PCI DSS

Présentation

La norme PCI DSS (Payment Card Industry Data Security Standard) est une norme de sécurité protégeant les informations confidentielles administrée par le Conseil des normes de sécurité PCI, fondé par American Express, Discover Financial Services, JCB International, MasterCard Worldwide et Visa Inc.

La norme PCI DSS s'applique aux entités qui stockent, traitent ou transmettent des données de titulaires de cartes et/ou des données d'authentification sensibles, notamment les commerçants, les sous-traitants, les acheteurs, les distributeurs et les fournisseurs de services. La norme PCI DSS est exigée par les marques de cartes de paiement et administrée par le Conseil des normes de sécurité PCI.

L'attestation de conformité (Attestation of Compliance ou AOC) à la norme PCI DSS et le récapitulatif des responsabilités sont mis à disposition des clients par l'intermédiaire d'AWS Artifact, un portail en libre-service qui permet d'accéder à la demande aux rapports de conformité d'AWS. Inscrivez-vous à AWS Artifact dans AWS Management Console, ou obtenez plus d'informations sur la page Mise en route avec AWS Artifact.

• AWS a-t-elle reçu la certification PCI DSS ?

  Oui, Amazon Web Services (AWS) a été certifiée en tant que fournisseur de services PCI DSS de niveau 1, soit le plus haut niveau d'évaluation disponible. L'évaluation de conformité a été réalisée par Coalfire Systems Inc., un auditeur de sécurité qualifié (QSA) indépendant. L'attestation de conformité (AOC) à la norme PCI DSS et le récapitulatif des responsabilités sont mis à disposition des clients par l'intermédiaire d'AWS Artifact, un portail en libre-service qui permet d'accéder à la demande aux rapports de conformité d'AWS. Inscrivez-vous à AWS Artifact dans AWS Management Console, ou obtenez plus d'informations sur la page Mise en route avec AWS Artifact.
  

• Quels services AWS sont conformes à la norme PCI DSS ?

  Pour obtenir la liste des services AWS conformes à la norme PCI DSS, consultez l'onglet « PCI » de la page web Services AWS concernés par le programme de conformité. Pour plus d'informations sur l'utilisation de ces services, veuillez nous contacter.
  

• Qu'est-ce que cela signifie pour moi, en tant que commerçant ou fournisseur de services PCI DSS ?

  En tant que client qui utilise les services AWS pour stocker, traiter ou transmettre les données de titulaires de cartes, vous pouvez compter sur l'infrastructure technologique d'AWS lorsque vous gérez votre propre certification de conformité à la norme PCI DSS.

  AWS ne stocke, ne transmet ou ne traite pas directement les données de titulaires de cartes (cardholder data ou CHD) de ses clients. Toutefois, vous pouvez créer votre propre environnement de données de titulaires de cartes (cardholder data environnement ou CDE) pour stocker, transmettre ou traiter les données de titulaires de cartes à l'aide des services AWS.
  

• Qu'est-ce que cela signifie pour moi en tant que client commerçant non PCI DSS ?

  Même si vous êtes un client qui n'est pas concerné par la norme PCI DSS, notre conformité à cette norme nous permet de témoigner notre engagement vis-à-vis de la sécurité des informations, et ce, à tous les niveaux. La norme PCI DSS étant validée par un tiers externe et indépendant, cela confirme que notre programme de gestion de la sécurité est complet et respecte les principales pratiques du secteur.
  

• En tant que client AWS, puis-je m'appuyer sur l'attestation de conformité d'AWS ou des tests supplémentaires seront-ils nécessaires pour être totalement conforme ?

  Tous les clients doivent gérer leur propre certification de conformité à la norme PCI DSS, et des tests supplémentaires devront être réalisés afin de vérifier que votre environnement répond bien à toutes les exigences établies par la norme PCI DSS. Cependant, pour ce qui est de la portion de l'environnement des données de titulaires de cartes (CDE) déployée sur AWS relativement à la norme PCI, votre auditeur de sécurité qualifié (QSA) peut se fier à votre attestation de conformité (AOC) AWS et n'a pas besoin de réaliser des tests supplémentaires.
  

• Comment puis-je connaître les contrôles PCI DSS dont je suis responsable ?

  Pour obtenir des informations détaillées, consultez le « Récapitulatif AWS des responsabilités relatives à la norme PCI DSS » dans le programme de conformité à la norme PCI DSS d'AWS, mis à disposition des clients par l'intermédiaire d'AWS Artifact, un portail en libre-service qui permet d'accéder à la demande aux rapports de conformité d'AWS. Inscrivez-vous à AWS Artifact dans AWS Management Console, ou obtenez plus d'informations sur la page Mise en route avec AWS Artifact.
  

• Comment puis-je profiter du programme de conformité PCI d'AWS ?

  Le programme de conformité PCI d'AWS est disponible pour les clients par le biais d'AWS Artifact, un portail en libre-service qui permet d'accéder à la demande aux rapports de conformité d'AWS. Inscrivez-vous à AWS Artifact dans AWS Management Console, ou obtenez plus d'informations sur la page Mise en route avec AWS Artifact.
  

• Que contient le programme de conformité PCI DSS d'AWS ?

  Le programme de conformité PCI d'AWS comprend les éléments suivants :

  • Attestation de conformité PCI DSS 3.2.1 d'AWS
  • Récapitulatif des responsabilités PCI DSS 3.2.1 d'AWS

• AWS figure-t-il dans le registre mondial des prestataires de services de Visa et sur la liste des prestataires de services conformes de MasterCard ?

  Oui, AWS figure dans le registre mondial des prestataires de services de Visa et dans la liste des prestataires de services conformes de MasterCard. L'inscription sur ces listes de prestataires de services démontre à nouveau qu'AWS a confirmé avec succès sa conformité avec la norme et a rempli toutes les exigences applicables des programmes de Visa et MasterCard.
  

• La norme PCI DSS requiert-elle des environnements en location exclusive pour obtenir la conformité ?

  L'environnement AWS est un environnement virtualisé à locataires multiples. AWS a mis en place des processus de gestion de la sécurité, des exigences PCI DSS et d'autres contrôles compensatoires qui séparent de manière efficace et sécurisée chaque client dans son propre environnement protégé. Cette architecture a été validée par un QSA indépendant et a été déclarée conforme à toutes les exigences PCI DSS applicables.

  Le Conseil des normes de sécurité PCI a publié le document PCI DSS Cloud Computing Guidelines (Directives de cloud computing PCI DSS) à l'attention des clients, des prestataires de services et des évaluateurs de services de cloud computing. Ces recommandations décrivent aussi les modèles de service et la manière dont les rôles et les responsabilités en matière de conformité sont partagés entre les fournisseurs et les clients.
  

• Les QSA pour les commerçants de niveau 1 doivent-ils visiter physiquement les centres de données d'AWS ?

  Non. L'attestation de conformité (AOC) d'AWS témoigne de l'évaluation approfondie réalisée au niveau des contrôles de sécurité physique dans les centres de données AWS. Il n'est pas nécessaire que le QSA d'un commerçant vérifie la sécurité des centres de données AWS.
  

• AWS prend-il en charge les enquêtes judiciaires ?

  AWS n'est pas considéré comme un « fournisseur d'hébergement partagé » selon PCI-DSS. À ce titre, la norme DSS A1.4 ne s'applique pas. Conformément à notre Modèle de responsabilité partagée, nous permettons à nos clients de procéder à des enquêtes judiciaires dans leurs propres environnements AWS sans avoir besoin d'aide supplémentaire de la part d'AWS. Cet outil pratique est fourni dans le cadre de l'utilisation des services AWS et de solutions tierces disponibles sur AWS Marketplace. Pour plus d'informations, consultez les ressources suivantes :

  • Simplifier les réponses aux incidents et les enquêtes judiciaires sur AWS
  • Guide des réponses aux incidents de sécurité AWS

• Dois-je spécifier un environnement conforme PCI DSS en particulier lorsque je mets en place des serveurs ou que j'importe des objets à stocker ?

  Tant que vous utilisez des services AWS conformes à la norme PCI DSS, toute l'infrastructure qui prend en charge les services concernés est également conforme, et vous n'avez pas besoin d'utiliser un environnement différent ou un API spécial. Tout serveur ou objet de données déployé dans ces services ou les utilisant se trouve dans un environnement conforme PCI DSS, et ce dans le monde entier. Pour obtenir la liste des services AWS conformes à la norme PCI DSS, consultez l'onglet « PCI » de la page Web Services AWS concernés par le programme de conformité.
  

• La conformité d'AWS est-elle applicable dans le monde entier ?

  Oui. Reportez-vous à la dernière AOC PCI DSS dans AWS Artifact pour consulter la liste complète des emplacements conformes.
  

• La norme PCI DSS est-elle publique ?

  Oui. Vous pouvez télécharger la norme PCI DSS depuis le PCI Security Standards Council Document Library (Fonds documentaire sur le Conseil des normes de sécurité PCI).
  

• Quelqu'un a-t-il obtenu la certification PCI DSS sur la plateforme AWS ?

  Oui, de nombreux clients d'AWS ont déployé et certifié avec succès une partie ou l'intégralité de leurs environnements de titulaires de cartes sur AWS. AWS ne divulgue pas les noms des clients qui ont obtenu la certification PCI DSS, mais travaille régulièrement avec les clients et leurs experts PCI DSS pour planifier, déployer, certifier et réaliser des analyses trimestrielles de l'environnement des titulaires de cartes sur AWS.
  

• Comment s'y prennent les entreprises pour assurer leur conformité avec la norme PCI DSS ?

  Les entreprises adoptent principalement deux approches pour valider leur conformité à la norme PCI DSS chaque année. La première approche consiste à faire évaluer votre environnement applicable par un expert en sécurité compétent ou QSA (Qualified Security Assessor) externe, puis à créer un rapport sur la conformité et une attestation de conformité ; il s'agit de l'approche la plus couramment adoptée par les entités amenées à gérer d'importants volumes de transactions. La seconde approche consiste à répondre à un questionnaire d'autoévaluation ou SAQ (Self-Assessment Questionnaire) ; il s'agit de l'approche la plus couramment adoptée par les entités amenées à gérer de faibles volumes de transactions.

  Il convient de noter que les sociétés de cartes de paiement et les acheteurs sont tenus de garantir la conformité ; ce n'est pas le rôle du Conseil des normes de sécurité PCI.
  

• Quelles sont les exigences de conformité à la norme PCI DSS ?

  Voici une présentation détaillée des exigences de la norme PCI DSS.

  Créer et maintenir un réseau et des systèmes sécurisés	1. Installer et maintenir une configuration de pare-feu pour protéger les données des titulaires de cartes 2. Ne pas utiliser les valeurs par défaut des fournisseurs pour les mots de passe système et d'autres paramètres de sécurité
  Protéger les données des titulaires de cartes	3. Protéger les données stockées sur les titulaires de cartes 4. Chiffrer la transmission des données des titulaires de cartes sur les réseaux publics ouverts
  Respecter un programme de gestion de la vulnérabilité	5. Protéger tous les systèmes contre les logiciels malveillants et mettre régulièrement à jour les logiciels ou programmes antivirus 6. Développer et maintenir des systèmes et des applications sécurisés
  Mettre en œuvre de solides mesures de contrôle d'accès	7. Limiter l'accès aux données de titulaires de cartes aux entités qui ont besoin de connaître ces informations 8. Identifier et authentifier l'accès aux composants du système 9. Limiter l'accès physique aux données de titulaires de cartes
  Surveiller et tester régulièrement les réseaux	10. Suivre et surveiller tous les accès aux ressources du réseau et aux données de titulaires de cartes 11. Tester régulièrement les systèmes et processus de sécurité
  Respecter une politique de sécurité des informations	12. Respecter une politique en matière de sécurité des informations applicable à l'ensemble du personnel

• Quelle est la position d'AWS concernant la prise en charge continue du protocole TLS 1.0 ?

  AWS ne milite pas pour l'obsolescence du protocole TLS 1.0 au niveau de tous les services, car certains clients (par exemple, ceux qui ne sont pas concernés par la norme PCI) peuvent avoir besoin de ce protocole en option. Cependant, les services AWS évaluent individuellement les conséquences pour le client en cas de désactivation du protocole TLS 1.0 pour leur service, et peuvent choisir de rendre celui-ci obsolète. Les clients peuvent également utiliser des points de terminaison FIPS afin de garantir l'utilisation d'un chiffrement robuste. AWS mettra à jour tous les points de terminaison FIPS au minimum à la version TLS 1.2. Consultez cet article de blog pour en savoir plus.
  

• Comment un client peut-il configurer son architecture AWS de manière à répondre aux exigences de la norme PCI concernant la sécurité du protocole TLS ?

  Tous les services AWS concernés par la norme PCI prennent en charge le protocole TLS 1.1 ou ses versions postérieures, et certains de ces services prennent également en charge le protocole TLS 1.0 pour les clients (non concernés par la norme PCI) qui en ont besoin. Il est de la responsabilité du client de mettre à jour ses systèmes pour initier son adhésion à AWS qui utilise des protocoles TLS sécurisés, c'est-à-dire une version 1.1 ou postérieure. Les clients doivent utiliser et configurer les équilibreurs de charge AWS (équilibreurs de charge d'application ou équilibreurs de charge classique) pour des communications sécurisées en utilisant un protocole TLS 1.1 ou une version postérieure et en sélectionnant une politique de sécurité AWS prédéfinie capable d'assurer la négociation du protocole de chiffrement entre un client et l'équilibreur de charge (en utilisant par exemple un protocole TLS 1.2). La politique de sécurité sur les équilibreurs de charge AWS « ELBSecurityPolicy-TLS-1-2-2018-06 » ne prend par exemple en charge que le protocole TLS 1.2.
  

• Quelle est la mesure qu'il est recommandé à un client de prendre si le protocole TLS 1.0 apparaît dans ses résultats d'exploration ?

  Si le balayage ASV (Approved Scanning Vendor, fournisseur de balayage approuvé) d'un client permet d'identifier un protocole TLS 1.0 sur le point de terminaison d'un API AWS, cela signifie que l'API prend toujours en charge le protocole TLS 1.0, ainsi que les versions 1.1 ou postérieures. Il est possible que certains des services AWS concernés par la norme PCI prennent toujours en charge le protocole TLS 1.0 pour les clients qui en ont besoin pour des charges de travail non liées à la norme PCI. Le client peut apporter à l'ASV la preuve que le point de terminaison de l'API AWS prend en charge le protocole TLS 1.1 ou une version postérieure en utilisant un outil, tel que Qualys SSL Labs, pour identifier les protocoles utilisés. Le client peut également fournir la preuve de la prise en charge d'une adhésion sécurisée au protocole TLS en se connectant par l'intermédiaire d'un Elastic Load Balancer AWS configuré à l'aide d'une politique de sécurité appropriée qui ne prend en charge que le protocole TLS 1.1 ou une version postérieure (par exemple, ELBSecurityPolicy-TLS-1-2-2017-01 ne prend en charge que la version 1.2). L'ASV peut demander au client de se soumettre à un processus de règlement des vulnérabilités par balayage, et les preuves qui en ressortent peuvent être utilisées comme témoins de sa conformité. Alternativement, faire appel assez tôt à un ASV et fournir toute preuve à celui-ci avant le balayage peut simplifier l'évaluation et favoriser votre réussite vis-à-vis du balayage de l'ASV.