Me gustaría recibir información sobre PCI DSS en la nube
Conformidad con PCI de AWS

El Estándar de Seguridad de los Datos de la Industria de las Tarjetas de Pago (también conocido como PCI DSS) es un estándar exclusivo de seguridad de la información administrado por el Consejo de Estándares de Seguridad de PCI, que se fue fundado por American Express, Discover Financial Services, JCB International, MasterCard Worldwide y Visa Inc.

PCI DSS a aplica a todas las entidades que almacenan, procesan o transmiten datos de titulares de tarjetas (CHD) y/o datos de autenticación confidenciales (SAD), incluyendo comerciantes, procesadores, adquisidores, emisores y proveedores de servicios. El PCI DSS existe bajo mandato de las marcas de tarjetas y está administrado por el Consejo de Estándares de Seguridad de la Industria de las Tarjetas de Pago.

Solicite la acreditación de conformidad (AOC) de las PCI DSS y el resumen de responsabilidad a través de AWS Artifact.



Sí, AWS posee la certificación PCI DSS desde 2010. A fecha del 11 de julio de 2016, una compañía evaluadora de seguridad cualificada (QSAC) externa, Coalfire Systems Inc. ha validado que Amazon Web Services (AWS) completó con éxito la evaluación de proveedor de servicios según los Estándares de Seguridad de los Datos PCI 3.2 de nivel 1 y se observó que cumplía con el mismo en todos los servicios descritos a continuación.

Los niveles de proveedores de servicios son los siguientes:

Nivel 1: cualquier proveedor de servicios que almacene, procese o transmita más de 300 000 transacciones anualmente

Nivel 2: cualquier proveedor de servicios que almacene, procese o transmita menos de 300 000 transacciones anualmente

Amazon Web Services (AWS) es un proveedor de servicios en la nube (CSP) que no almacena, transmite ni procesa directamente los datos de titulares de tarjetas (CHD). Sin embargo, los clientes de AWS pueden crear sus propios entornos de datos de tarjeta (CDE) capaces de almacenar, transmitir y procesar datos de titulares de tarjetas haciendo uso de los productos de AWS.

En Servicios de AWS en el ámbito del programa de conformidad podrá encontrar los servicios de AWS conformes con PCI DSS. Si desea más información sobre el uso de estos servicios o sobre otros servicios, contacte con nosotros.

El hecho de que AWS sea un proveedor de servicios "conforme" con PCI DSS significa que los clientes que utilizan los productos y servicios de AWS para almacenar, procesar o transmitir datos de titulares de tarjetas pueden confiar en nuestra infraestructura tecnológica al administrar su propia certificación de conformidad con PCI DSS.  

La conformidad con PCI DSS de AWS demuestra nuestro compromiso con la seguridad de la información a todos los niveles. Como el estándar PCI DSS está validado por un tercero externo e independiente, confirma que nuestro programa de administración de seguridad es exhaustivo y sigue las prácticas líder de la industria. Esta validación aporta a nuestros clientes confianza en nuestras prácticas de seguridad.

Todas las entidades deben administrar su propia certificación de conformidad con PCI DSS. En relación con la parte del entorno para titulares de tarjetas PCI implementado en AWS, su evaluador de seguridad cualificado puede confiar en la Declaración de Conformidad (AOC) de AWS, pero se le seguirá exigiendo que cumpla los demás requisitos de PCI DSS.

Para obtener información detallada, consulte "AWS 2016 PCI DSS 3.2 Responsibility Summary" del paquete de conformidad PCI DSS de AWS, disponible mediante solicitud.

El Paquete de conformidad con PCI de AWS se encuentra disponible para clientes que utilicen AWS Artifact, un portal autoservicio de acceso bajo demanda a informes de conformidad de AWS. Comience a utilizar AWS Artifact hoy mismo.

El paquete de conformidad PCI DSS de AWS incluye:

•  Declaración de Conformidad (AOC) con PCI DSS 3.2 de AWS
•  Resumen de responsabilidad con PCI DSS 3.2 2016 de AWS

Sí, AWS aparece en el registro global de proveedores de servicios de Visa y la lista de proveedores de servicios con conformidad de MasterCard. Los listados de proveedores de servicios demuestran que AWS ha validado con éxito la conformidad con PCI DSS y cumplido todos los requisitos aplicables del programa de Visa y MasterCard.

No. El entorno de AWS es un entorno virtualizado de varios inquilinos. AWS ha implementado con efectividad procesos de administración de la seguridad, requisitos de PCI DSS y otros controles compensatorios que asignan de manera efectiva y segura a cada cliente su propio entorno protegido. Un asesor de seguridad cualificado independiente ha validado esta arquitectura y ha observado que cumple todos los requisitos de la versión 3.2 de PCI DSS publicada en abril de 2016.

El Consejo de Estándares de Seguridad de PCI ha publicado el documento PCI DSS Cloud Computing Guidelines 2.0 como guía para clientes, proveedores de servicios y asesores de servicios de informática en la nube. En él, también se describen modelos de servicio y cómo las funciones y responsabilidades de conformidad se comparten entre proveedores y clientes.

Además, el documento Third-Party Security Assurance 2016 proporciona información adicional a las organizaciones para seleccionar, usar y administrar proveedores de servicios externos con los que comparten datos de titulares de tarjetas.

El evaluador de seguridad cualificado de un comerciante puede confiar en la Declaración de Conformidad (AOC) de AWS para demostrar una evaluación exhaustiva de los controles de seguridad físicos de los centros de datos de AWS.

Sí. AWS lleva a cabo investigaciones forenses de conformidad con el requisito A 1.4 de PCI DSS. Los clientes o sus asesores de respuestas ante incidentes cualificados pueden contactarse con AWS si es necesario para realizar investigaciones forenses.

No. Toda la infraestructura subyacente a los servicios mencionados anteriormente cumple el estándar y no hay que usar ningún entorno o API especial. Todos los servidores u objetos de datos que se implementen usando estos servicios se encuentran en un entorno global conforme con PCI DSS.

Sí. Los centros de datos ubicados en las siguientes ubicaciones están en conformidad con el estándar PCI DSS: EE.UU. Este (Norte de Virginia), EE.UU. Este (Ohio), EE.UU. Oeste (Oregón), EE.UU. Oeste (Norte de California), AWS GovCloud (EE.UU.), Canadá (Central), Europa (Irlanda), Europa (Fráncfort), Europa (Londres), Asia Pacífico (Singapur), Asia Pacífico (Sídney), Asia Pacífico (Tokio), Asia Pacífico (Seúl), Asia Pacífico (Mumbai) y América del Sur (São Paulo).

Sí. Puede descargarlo directamente del Consejo de estándares de seguridad de PCI.

Sí, muchos clientes de AWS han implementado y certificado con éxito parte o la totalidad de sus entornos de titulares de tarjetas de crédito basados en AWS. AWS no puede revelar el nombre de los clientes que han obtenido la certificación PCI DSS; sin embargo, colabora regularmente con sus clientes y los asesores de PCI DSS a la hora de planificar, implementar, certificar y analizar trimestralmente los entornos de titulares de tarjetas de crédito basados en AWS.

Existen dos métodos principales que las compañías pueden utilizar para validar su conformidad con PCI DSS de forma anual. El primer método es disponer de un asesor de seguridad cualificado (QSA) que evalúe el entorno aplicable y elabore un Informe de Conformidad (ROC) y una Declaración de Conformidad (AOC). Este método es el más común entre las compañías que administran grandes volúmenes de transacciones. El segundo método consiste en realizar un Cuestionario de Autoevaluación (SAQ). Es el método más común entre las compañías que administran volúmenes de transacciones de menor tamaño.

Es importante tener en cuenta que las marcas y adquisidores de pago son responsables de exigir la conformidad, no el Consejo de PCI.

A continuación, se incluye un resumen de los 12 requisitos de PCI DSS.

Crear y mantener una red y unos sistemas seguros

1. Instalar y mantener una configuración de firewall para proteger los datos de los titulares

2. No utilizar la configuración predeterminada proporcionada por los distribuidores para contraseñas del sistema y otros parámetros de seguridad

Proteger los datos de los titulares de las tarjetas

3. Proteger los datos almacenados de los titulares de las tarjetas

4. Cifrar la transmisión de datos de los titulares de las tarjetas en redes abiertas y públicas

Disponer de un programa de administración de la vulnerabilidad

5. Proteger todos los sistemas contra malware y actualizar con frecuencia el software o los programas antivirus

6. Desarrollar y mantener sistemas y aplicaciones seguros

Implementar medidas de control del acceso sólidas

7. Restringir el acceso a los datos de los titulares de las tarjetas por necesidad de conocerlos de la empresa

8. Identificar y autenticar el acceso a los componentes del sistema

9. Restringir el acceso físico a los datos de los titulares de las tarjetas

Supervisar y probar las redes con frecuencia

10. Supervisar y controlar todo el acceso a los recursos de la red y los datos de los titulares de las tarjetas

11. Probar los sistemas y procesos de seguridad con frecuencia

Disponer de una política de seguridad de la información

12. Mantener una política que incluya la seguridad de la información para todo el personal

 

Contacte con nosotros