Conformità PCI DSS

Panoramica

140940_AWS_Multi-Logo Graphic_600x400_PCI

Il Payment Card Industry Data Security Standard, noto come PCI DSS, è uno standard proprietario per la sicurezza informatica gestito dal PCI Security Standards Council, fondato da American Express, Discover Financial Services, JCB International, MasterCard Worldwide e Visa Inc.

Lo standard PCI DSS si applica a tutte le entità che memorizzano, elaborano o trasmettono dati relativi a carte di credito e/o dati sensibili di autenticazione, tra cui esercenti, entità incaricate dell'elaborazione dei dati, acquirenti, autorità emittenti e fornitori di servizi. Lo standard PCI DSS è imposto dalle autorità emittenti delle carte di credito ed è gestito dal Payment Card Industry Security Standards Council.

Richiedi l'attestato di conformità AOC (Attestation of Compliance) e il riepilogo delle responsabilità rispetto allo standard PCI DSS utilizzando AWS Artifact.

  • AWS è certificata secondo lo standard PCI DSS?

    Sì, AWS è certificata secondo lo standard PCI DSS dal 2010. A partire dall'11 luglio 2016, AWS è conforme allo standard PCI DSS in seguito alla valutazione PCI Data Security Standards Level 1 versione 3.2 effettuata dal valutatore qualificato autorizzato o QSA (Qualified Security Assessor) Coalfire Systems Inc. per i servizi descritti di seguito.

    I livelli dei fornitori di servizi sono definiti come segue:

    Level 1: qualsiasi fornitore di servizi che immagazzini, elabori e/o trasmetta più di 300.000 transazioni all'anno

    Level 2: qualsiasi fornitore di servizi che immagazzini, elabori e/o trasmetta meno di 300.000 transazioni all'anno

  • Servizi AWS conformi allo standard PCI DSS

    Amazon Web Services (AWS) è un fornitore di servizi cloud che non memorizza, trasmette o elabora direttamente i dati relativi a carte di credito. Tuttavia, i clienti di AWS possono creare un proprio ambiente in grado di eseguire tali operazioni usando i prodotti di AWS.

    I servizi AWS coperti e già conformi allo standard PCI DSS sono disponibili nella pagina relativa alla copertura di compliance dei servizi AWS. Per ulteriori informazioni sull'utilizzo di questi servizi, oppure se sei interessato ad altri servizi, contattaci.

  • Quali sono le conseguenze per gli esercenti e i fornitori di servizi che cercano la certificazione PCI DSS?

    Il fatto che AWS è sia un fornitore di servizi conforme allo standard PCI DSS significa che tutti i clienti che usano prodotti e servizi di AWS per memorizzare, elaborare o trasmettere dati relativi a carte di credito possono contare sulla nostra infrastruttura tecnologia per gestire la propria certificazione di conformità allo standard PCI DSS.

  • Quali sono le conseguenze per gli esercenti privi di certificazione PCI DSS?

    La conformità di AWS allo standard PCI DSS testimonia il suo impegno verso la sicurezza a tutti i livelli. Inoltre, poiché la conformità viene convalidata da una società esterna indipendente, costituisce una conferma che il programma di gestione della sicurezza è completo e segue le best practice di settore. La convalida fornisce ai clienti la garanzia della validità delle pratiche di sicurezza.

  • In quanto cliente AWS, posso affidarmi all'attestato di conformità o AOC (Attestation of Compliance) di AWS, oppure sarà necessario ulteriore testing per accertare la conformità?

    Tutte le aziende devono gestire la propria certificazione di conformità allo standard PCI DSS. Per la porzione di ambiente di gestione delle carte di credito distribuita in AWS, il QSA potrà utilizzare l'attestato di conformità di AWS, ma sarà comunque necessario soddisfare tutti gli altri requisiti dello standard PCI DSS.

  • In che modo i clienti possono individuare di quali controlli PCI DSS sono responsabili?

    Per informazioni approfondite, consulta il documento "AWS 2016 PCI DSS 3.2 Responsibility Summary" nell'AWS PCI Compliance Package, disponibile su richiesta.

  • Come è possibile ottenere il PCI Compliance Package di AWS?

    Il PCI Compliance Package di AWS è disponibile per i clienti che utilizzano AWS Artifact, un portale self-service per l’accesso on demand ai report di conformità AWS. Inizia a usare AWS Artifact oggi stesso.

  • Cosa contiene il PCI DSS Compliance Package di AWS?

    Il PCI DSS Compliance Package di AWS include:

    • Attestato di conformità 3.2 di AWS allo standard PCI DSS
    • Riepilogo 2017 delle responsabilità di AWS rispetto allo standard PCI DSS versione 3.2

  • AWS è inclusa negli elenchi Visa Global Registry of Service Providers e MasterCard Compliant Service Provider List?

    Sì, AWS è inclusa sia nell'elenco Visa Global Registry of Service Providers sia nell'elenco MasterCard Compliant Service Provider List. Questi riconoscimenti attestano la conformità di AWS allo standard PCI DSS tramite una valutazione e in ottemperanza a tutti i requisiti applicabili dei programmi Visa e MasterCard.

  • Lo standard PCI DSS necessita di ambienti in single-tenant per mantenere la conformità?

    No. L'ambiente di AWS è virtualizzato e multi-tenant. AWS ha implementato in modo efficace i processi di gestione della sicurezza, i requisiti PCI DSS e altri controlli compensativi che consentono di mantenere separato ciascun cliente nel proprio ambiente protetto in modo efficace e sicuro. Questa architettura protetta è stata convalidata da un valutatore qualificato indipendente e valutata conforme a tutti i requisiti dello standard PCI DSS versione 3.2 pubblicato ad aprile 2016.

    Il PCI Security Standards Council ha pubblicato PCI DSS Cloud Computing Guidelines 2.0 per fornire una guida a clienti, fornitori di servizi e valutatori di servizi di cloud computing. Il documento descrive inoltre i modelli di servizio e in che modo responsabilità e compiti di conformità sono condivisi tra fornitore e cliente.

    Infine, Third-Party Security Assurance 2016 fornisce informazioni aggiuntive sulle organizzazioni coinvolte in selezione, utilizzo e gestione di fornitori di servizi di terze parti con cui vengono condivisi i dati relativi a carte di credito.

  • I valutatori qualificati per gli esercenti Level 1 devono accedere fisicamente ai data center del fornitore di servizi?

    Il QSA di un esercente può sempre fare affidamento sull'attestato di conformità di AWS per dimostrare l'impegno nella valutazione dei controlli di sicurezza fisici relativi ai data center di AWS.

  • AWS supporta indagini giudiziarie, se necessario?

    Sì. AWS gestisce le indagini giudiziarie secondo i requisiti DSS A 1.4. Qualora fossero necessarie indagini giudiziarie, i clienti o i loro valutatori qualificati per le risposte agli incidenti o QIRA (Qualified Incident Response Assessors) potranno contattare direttamente AWS.

  • È previsto un ambiente specifico conforme allo standard PCI DSS da specificare nel momento in cui vengono configurati server o caricati oggetti da archiviare?

    No. L'intera infrastruttura che supporta i servizi in esame è conforme e non è previsto alcun ambiente separato o API speciale da impiegare. Tutti i server e gli oggetti dati distribuiti o configurati per utilizzare questi servizi si trovano in un ambiente conforme allo standard PCI DSS.

  • La conformità di AWS si applica a livello internazionale?

    Sì. La conformità allo standard PCI DSS si applica ai data center nelle seguenti regioni: Stati Uniti orientali (Virginia settentrionale), Stati Uniti orientali (Ohio), Stati Uniti occidentali (Oregon), Stati Uniti occidentali (California settentrionale), AWS GovCloud (US), Canada (Centrale), Europa (Irlanda), Europa (Francoforte), Europa (Londra), Asia Pacifico (Singapore), Asia Pacifico (Sydney), Asia Pacifico (Tokyo), Asia Pacifico (Seoul), Asia Pacifico (Mumbai) e Sud America (San Paolo).

  • Lo standard PCI DSS è pubblico?

    Sì. È possibile scaricare lo standard direttamente dal sito del PCI Security Standards Council.

  • Sono molti i clienti che hanno ottenuto la certificazione PCI DSS sulla piattaforma AWS?

    Sì, numerosi clienti AWS hanno distribuito e certificato con successo alcuni o tutti i propri ambienti in cui si gestiscono carte su AWS. AWS non divulga i nomi dei clienti che hanno ottenuto la certificazione PCI DSS, ma collabora stabilmente con clienti e relativi valutatori PCI DSS per pianificare, distribuire, certificare e scansionare trimestralmente i loro ambienti di gestione delle carte di credito in AWS.

  • In che modo le aziende ottengono la conformità allo standard PCI DSS?

    Le aziende possono adottare due approcci per convalidare a cadenza annuale la loro conformità allo standard PCI DSS. Il primo approccio è di richiedere la valutazione del proprio ambiente da parte di un valutatore qualificato o QSA (Qualified Security Assessor), che crei un report di conformità o ROC (Report of Compliance) e un attestato di conformità o AOC (Attestation of Compliance). Si tratta dell'approccio più comune per le aziende che gestiscono elevati volumi di transazioni. Il secondo approccio è sottoporsi a un questionario di autovalutazione o SAQ (Self-Assessment Questionnaire); questo approccio è più comune per le aziende che gestiscono volumi ridotti di transazioni.

    È importante notare che marchi di pagamento e acquirenti sono responsabili per il mantenimento della conformità, non il PCI Council.

    Di seguito viene elencata una panoramica dei 12 requisiti dello standard PCI DSS.

    Creare e gestire rete e sistemi sicuri

    1. Installare e gestire una configurazione di firewall che protegga i dati relativi a carte di credito

    2. Evitare l'utilizzo di impostazioni di default provenienti dal fornitore per quanto riguarda password di sistema e altri parametri di sicurezza

    Proteggere i dati relativi a carte di credito

    3. Proteggere i dati relativi a carte di credito memorizzati

    4. Crittografare la trasmissione di dati relativi a carte di credito su reti pubbliche o aperte

    Mantenere un programma di gestione delle vulnerabilità

    5. Proteggere tutti i sistemi contro malware e aggiornare regolarmente software o programmi antivirus

    6. Sviluppare e mantenere applicazioni e sistemi sicuri

    Implementare misure rigorose per il controllo degli accessi

    7. Limitare l'accesso ai dati relativi a carte di credito in base alle sole aziende che devono potervi accedere

    8. Identificare e autenticare l'accesso ai componenti di sistema

    9. Limitare l'accesso fisico ai dati relativi a carte di credito

    Monitorare e testare regolarmente le reti

    10. Monitorare tutti gli accessi alle risorse di rete e ai dati relativi a carte di credito

    11. Testare regolarmente sistemi e processi di sicurezza

    Mantenere una policy per la sicurezza delle informazioni

    12. Mantenere una policy che tratti la sicurezza delle informazioni per tutto il personale

compliance-contactus-icon
Hai domande? Contatta un rappresentante di conformità di AWS
Sei interessato a un ruolo nell'ambito della conformità?
Invia subito la tua domanda »
Desideri aggiornamenti sulla conformità in AWS?
Seguici su Twitter »