PCI DSS-Compliance

Übersicht

140940_AWS_Multi-Logo Graphic_600x400_PCI

Der "Payment Card Industry Data Security Standard" (auch als PCI DSS bezeichnet) ist ein proprietärer Datensicherheitsstandard, der vom PCI Security Standards Council, das von American Express, Discover Financial Services, JCB International, MasterCard Worldwide und Visa Inc. gegründet wurde, verwaltet wird.

PCI DSS gilt für alle Entitäten, die Karteninhaberdaten (Cardholder Data, CHD) und/oder vertrauliche Authentifizierungsdaten (Sensitive Authentication Data, SAD), darunter Händler, Hersteller, Ankäufer, Herausgeber und Service-Anbieter, speichern, verarbeiten oder übertragen. PCI DSS untersteht dem Mandat der Kartenmarken und wird vom Payment Card Industry Security Standards Council verwaltet.

Fordern Sie die Attestation of Compliance (AOC) und die Responsibility Summary für den PCI DSS mithilfe von AWS Artifact an.

  • Ist AWS PCI DSS-zertifiziert?

    Ja, AWS wird seit 2010 PCI DSS-zertifiziert. Am 11. Juli 2016 hat ein externes qualifiziertes Sicherheitsbewertungsunternehmen (Qualified Security Assessor Company, QSAC), Coalfire Systems Inc., festgestellt, dass Amazon Web Services (AWS) die "PCI Data Security Standards 3.2 Level 1 Service Provider"-Bewertung erfolgreich bestanden hat und mit allen unten erläuterten Services konform ist.

    Dienstanbieter sind in die folgenden Stufen unterteilt:

    Stufe 1: Dienstanbieter, die jährlich über 300 000 Transaktionen speichern, verarbeiten und/oder übertragen

    Stufe 2: Dienstanbieter, die jährlich weniger als 300 000 Transaktionen speichern, verarbeiten und/oder übertragen

  • AWS-Services, die die PCI DSS-Anforderungen erfüllen

    Amazon Web Services (AWS) ist ein Cloud-Serviceanbieter (Cloud Service Provider, CSP), der Karteninhaberdaten von Kunden nicht direkt speichert, überträgt oder verarbeitet. AWS-Kunden können allerdings ihre eigene Kartendatenumgebung (Card Data Environment, CDE) erstellen, in der Karteninhaberdaten mithilfe von AWS-Produkten gespeichert, übertragen oder verarbeitet werden können.

    Die PCI DSS-konformen AWS-Services finden Sie unter AWS-Services in Scope nach Compliance-Programm. Möchten Sie mehr über die Verwendung dieser Services erfahren und/oder interessieren Sie sich für andere Services, kontaktieren Sie uns.

  • Was bedeutet das für mich als PCI DSS-Händler oder Service-Anbieter?

    AWS ist ein PCI DSS-konformer Serviceanbieter, was bedeutet, dass sich Kunden, die AWS-Produkte und -Services zum Speichern, Verarbeiten oder Übertragen von Karteninhaberdaten verwenden, auf unsere Technologieinfrastruktur verlassen können, wenn sie ihre eigene PCI DSS-Compliance-Zertifizierung verwalten.

  • Was bedeutet das für mich als nicht PCI DSS-konformen Händler als AWS-Kunde?

    Die PCI DSS-Compliance demonstriert das Engagement von AWS für Informationssicherheit auf allen Ebenen. Da der PCI DSS-Standard von einer externen, unabhängigen dritten Partei überprüft wird, kann auf diese Weise bestätigt werden, dass unser Sicherheitsverwaltungsprogramm umfassend ist und den führenden Branchenpraktiken folgt. Diese Validierung stellt unseren Kunden Sicherheit bezüglich unserer Sicherheitsmethoden bereit.

  • Kann ich mich als AWS-Kunde auf die AWS Attestation of Compliance (AOC) verlassen oder sind zusätzliche Tests erforderlich, um vollständig konform zu sein?

    Alle Entitäten müssen ihre eigene PCI DSS-Compliance-Zertifizierung verwalten. Für den Teil der PCI-Karteninhaberumgebung, die in AWS bereitgestellt wird, kann sich Ihr QSA auf die AWS Attestation of Compliance (AOC) verlassen. Dennoch müssen Sie alle anderen PCI DSS-Anforderungen erfüllen.

  • Wie erfahre ich, für welche PCI DSS-Kontrollen ich zuständig bin?

    Weitere Informationen finden Sie in der "AWS 2016 PCI DSS 3.2 Responsibility Summary" im AWS PCI DSS Compliance Package, das auf Anfrage verfügbar ist.

  • Wie erhalten ich das AWS PCI Compliance-Paket?

    Kunden, die AWS Artifact nutzen, können auch das AWS PCI Compliance Package nutzen. AWS Artifact ist ein Self-Service-Portal, über das Kunden nach Bedarf die Konformitätsberichte zu AWS abrufen können. Erste Schritte mit AWS Artifact.

  • Was ist im AWS PCI DSS Compliance Package enthalten?

    Das AWS PCI DSS-Compliance-Paket enthält Folgendes:

    • AWS PCI DSS 3.2 Attestation of Compliance (AOC)
    • AWS 2017 PCI DSS 3.2 Responsibility Summary

  • Ist AWS im Visa-Verzeichnis der weltweiten Serviceanbieter und der Liste der MasterCard-fähigen Serviceanbieter enthalten?

    Ja, AWS ist im Visa-Verzeichnis der weltweiten Serviceanbieter und auf der Liste der MasterCard-fähigen Serviceanbieter enthalten. Die Serviceanbieter-Auflistungen zeigen außerdem, dass AWS die PCI DSS-Compliance erfolgreich überprüft hat und alle entsprechenden Visa- und MasterCard-Programmanforderungen erfüllt.

  • Ist für den PCI DSS-Standard Compliance von Einzelmandantenumgebungen erforderlich?

    Nein. Die AWS-Umgebung ist eine virtualisierte Mehrmandantenumgebung. AWS hat effektive Sicherheitsverwaltungsprozesse, PCI DSS-Anforderungen und andere Sicherheitskontrollen eingerichtet, mit deren Hilfe die Daten der einzelnen Kunden in eigenen geschützten Umgebungen wirksam und sicher voneinander getrennt werden. Diese sichere Architektur wurden von einem unabhängigen QSA geprüft und erfüllt sämtliche Vorgaben der im April 2016 veröffentlichten PCI DSS-Version 3.2.

    Das PCI Security Standards Council hat die PCI DSS Cloud Computing Guidelines 2.0 als Leitfaden für Kunden, Serviceanbieter und Analysten von Cloud Computing-Services veröffentlicht. Dort werden außerdem Servicemodelle und die gemeinsame Nutzung von Compliance-Rollen und -Verantwortlichkeiten durch Anbieter und Kunden beschrieben.

    Außerdem stellt Third-Party Security Assurance 2016 ergänzende Informationen für Organisationen zum Auswählen, Verwenden und Verwalten von dritten Serviceanbietern bereit, mit denen Karteninhaberdaten gemeinsam genutzt werden.

  • Müssen QSAs von Händlern der Stufe 1 das Rechenzentrum eines Dienstanbieters besuchen?

    Der QSA eines Händlers kann immer auf die AWS Attestation of Compliance (AOC) zurückgreifen, um eine umfassende Bewertung der physischen Sicherheitskontrollen von AWS-Rechenzentren zu demonstrieren.

  • Kooperiert AWS bei Bedarf bei kriminaltechnischen Ermittlungen?

    Ja. AWS unterstützt kriminaltechnische Ermittlungen in Übereinstimmung mit der DSS-Anforderung A 1.4. Kunden oder ihre Zuständigen für die Vorfallreaktion können AWS kontaktieren, um kriminaltechnische Ermittlungen durchführen zu lassen.

  • Gibt es eine spezielle PCI DSS-konforme Umgebung, die ich angeben muss, wenn ich Server in Betrieb nehme oder zu speichernde Objekte hochlade?

    Nein. Die gesamte Infrastruktur, die betreffende Services unterstützt, ist PCI-konform, weshalb keine getrennte Umgebung oder spezielle API genutzt werden muss. Alle Server oder Datenobjekte, die bereitgestellt werden oder diese Services nutzen, befinden sich global in einer PCI DSS-konformen Umgebung.

  • Gilt die PCI-Konformität von AWS international?

    Ja. Derzeit gibt es Datenzentren an den folgenden Standorten, die mit dem PCI DSS-Standard konform sind: USA Ost (Nord-Virginia), USA Ost (Ohio), USA West (Oregon), USA West (Nordkalifornien), AWS GovCloud (USA), Kanada (Zentral), EU (Irland), EU (Frankfurt), Asien-Pazifik (Singapur), Asien-Pazifik (Tokio), Asien-Pazifik (Sydney), Asien-Pazifik (Seoul), Asien-Pazifik (Mumbai) und Südamerika (São Paulo).

  • Ist der PCI DSS-Standard öffentlich?

    Ja. Sie können den Standard direkt von der Website des PCI Security Standards Council herunterladen.

  • Gibt es Unternehmen, die die PCI DSS-Zertifizierung auf der AWS-Plattform erworben haben?

    Ja, zahlreiche AWS-Kunden haben ihre Karteninhaberumgebungen erfolgreich ganz oder teilweise auf AWS bereitgestellt und zertifiziert. AWS gibt die Kunden nicht preis, die die PCI DSS-Zertifizierung erlangt haben. Doch AWS arbeitet regelmäßig mit Kunden und ihren PCI DSS-Prüfern bei der Planung, Bereitstellung, Zertifizierung und Durchführung vierteljährlicher Überprüfungen von Karteninhaberumgebungen in AWS zusammen.

  • Wie sorgen Unternehmen für PCI DSS-Compliance?

    Es gibt zwei Hauptansätze, mit denen Unternehmen die PCI DSS-Compliance jährlich nachweisen können. Der erste Ansatz ist ein externer Qualified Security Assessor (QSA), der die jeweilige Umgebung bewertet und dann einen Report on Compliance (ROC) und eine Attestation of Compliance (AOC) erstellt. Dieser Ansatz wird am häufigsten für Entitäten verwendet, die eine große Anzahl von Transaktionen verarbeiten. Der zweite Ansatz ist die Durchführung eines Self-Assessment Questionnaire (SAQ). Dieser Ansatz wird am häufigsten für Entitäten verwendet, die eine kleinere Anzahl von Transaktionen verarbeiten.

    Beachten Sie unbedingt, dass die Zahlungsmarken und Ankäufer für das Durchsetzen der Compliance verantwortlich sind, nicht das PCI-Council.

    Unten finden Sie eine allgemeine Übersicht der 12 PCI DSS-Anforderungen.

    Aufbau und Wartung sicherer Netzwerke und Systeme

    1. Installation und Wartung einer Firewall-Konfiguration zum Schutz von Karteninhaberdaten

    2. Ändern der vom Anbieter festgelegten Standardeinstellungen für Systempasswörter und andere Sicherheitsparameter

    Schützen von Karteninhaberdaten

    3. Schutz gespeicherter Karteninhaberdaten

    4. Verschlüsselung bei der Übertragung von Karteninhaberdaten über offene, öffentliche Netze

    Betreiben eines Programms zur Prüfung auf Schwachstellen

    5. Schutz aller Systeme vor Malware und reguläre Updates der Antivirus-Software bzw. -Programme

    6. Entwicklung und Wartung sicherer Systeme und Anwendungen

    Implementieren strenger Zugriffssteuerungsmaßnahmen

    7. Beschränkung des Zugriffs auf Karteninhaberdaten je nach geschäftlichem Informationsbedarf

    8. Identifizieren und Authentifizieren des Zugriffs auf Systemkomponenten

    9. Beschränkung des physischen Zugriffs auf Karteninhaberdaten

    Regelmäßiges Überwachen und Testen der Netzwerke

    10. Verfolgung und Überwachung des gesamten Zugriffs auf Netzwerkressourcen und Karteninhaberdaten

    11. Regelmäßiges Testen der Sicherheitssysteme und -prozesse

    Befolgen einer Richtlinie für Informationssicherheit

    12. Befolgen einer Richtlinie, die die Datensicherheit für alle Mitarbeiter regelt

compliance-contactus-icon
Sie haben Fragen? Einen AWS-Compliance-Mitarbeiter kontaktieren
Sie erkunden Compliance-Rollen?
Melden Sie sich jetzt an »
Sie möchten über Neuigkeiten zur AWS-Compliance informiert werden?
Folgen Sie uns auf Twitter »