Conformidad con PCI DSS

Información general

140940_AWS_Multi-Logo Graphic_600x400_PCI

El Estándar de Seguridad de los Datos de la Industria de las Tarjetas de Pago (también conocido como PCI DSS) es un estándar exclusivo de seguridad de la información administrado por el Consejo de Estándares de Seguridad de PCI, fundado por American Express, Discover Financial Services, JCB International, MasterCard Worldwide y Visa Inc.

PCI DSS a aplica a todas las entidades que almacenan, procesan o transmiten datos de titulares de tarjetas (CHD) y/o datos de autenticación confidenciales (SAD), incluyendo comerciantes, procesadores, adquisidores, emisores y proveedores de servicios. El PCI DSS existe bajo mandato de las marcas de tarjetas y está administrado por el Consejo de Estándares de Seguridad de la Industria de las Tarjetas de Pago.

Solicite la acreditación de conformidad (AOC) con PCI DSS y el resumen de responsabilidad a través de AWS Artifact.

  • ¿AWS cuenta con la certificación de PCI DSS?

    Sí, AWS posee la certificación PCI DSS desde 2010. A fecha del 11 de julio de 2016, una compañía evaluadora de seguridad cualificada (QSAC) externa, Coalfire Systems Inc. ha validado que Amazon Web Services (AWS) completó con éxito la evaluación de proveedor de servicios según los Estándares de Seguridad de los Datos PCI 3.2 de nivel 1 y se observó que cumplía con el mismo en todos los servicios descritos a continuación.

    Los niveles de proveedores de servicios son los siguientes:

    Nivel 1: cualquier proveedor de servicios que almacene, procese o transmita más de 300 000 transacciones anualmente

    Nivel 2: cualquier proveedor de servicios que almacene, procese o transmita menos de 300 000 transacciones anualmente

  • Servicios de AWS conformes con PCI DSS

    Amazon Web Services (AWS) es un proveedor de servicios en la nube (CSP) que no almacena, transmite ni procesa directamente los datos de titulares de tarjetas (CHD). Sin embargo, los clientes de AWS pueden crear sus propios entornos de datos de tarjeta (CDE) capaces de almacenar, transmitir y procesar datos de titulares de tarjetas haciendo uso de los productos de AWS.

    En Servicios de AWS en el ámbito del programa de conformidad podrá encontrar los servicios de AWS conformes con PCI DSS. Si desea más información sobre el uso de estos servicios o sobre otros servicios, contacte con nosotros.

  • ¿Qué implica esto para mí como comerciante o proveedor de servicios sujeto a PCI DSS?

    El hecho de que AWS sea un proveedor de servicios "conforme" con PCI DSS significa que los clientes que utilizan los productos y servicios de AWS para almacenar, procesar o transmitir datos de titulares de tarjetas pueden confiar en nuestra infraestructura tecnológica al administrar su propia certificación de conformidad con PCI DSS.

  • ¿Qué implica esto para mí como cliente comerciante no sujeto a PCI DSS?

    La conformidad con PCI DSS de AWS demuestra nuestro compromiso con la seguridad de la información en todos los niveles. Como el estándar PCI DSS está validado por un tercero externo e independiente, confirma que nuestro programa de administración de seguridad es exhaustivo y sigue las prácticas líder de la industria. Esta validación aporta a nuestros clientes confianza en nuestras prácticas de seguridad.

  • Como cliente de AWS, ¿puedo confiar en la Declaración de Conformidad (AOC) de AWS, o se necesitarán pruebas adicionales para garantizar la conformidad absoluta?

    Todas las entidades deben administrar su propia certificación de conformidad con PCI DSS. En relación con el área del entorno destinado a titulares de tarjetas para PCI implementado en AWS, su evaluador de seguridad cualificado puede confiar en la Declaración de Conformidad (AOC) de AWS, pero se le seguirá exigiendo que cumpla los demás requisitos de PCI DSS.

  • ¿Cómo puedo saber de qué controles de PCI DSS soy responsable?

    Para obtener información detallada, consulte "AWS 2016 PCI DSS 3.2 Responsibility Summary" del paquete de conformidad PCI DSS de AWS, disponible mediante solicitud.

  • ¿Cómo puedo obtener el Paquete de conformidad con PCI de AWS?

    El Paquete de conformidad con PCI de AWS se encuentra disponible para clientes que utilicen AWS Artifact, un portal autoservicio de acceso bajo demanda a informes de conformidad de AWS. Comience a utilizar AWS Artifact hoy mismo.

  • ¿Qué contiene el paquete de conformidad PCI DSS de AWS?

    El paquete de conformidad PCI DSS de AWS incluye:

    • Declaración de Conformidad (AOC) con PCI DSS 3.2 de AWS
    • Resumen de responsabilidad con PCI DSS 3.2 2017 de AWS

  • ¿AWS aparece en el registro global de proveedores de servicios de Visa y en la lista de proveedores de servicios en conformidad de MasterCard?

    Sí, AWS aparece en el registro global de proveedores de servicios de Visa y en la lista de proveedores de servicios en conformidad de MasterCard. Las listas de proveedores de servicios demuestran que AWS ha validado correctamente la conformidad con PCI DSS y ha cumplido todos los requisitos correspondientes de los programas de Visa y MasterCard.

  • ¿El estándar PCI DSS requiere entornos de un único inquilino para lograr la conformidad?

    No. El entorno de AWS es un entorno virtualizado de varios inquilinos. AWS ha implementado con efectividad procesos de administración de la seguridad, requisitos de PCI DSS y otros controles compensatorios que asignan de manera efectiva y segura a cada cliente su propio entorno protegido. Un asesor de seguridad cualificado independiente ha validado esta arquitectura y ha observado que cumple todos los requisitos de la versión 3.2 de PCI DSS publicada en abril de 2016.

    El Consejo de Estándares de Seguridad de PCI ha publicado el documento PCI DSS Cloud Computing Guidelines 2.0 como guía para clientes, proveedores de servicios y asesores de servicios de informática en la nube. En él, también se describen modelos de servicio y cómo las funciones y responsabilidades de conformidad se comparten entre proveedores y clientes.

    Además, el documento Third-Party Security Assurance 2016 incluye información adicional para las organizaciones relacionada con cómo seleccionar, usar y administrar proveedores de servicios externos con los que comparten datos de titulares de tarjetas.

  • ¿Los asesores de seguridad cualificados que conceden certificaciones a los comerciantes de nivel 1 necesitan hacer un recorrido físico por el centro de datos del proveedor de servicios?

    El evaluador de seguridad cualificado de un comerciante puede confiar en la Declaración de Conformidad (AOC) de AWS para demostrar una evaluación exhaustiva de los controles de seguridad físicos de los centros de datos de AWS.

  • ¿Respaldará AWS investigaciones forenses si es necesario?

    Sí. AWS lleva a cabo investigaciones forenses de conformidad con el requisito A 1.4 de PCI DSS. Los clientes o sus asesores de respuestas ante incidentes cualificados pueden contactarse con AWS si es necesario para realizar investigaciones forenses.

  • ¿Debo especificar algún entorno especial conforme con PCI DSS a la hora de conectar con los servidores o cargar objetos en la tienda?

    No. Toda la infraestructura subyacente a los servicios mencionados anteriormente cumple el estándar y no hay que usar ningún entorno o API especial. Todos los servidores u objetos de datos que se implementen mediante estos servicios se encuentran en un entorno global conforme con PCI DSS.

  • ¿La conformidad de AWS se aplica a nivel internacional?

    Sí. Los centros de datos ubicados en las siguientes ubicaciones están en conformidad con el estándar PCI DSS: EE.UU. Este (Norte de Virginia), EE.UU. Este (Ohio), EE.UU. Oeste (Oregón), EE.UU. Oeste (Norte de California), AWS GovCloud (EE.UU.), Canadá (Central), Europa (Irlanda), Europa (Fráncfort), Europa (Londres), Asia Pacífico (Singapur), Asia Pacífico (Sídney), Asia Pacífico (Tokio), Asia Pacífico (Seúl), Asia Pacífico (Mumbai) y América del Sur (São Paulo).

  • ¿El estándar PCI DSS es público?

  • ¿Algún usuario de la plataforma de AWS ha logrado la certificación PCI DSS?

    Sí, muchos clientes de AWS han implementado y certificado con éxito parte o la totalidad de sus entornos de titulares de tarjetas de crédito basados en AWS. AWS no puede revelar el nombre de los clientes que han obtenido la certificación PCI DSS; sin embargo, colabora regularmente con sus clientes y los asesores de PCI DSS a la hora de planificar, implementar, certificar y analizar trimestralmente los entornos de titulares de tarjetas de crédito basados en AWS.

  • ¿Cómo pueden lograr conformidad con PCI DSS las compañías?

    Existen dos métodos principales que las compañías pueden utilizar para validar su conformidad con PCI DSS de forma anual. El primer método es disponer de un asesor de seguridad cualificado (QSA) que evalúe el entorno aplicable y elabore un Informe de Conformidad (ROC) y una Declaración de Conformidad (AOC). Este método es el más común entre las compañías que administran grandes volúmenes de transacciones. El segundo método consiste en realizar un Cuestionario de Autoevaluación (SAQ). Es el método más común entre las compañías que administran volúmenes de transacciones de menor tamaño.

    Es importante tener en cuenta que las marcas y adquisidores de pago son responsables de exigir la conformidad, no el Consejo de PCI.

    A continuación, se incluye un resumen de los 12 requisitos de PCI DSS.

    Crear y mantener una red y unos sistemas seguros

    1. Instalar y mantener una configuración de firewall para proteger los datos de los titulares

    2. No utilizar la configuración predeterminada proporcionada por los distribuidores para contraseñas de sistemas y otros parámetros de seguridad

    Proteger los datos de los titulares de las tarjetas

    3. Proteger los datos almacenados de los titulares de las tarjetas

    4. Cifrar la transmisión de datos de los titulares de las tarjetas en redes abiertas y públicas

    Disponer de un programa de administración de vulnerabilidades

    5. Proteger todos los sistemas contra malware y actualizar con frecuencia el software o los programas antivirus

    6. Desarrollar y mantener sistemas y aplicaciones seguros

    Implementar medidas de control del acceso sólidas

    7. Restringir el acceso a los datos de los titulares de las tarjetas únicamente a aquellos que lo necesiten

    8. Identificar y autenticar el acceso a los componentes de los sistemas

    9. Restringir el acceso físico a los datos de los titulares de las tarjetas

    Supervisar y probar las redes con frecuencia

    10. Supervisar y controlar todo el acceso a los recursos de la red y a los datos de los titulares de las tarjetas

    11. Probar los sistemas y procesos de seguridad con frecuencia

    Disponer de una política de seguridad de la información

    12. Mantener una política que incluya la seguridad de la información para todo el personal

compliance-contactus-icon
¿Tiene preguntas? Entre en contacto con un representante del área de conformidad de AWS
¿Está buscando trabajo en el sector de conformidad?
Inscríbase hoy mismo »
¿Desea recibir novedades acerca de asuntos de conformidad en AWS?
Síganos en Twitter »