Ich hätte gern Informationen über PCI DSS in der Cloud
AWS PCI-Compliance

Der "Payment Card Industry Data Security Standard" (auch als PCI DSS bezeichnet) ist ein proprietärer Datensicherheitsstandard, der vom PCI Security Standards Council, das von American Express, Discover Financial Services, JCB International, MasterCard Worldwide und Visa Inc. gegründet wurde, verwaltet wird.

PCI DSS gilt für alle Entitäten, die Karteninhaberdaten (Cardholder Data, CHD) und/oder vertrauliche Authentifizierungsdaten (Sensitive Authentication Data, SAD), darunter Händler, Hersteller, Ankäufer, Herausgeber und Service-Anbieter, speichern, verarbeiten oder übertragen. PCI DSS untersteht dem Mandat der Kartenmarken und wird vom Payment Card Industry Security Standards Council verwaltet.

Fordern Sie die Attestation of Compliance (AOC) und die Responsibility Summary für den PCI DSS mithilfe von AWS Artifact an. 



Ja, AWS wird seit 2010 PCI DSS-zertifiziert. Am 11. Juli 2016 hat ein externes qualifiziertes Sicherheitsbewertungsunternehmen (Qualified Security Assessor Company, QSAC), Coalfire Systems Inc., festgestellt, dass Amazon Web Services (AWS) die "PCI Data Security Standards 3.2 Level 1 Service Provider"-Bewertung erfolgreich bestanden hat und mit allen unten erläuterten Services konform ist.

Dienstanbieter sind in die folgenden Stufen unterteilt:

Stufe 1: Dienstanbieter, die jährlich über 300 000 Transaktionen speichern, verarbeiten und/oder übertragen

Stufe 2: Dienstanbieter, die jährlich weniger als 300 000 Transaktionen speichern, verarbeiten und/oder übertragen

Amazon Web Services (AWS) ist ein Cloud-Serviceanbieter (Cloud Service Provider, CSP), der Karteninhaberdaten von Kunden nicht direkt speichert, überträgt oder verarbeitet. AWS-Kunden können allerdings ihre eigene Kartendatenumgebung (Card Data Environment, CDE) erstellen, in der Karteninhaberdaten mithilfe von AWS-Produkten gespeichert, übertragen oder verarbeitet werden können.

Die PCI DSS-konformen AWS-Services finden Sie unter AWS-Services in Scope nach Compliance-Programm. Möchten Sie mehr über die Verwendung dieser Services erfahren und/oder interessieren Sie sich für andere Services, kontaktieren Sie uns.

AWS ist ein PCI DSS-konformer Serviceanbieter, was bedeutet, dass sich Kunden, die AWS-Produkte und -Services zum Speichern, Verarbeiten oder Übertragen von Karteninhaberdaten verwenden, auf unsere Technologieinfrastruktur verlassen können, wenn sie ihre eigene PCI DSS-Compliance-Zertifizierung verwalten.  

Die PCI DSS-Compliance demonstriert das Engagement von AWS für Informationssicherheit auf allen Ebenen. Da der PCI DSS-Standard von einer externen, unabhängigen dritten Partei überprüft wird, kann auf diese Weise bestätigt werden, dass unser Sicherheitsverwaltungsprogramm umfassend ist und den führenden Branchenpraktiken folgt. Diese Validierung stellt unseren Kunden Sicherheit bezüglich unserer Sicherheitsmethoden bereit.

Alle Entitäten müssen ihre eigene PCI DSS-Compliance-Zertifizierung verwalten. Für den Teil der PCI-Karteninhaberumgebung, die in AWS bereitgestellt wird, kann sich Ihr QSA auf die AWS Attestation of Compliance (AOC) verlassen. Dennoch müssen Sie alle anderen PCI DSS-Anforderungen erfüllen.

Weitere Informationen finden Sie in der "AWS 2016 PCI DSS 3.2 Responsibility Summary" im AWS PCI DSS Compliance Package, das auf Anfrage verfügbar ist.

Kunden, die AWS Artifact nutzen, können auch das AWS PCI Compliance Package nutzen. AWS Artifact ist ein Self-Service-Portal, über das Kunden nach Bedarf die Konformitätsberichte zu AWS abrufen können. Erste Schritte mit AWS Artifact.

Das AWS PCI DSS-Compliance-Paket enthält Folgendes:

•  AWS PCI DSS 3.2 Attestation of Compliance (AOC)
•  AWS 2016 PCI DSS 3.2 Responsibility Summary

Ja, AWS ist im Visa-Verzeichnis der weltweiten Serviceanbieter und auf der Liste der MasterCard-fähigen Serviceanbieter enthalten. Die Serviceanbieter-Auflistungen zeigen außerdem, dass AWS die PCI DSS-Compliance erfolgreich überprüft hat und alle entsprechenden Visa- und MasterCard-Programmanforderungen erfüllt.

Nein. Die AWS-Umgebung ist eine virtualisierte Mehrmandantenumgebung. AWS hat effektive Sicherheitsverwaltungsprozesse, PCI DSS-Anforderungen und andere Sicherheitskontrollen eingerichtet, mit deren Hilfe die Daten der einzelnen Kunden in eigenen geschützten Umgebungen wirksam und sicher voneinander getrennt werden. Diese sichere Architektur wurden von einem unabhängigen QSA geprüft und erfüllt sämtliche Vorgaben der im April 2016 veröffentlichten PCI DSS-Version 3.2.

Das PCI Security Standards Council hat die PCI DSS Cloud Computing Guidelines 2.0 als Leitfaden für Kunden, Serviceanbieter und Analysten von Cloud Computing-Services veröffentlicht. Dort werden außerdem Servicemodelle und die gemeinsame Nutzung von Compliance-Rollen und -Verantwortlichkeiten durch Anbieter und Kunden beschrieben.

Außerdem stellt Third-Party Security Assurance 2016 ergänzende Informationen für Organisationen zum Auswählen, Verwenden und Verwalten von dritten Serviceanbietern bereit, mit denen Karteninhaberdaten gemeinsam genutzt werden.

Der QSA eines Händlers kann immer auf die AWS Attestation of Compliance (AOC) zurückgreifen, um eine umfassende Bewertung der physischen Sicherheitskontrollen von AWS-Rechenzentren zu demonstrieren.

Ja. AWS unterstützt kriminaltechnische Ermittlungen in Übereinstimmung mit der DSS-Anforderung A 1.4. Kunden oder ihre Zuständigen für die Vorfallreaktion können AWS kontaktieren, um kriminaltechnische Ermittlungen durchführen zu lassen.

Nein. Die gesamte Infrastruktur, die betreffende Services unterstützt, ist PCI-konform, weshalb keine getrennte Umgebung oder spezielle API genutzt werden muss. Alle Server oder Datenobjekte, die bereitgestellt werden oder diese Services nutzen, befinden sich global in einer PCI DSS-konformen Umgebung.

Ja. Derzeit gibt es Datenzentren an den folgenden Standorten, die mit dem PCI DSS-Standard konform sind: USA Ost (Nord-Virginia), USA Ost (Ohio), USA West (Oregon), USA West (Nordkalifornien), AWS GovCloud (US), Kanada (Zentral), EU (Irland), EU (Frankfurt), Asien-Pazifik (Singapur), Asien-Pazifik (Tokio), Asien-Pazifik (Sydney), Asien-Pazifik (Seoul), Asien-Pazifik (Mumbai) und Südamerika (São Paulo).

Ja. Sie können den Standard direkt vom PCI Security Standards Council herunterladen.

Ja, zahlreiche AWS-Kunden haben ihre Karteninhaberumgebungen erfolgreich ganz oder teilweise auf AWS bereitgestellt und zertifiziert. AWS gibt die Kunden nicht preis, die die PCI DSS-Zertifizierung erlangt haben. Doch AWS arbeitet regelmäßig mit Kunden und ihre PCI DSS-Prüfern bei der Planung, Bereitstellung, Zertifizierung und Durchführung vierteljährlicher Überprüfungen von Karteninhaberumgebungen in AWS zusammen.

Es gibt zwei Hauptansätze, mit denen Unternehmen die PCI DSS-Compliance jährlich nachweisen können. Der erste Ansatz ist ein externer Qualified Security Assessor (QSA), der die jeweilige Umgebung bewertet und dann einen Report on Compliance (ROC) und eine Attestation of Compliance (AOC) erstellt. Dieser Ansatz wird am häufigsten für Entitäten verwendet, die eine große Anzahl von Transaktionen verarbeiten. Der zweite Ansatz ist die Durchführung eines Self-Assessment Questionnaire (SAQ). Dieser Ansatz wird am häufigsten für Entitäten verwendet, die eine kleinere Anzahl von Transaktionen verarbeiten.

Beachten Sie unbedingt, dass die Zahlungsmarken und Ankäufer für das Durchsetzen der Compliance verantwortlich sind, nicht das PCI-Council.

Unten finden Sie eine allgemeine Übersicht der 12 PCI DSS-Anforderungen.

Aufbau und Wartung sicherer Netzwerke und Systeme

1. Installation und Wartung einer Firewall-Konfiguration zum Schutz von Karteninhaberdaten

2. Ändern der vom Anbieter festgelegten Standardeinstellungen für Systempasswörter und andere Sicherheitsparameter

Schützen von Karteninhaberdaten

3. Schutz gespeicherter Karteninhaberdaten

4. Verschlüsselung bei der Übertragung von Karteninhaberdaten über offene, öffentliche Netze

Betreiben eines Programms zur Prüfung auf Schwachstellen

5. Schutz aller Systeme vor Malware und reguläre Updates der Antivirus-Software bzw. -Programme

6. Entwicklung und Wartung sicherer Systeme und Anwendungen

Implementieren strenger Zugriffssteuerungsmaßnahmen

7. Beschränkung des Zugriffs auf Karteninhaberdaten je nach geschäftlichem Informationsbedarf

8. Identifizieren und Authentifizieren des Zugriffs auf Systemkomponenten

9. Beschränkung des physischen Zugriffs auf Karteninhaberdaten

Regelmäßiges Überwachen und Testen der Netzwerke

10. Verfolgung und Überwachung des gesamten Zugriffs auf Netzwerkressourcen und Karteninhaberdaten

11. Regelmäßiges Testen der Sicherheitssysteme und -prozesse

Befolgen einer Richtlinie für Informationssicherheit

12. Befolgen einer Richtlinie, die die Datensicherheit für alle Mitarbeiter regelt

 

Kontakt