PCI DSS

Información general

140940_AWS_Multi-Logo Graphic_600x400_PCI

El Estándar de Seguridad de los Datos de la Industria de las Tarjetas de Pago (PCI DSS) es un estándar exclusivo de seguridad de la información administrado por el Consejo de Estándares de Seguridad de PCI, fundado por American Express, Discover Financial Services, JCB International, MasterCard Worldwide y Visa Inc.

PCI DSS se aplica a todas las entidades que almacenan, procesan o transmiten datos de titulares de tarjetas (CHD) o datos de autenticación confidenciales (SAD), incluidos comerciantes, procesadores, adquisidores, emisores y proveedores de servicios. El PCI DSS existe bajo mandato de las marcas de tarjetas y está administrado por el Consejo de Estándares de Seguridad de la Industria de las Tarjetas de Pago.

La Declaración de conformidad (AOC) y el resumen de responsabilidades de PCI DSS están disponible para clientes mediante el uso de AWS Artifact, un portal autoservicio de acceso bajo demanda a los informes de conformidad de AWS. Puede iniciar sesión en AWS Artifact en la consola de administración de AWS u obtener más información en Introducción a Artifact.

  • ¿AWS cuenta con la certificación de PCI DSS?

    Sí, Amazon Web Services (AWS) está certificado como proveedor de servicios de Nivel 1 PCI DSS 3.2, el nivel más alto de evaluación disponible. La evaluación de conformidad fue realizada por Coalfire Systems Inc., un asesor de seguridad cualificado (QSA) independiente. La Declaración de conformidad (AOC) y el resumen de responsabilidades de PCI DSS están disponibles para clientes mediante AWS Artifact, un portal de autoservicio de acceso bajo demanda a los informes de conformidad de AWS. Puede iniciar sesión en AWS Artifact en la consola de administración de AWS u obtener más información en Introducción a Artifact.

  • ¿Qué servicios de AWS logran la conformidad con PCI DSS?

    Para obtener una lista de los servicios de AWS que logran la conformidad con PCI DSS, consulte la pestaña PCI en la página web Servicios de AWS en el ámbito del programa de conformidad. Para obtener más información sobre el uso de estos servicios, contacte con nosotros.

  • ¿Qué implica esto para mí como comerciante o proveedor de servicios sujeto a PCI DSS?

    Como cliente que utiliza productos y servicios de AWS para almacenar, procesar o transmitir datos de titulares de tarjetas, puede confiar en la infraestructura de tecnología de AWS mientras gestiona su propia certificación de conformidad con PCI DSS.

    AWS no almacena, transmite ni procesa directamente ningún dato de titulares de tarjeta del cliente (CHD). Sin embargo, puede crear sus propios entornos de datos de titulares de tarjetas (CDE), capaces de almacenar, transmitir y procesar datos de titulares de tarjetas haciendo uso de los productos de AWS.

  • ¿Qué implica esto para mí como cliente comerciante no sujeto a PCI DSS?

    Incluso si usted no es cliente de PCI DSS, nuestra conformidad con PCI DSS demuestra nuestro compromiso con la seguridad de la información en todos los niveles. Dado que el estándar PCI DSS está validado por un tercero externo e independiente, confirma que nuestro programa de administración de seguridad es exhaustivo y sigue las prácticas líder de la industria.

  • Como cliente de AWS, ¿puedo confiar en la Declaración de Conformidad (AOC) de AWS, o se necesitarán pruebas adicionales para garantizar la conformidad absoluta?

    Los clientes deben administrar su propia certificación de conformidad con PCI DSS, y se requerirán pruebas adicionales para verificar que su entorno cumpla con todos los requisitos de PCS DSS. Sin embargo, para la parte del entorno de datos del titular de la tarjeta (CDE) de PCI que se implementa en AWS, su Asesor de seguridad cualificado (QSA) puede confiar en la certificación de conformidad (AOC) de AWS sin más pruebas.

  • ¿Cómo puedo saber de qué controles de PCI DSS soy responsable?

    Para obtener información detallada, consulte "Resumen de responsabilidad con PCI DSS 3.2 2017 de AWS" del paquete de conformidad PCI DSS de AWS, disponible para los clientes mediante el uso de AWS Artifact, un portal de autoservicio para el acceso bajo demanda a los informes de conformidad de AWS. Puede iniciar sesión en AWS Artifact en la consola de administración de AWS u obtener más información en Introducción a AWS Artifact.

  • ¿Cómo puedo obtener el Paquete de conformidad con PCI de AWS?

    El Paquete de conformidad con PCI de AWS se encuentra disponible para clientes mediante el uso de AWS Artifact, un portal autoservicio de acceso bajo demanda a informes de conformidad de AWS. Puede iniciar sesión en AWS Artifact en la consola de administración de AWS u obtener más información en Introducción a AWS Artifact.

  • ¿Qué contiene el paquete de conformidad PCI DSS de AWS?

    El paquete de conformidad PCI de AWS incluye:

    • Declaración de Conformidad (AOC) con PCI DSS 3.2 de AWS
    • Resumen de responsabilidad con PCI DSS 3.2 2017 de AWS

  • ¿AWS aparece en el registro global de proveedores de servicios de Visa y en la lista de proveedores de servicios en conformidad de MasterCard?

    Sí, AWS aparece en el registro global de proveedores de servicios de Visa y en la lista de proveedores de servicios en conformidad de MasterCard. Las listas de proveedores de servicios demuestran que AWS ha validado correctamente la conformidad con PCI DSS y ha cumplido todos los requisitos correspondientes de los programas de Visa y MasterCard.

  • ¿El estándar PCI DSS requiere entornos de un único inquilino para lograr la conformidad?

    No. El entorno de AWS es un entorno virtualizado de varios inquilinos. AWS ha implementado con efectividad procesos de administración de la seguridad, requisitos de PCI DSS y otros controles compensatorios que asignan de manera efectiva y segura a cada cliente su propio entorno protegido. Un asesor de seguridad cualificado independiente ha validado esta arquitectura y ha observado que cumple todos los requisitos de la versión 3.2 de PCI DSS publicada en abril de 2016.

    El Consejo de Estándares de Seguridad de PCI ha publicado el documento Directrices de informática en la nube de PCI DSS 2.0 para clientes, proveedores de servicios y asesores de servicios de informática en la nube. En él, también se describen modelos de servicio y cómo las funciones y responsabilidades de conformidad se comparten entre proveedores y clientes.

    Además, el documento Third-Party Security Assurance 2016 incluye información adicional que las organizaciones pueden usar para seleccionar, usar y administrar proveedores de servicios externos con los que comparten datos de titulares de tarjetas.

  • ¿Los QSA para comerciantes de nivel 1 requieren un recorrido físico de los centros de datos de AWS?

    No. La certificación de conformidad (AOC) de AWS demuestra una evaluación exhaustiva de los controles de seguridad física de los centros de datos de AWS. No es necesario que un QSA de un comerciante verifique la seguridad de los centros de datos de AWS.

  • ¿AWS es compatible con las investigaciones forenses?

    Sí. AWS lleva a cabo investigaciones forenses de conformidad con el requisito A 1.4 de PCI DSS. Los clientes o sus asesores de respuestas ante incidentes cualificados pueden contactarse con AWS si es necesario para realizar investigaciones forenses.

  • ¿Debo especificar algún entorno especial conforme con PCI DSS a la hora de conectar con los servidores o cargar objetos en la tienda?

    Siempre que utilice los servicios de AWS que logran la conformidad con PCI DSS, toda la infraestructura que admite los servicios dentro del ámbito es compatible y no hay un entorno separado o una API especial para usar. Todos los servidores u objetos de datos que se implementen mediante estos servicios se encuentran en un entorno global conforme con PCI DSS. Para obtener una lista de los servicios de AWS que logran la conformidad con PCI DSS, consulte la pestaña PCI en la página web Servicios de AWS en el ámbito del programa de conformidad.

  • ¿La conformidad de AWS se aplica a nivel internacional?

    Sí. Los centros de datos ubicados en las siguientes ubicaciones están en conformidad con el estándar PCI DSS: EE.UU. Este (Norte de Virginia), EE.UU. Este (Ohio), EE.UU. Oeste (Oregón), EE.UU. Oeste (Norte de California), AWS GovCloud (EE.UU.), Canadá (Central), Europa (Irlanda), Europa (Fráncfort), Europa (Londres), Asia Pacífico (Singapur), Asia Pacífico (Sídney), Asia Pacífico (Tokio), Asia Pacífico (Seúl), Asia Pacífico (Mumbai) y América del Sur (São Paulo).

  • ¿El estándar PCI DSS es público?

    Sí. Puede descargar los estándares PCI DSS de la Biblioteca de documentos del Consejo de Estándares de Seguridad de PCI.

  • ¿Algún usuario de la plataforma de AWS ha logrado la certificación PCI DSS?

    Sí, muchos clientes de AWS han implementado y certificado con éxito parte o la totalidad de sus entornos de titulares de tarjetas de crédito basados en AWS. AWS no puede revelar el nombre de los clientes que han obtenido la certificación PCI DSS; sin embargo, colabora regularmente con sus clientes y los asesores de PCI DSS a la hora de planificar, implementar, certificar y analizar trimestralmente los entornos de titulares de tarjetas de crédito basados en AWS.

  • ¿Cómo pueden lograr conformidad con PCI DSS las compañías?

    Existen dos métodos principales que las compañías pueden utilizar para validar su conformidad con PCI DSS de forma anual. El primer método es disponer de un asesor de seguridad cualificado (QSA) que evalúe el entorno aplicable y elabore un Informe de Conformidad (ROC) y una Declaración de Conformidad (AOC). Este método es el más común entre las compañías que administran grandes volúmenes de transacciones. El segundo método consiste en realizar un Cuestionario de Autoevaluación (SAQ). Es el método más común entre las compañías que administran volúmenes de transacciones de menor tamaño.

    Es importante tener en cuenta que las marcas y adquisidores de pago son responsables de exigir la conformidad, no el Consejo de PCI.

  • ¿Cuáles son los requisitos de conformidad con el PCI DSS?

    A continuación, se incluye un resumen de los requisitos de PCI DSS.

    Crear y mantener una red y unos sistemas seguros

    1. Instalar y mantener una configuración de firewall para proteger los datos de los titulares

    2. No utilizar la configuración predeterminada proporcionada por los distribuidores para contraseñas de sistemas y otros parámetros de seguridad

    Proteger los datos de los titulares de las tarjetas

    3. Proteger los datos almacenados de los titulares de las tarjetas

    4. Cifrar la transmisión de datos de los titulares de las tarjetas en redes abiertas y públicas

    Disponer de un programa de administración de vulnerabilidades

    5. Proteger todos los sistemas contra malware y actualizar con frecuencia el software o los programas antivirus

    6. Desarrollar y mantener sistemas y aplicaciones seguros

    Implementar medidas de control del acceso sólidas

    7. Restringir el acceso a los datos de los titulares de las tarjetas únicamente a aquellos que lo necesiten

    8. Identificar y autenticar el acceso a los componentes de los sistemas

    9. Restringir el acceso físico a los datos de los titulares de las tarjetas

    Supervisar y probar las redes con frecuencia

    10. Supervisar y controlar todo el acceso a los recursos de la red y a los datos de los titulares de las tarjetas

    11. Probar los sistemas y procesos de seguridad con frecuencia

    Disponer de una política de seguridad de la información

    12. Mantener una política que incluya la seguridad de la información para todo el personal

  • ¿Cuál es la posición de AWS sobre el soporte continuo del protocolo TLS 1.0?

    AWS no tiene una campaña para dejar de usar TLS 1.0 en todos los servicios debido a algunos clientes (por ejemplo, no PCI) que requieren la opción de este protocolo; sin embargo, los servicios de AWS evalúan individualmente el impacto del cliente para inhabilitar TLS 1.0 para su servicio y pueden optar por dejar de usarlo. 

  • ¿Cómo configura un cliente la arquitectura de AWS para cumplir con los requisitos de PCI para obtener un TLS seguro?

    Todos los servicios de AWS en el ámbito para PCI permiten TLS 1.1 o superior y algunos de estos servicios también son compatibles con TLS 1.0 para clientes (no PCI) que lo requieran. Es responsabilidad del cliente actualizar sus sistemas para iniciar un protocolo de enlace con AWS que utilice TLS seguro, es decir, TLS 1.1 o superior. Los clientes deben usar y configurar balanceadores de carga de AWS (Application Load Balancers o Classic Load Balancers) para comunicaciones seguras utilizando TLS 1.1 o superior seleccionando una política de seguridad AWS predefinida que pueda garantizar que la negociación del protocolo de cifrado entre un cliente y el balanceador de carga utilice, p. ej., TLS 1.2. Por ejemplo, la política de seguridad de AWS Load Balancer ELBSecurityPolicy-TLS-1-2-2018-06 solo es compatible con TLS 1.

     

  • Si un análisis de ASV (proveedor de análisis aprobado) identifica a TLS 1.0 en un punto de enlace de API de AWS, significa que la API sigue siendo compatible con TLS 1.0 y con TLS 1.1 o versión superior. Algunos servicios de AWS en el ámbito para PCI aún pueden habilitar TLS 1.0 para los clientes que lo requieren para cargas de trabajo que no sean PCI. El cliente puede proporcionar pruebas al ASV de que el punto de enlace de la API de AWS admite TLS 1.1 o versión superior utilizando una herramienta, como Qualys SSL Labs, para identificar los protocolos utilizados. El cliente también puede proporcionar evidencia de que permiten un protocolo de enlace TLS seguro conectándose a través de AWS Classic o Application Load Balancer que está configurado con una Política de seguridad de AWS Load Balancer que solo admite TLS 1.1 o versión superior (por ejemplo, ELBSecurityPolicy-TLS-1-2- 2017-01 solo es compatible con v1.2). El ASV puede requerir que el cliente siga un proceso de disputa de vulnerabilidad de análisis y la evidencia resumida se puede usar como prueba de conformidad. Alternativamente, involucrar a su ASV con anticipación y proporcionar esta evidencia al ASV antes del análisis puede agilizar la evaluación y respaldar un análisis del ASV pasajero.

     

compliance-contactus-icon
¿Tiene preguntas? ¿Necesita ponerse en contacto con un representante empresarial de AWS?
¿Está buscando trabajo en el sector de conformidad?
Inscríbase hoy mismo »
¿Desea recibir novedades acerca de asuntos de conformidad en AWS?
Síganos en Twitter »