Conformité à la norme PCI DSS

Présentation

140940_AWS_Multi-Logo Graphic_600x400_PCI

La norme PCI DSS (Payment Card Industry Data Security Standard) est une norme de sécurité protégeant les informations confidentielles et administrée par le Conseil des normes de sécurité PCI, fondé par American Express, Discover Financial Services, JCB International, MasterCard Worldwide et Visa Inc.

La norme PCI DSS s'applique à toutes les entités qui stockent, traitent ou transmettent des données de titulaires de cartes et/ou des données d'authentification sensibles, notamment les commerçants, les sous-traitants, les acheteurs, les distributeurs et les fournisseurs de services. La norme est exigée par les marques de cartes de paiement et administrée par le Conseil des normes de sécurité PCI.

Demandez l'attestation de conformité et le récapitulatif des responsabilités PCI DSS en utilisant AWS Artifact.

  • AWS a-t-il reçu la certification PCI DSS ?

    Oui, AWS est certifié conforme à la norme PCI DSS depuis 2010. Le 11 juillet 2016, une entreprise externe experte en sécurité compétente ou QSAC (Qualified Security Assessor Company), Coalfire Systems Inc., a confirmé la réussite d'Amazon Web Services (AWS) à l'évaluation des fournisseurs de services de niveau 1 des normes de sécurité des données PCI 3.2 (PCI Data Security Standards 3.2 Level 1 Service Provider) et la conformité de tous les services présentés ci-dessous.

    Les niveaux de fournisseurs de services sont définis comme suit :

    Niveau 1 : Tout fournisseur de services qui stocke, traite et/ou transmet plus de 300 000 transactions par an

    Niveau 2 : Tout fournisseur de services qui stocke, traite et/ou transmet moins de 300 000 transactions par an

  • Services AWS conformes à la norme PCI DSS

    Amazon Web Services (AWS) est un fournisseur de services de cloud qui ne stocke, ne transmet ou ne traite pas directement les données de titulaires de cartes. Toutefois, les clients AWS peuvent créer leur propre environnement de données de carte (CDE) qui peut stocker, transmettre ou traiter des données de titulaires de cartes à l'aide des produits AWS.

    Les services AWS couverts qui sont déjà conformes à la norme PCI DSS sont indiqués à la page Services AWS concernés par le programme de conformité. Si vous souhaitez en savoir plus sur l'utilisation de ces services et/ou si vous êtes intéressé par d'autres services, veuillez nous contacter.

  • Qu'est-ce que cela signifie pour moi en tant que commerçant ou fournisseur de services PCI DSS ?

    AWS étant conforme à la norme PCI DSS, les clients qui utilisent les produits et services AWS pour stocker, traiter ou transmettre des données de titulaires de cartes peuvent s'appuyer sur notre infrastructure technologique pour gérer leur certification de conformité à la norme PCI DSS.

  • Qu'est-ce que cela signifie pour moi en tant que client commerçant non PCI DSS ?

    La conformité d'AWS à la norme PCI DSS témoigne, ici encore, de son engagement en matière de sécurité des informations à tous les niveaux. La norme PCI DSS étant validée par un tiers indépendant, cela confirme que notre programme de gestion de la sécurité est complet et respecte les principales pratiques du secteur. Cette validation rassure nos clients quant à nos pratiques en matière de sécurité.

  • En tant que client AWS, puis-je m'appuyer sur l'attestation de conformité d'AWS ou des tests supplémentaires seront-ils nécessaires pour être totalement conforme ?

    Toutes les entités doivent gérer leur propre certification de conformité à la norme PCI DSS. En ce qui concerne la portion de l'environnement des titulaires de cartes PCI déployée dans AWS, votre QSA peut s'appuyer sur l'attestation de conformité d'AWS, mais vous devrez toujours satisfaire toutes les autres exigences de la norme PCI DSS.

  • Comment puis-je connaître les contrôles PCI DSS dont je suis responsable ?

    Pour plus d'informations, consultez le récapitulatif des responsabilités PCI DSS 3.2 2016 d'AWS dans le cadre du programme de conformité PCI DSS d'AWS, disponible sur demande.

  • Comment puis-je bénéficier du programme de conformité PCI d'AWS ?

    Le programme de conformité PCI d'AWS est disponible pour les clients utilisant AWS Artifact, un portail en libre-service qui permet d'accéder sur demande aux rapports de conformité d'AWS. Démarrez avec AWS dès aujourd'hui.

  • Que contient le programme de conformité PCI DSS d'AWS ?

    Le programme de conformité PCI DSS d'AWS comprend les éléments suivants :

    • Attestation de conformité PCI DSS 3.2 d'AWS
    • Récapitulatif des responsabilités PCI DSS 3.2 2017 d'AWS

  • AWS figure-t-il dans le registre mondial des prestataires de services de Visa et sur la liste des prestataires de services conformes de MasterCard ?

    Oui, AWS figure dans le registre mondial des prestataires de services de Visa et dans la liste des prestataires de services conformes de MasterCard. L'inscription sur ces listes de prestataires de services démontre une nouvelle fois qu'AWS a confirmé avec succès sa conformité avec la norme et a rempli toutes les exigences applicables des programmes de Visa et MasterCard.

  • La norme PCI DSS requiert-elle des environnements en location exclusive pour obtenir la conformité ?

    Non. L'environnement AWS est un environnement virtualisé à locataires multiples. AWS a mis en place des processus de gestion de la sécurité, des exigences PCI DSS et d'autres contrôles compensatoires qui séparent de façon efficace et sécurisée chaque client dans son propre environnement protégé. Cette architecture a été validée par un QSA indépendant et a été déclarée conforme à toutes les exigences PCI DSS de la version 3.2 publiée en avril 2016.

    Le Conseil des normes de sécurité PCI a publié PCI DSS Cloud Computing Guidelines 2.0, à l'attention des clients, des prestataires de services et des évaluateurs de services de cloud computing. Ces recommandations décrivent également les modèles de service et la manière dont les rôles et les responsabilités en matière de conformité sont partagés entre les fournisseurs et les clients.

    De plus, le document Third-Party Security Assurance 2016 fournit des informations supplémentaires pour aider les organisations à sélectionner, engager et gérer les fournisseurs de services tiers avec lesquels elles partagent ou prévoient de partager des données de titulaires de cartes.

  • Les experts en sécurité compétents demandent-ils à visiter physiquement un centre de données du fournisseur de services pour les commerçants de niveau 1 ?

    Le QSA d'un commerçant peut toujours s'appuyer sur l'attestation de conformité d'AWS pour démontrer l'évaluation approfondie de contrôles de sécurité physique de centres de données AWS.

  • AWS coopérera-t-il à des enquêtes judiciaires si nécessaire ?

    Oui. AWS gère les enquêtes judiciaires conformément à l'exigence DSS A 1.4. Les clients ou leurs experts en charge de répondre aux incidents de sécurité (QIRA, Qualified Incident Response Assessor) peuvent contacter AWS si nécessaire pour procéder à des enquêtes judiciaires.

  • Dois-je spécifier un environnement conforme PCI DSS en particulier lorsque je mets en place des serveurs ou que j'importe des objets à stocker ?

    Non. L'intégralité de l'infrastructure prenant en charge les services concernés est conforme et aucun environnement séparé ou API particulière ne doit être utilisé. Tout serveur ou objet de données déployé dans ces services ou les utilisant se trouve dans un environnement conforme PCI DSS, et ce dans le monde entier.

  • La conformité d'AWS est-elle applicable dans le monde entier ?

    Oui. Les centres de données situés dans les régions suivantes sont conformes à la norme PCI DSS : USA Est (Virginie du Nord), USA Est (Ohio), USA Ouest (Oregon), USA Ouest (Californie du Nord), AWS GovCloud (US), Canada (Centre), Europe (Irlande), Europe (Francfort), Europe (Londres), Asie-Pacifique (Singapour), Asie-Pacifique (Sydney), Asie-Pacifique (Tokyo), Asie-Pacifique (Séoul), Asie-Pacifique (Mumbai) et Amérique du Sud (Sao Paulo).

  • La norme PCI DSS est-elle publique ?

    Oui. Vous pouvez télécharger la norme directement auprès du Conseil des normes de sécurité PCI.

  • Quelqu'un a-t-il obtenu la certification PCI DSS sur la plate-forme AWS ?

    Oui, de nombreux clients d'AWS ont déployé et certifié avec succès une partie ou l'intégralité de leurs environnements de titulaires de cartes sur AWS. AWS ne divulgue pas les noms des clients qui ont obtenu la certification PCI DSS, mais travaille régulièrement avec les clients et leurs experts PCI DSS pour planifier, déployer, certifier et réaliser des analyses trimestrielles de l'environnement des titulaires de cartes sur AWS.

  • Comment s'y prennent les entreprises pour assurer leur conformité avec la norme PCI DSS ?

    Les entreprises adoptent principalement deux approches pour valider leur conformité à la norme PCI DSS chaque année. La première approche consiste à faire évaluer votre environnement applicable par un expert en sécurité compétent ou QSA (Qualified Security Assessor) externe, puis à créer un rapport sur la conformité et une attestation de conformité ; il s'agit de l'approche la plus couramment adoptée par les entités amenées à gérer d'importants volumes de transactions. La seconde approche consiste à répondre à un questionnaire d'autoévaluation ou SAQ (Self-Assessment Questionnaire) ; il s'agit de l'approche la plus couramment adoptée par les entités amenées à gérer de faibles volumes de transactions.

    Il convient de noter que les sociétés de cartes de paiement et les acheteurs sont tenus de garantir la conformité ; ce n'est pas le rôle du Conseil des normes de sécurité PCI.

    Voici une présentation détaillée des 12 exigences de la norme PCI DSS.

    Créer et maintenir un réseau et des systèmes sécurisés

    1. Installer et maintenir une configuration de pare-feu pour protéger les données des titulaires de cartes

    2. Ne pas utiliser les valeurs par défaut des fournisseurs pour les mots de passe système et d'autres paramètres de sécurité

    Protéger les données des titulaires de cartes

    3. Protéger les données stockées sur les titulaires de cartes

    4. Chiffrer la transmission des données des titulaires de cartes sur les réseaux publics ouverts

    Respecter un programme de gestion de la vulnérabilité

    5. Protéger tous les systèmes contre les logiciels malveillants et mettre régulièrement à jour les logiciels ou programmes antivirus

    6. Développer et maintenir des systèmes et des applications sécurisés

    Mettre en œuvre de solides mesures de contrôle d'accès

    7. Limiter l'accès aux données de titulaires de cartes aux entités qui ont besoin de connaître ces informations

    8. Identifier et authentifier l'accès aux composants du système

    9. Limiter l'accès physique aux données de titulaires de cartes

    Surveiller et tester régulièrement les réseaux

    10. Suivre et surveiller tous les accès aux ressources du réseau et aux données de titulaires de cartes

    11. Tester régulièrement les systèmes et processus de sécurité

    Respecter une politique de sécurité des informations

    12. Respecter une politique en matière de sécurité des informations applicable à l'ensemble du personnel

compliance-contactus-icon
Vous avez des questions ? Contactez un représentant de la conformité AWS
Explorer les rôles de conformité ?
Postulez dès aujourd'hui »
Vous voulez des mises à jour AWS Compliance ?
Suivez-nous sur Twitter »