需访问 AWS 合规性报告的自助式门户)来获取 PCI DSS 合规性证明 (AOC) 和责任摘要。您可以在 AWS 管理控制台中登录 AWS Artifact,也可以在 AWS Artifact 入门中了解更多信息。

  • 哪些 AWS 产品符合 PCI DSS 标准?

    有关符合 PCI DSS 标准的 AWS 产品列表,请参阅按合规性计划提供的范围内 AWS 产品网页上的“PCI”选项卡。如需有关使用这些服务的更多信息,请联系我们

  • 作为 PCI DSS 商家或服务提供商,这对我意味着什么?

    作为使用 AWS 产品和服务存储、处理或传输持卡人数据的客户,您在管理自己的 PCI DSS 合规性认证时可以依赖 AWS 技术基础设施。

    AWS 不会直接存储、传输或处理任何客户持卡人数据 (CHD)。但是,您可以利用 AWS 产品创建自己的持卡人数据环境 (CDE),用于存储、传输或处理持卡人数据。

  • 作为非 PCI DSS 商家客户,这对我意味着什么?

    即使您是非 PCI DSS 客户,我们的 PCI DSS 合规性也证明了我们可以全面保障信息的安全性。由独立的外部第三方机构对我们进行 PCI DSS 标准认证,这还可以证明,我们的安全管理计划非常全面,并遵循了领先的行业做法。

  • 作为 AWS 客户,我能否利用 AWS 合规性证明 (AOC) 来证明我完全合规,还是说我需要通过其他测试?

    客户必须自行管理其 PCI DSS 合规性认证,并且需要进行其他测试来验证您的环境是否满足所有 PCS DSS 要求。但对于在 AWS 中部署的 PCI 持卡人数据环境 (CDE),您的合格安全评估机构 (QSA) 可以利用 AWS 合规性证明 (AOC),而无需进行其他测试。

  • 如何了解我需要承担哪些 PCI DSS 管理职责?

    有关详细信息,请参阅 AWS PCI DSS 合规性文件包中的“AWS 2016 PCI DSS 3.2 责任摘要”,客户可以使用 AWS Artifact(一个允许按需访问 AWS 合规性报告的自助式门户)来获取该软件包。您可以在 AWS 管理控制台中登录 AWS Artifact,也可以在 AWS Artifact 入门中了解更多信息。

  • 如何获取 AWS PCI 合规性软件包?

    客户可以使用 AWS Artifact(一个允许按需访问 AWS 合规性报告的自助式门户)来获取 AWS PCI 合规性软件包。您可以在 AWS 管理控制台中登录 AWS Artifact,也可以在 AWS Artifact 入门中了解更多信息

  • AWS PCI DSS 合规性软件包包含哪些内容?

    AWS PCI 合规性软件包包括:

    • AWS PCI DSS 3.2 合规性证明 (AOC)
    • AWS 2017 PCI DSS 3.2 职责概要

  • Visa 全球服务提供商注册表和 MasterCard 合规服务提供商列表中是否列出了 AWS?

    是。Visa 全球服务提供商注册表MasterCard 合规服务提供商列表中都列出了 AWS。AWS 列入服务提供商列表,这进一步表明,AWS 成功通过了 PCI DSS 合规性验证且满足所有适用的 Visa 和 MasterCard 计划要求。

  • 要通过 PCI DSS 标准认证,是否必须为单租户环境?

    否。AWS 环境是虚拟化的多租户环境。AWS 已有效地实施了安全管理流程、PCI DSS 要求以及其他补偿性控制措施,这些措施可以高效、安全地将各个客户隔离在各自受保护的环境中。该安全架构已通过独立 QSA 的验证,并符合 2016 年 4 月发布的 PCI DSS 3.2 版本的所有要求。

    PCI 安全标准委员会面向云计算服务客户、服务提供商和评估机构发布了 PCI DSS 云计算指南 2.0。它还介绍了各种服务模式以及如何在提供商与客户之间分配合规性管理角色和职责。

    此外,2016 年第三方安全保障提供了补充信息,说明了组织应如何选择、使用和管理与之共享持卡人数据的第三方服务提供商。

  • 第 1 级商家的 QSA 是否要求 AWS 数据中心的实际演练?

    否。AWS 合规性证明 (AOC) 证明了 AWS 数据中心的物理安全控制措施已通过一系列评估。无需商家的 QSA 再验证 AWS 数据中心的安全性。

  • AWS 是否支持事故调查?

    是。AWS 在管理事故调查时遵循 DSS 要求 A 1.4。客户或其指定的合格事故反应评估机构 (QIRA) 可以按照要求联系 AWS 来进行事故调查。

  • 在连接服务器或上传对象进行存储时,是否需要指定一个符合 PCI DSS 标准的特殊环境?

    只要您使用符合 PCI DSS 标准的 AWS 产品,支持范围内服务的整个基础设施都将符合规定,因此无需使用单独的环境或特殊 API。在这些服务中部署或使用这些服务的任何服务器或数据对象均处于全球范围内符合 PCI DSS 标准的环境中。有关符合 PCI DSS 标准的 AWS 产品列表,请参阅按合规性计划提供的范围内 AWS 产品网页上的“PCI”选项卡。

  • AWS 合规性是否适用于全球范围?

    可以。以下地区的数据中心符合 PCI DSS 标准:美国东部 (弗吉尼亚北部)、美国东部 (俄亥俄)、美国西部 (俄勒冈)、美国西部 (加利福尼亚北部)、AWS GovCloud (美国)、加拿大 (中部)、欧洲 (爱尔兰)、欧洲 (法兰克福)、欧洲 (伦敦)、亚太地区 (新加坡)、亚太地区 (悉尼)、亚太地区 (东京)、亚太地区 (首尔)、亚太地区 (孟买) 和南美洲 (圣保罗)。

  • PCI DSS 标准是否公开?

    是。您可以从 PCI 安全标准委员会文档库下载 PCI DSS 标准。

  • 是否有客户通过 AWS 平台获得了 PCI DSS 认证?

    是的,许多 AWS 客户已在 AWS 上成功部署和认证了部分或所有持卡者环境。AWS 不会公开已获取 PCI DSS 证书的客户,但会定期在 AWS 上与客户及其 PCI DSS 评估机构一起对持卡者环境进行规划、部署、认证并进行季度审查。

  • 企业如何确保 PCI DSS 合规?

    公司主要使用两种方法来执行每年的 PCI DSS 合规性评估。第一种方法是聘请外部的合格安全评估机构 (QSA) 对您的适用环境进行评估,然后出具合规性报告 (ROC) 与合规性证明 (AOC);需要处理大量事务的实体通常会采用这种方法。第二种方法是执行自我评估问卷 (SAQ);只需处理少量事务的实体通常采用这种方法。

    请注意,应履行合规性要求的是支付卡品牌和购买方,而非 PCI 委员会。

  • PCI DSS 合规性有哪些要求?

    以下是对 PCI DSS 要求的概述。

    建立和维护一个安全的网络和系统

    1. 安装并维护防火墙配置,以保护持卡者数据

    2. 请勿使用供应商提供的系统密码和其他安全参数的默认设置

    保护持卡者数据

    3. 保护存储的持卡者数据

    4. 在开放公用网络上传输持卡者数据时进行加密

    维护漏洞管理程序

    5. 保护所有系统免受恶意软件攻击,定期更新杀毒软件或程序

    6. 开发并维护安全的系统和应用程序

    部署严格的访问控制措施

    7. 根据企业需要限制对持卡者数据的访问

    8. 对系统组件的访问进行识别和身份验证

    9. 限制对持卡者数据的物理访问

    定期监控和测试网络

    10. 跟踪并监控对网络资源和持卡者数据的所有访问

    11. 定期测试安全系统和流程

    维护信息安全策略

    12. 维护旨在为所有人员解决信息安全问题的策略

  • AWS 继续支持 TLS 1.0 协议的立场是什么?

    由于某些客户(例如非 PCI 客户)需要选择此协议,因此 AWS 没有在所有服务中弃用 TLS 1.0,但 AWS 产品会单独评估针对客户服务禁用 TLS 1.0 为客户带来的影响,并且可能会选择弃用它。 

  • 客户应如何配置 AWS 架构以符合 PCI 对安全 TLS 的要求?

    AWS 为 PCI 提供的所有范围内服务均支持 TLS 1.1 或更高版本;对于需要 TLS 1.0 的客户(非 PCI 客户),其中一些服务还会支持 TLS 1.0。客户有责任升级他们的系统以启动与 AWS 的握手,该握手使用安全 TLS,即 TLS 1.1 或更高版本。客户应使用和配置 AWS 负载均衡器(Application Load Balancer 或 Classic Load Balancer),以便使用 TLS 1.1 或更高版本进行安全通信,方法是选择预定义的 AWS 安全策略,该策略可确保客户端与负载均衡器之间的加密协议协商使用 TLS 1.2 等。例如,AWS 负载均衡器安全策略 ELBSecurityPolicy-TLS-1-2-2018-06 仅支持 TLS 1.2。

     

  • 如果客户 ASV(获批的扫描提供商)扫描在 AWS API 终端节点上识别到 TLS 1.0,则意味着该 API 仍支持 TLS 1.0 以及 TLS 1.1 或更高版本。AWS 为 PCI 提供的某些范围内服务仍可为需要 TLS 1.0 来处理非 PCI 工作负载的客户启用 TLS 1.0。客户可以向 ASV 证明,AWS API 终端节点支持 TLS 1.1 或更高版本,方法是使用 Qualys SSL Labs 等工具来识别所使用的协议。客户还可以证明他们能够实现安全的 TLS 握手,方法是通过配置有仅支持 TLS 1.1 或更高版本的 AWS 负载均衡器安全策略(例如,ELBSecurityPolicy-TLS-1-2-2017-01 仅支持 v1.2)的 AWS Classic 或 Application Load Balancer 进行连接。ASV 可能会要求客户遵循漏洞扫描争议处理流程,并且所列出的证据可用作合规性证明。此外,尽早使用 ASV 并在扫描之前向 ASV 提供此证明可以简化评估并支持通过 ASV 扫描。

     

compliance-contactus-icon
有问题? 联系 AWS 业务代表
想要提供合规性服务?
立即申请 »
想要了解 AWS 合规性动态?
在 Twitter 上关注我们 »