Je souhaite obtenir des informations sur la norme PCI DSS dans le cloud
Conformité PCI d'AWS

La norme PCI DSS (Payment Card Industry Data Security Standard) est une norme de sécurité protégeant les informations confidentielles et administrée par le Conseil des normes de sécurité PCI, fondé par American Express, Discover Financial Services, JCB International, MasterCard Worldwide et Visa Inc.

La norme PCI DSS s'applique à toutes les entités qui stockent, traitent ou transmettent des données de titulaires de cartes et/ou des données d'authentification sensibles, notamment les commerçants, les sous-traitants, les acheteurs, les distributeurs et les fournisseurs de services. La norme est exigée par les marques de cartes de paiement et administrée par le Conseil des normes de sécurité PCI.

Demandez l'attestation de conformité et le récapitulatif des responsabilités PCI DSS en utilisant AWS Artifact



Oui, AWS est certifié conforme à la norme PCI DSS depuis 2010. Le 11 juillet 2016, une entreprise externe experte en sécurité compétente ou QSAC (Qualified Security Assessor Company), Coalfire Systems Inc., a confirmé la réussite d'Amazon Web Services (AWS) à l'évaluation des fournisseurs de services de niveau 1 des normes de sécurité des données PCI 3.2 (PCI Data Security Standards 3.2 Level 1 Service Provider) et la conformité de tous les services présentés ci-dessous.

Les niveaux de fournisseurs de services sont définis comme suit :

Niveau 1 : Tout fournisseur de services qui stocke, traite et/ou transmet plus de 300 000 transactions par an

Niveau 2 : Tout fournisseur de services qui stocke, traite et/ou transmet moins de 300 000 transactions par an

Amazon Web Services (AWS) est un fournisseur de services de cloud qui ne stocke, ne transmet ou ne traite pas directement les données de titulaires de cartes. Toutefois, les clients AWS peuvent créer leur propre environnement de données de carte (CDE) qui peut stocker, transmettre ou traiter des données de titulaires de cartes à l'aide des produits AWS.

Les services AWS couverts qui sont déjà conformes à la norme PCI DSS sont indiqués à la page Services AWS concernés par le programme de conformité. Si vous souhaitez en savoir plus sur l'utilisation de ces services et/ou si vous êtes intéressé par d'autres services, veuillez nous contacter.

AWS étant conforme à la norme PCI DSS, les clients qui utilisent les produits et services AWS pour stocker, traiter ou transmettre des données de titulaires de cartes peuvent s'appuyer sur notre infrastructure technologique pour gérer leur certification de conformité à la norme PCI DSS.  

La conformité d'AWS à la norme PCI DSS témoigne, ici encore, de son engagement en matière de sécurité des informations à tous les niveaux. La norme PCI DSS étant validée par un tiers indépendant, cela confirme que notre programme de gestion de la sécurité est complet et respecte les principales pratiques du secteur. Cette validation rassure nos clients quant à nos pratiques en matière de sécurité.

Toutes les entités doivent gérer leur propre certification de conformité à la norme PCI DSS. En ce qui concerne la portion de l'environnement des titulaires de cartes PCI déployée dans AWS, votre QSA peut s'appuyer sur l'attestation de conformité d'AWS, mais vous devrez toujours satisfaire toutes les autres exigences de la norme PCI DSS

Pour plus d'informations, consultez le récapitulatif des responsabilités PCI DSS 3.2 2016 d'AWS dans le cadre du programme de conformité PCI DSS d'AWS, disponible sur demande.

Le programme de conformité PCI d'AWS est disponible pour les clients utilisant AWS Artifact, un portail en libre-service qui permet d'accéder sur demande aux rapports de conformité d'AWS. Démarrez avec AWS dès aujourd'hui.

Le programme de conformité PCI DSS d'AWS comprend les éléments suivants :

•  Attestation de conformité PCI DSS 3.2 d'AWS
•  Récapitulatif des responsabilités PCI DSS 3.2 2016 d'AWS

Oui, AWS figure dans le registre mondial des prestataires de services de Visa et sur la liste des prestataires de services conformes de MasterCard. L'inscription sur ces listes de prestataires de services démontre une nouvelle fois qu'AWS a confirmé avec succès sa conformité avec la norme et a rempli toutes les exigences applicables des programmes de Visa et MasterCard.

Non. L'environnement AWS est un environnement virtualisé à locataires multiples. AWS a mis en place des processus de gestion de la sécurité, des exigences PCI DSS et d'autres contrôles compensatoires qui séparent de façon efficace et sécurisée chaque client dans son propre environnement protégé. Cette architecture a été validée par un QSA indépendant et a été déclarée conforme à toutes les exigences PCI DSS de la version 3.2 publiée en avril 2016.

Le Conseil des normes de sécurité PCI a publié des recommandations relatives au cloud computing sous le titre PCI DSS Cloud Computing Guidelines 2.0, à l'attention des clients, des prestataires de services et des évaluateurs de services de cloud computing. Ces recommandations décrivent également les modèles de service et la manière dont les rôles et les responsabilités en matière de conformité sont partagés entre les fournisseurs et les clients.

De plus, le document Third-Party Security Assurance 2016 fournit des informations supplémentaires pour aider les organisations à sélectionner, engager et gérer les fournisseurs de services tiers avec lesquels elles partagent ou prévoient de partager des données de titulaires de cartes.

Le QSA d'un commerçant peut toujours s'appuyer sur l'attestation de conformité d'AWS pour démontrer l'évaluation approfondie de contrôles de sécurité physique de centres de données AWS.

Oui. AWS gère les enquêtes judiciaires conformément à l'exigence DSS A 1.4. Les clients ou leurs experts en charge de répondre aux incidents de sécurité (QIRA, Qualified Incident Response Assessor) peuvent contacter AWS si nécessaire pour procéder à des enquêtes judiciaires.

Non. L'intégralité de l'infrastructure prenant en charge les services concernés est conforme et aucun environnement séparé ou API particulière ne doit être utilisé. Tout serveur ou objet de données déployé dans ces services ou les utilisant se trouve dans un environnement conforme PCI DSS, et ce dans le monde entier.

Oui. Les centres de données situés dans les régions suivantes sont conformes à la norme PCI DSS : USA Est (Virginie du Nord), USA Est (Ohio), USA Ouest (Oregon), USA Ouest (Californie du Nord), AWS GovCloud (US), Canada (Centre), Europe (Irlande), Europe (Francfort), Europe (Londres), Asie-Pacifique (Singapour), Asie-Pacifique (Sydney), Asie-Pacifique (Tokyo), Asie-Pacifique (Séoul), Asie-Pacifique (Mumbai) et Amérique du Sud (Sao Paulo).

Oui. Vous pouvez télécharger la norme directement auprès du Conseil des normes de sécurité PCI.

Oui, de nombreux clients d'AWS ont déployé et certifié avec succès une partie ou l'intégralité de leurs environnements de titulaires de cartes sur AWS. AWS ne divulgue pas les noms des clients qui ont obtenu la certification PCI DSS, mais travaille régulièrement avec les clients et leurs experts PCI DSS pour planifier, déployer, certifier et réaliser des analyses trimestrielles de l'environnement des titulaires de cartes sur AWS.

Les entreprises adoptent principalement deux approches pour valider leur conformité à la norme PCI DSS chaque année. La première approche consiste à faire évaluer votre environnement applicable par un expert en sécurité compétent ou QSA (Qualified Security Assessor) externe, puis à créer un rapport sur la conformité et une attestation de conformité ; il s'agit de l'approche la plus couramment adoptée par les entités amenées à gérer d'importants volumes de transactions. La seconde approche consiste à répondre à un questionnaire d'autoévaluation ou SAQ (Self-Assessment Questionnaire) ; il s'agit de l'approche la plus couramment adoptée par les entités amenées à gérer de faibles volumes de transactions.

Il convient de noter que les sociétés de cartes de paiement et les acheteurs sont tenus de garantir la conformité ; ce n'est pas le rôle du Conseil des normes de sécurité PCI.

Voici une présentation détaillée des 12 exigences de la norme PCI DSS.

Créer et maintenir un réseau et des systèmes sécurisés

1. Installer et maintenir une configuration de pare-feu pour protéger les données des titulaires de cartes

2. Ne pas utiliser les valeurs par défaut des fournisseurs pour les mots de passe système et d'autres paramètres de sécurité

Protéger les données des titulaires de cartes

3. Protéger les données stockées sur les titulaires de cartes

4. Chiffrer la transmission des données des titulaires de cartes sur les réseaux publics ouverts

Respecter un programme de gestion de la vulnérabilité

5. Protéger tous les systèmes contre les logiciels malveillants et mettre régulièrement à jour les logiciels ou programmes antivirus

6. Développer et maintenir des systèmes et des applications sécurisés

Mettre en œuvre de solides mesures de contrôle d'accès

7. Limiter l'accès aux données de titulaires de cartes aux entités qui ont besoin de connaître ces informations

8. Identifier et authentifier l'accès aux composants du système

9. Limiter l'accès physique aux données de titulaires de cartes

Surveiller et tester régulièrement les réseaux

10. Suivre et surveiller tous les accès aux ressources du réseau et aux données de titulaires de cartes

11. Tester régulièrement les systèmes et processus de sécurité

Respecter une politique de sécurité des informations

12. Respecter une politique en matière de sécurité des informations applicable à l'ensemble du personnel

 

Contactez-nous