PCI DSS

Übersicht

140940_AWS_Multi-Logo Graphic_600x400_PCI

Der „Payment Card Industry Data Security Standard“ (PCI DSS) ist ein proprietärer Datensicherheitsstandard, der vom PCI Security Standards Council, das von American Express, Discover Financial Services, JCB International, MasterCard Worldwide und Visa Inc. gegründet wurde, verwaltet wird.

PCI DSS gilt für alle Entitäten, die Karteninhaberdaten (Cardholder Data, CHD) oder vertrauliche Authentifizierungsdaten (Sensitive Authentication Data, SAD) speichern, verarbeiten oder übertragen, darunter Händler, Hersteller, Ankäufer, Herausgeber und Serviceanbieter. PCI DSS untersteht dem Mandat der Kartenmarken und wird vom Payment Card Industry Security Standards Council verwaltet.

Die Dokumente „Attestation of Compliance“ (AOC, Bestätigung der Compliance) und „Responsibility Summary“ (Zusammenfassung der Verantwortlichkeiten) des PCI DSS stehen Kunden über AWS Artifact zur Verfügung, einem Self-Service-Portal, über das die Konformitätsberichte zu AWS abgerufen werden können. Melden Sie sich bei AWS Artifact in der AWS-Managementkonsole an oder erfahren Sie mehr unter Erste Schritte mit AWS Artifact.

  • Ist AWS PCI DSS-zertifiziert?

    Ja. Amazon Web Services (AWS) ist als Serviceanbieter für PCI DSS 3.2 Level 1 zertifiziert. Dies ist die höchste verfügbare Bewertungsstufe des PCI. Die Bewertung der Compliance wurde von Coalfire Systems Inc. durchgeführt, einem unabhängigen Qualified Security Assessor (QSA). Die Dokumente „Attestation of Compliance“ (AOC, Bestätigung der Compliance) und „Responsibility Summary“ (Zusammenfassung der Verantwortlichkeiten) des PCI DSS stehen Kunden über AWS Artifact zur Verfügung, einem Self-Service-Portal, über das die Konformitätsberichte zu AWS abgerufen werden können. Melden Sie sich bei AWS Artifact in der AWS-Managementkonsole an oder erfahren Sie mehr unter Erste Schritte mit AWS Artifact.

  • Welche AWS-Services sind PCI DSS-konform?

    Eine Liste der PCI DSS-konformen AWS-Services finden Sie auf der Registerkarte „PCI“ der Webseite AWS-Services in Scope nach Compliance-Programm. Bei Fragen zur Verwendung dieser Services kontaktieren Sie uns.

  • Was bedeutet das für mich als PCI DSS-Händler oder Service-Anbieter?

    Wenn Sie als Kunde von AWS-Produkten und -Services Karteninhaberdaten (CHD) speichern, verarbeiten oder übertragen, können Sie sich bei der Verwaltung Ihrer eigenen Zertifizierung für die PCI DSS-Compliance auf die Technologieinfrastruktur von AWS verlassen.

    Karteninhaberdaten von Kunden werden von AWS nicht direkt gespeichert, übertragen oder verarbeitet. Sie können allerdings Ihre eigene Karteninhaberdatenumgebung (Card Data Environment, CDE) erstellen, in der Karteninhaberdaten mithilfe von AWS-Produkten gespeichert, übertragen oder verarbeitet werden können.

  • Was bedeutet das für mich als nicht PCI DSS-konformen Händler als AWS-Kunde?

    Selbst wenn Sie nicht als PCI DSS-konformer Händler zertifiziert sind, weist unsere PCI DSS-Compliance unsere Verpflichtung zur Informationssicherheit auf jeder Ebene nach. Da der PCI DSS-Standard von einer unabhängigen dritten Partei überprüft wird, kann auf diese Weise bestätigt werden, dass unser Sicherheitsverwaltungsprogramm umfassend ist und den führenden Branchenpraktiken folgt.

  • Kann ich mich als AWS-Kunde auf die AWS Attestation of Compliance (AOC) verlassen oder sind zusätzliche Tests erforderlich, um vollständig konform zu sein?

    Kunden müssen die PCI DSS-Compliance ihres Unternehmens selbst zertifizieren lassen. Für Ihr Unternehmen muss Ihr Qualified Security Assessor (QSA) durch zusätzliche Tests nachweisen, dass Ihre Umgebung alle Anforderungen des PCS DSS erfüllt. Bei dem Teil der PCI-Karteninhaberdatenumgebung (CDE), der auf AWS bereitgestellt wird, kann sich Ihr QSA jedoch ganz auf die für AWS ausgestellte Attestation of Compliance (AOC) verlassen, ohne weitere Tests durchführen zu müssen.

  • Wie erfahre ich, für welche PCI DSS-Kontrollen ich zuständig bin?

    Ausführliche Informationen hierzu finden Sie im Dokument „AWS 2016 PCI DSS 3.2 Responsibility Summary“, das Kunden im AWS PCI DSS Compliance Package über AWS Artifact bereitgestellt wird. AWS Artifact ist ein Self-Service-Portal, über das Kunden nach Bedarf die Konformitätsberichte zu AWS abrufen können. Melden Sie sich bei AWS Artifact in der AWS-Managementkonsole an oder erfahren Sie mehr unter Erste Schritte mit AWS Artifact.

  • Wie erhalten ich das AWS PCI Compliance-Paket?

    Das AWS PCI Compliance Package steht Kunden über AWS Artifact zur Verfügung, einem Self-Service-Portal, über das Kunden nach Bedarf die Konformitätsberichte zu AWS abrufen können. Melden Sie sich bei AWS Artifact in der AWS-Managementkonsole an oder erfahren Sie mehr unter Erste Schritte mit AWS Artifact.

  • Was ist im AWS PCI DSS Compliance Package enthalten?

    Das AWS PCI Compliance Package enthält Folgendes:

    • AWS PCI DSS 3.2 Attestation of Compliance (AOC)
    • AWS 2017 PCI DSS 3.2 Responsibility Summary

  • Ist AWS im Visa-Verzeichnis der weltweiten Serviceanbieter und der Liste der MasterCard-fähigen Serviceanbieter enthalten?

    Ja, AWS ist im Visa-Verzeichnis der weltweiten Serviceanbieter und auf der Liste der MasterCard-fähigen Serviceanbieter enthalten. Die Serviceanbieter-Auflistungen zeigen außerdem, dass AWS die PCI DSS-Compliance erfolgreich überprüft hat und alle entsprechenden Visa- und MasterCard-Programmanforderungen erfüllt.

  • Ist für den PCI DSS-Standard Compliance von Einzelmandantenumgebungen erforderlich?

    Nein. Die AWS-Umgebung ist eine virtualisierte Mehrmandantenumgebung. AWS hat effektive Sicherheitsverwaltungsprozesse, PCI DSS-Anforderungen und andere Sicherheitskontrollen eingerichtet, mit deren Hilfe die Daten der einzelnen Kunden in eigenen geschützten Umgebungen wirksam und sicher voneinander getrennt werden. Diese sichere Architektur wurden von einem unabhängigen QSA geprüft und erfüllt sämtliche Vorgaben der im April 2016 veröffentlichten PCI DSS-Version 3.2.

    Für Kunden, Serviceanbieter und Analysten von Cloud Computing-Services hat das PCI Security Standards Council die PCI DSS Cloud Computing Guidelines 2.0 veröffentlicht. Dort werden außerdem Servicemodelle und die gemeinsame Nutzung von Compliance-Rollen und -Verantwortlichkeiten durch Anbieter und Kunden beschrieben.

    Außerdem stellt Third-Party Security Assurance 2016 ergänzende Informationen bereit, die Organisationen bei der Auswahl, Verwendung und Verwaltung externer Serviceanbieter unterstützen, mit denen Karteninhaberdaten gemeinsam genutzt werden.

  • Verlangen QSAs bei Level 1-Händlern eine physische Begehung der AWS-Rechenzentren.

    Nein. Die für AWS ausgestellte Attestation of Compliance (AOC) weist eine umfassende Bewertung der physischen Sicherheitskontrollen in den Rechenzentren von AWS nach. Eine Überprüfung der Sicherheit der AWS-Rechenzentren durch den QSA eines Händlers ist nicht erforderlich.

  • Unterstützt AWS kriminaltechnische Ermittlungen?

    Ja. AWS unterstützt kriminaltechnische Ermittlungen in Übereinstimmung mit der DSS-Anforderung A 1.4. Kunden oder ihre Zuständigen für die Vorfallreaktion können AWS kontaktieren, um kriminaltechnische Ermittlungen durchführen zu lassen.

  • Gibt es eine spezielle PCI DSS-konforme Umgebung, die ich beim Verbindungsaufbau mit Servern oder beim Hochladen zu speichernder Objekte angeben muss?

    Solange Sie PCI DSS-konforme AWS-Services verwenden, ist die gesamte Infrastruktur, die diese In-scope-Services unterstützt, PCI DSS-konform, d. h., Sie müssen keine spezielle Umgebung oder API aufrufen. Alle Server oder Datenobjekte, die bereitgestellt werden oder diese Services nutzen, befinden sich global in einer PCI DSS-konformen Umgebung. Eine Liste der PCI DSS-konformen AWS-Services finden Sie auf der Registerkarte „PCI“ der Webseite AWS-Services in Scope nach Compliance-Programm.

  • Gilt die PCI-Konformität von AWS international?

    Ja. Derzeit gibt es Datenzentren an den folgenden Standorten, die mit dem PCI DSS-Standard konform sind: USA Ost (Nord-Virginia), USA Ost (Ohio), USA West (Oregon), USA West (Nordkalifornien), AWS GovCloud (USA), Kanada (Zentral), EU (Irland), EU (Frankfurt), Asien-Pazifik (Singapur), Asien-Pazifik (Tokio), Asien-Pazifik (Sydney), Asien-Pazifik (Seoul), Asien-Pazifik (Mumbai) und Südamerika (São Paulo).

  • Ist der PCI DSS-Standard öffentlich?

    Ja. Sie können den PCI DSS-Standard aus der Bibliothek PCI Security Standards Council Document Library herunterladen.

  • Gibt es Unternehmen, die die PCI DSS-Zertifizierung auf der AWS-Plattform erworben haben?

    Ja, zahlreiche AWS-Kunden haben ihre Karteninhaberumgebungen erfolgreich ganz oder teilweise auf AWS bereitgestellt und zertifiziert. AWS gibt die Kunden nicht preis, die die PCI DSS-Zertifizierung erlangt haben. Doch AWS arbeitet regelmäßig mit Kunden und ihren PCI DSS-Prüfern bei der Planung, Bereitstellung, Zertifizierung und Durchführung vierteljährlicher Überprüfungen von Karteninhaberumgebungen in AWS zusammen.

  • Wie sorgen Unternehmen für PCI DSS-Compliance?

    Es gibt zwei Hauptansätze, mit denen Unternehmen die PCI DSS-Compliance jährlich nachweisen können. Der erste Ansatz ist ein externer Qualified Security Assessor (QSA), der die jeweilige Umgebung bewertet und dann einen Report on Compliance (ROC) und eine Attestation of Compliance (AOC) erstellt. Dieser Ansatz wird am häufigsten für Entitäten verwendet, die eine große Anzahl von Transaktionen verarbeiten. Der zweite Ansatz ist die Durchführung eines Self-Assessment Questionnaire (SAQ). Dieser Ansatz wird am häufigsten für Entitäten verwendet, die eine kleinere Anzahl von Transaktionen verarbeiten.

    Beachten Sie unbedingt, dass die Zahlungsmarken und Ankäufer für das Durchsetzen der Compliance verantwortlich sind, nicht das PCI-Council.

  • Welche Voraussetzungen gelten für die PCI DSS-Compliance?

    Unten finden Sie eine allgemeine Übersicht der PCI DSS-Anforderungen.

    Aufbau und Wartung sicherer Netzwerke und Systeme

    1. Installation und Wartung einer Firewall-Konfiguration zum Schutz von Karteninhaberdaten

    2. Ändern der vom Anbieter festgelegten Standardeinstellungen für Systempasswörter und andere Sicherheitsparameter

    Schützen von Karteninhaberdaten

    3. Schutz gespeicherter Karteninhaberdaten

    4. Verschlüsselung bei der Übertragung von Karteninhaberdaten über offene, öffentliche Netze

    Betreiben eines Programms zur Prüfung auf Schwachstellen

    5. Schutz aller Systeme vor Malware und reguläre Updates der Antivirus-Software bzw. -Programme

    6. Entwicklung und Wartung sicherer Systeme und Anwendungen

    Implementieren strenger Zugriffssteuerungsmaßnahmen

    7. Beschränkung des Zugriffs auf Karteninhaberdaten je nach geschäftlichem Informationsbedarf

    8. Identifizieren und Authentifizieren des Zugriffs auf Systemkomponenten

    9. Beschränkung des physischen Zugriffs auf Karteninhaberdaten

    Regelmäßiges Überwachen und Testen der Netzwerke

    10. Verfolgung und Überwachung des gesamten Zugriffs auf Netzwerkressourcen und Karteninhaberdaten

    11. Regelmäßiges Testen der Sicherheitssysteme und -prozesse

    Befolgen einer Richtlinie für Informationssicherheit

    12. Befolgen einer Richtlinie, die die Datensicherheit für alle Mitarbeiter regelt

  • Welche Position nimmt AWS bezüglich einer weiteren Unterstützung des TLS 1.0-Protokolls ein?

    AWS unternimmt keine konzertierte Aktion, den veralteten Standard TLS 1.0 in allen Services zu entfernen, da dieses Protokoll von einigen Kunden, die nicht vom PCI-Standard betroffen sind, noch verwendet wird. Für einzelne AWS-Services wird jedoch untersucht, welche Auswirkung die Entfernung dieses Standards auf die Kunden hat, wobei über die Entfernung des Protokolls individuell entschieden wird. 

  • Wie muss ein Kunde die AWS-Architektur konfigurieren, um der PCI-Anforderung für sicheres TLS zu entsprechen?

    Alle mit dem PCI-Standard konformen AWS-Services bieten TLS 1.1 oder höher und einige davon unterstützen weiterhin TLS 1.0 für Kunden, die nicht vom PCI-Standard betroffen sind und diese Protokollversion noch benötigen. Es unterliegt dem Kunden, seine Systeme zu aktualisieren, um ein Handshake mit AWS zu initiieren, das sicheres TLS, also TLS 1.1 oder höher verwendet. Kunden sollten AWS Load Balancer (Application Load Balancer oder Classic Load Balancer) verwenden und für die sichere Kommunikation mit TLS 1.1 oder höher konfigurieren. Hierzu sollten sie eine vordefinierte AWS-Sicherheitsrichtlinie auswählen, die sicherstellt, dass bei der Verhandlung des Verschlüsselungsprotokolls zwischen einem Client und dem Load Balancer beispielsweise TLS 1.2 verwendet wird. Geeignet wäre hierfür zum Beispiel die AWS-Sicherheitsrichtlinie „ELBSecurityPolicy-TLS-1-2-2018-06“ für Load Balancer, die nur TLS 1.2 unterstützt.

     

  • Wenn der Scan eines Kunden-ASV (Approved Scanning Vendor) auf einem AWS-API-Endpunkt TLS 1.0 ermittelt, bedeutet dies, dass die API zusätzlich zu TLS 1.1 oder höher noch TLS 1.0 unterstützt. Einige mit dem PCI-Standard konforme AWS-Services unterstützen TLS 1.0 noch für Kunden, die diese Protokollversion weiterhin für ihre Nicht-PCI-Arbeitslasten benötigen. Der Kunde kann dem ASV mittels eines Tools wie Qualys SSL Labs, das die verwendeten Protokolle identifiziert, nachweisen, dass der AWS-API-Endpunkt TLS 1.1 oder höher unterstützt. Zudem kann der Kunde nachweisen, dass er über einen AWS Classic oder Application Load Balancer, der mit einer AWS Load Balancer-Sicherheitsrichtlinie konfiguriert ist, die nur TLS 1.1 oder höher unterstützt (ELBSecurityPolicy-TLS-1-2-2017-01 unterstützt beispielsweise nur TLS 1.2), ein sicheres TLS-Handshake gewährleistet. Eventuell verlangt der ASV vom Kunden die Klärung der vermeintlichen Schwachstelle, wobei Sie die oben beschriebenen Nachweise zur Belegung der Compliance heranziehen können. Vorzuziehen ist dem in jedem Fall, den ASV frühzeitig auf die Möglichkeit eines falschen Scanergebnisses vorzubereiten und ihm diesen Nachweis noch vor dem Scan vorzulegen. Sie beschleunigen dadurch die Bewertung und fördern das Bestehen des ASV-Scans.

     

compliance-contactus-icon
Sie haben Fragen? Einen AWS-Business-Mitarbeiter kontaktieren
Sie erkunden Compliance-Rollen?
Melden Sie sich jetzt an »
Sie möchten über Neuigkeiten zur AWS-Compliance informiert werden?
Folgen Sie uns auf Twitter »