PCI DSS

Présentation

140940_AWS_Multi-Logo Graphic_600x400_PCI

La norme PCI DSS (Payment Card Industry Data Security Standard) est une norme de sécurité protégeant les informations confidentielles et administrée par le Conseil des normes de sécurité PCI, fondé par American Express, Discover Financial Services, JCB International, MasterCard Worldwide et Visa Inc.

La norme PCI DSS s'applique à toutes les entités qui stockent, traitent ou transmettent des données de titulaires de cartes et/ou des données d'authentification sensibles, notamment les commerçants, les sous-traitants, les acheteurs, les distributeurs et les fournisseurs de services. La norme est exigée par les marques de cartes de paiement et administrée par le Conseil des normes de sécurité PCI.

L'attestation de conformité (Attestation of Compliance ou AOC) à la norme PCI DSS et le récapitulatif des responsabilités sont mis à disposition des clients par l'intermédiaire de l'utilisation d'AWS Artifact, un portail en libre-service qui permet d'accéder sur demande aux rapports de conformité d'AWS. Inscrivez-vous à AWS Artifact dans AWS Management Console ou apprenez-en plus sur la page Mise en route avec AWS Artifact.

  • AWS a-t-elle reçu la certification PCI DSS ?

    Oui, Amazon Web Services (AWS) a été certifiée en tant que fournisseur de services PCI DSS 3.2 de niveau 1, soit le plus haut niveau d'évaluation disponible. L'évaluation de conformité a été réalisée par Coalfire Systems Inc., un auditeur de sécurité qualifié (QSA) indépendant. L'attestation de conformité (AOC) à la norme PCI DSS et le récapitulatif des responsabilités sont mis à disposition des clients par l'intermédiaire de l'utilisation d'AWS Artifact, un portail en libre-service qui permet d'accéder sur demande aux rapports de conformité d'AWS. Inscrivez-vous à AWS Artifact dans AWS Management Console ou apprenez-en plus sur la page Mise en route avec AWS Artifact.

  • Quels services AWS sont conformes à la norme PCI DSS ?

    Pour obtenir la liste des services AWS conformes à la norme PCI DSS, consultez l'onglet « PCI » de la page web Services AWS concernés par le programme de conformité. Pour plus d'informations sur l'utilisation de ces services, veuillez nous contacter.

  • Qu'est-ce que cela signifie pour moi en tant que commerçant ou fournisseur de services PCI DSS ?

    En tant que client qui utilise les produits et services AWS pour stocker, traiter ou transmettre les données de titulaires de cartes, vous pouvez compter sur l'infrastructure technologique d'AWS lorsque vous gérez votre propre certification de conformité à la norme PCI DSS.

    AWS ne stocke, ne transmet ou ne traite pas directement les données de titulaires de cartes (cardholder data ou CHD) de ses clients. Toutefois, vous pouvez créer votre propre environnement de données de titulaires de cartes (cardholder data environnement ou CDE) pour stocker, transmettre ou traiter les données de titulaires de cartes à l'aide des produits AWS.

  • Qu'est-ce que cela signifie pour moi en tant que client commerçant non PCI DSS ?

    Même si vous êtes un client qui n'est pas concerné par la norme PCI DSS, notre conformité à cette norme nous permet de témoigner notre engagement vis-à-vis de la sécurité des informations, et ce, à tous les niveaux. La norme PCI DSS étant validée par un tiers externe et indépendant, cela confirme que notre programme de gestion de la sécurité est complet et respecte les principales pratiques du secteur.

  • En tant que client AWS, puis-je m'appuyer sur l'attestation de conformité d'AWS ou des tests supplémentaires seront-ils nécessaires pour être totalement conforme ?

    Tous les clients doivent gérer leur propre certification de conformité à la norme PCI DSS, et des tests supplémentaires devront être réalisés afin de vérifier que votre environnement répond bien à toutes les exigences établies par la norme PCI DSS. Cependant, pour ce qui est de la portion de l'environnement des données de titulaires de cartes (CDE) déployée sur AWS relativement à la norme PCI, votre auditeur de sécurité qualifié (QSA) peut se fier à votre attestation de conformité (AOC) AWS et n'a pas besoin de réaliser des tests supplémentaires.

  • Comment puis-je connaître les contrôles PCI DSS dont je suis responsable ?

    Pour obtenir des informations détaillées, veuillez consulter la version 3.2 du « Récapitulatif AWS 2016 des responsabilités relatives à la norme PCI DSS » dans le programme de conformité à la norme PCI DSS d'AWS, mis à disposition des clients par l'intermédiaire d'AWS Artifact, un portail en libre-service qui permet d'accéder sur demande aux rapports de conformité d'AWS. Inscrivez-vous à AWS Artifact dans AWS Management Console ou apprenez-en plus sur la page Démarrez avec AWS Artifact.

  • Comment puis-je bénéficier du programme de conformité PCI d'AWS ?

    Le programme de conformité PCI d'AWS est disponible pour les clients utilisant AWS Artifact, un portail en libre-service qui permet d'accéder sur demande aux rapports de conformité d'AWS. Inscrivez-vous à AWS Artifact dans AWS Management Console ou apprenez-en plus sur la page Mise en route avec AWS Artifact.

  • Que contient le programme de conformité PCI DSS d'AWS ?

    Le programme de conformité PCI d'AWS comprend les éléments suivants :

    • Attestation de conformité PCI DSS 3.2 d'AWS
    • Récapitulatif des responsabilités PCI DSS 3.2 2017 d'AWS

  • AWS figure-t-il dans le registre mondial des prestataires de services de Visa et sur la liste des prestataires de services conformes de MasterCard ?

    Oui, AWS figure dans le registre mondial des prestataires de services de Visa et dans la liste des prestataires de services conformes de MasterCard. L'inscription sur ces listes de prestataires de services démontre une nouvelle fois qu'AWS a confirmé avec succès sa conformité avec la norme et a rempli toutes les exigences applicables des programmes de Visa et MasterCard.

  • La norme PCI DSS requiert-elle des environnements en location exclusive pour obtenir la conformité ?

    Non. L'environnement AWS est un environnement virtualisé à locataires multiples. AWS a mis en place des processus de gestion de la sécurité, des exigences PCI DSS et d'autres contrôles compensatoires qui séparent de façon efficace et sécurisée chaque client dans son propre environnement protégé. Cette architecture a été validée par un QSA indépendant et a été déclarée conforme à toutes les exigences PCI DSS de la version 3.2 publiée en avril 2016.

    Le Conseil des normes de sécurité PCI a publié PCI DSS Cloud Computing Guidelines 2.0 à l'attention des clients, des prestataires de services et des évaluateurs de services de cloud computing. Ces recommandations décrivent également les modèles de service et la manière dont les rôles et les responsabilités en matière de conformité sont partagés entre les fournisseurs et les clients.

    De plus, le document Third-Party Security Assurance 2016 (assurance de sécurité des tiers, 2016) fournit des informations supplémentaires que les organisations peuvent utiliser pour sélectionner, engager et gérer les fournisseurs de services tiers avec lesquels elles partagent ou prévoient de partager des données de titulaires de cartes.

  • Les QSA pour les commerçants de niveau 1 doivent-ils visiter physiquement les centres de données d'AWS ?

    Non. L'attestation de conformité (AOC) d'AWS témoigne de l'évaluation approfondie réalisée au niveau des contrôles de sécurité physique dans les centres de données AWS. Il n'est pas nécessaire que le QSA d'un commerçant vérifie la sécurité des centres de données AWS.

  • AWS prend-elle en charge les enquêtes médico-légales ?

    Oui. AWS gère les enquêtes judiciaires conformément à l'exigence DSS A 1.4. Les clients ou leurs experts en charge de répondre aux incidents de sécurité (QIRA, Qualified Incident Response Assessor) peuvent contacter AWS si nécessaire pour procéder à des enquêtes judiciaires.

  • Dois-je spécifier un environnement conforme PCI DSS en particulier lorsque je mets en place des serveurs ou que j'importe des objets à stocker ?

    Tant que vous utilisez des services AWS conformes à la norme PCI DSS, toute l'infrastructure qui prend en charge les services concernés est également conforme, et vous n'avez pas besoin d'utiliser un environnement différent ou un API spécial. Tout serveur ou objet de données déployé dans ces services ou les utilisant se trouve dans un environnement conforme PCI DSS, et ce dans le monde entier. Pour obtenir la liste des services AWS conformes à la norme PCI DSS, consultez l'onglet « PCI » de la page web Services AWS concernés par le programme de conformité.

  • La conformité d'AWS est-elle applicable dans le monde entier ?

    Oui. Les centres de données situés dans les régions suivantes sont conformes à la norme PCI DSS : USA Est (Virginie du Nord), USA Est (Ohio), USA Ouest (Oregon), USA Ouest (Californie du Nord), AWS GovCloud (US), Canada (Centre), Europe (Irlande), Europe (Francfort), Europe (Londres), Asie-Pacifique (Singapour), Asie-Pacifique (Sydney), Asie-Pacifique (Tokyo), Asie-Pacifique (Séoul), Asie-Pacifique (Mumbai) et Amérique du Sud (Sao Paulo).

  • La norme PCI DSS est-elle publique ?

    Oui. Vous pouvez télécharger la norme PCI DSS depuis le PCI Security Standards Council Document Library (Fonds documentaire sur le conseil des normes de sécurité PCI).

  • Quelqu'un a-t-il obtenu la certification PCI DSS sur la plate-forme AWS ?

    Oui, de nombreux clients d'AWS ont déployé et certifié avec succès une partie ou l'intégralité de leurs environnements de titulaires de cartes sur AWS. AWS ne divulgue pas les noms des clients qui ont obtenu la certification PCI DSS, mais travaille régulièrement avec les clients et leurs experts PCI DSS pour planifier, déployer, certifier et réaliser des analyses trimestrielles de l'environnement des titulaires de cartes sur AWS.

  • Comment s'y prennent les entreprises pour assurer leur conformité avec la norme PCI DSS ?

    Les entreprises adoptent principalement deux approches pour valider leur conformité à la norme PCI DSS chaque année. La première approche consiste à faire évaluer votre environnement applicable par un expert en sécurité compétent ou QSA (Qualified Security Assessor) externe, puis à créer un rapport sur la conformité et une attestation de conformité ; il s'agit de l'approche la plus couramment adoptée par les entités amenées à gérer d'importants volumes de transactions. La seconde approche consiste à répondre à un questionnaire d'autoévaluation ou SAQ (Self-Assessment Questionnaire) ; il s'agit de l'approche la plus couramment adoptée par les entités amenées à gérer de faibles volumes de transactions.

    Il convient de noter que les sociétés de cartes de paiement et les acheteurs sont tenus de garantir la conformité ; ce n'est pas le rôle du Conseil des normes de sécurité PCI.

  • Quelles sont les exigences de conformité à la norme PCI DSS ?

    Voici une présentation détaillée des exigences de la norme PCI DSS.

    Créer et maintenir un réseau et des systèmes sécurisés

    1. Installer et maintenir une configuration de pare-feu pour protéger les données des titulaires de cartes

    2. Ne pas utiliser les valeurs par défaut des fournisseurs pour les mots de passe système et d'autres paramètres de sécurité

    Protéger les données des titulaires de cartes

    3. Protéger les données stockées sur les titulaires de cartes

    4. Chiffrer la transmission des données des titulaires de cartes sur les réseaux publics ouverts

    Respecter un programme de gestion de la vulnérabilité

    5. Protéger tous les systèmes contre les logiciels malveillants et mettre régulièrement à jour les logiciels ou programmes antivirus

    6. Développer et maintenir des systèmes et des applications sécurisés

    Mettre en œuvre de solides mesures de contrôle d'accès

    7. Limiter l'accès aux données de titulaires de cartes aux entités qui ont besoin de connaître ces informations

    8. Identifier et authentifier l'accès aux composants du système

    9. Limiter l'accès physique aux données de titulaires de cartes

    Surveiller et tester régulièrement les réseaux

    10. Suivre et surveiller tous les accès aux ressources du réseau et aux données de titulaires de cartes

    11. Tester régulièrement les systèmes et processus de sécurité

    Respecter une politique de sécurité des informations

    12. Respecter une politique en matière de sécurité des informations applicable à l'ensemble du personnel

  • Quelle est la position d'AWS concernant la prise en charge continue du protocole TLS 1.0 ?

    AWS ne milite pas pour l'obsolescence du protocole TLS 1.0 au niveau de tous les services, car certains clients (par exemple ceux qui ne sont pas concernés par la norme PCI) peuvent avoir besoin de ce protocole en option. Cependant, les services AWS évaluent individuellement les conséquences pour le client en cas de désactivation du protocole TLS 1.0 pour leur service, et peuvent choisir de rendre celui-ci obsolète. 

  • Comment un client peut-il configurer son architecture AWS de manière à répondre aux exigences de la norme PCI concernant la sécurité du protocole TLS ?

    Tous les services AWS concernés par la norme PCI prennent en charge le protocole TLS 1.1 ou ses versions postérieures, et certains de ces services prennent également en charge le protocole TLS 1.0 pour les clients (non concernés par la norme PCI) qui en ont besoin. Il est de la responsabilité du client de mettre à jour ses systèmes pour initier son adhésion à AWS qui utilise des protocoles TLS sécurisés, c'est-à-dire une version 1.1 ou postérieure. Les clients doivent utiliser et configurer les équilibreurs de charge AWS (équilibreurs de charge d'application ou équilibreurs de charge classique) pour des communications sécurisées en utilisant un protocole TLS 1.1 ou une version postérieure et en sélectionnant une politique de sécurité AWS prédéfinie capable d'assurer la négociation du protocole de chiffrement entre un client et l'équilibreur de charge (en utilisant par exemple un protocole TLS 1.2). La politique de sécurité sur les équilibreurs de charge AWS « ELBSecurityPolicy-TLS-1-2-2018-06 » ne prend par exemple en charge que le protocole TLS 1.2.

     

  • Si le balayage ASV (Approved Scanning Vendor, fournisseur de balayage approuvé) d'un client permet d'identifier un protocole TLS 1.0 sur le point de terminaison d'un API AWS, cela signifie que l'API prend toujours en charge le protocole TLS 1.0, ainsi que les versions 1.1 ou postérieures. Il est possible que certains des services AWS concernés par la norme PCI prennent toujours en charge le protocole TLS 1.0 pour les clients qui en ont besoin pour des charges de travail non liées à la norme PCI. Le client peut apporter à l'ASV la preuve que le point de terminaison de l'API AWS prend en charge le protocole TLS 1.1 ou une version postérieures en utilisant un outil, tel que Qualys SSL Labs pour identifier les protocoles utilisés. Le client peut également fournir la preuve de la prise en charge d'une adhésion sécurisée au protocole TLS en se connectant par l'intermédiaire d'un équilibreur de charge AWS d'application ou classique configuré à l'aide d'une politique de sécurité sur les équilibreurs de charge AWS qui ne prend en charge que le protocole TLS 1.1 ou une version postérieure (par exemple, ELBSecurityPolicy-TLS-1-2-2017-01 ne prend en charge que la version 1.2). L'ASV peut demander au client de se soumettre à un processus de règlement des vulnérabilités par balayage, et les preuves qui en ressortent peuvent être utilisées comme témoins de sa conformité. Alternativement, faire appel assez tôt à un ASV et fournir toute preuve à celui-ci avant le balayage peut simplifier l'évaluation et favoriser votre réussite vis-à-vis du balayage de l'ASV.

     

compliance-contactus-icon
Vous avez des questions ? Contacter un représentant commercial d'AWS
Explorer les rôles de conformité ?
Postulez dès aujourd'hui »
Vous voulez des mises à jour AWS Compliance ?
Suivez-nous sur Twitter »