PCI DSS

Información general

El estándar de seguridad de datos de la industria de tarjetas de pago (PCI DSS) es un estándar exclusivo de seguridad de la información administrado por el Consejo de Estándares de Seguridad de PCI, fundado por American Express, Discover Financial Services, JCB International, MasterCard Worldwide y Visa Inc.

PCI DSS se aplica a las entidades que almacenan, procesan o transmiten datos de titulares de tarjetas (CHD) o datos de autenticación confidenciales (SAD), incluidos comerciantes, procesadores, adquisidores, emisores y proveedores de servicios. El PCI DSS existe bajo mandato de las marcas de tarjetas y está administrado por el Consejo de Estándares de Seguridad de la industria de tarjetas de pago.

La declaración de conformidad (AOC) y el resumen de responsabilidades de PCI DSS están disponible para clientes mediante AWS Artifact, un portal de autoservicio para el acceso bajo demanda a los informes de conformidad de AWS. Inicie sesión en AWS Artifact en la consola de administración de AWS u obtenga más información en Introducción a AWS Artifact.

• ¿AWS cuenta con la certificación de PCI DSS?

  Sí, Amazon Web Services (AWS) está certificado como proveedor de servicios de Nivel 1 PCI DSS, el nivel más alto de evaluación disponible. La evaluación de conformidad fue realizada por Coalfire Systems Inc., un asesor de seguridad cualificado (QSA) independiente. La declaración de conformidad (AOC) y el resumen de responsabilidades de PCI DSS están disponibles para clientes mediante AWS Artifact, un portal de autoservicio para el acceso bajo demanda a los informes de conformidad de AWS. Inicie sesión en AWS Artifact en la consola de administración de AWS u obtenga más información en Introducción a AWS Artifact.
  

• ¿Qué servicios de AWS logran la conformidad con PCI DSS?

  Para obtener una lista de los servicios de AWS que logran la conformidad con PCI DSS, consulte la pestaña PCI en la página web Servicios de AWS en el ámbito del programa de conformidad. Para obtener más información sobre el uso de estos servicios, póngase en contacto con nosotros.
  

• ¿Qué implica esto para mí como comerciante o proveedor de servicios sujeto a PCI DSS?

  Como cliente que utiliza servicios de AWS para almacenar, procesar o transmitir datos de titulares de tarjetas, puede confiar en la infraestructura de tecnología de AWS mientras gestiona su propia certificación de conformidad con PCI DSS.

  AWS no almacena, transmite ni procesa directamente ningún dato del titular de la tarjeta del cliente (CHD). Sin embargo, puede crear sus propios entornos de datos de titulares de tarjetas (CDE), capaces de almacenar, transmitir y procesar datos de titulares de tarjetas mediante el uso de los servicios de AWS.
  

• ¿Qué implica esto para mí como cliente comerciante no sujeto a PCI DSS?

  Incluso si usted no es cliente de PCI DSS, nuestra conformidad con PCI DSS demuestra nuestro compromiso con la seguridad de la información en todos los niveles. Dado que el estándar PCI DSS está validado por un tercero externo e independiente, confirma que nuestro programa de administración de seguridad es exhaustivo y sigue las prácticas líder de la industria.
  

• Como cliente de AWS, ¿puedo confiar en la declaración de conformidad (AOC) de AWS, o se necesitarán pruebas adicionales para garantizar la conformidad absoluta?

  Los clientes deben administrar su propia certificación de conformidad con PCI DSS, y se requerirán pruebas adicionales para verificar que su entorno cumpla con todos los requisitos de PCS DSS. Sin embargo, para la parte del entorno de datos del titular de la tarjeta (CDE) de PCI que se implementa en AWS, su asesor de seguridad cualificado (QSA) puede confiar en la certificación de conformidad (AOC) de AWS sin más pruebas.
  

• ¿Cómo puedo saber de qué controles de PCI DSS soy responsable?

  Para obtener información detallada, consulte "Resumen de responsabilidad con PCI DSS de AWS" del paquete de conformidad PCI DSS de AWS, disponible para los clientes mediante AWS Artifact, un portal de autoservicio para el acceso bajo demanda a los informes de conformidad de AWS. Inicie sesión en AWS Artifact en la consola de administración de AWS u obtenga más información en Introducción a AWS Artifact.
  

• ¿Cómo puedo obtener el paquete de conformidad con PCI de AWS?

  El paquete de conformidad con PCI de AWS se encuentra disponible para clientes mediante AWS Artifact, un portal de autoservicio para el acceso bajo demanda a informes de conformidad de AWS. Inicie sesión en AWS Artifact en la consola de administración de AWS u obtenga más información en Introducción a AWS Artifact.
  

• ¿Qué contiene el paquete de conformidad PCI DSS de AWS?

  El paquete de conformidad PCI de AWS incluye:

  • Declaración de conformidad (AOC) con PCI DSS 3.2.1 de AWS
  • Resumen de responsabilidad con PCI DSS 3.2.1 de AWS

• ¿AWS aparece en el registro global de proveedores de servicios de Visa y en la lista de proveedores de servicios en conformidad con MasterCard?

  Sí, AWS aparece en el registro global de proveedores de servicios de Visa y en la lista de proveedores de servicios de conformidad con MasterCard. Las listas de proveedores de servicios demuestran que AWS validó correctamente la conformidad con PCI DSS y cumplió con todos los requisitos correspondientes de los programas de Visa y MasterCard.
  

• ¿El estándar PCI DSS requiere entornos de un único inquilino para lograr la conformidad?

  No. El entorno de AWS es un entorno virtualizado de varios inquilinos. AWS implementó con efectividad procesos de administración de la seguridad, requisitos de PCI DSS y otros controles compensatorios que asignan de manera efectiva y segura a cada cliente su propio entorno protegido. Un asesor de seguridad cualificado independiente validó esta arquitectura y se observó que cumple con todos los requisitos vigentes de PCI DSS.

  El Consejo de Estándares de Seguridad de PCI publicó el documento Directrices de informática en la nube de PCI DSS para clientes, proveedores de servicios y asesores de servicios de informática en la nube. En él, también se describen modelos de servicio y cómo las funciones y responsabilidades de conformidad se comparten entre proveedores y clientes.
  

• ¿Los QSA para comerciantes de nivel 1 requieren un recorrido físico por los centros de datos de AWS?

  No. La certificación de conformidad (AOC) de AWS demuestra una evaluación exhaustiva de los controles de seguridad física de los centros de datos de AWS. No es necesario que un QSA de un comerciante verifique la seguridad de los centros de datos de AWS.
  

• ¿AWS es compatible con las investigaciones forenses?

  Según PCI-DSS, AWS no se considera un “proveedor de alojamiento compartido”. Por lo tanto, no se aplica el requisito A1.4 del DSS. Gracias a nuestro modelo de responsabilidad compartida, permitimos que nuestros clientes realicen investigaciones forenses digitales en sus propios entornos de AWS sin necesidad de asistencia adicional de AWS. Esto se logra mediante el uso de servicios de AWS y de soluciones de terceros disponibles a través de AWS Marketplace. Para obtener más información, consulte los siguientes recursos:

  • Simplifique la respuesta ante incidentes de seguridad y el análisis forense digital en AWS
  • Guía de respuesta ante incidentes de seguridad en AWS

• ¿Debo especificar algún entorno especial conforme con PCI DSS a la hora de conectar con los servidores o cargar objetos en la tienda?

  Siempre que utilice los servicios de AWS que logran la conformidad con PCI DSS, toda la infraestructura que admite los servicios dentro del ámbito es compatible y no hay un entorno separado o una API especial para usar. Todos los servidores u objetos de datos que se implementen mediante estos servicios se encuentran en un entorno global conforme con PCI DSS. Para obtener una lista de los servicios de AWS que logran la conformidad con PCI DSS, consulte la pestaña PCI en la página web Servicios de AWS en el ámbito del programa de conformidad.
  

• ¿La conformidad de AWS se aplica a nivel internacional?

  Sí. Consulte la última declaración de conformidad de PCI DSS para obtener la lista completa de ubicaciones en conformidad.
  

• ¿El estándar PCI DSS es público?

  Sí. Puede descargar el estándar PCI DSS de la biblioteca de documentos del Consejo de Estándares de Seguridad de PCI.
  

• ¿Algún usuario de la plataforma de AWS obtuvo la certificación PCI DSS?

  Sí, muchos clientes de AWS implementaron y certificaron con éxito parte o la totalidad de sus entornos de titulares de tarjetas de crédito en AWS. AWS no puede revelar el nombre de los clientes que obtuvieron la certificación PCI DSS; sin embargo, colabora regularmente con sus clientes y los asesores de PCI DSS a la hora de planificar, implementar, certificar y analizar trimestralmente los entornos de titulares de tarjetas de crédito basados en AWS.
  

• ¿De qué manera las compañías pueden cumplir los requisitos de PCI DSS?

  Existen dos métodos principales que las compañías pueden utilizar para validar su conformidad con PCI DSS de forma anual. El primer método es disponer de un asesor de seguridad cualificado (QSA) que evalúe el entorno aplicable y elabore un Informe de Conformidad (ROC) y una declaración de conformidad (AOC). Este método es el más común entre las compañías que administran grandes volúmenes de transacciones. El segundo método consiste en realizar un cuestionario de autoevaluación (SAQ). Es el método más común entre las compañías que administran volúmenes de transacciones de menor tamaño.

  Es importante tener en cuenta que las marcas y adquisidores de pago son responsables de exigir la conformidad, no el Consejo de PCI.
  

• ¿Cuáles son los requisitos de conformidad de PCI DSS?

  A continuación, se incluye un resumen detallado de los requisitos de PCI DSS.

  Crear y mantener redes y sistemas seguros	1. Instalar y mantener una configuración de firewall para proteger los datos de los titulares de las tarjetas 2. No utilizar la configuración predeterminada proporcionada por los distribuidores para contraseñas del sistema y otros parámetros de seguridad
  Proteger los datos de los titulares de las tarjetas	3.  Proteger los datos almacenados de los titulares de las tarjetas 4. Cifrar la transmisión de datos de los titulares de las tarjetas en redes abiertas y públicas
  Disponer de un programa de administración de vulnerabilidades	5. Proteger todos los sistemas contra malware y actualizar con frecuencia el software o los programas antivirus 6. Desarrollar y mantener sistemas y aplicaciones seguros
  Implementar medidas sólidas de control del acceso	7. Restringir el acceso a los datos de los titulares de las tarjetas por necesidad de conocerlos de la empresa 8. Identificar y autenticar el acceso a los componentes del sistema 9. Restringir el acceso físico a los datos de los titulares de las tarjetas
  Supervisar y probar las redes con frecuencia	10. Supervisar y controlar todo el acceso a los recursos de la red y los datos de los titulares de las tarjetas 11. Probar los sistemas y procesos de seguridad con frecuencia
  Disponer de una política de seguridad de la información	12. Mantener una política que incluya la seguridad de la información para todo el personal

• ¿Cuál es la posición de AWS sobre el soporte continuo del protocolo TLS 1.0?

  AWS no planea dar de baja TLS 1.0 en todos los servicios debido a que algunos clientes (p. ej., los que no pertenecen al sector de PCI) necesitan la opción de este protocolo. Sin embargo, se están evaluando individualmente en cada servicio de AWS las consecuencias que tendría para el cliente desactivar TLS 1.0 para su servicio y la posibilidad de que los clientes lo den de baja. Los clientes también pueden usar puntos de enlace FIPS para ayudar a garantizar el uso de criptografía fuerte. AWS actualizará todos los puntos de enlace FIPS a una versión de TLS mínima de 1.2. Consulte esta publicación de blog para obtener más detalles.
  

• ¿Cómo configura un cliente la arquitectura de AWS para cumplir con los requisitos de PCI y, así, obtener un TLS seguro?

  Todos los servicios de AWS en el ámbito para PCI permiten TLS 1.1 o superior y algunos de estos servicios también son compatibles con TLS 1.0 para clientes (no PCI) que lo requieran. Es responsabilidad del cliente actualizar sus sistemas para iniciar un protocolo de enlace con AWS que utilice TLS seguro, es decir, TLS 1.1 o superior. Los clientes deben usar y configurar balanceadores de carga de AWS (Application Load Balancers o Classic Load Balancers) para comunicaciones seguras utilizando TLS 1.1 o superior seleccionando una política de seguridad AWS predefinida que pueda garantizar que la negociación del protocolo de cifrado entre un cliente y el balanceador de carga utilice, p. ej., TLS 1.2. Por ejemplo, la política de seguridad del balanceador de carga de AWS ELBSecurityPolicy-TLS-1-2-2018-06 solo es compatible con TLS 1.2.
  

• ¿Cuál es la acción recomendada para un cliente si TLS 1.0 aparece en sus resultados del análisis?

  Si un análisis de ASV (proveedor de análisis aprobado) identifica a TLS 1.0 en un punto de enlace de API de AWS, significa que la API sigue siendo compatible con la versión TLS 1.0 y con TLS 1.1 o superior. Algunos servicios de AWS en el ámbito para PCI aún pueden habilitar TLS 1.0 a los clientes que lo requieren para cargas de trabajo que no sean PCI. El cliente puede proporcionar pruebas al ASV de que el punto de enlace de la API de AWS admite TLS 1.1 o alguna versión superior con una herramienta, como Qualys SSL Labs, para identificar los protocolos utilizados. El cliente también puede proporcionar evidencia de que permiten un protocolo de enlace TLS seguro conectándose a través de un balanceador de carga elástico de AWS que está configurado con una política de seguridad apropiada que solo admite TLS 1.1 o alguna versión superior (por ejemplo, ELBSecurityPolicy-TLS-1-2-2017-01 solo es compatible con v1.2). El ASV puede requerir que el cliente siga un proceso de resolución de vulnerabilidades del análisis, y la evidencia resumida se puede usar como prueba de conformidad. Alternativamente, involucrar a su ASV con anticipación y proporcionar esta evidencia al ASV antes del análisis puede agilizar la evaluación y respaldar un análisis del ASV pasajero.