PCI DSS

Panoramica

140940_AWS_Multi-Logo Graphic_600x400_PCI

Il Payment Card Industry Data Security Standard (PCI DSS) è uno standard proprietario per la sicurezza informatica gestito dal PCI Security Standards Council, fondato da American Express, Discover Financial Services, JCB International, MasterCard Worldwide e Visa Inc.

Lo standard PCI DSS si applica a tutte le entità che archiviano, elaborano o trasmettono dati relativi ai titolari di carte di credito (CHD) o dati sensibili di autenticazione (SAD), tra cui esercenti, entità incaricate dell'elaborazione dei dati, acquirenti, autorità emittenti e fornitori di servizi. Lo standard PCI DSS è imposto dalle autorità emittenti delle carte di credito ed è gestito dal Payment Card Industry Security Standards Council.

L'attestato di conformità (AOC) e il riepilogo delle responsabilità del PCI DSS sono disponibili ai clienti mediante AWS Artifact, un portale self-service per l'accesso su richiesta ai report di conformità di AWS. Accedi ad AWS Artifact nella Console di gestione AWS o scopri di più nella pagina Nozioni di base su AWS Artifact.

  • AWS è certificato secondo lo standard PCI DSS?

    Sì, Amazon Web Services (AWS) è certificato come fornitore di servizi di Livello 1 PCI DSS 3.2, il più alto livello di valutazione disponibile. La valutazione di conformità è stata condotta da Coalfire Systems Inc., un valutatore qualificato per la sicurezza (QSA) indipendente. L'attestato di conformità (AOC) e il riepilogo delle responsabilità del PCI DSS sono disponibili ai clienti mediante AWS Artifact, un portale self-service per l'accesso su richiesta ai report di conformità di AWS. Accedi ad AWS Artifact nella Console di gestione AWS o scopri di più nella pagina Nozioni di base su AWS Artifact.

  • Quali servizi AWS sono conformi allo standard PCI DSS?

    Per l'elenco dei servizi AWS conformi allo standard PCI DSS, consultare la scheda PCI sulla pagina Web Servizi AWS nell’ambito per programma di conformità. Per ulteriori informazioni sull'utilizzo di questi servizi, contattaci.

  • Quali sono le conseguenze per i commercianti e i fornitori di servizi che cercano la certificazione PCI DSS?

    In qualità di cliente che utilizza i prodotti e i servizi AWS per archiviare, elaborare o trasmettere dati di titolari di carta di credito, puoi contare sull'infrastruttura della tecnologia AWS per gestire la tua certificazione di conformità allo standard PCI DSS.

    AWS non archivia, trasmette o elabora direttamente i dati dei titolari di carta di credito (CHD) dei clienti. Tuttavia, puoi creare un tuo ambiente in grado di eseguire tali operazioni usando i prodotti di AWS.

  • Quali sono le conseguenze per i commercianti privi di certificazione PCI DSS?

    Anche se non sei un cliente PCI DSS, la nostra conformità PCI DSS dimostra il nostro impegno per la sicurezza delle informazioni a tutti i livelli. Poiché lo standard PCI DSS viene convalidato da una società esterna indipendente, ciò costituisce una conferma che il programma di gestione della sicurezza è completo e segue le best practice di settore.

  • Come AWS, posso affidarmi all'attestato di conformità (AOC) di AWS, oppure saranno necessari ulteriori controlli per accertare la conformità?

    I clienti devono gestire la propria certificazione di conformità PCI DSS e saranno necessari ulteriori controlli per verificare che l’ambiente soddisfi tutti i requisiti PCS DSS. Tuttavia, per la parte dell'ambiente dati dei titolari di carta di credito PCI (CDE) distribuita in AWS, il valutatore qualificato per la sicurezza (QSA) può fare affidamento sull’attestato di conformità (AOC) di AWS senza ulteriori controlli.

  • In che modo i clienti possono individuare di quali controlli PCI DSS sono responsabili?

    Per informazioni dettagliate, vedere "Riepilogo 2016 delle responsabilità di AWS rispetto allo standard PCI DSS versione 3.2" dal pacchetto di conformità PCI DSS di AWS, disponibile per i clienti utilizzando AWS Artifact, un portale self-service per l'accesso su richiesta ai report di conformità di AWS. Accedi ad AWS Artifact nella Console di gestione AWS o scopri di più nella pagina Nozioni di base su AWS Artifact.

  • Come è possibile ottenere il pacchetto di conformità PCI di AWS?

    Il pacchetto di conformità PCI di AWS è disponibile per i clienti che utilizzano AWS Artifact, un portale self-service per l’accesso su richiesta ai report di conformità di AWS. Accedi ad AWS Artifact nella Console di gestione AWS o scopri di più nella pagina Nozioni di base su AWS Artifact.

  • Cosa contiene il pacchetto di conformità PCI DSS di AWS?

    Il pacchetto di conformità PCI di AWS include:

    • Attestato di conformità 3.2 di AWS allo standard PCI DSS
    • Riepilogo 2017 delle responsabilità di AWS rispetto allo standard PCI DSS versione 3.2

  • AWS è inclusa negli elenchi Visa Global Registry of Service Providers e MasterCard Compliant Service Provider List?

    Sì, AWS è inclusa sia nell'elenco Visa Global Registry of Service Providers sia nell'elenco MasterCard Compliant Service Provider List. Questi riconoscimenti attestano la conformità di AWS allo standard PCI DSS tramite una valutazione e in ottemperanza a tutti i requisiti applicabili dei programmi Visa e MasterCard.

  • Lo standard PCI DSS necessita di ambienti in single-tenant per mantenere la conformità?

    No. L'ambiente di AWS è virtualizzato e multi-tenant. AWS ha implementato in modo efficace i processi di gestione della sicurezza, i requisiti PCI DSS e altri controlli compensativi che consentono di mantenere separato ciascun cliente nel proprio ambiente protetto in modo efficace e sicuro. Questa architettura protetta è stata convalidata da un valutatore qualificato per la sicurezza indipendente e valutata conforme a tutti i requisiti dello standard PCI DSS versione 3.2 pubblicato ad aprile 2016.

    Il PCI Security Standards Council ha pubblicato le Linee guida per il cloud computing di PCI DSS 2.0 per clienti, fornitori di servizi e valutatori di servizi di cloud computing. Il documento descrive inoltre i modelli di servizio e in che modo responsabilità e compiti di conformità sono condivisi tra fornitore e cliente.

    Infine, Third-Party Security Assurance 2016 fornisce informazioni aggiuntive che le organizzazioni possono utilizzare in fase di selezione, utilizzo e gestione di fornitori di servizi di terze parti con cui vengono condivisi i dati relativi ai titolari di carte di credito.

  • I valutatori qualificati per la sicurezza per i commercianti di livello 1 richiedono un’ispezione fisica dei centri dati AWS?

    No. L'attestato di conformità (AOC) di AWS dimostra un'ampia valutazione dei controlli fisici di sicurezza dei centri dati AWS. Non è necessario che il valutatore qualificato per la sicurezza di un commerciante verifichi la sicurezza dei centri dati AWS.

  • AWS supporta le indagini forensi?

    Sì. AWS gestisce le indagini giudiziarie secondo i requisiti DSS A 1.4. Qualora fossero necessarie indagini giudiziarie, i clienti o i loro valutatori qualificati per le risposte agli incidenti o QIRA (Qualified Incident Response Assessors) potranno contattare direttamente AWS.

  • È previsto un ambiente specifico conforme allo standard PCI DSS da specificare nel momento in cui vengono connessi server o caricati oggetti da archiviare?

    Finché si utilizzano servizi AWS conformi allo standard PCI DSS, l'intera infrastruttura che supporta i servizi compresi nell’ambito è conforme e non è necessario utilizzare un ambiente separato o API speciali. Tutti i server e gli oggetti dati distribuiti o configurati per utilizzare questi servizi si trovano in un ambiente conforme allo standard PCI DSS a livello globale. Per l'elenco dei servizi AWS conformi allo standard PCI DSS, consultare la scheda PCI sulla pagina Web Servizi AWS nell’ambito per programma di conformità.

  • La conformità di AWS si applica a livello internazionale?

    Sì. La conformità allo standard PCI DSS si applica ai data center nelle seguenti regioni: Stati Uniti orientali (Virginia settentrionale), Stati Uniti orientali (Ohio), Stati Uniti occidentali (Oregon), Stati Uniti occidentali (California settentrionale), AWS GovCloud (US), Canada (Centrale), Europa (Irlanda), Europa (Francoforte), Europa (Londra), Asia Pacifico (Singapore), Asia Pacifico (Sydney), Asia Pacifico (Tokyo), Asia Pacifico (Seoul), Asia Pacifico (Mumbai) e Sud America (San Paolo).

  • Lo standard PCI DSS è pubblico?

    Sì. È possibile scaricare lo standard PCI DSS dalla Libreria di documenti del PCI Security Standards Council.

  • Sono molti i clienti che hanno ottenuto la certificazione PCI DSS sulla piattaforma AWS?

    Sì, numerosi clienti AWS hanno distribuito e certificato con successo alcuni o tutti i propri ambienti in cui si gestiscono carte su AWS. AWS non divulga i nomi dei clienti che hanno ottenuto la certificazione PCI DSS, ma collabora stabilmente con clienti e relativi valutatori PCI DSS per pianificare, distribuire, certificare e scansionare trimestralmente i loro ambienti di gestione delle carte di credito in AWS.

  • In che modo le aziende ottengono la conformità allo standard PCI DSS?

    Le aziende possono adottare due approcci per convalidare a cadenza annuale la loro conformità allo standard PCI DSS. Il primo approccio è di richiedere la valutazione del proprio ambiente da parte di un valutatore qualificato per la sicurezza (QSA), che crei un report di conformità (ROC) e un attestato di conformità (AOC). Si tratta dell'approccio più comune per le aziende che gestiscono elevati volumi di transazioni. Il secondo approccio è sottoporsi a un questionario di autovalutazione o SAQ (Self-Assessment Questionnaire); questo approccio è più comune per le aziende che gestiscono volumi ridotti di transazioni.

    È importante notare che marchi di pagamento e acquirenti sono responsabili per il mantenimento della conformità, non il PCI Council.

  • Quali sono i requisiti di conformità dello standard PCI DSS?

    Di seguito viene elencata una panoramica dei requisiti dello standard PCI DSS.

    Creare e gestire rete e sistemi sicuri

    1. Installare e gestire una configurazione di firewall che protegga i dati relativi a carte di credito

    2. Evitare l'utilizzo di impostazioni di default provenienti dal fornitore per quanto riguarda password di sistema e altri parametri di sicurezza

    Proteggere i dati relativi a carte di credito

    3. Proteggere i dati relativi a carte di credito memorizzati

    4. Crittografare la trasmissione di dati relativi a carte di credito su reti pubbliche o aperte

    Mantenere un programma di gestione delle vulnerabilità

    5. Proteggere tutti i sistemi contro malware e aggiornare regolarmente software o programmi antivirus

    6. Sviluppare e mantenere applicazioni e sistemi sicuri

    Implementare misure rigorose per il controllo degli accessi

    7. Limitare l'accesso ai dati relativi a carte di credito in base alle sole aziende che devono potervi accedere

    8. Identificare e autenticare l'accesso ai componenti di sistema

    9. Limitare l'accesso fisico ai dati relativi a carte di credito

    Monitorare e testare regolarmente le reti

    10. Monitorare tutti gli accessi alle risorse di rete e ai dati relativi a carte di credito

    11. Testare regolarmente sistemi e processi di sicurezza

    Mantenere una policy per la sicurezza delle informazioni

    12. Mantenere una policy che tratti la sicurezza delle informazioni per tutto il personale

  • Qual è la posizione di AWS in merito al supporto continuato del protocollo TLS 1.0?

    AWS non ha una campagna per dichiarare obsoleto il protocollo TLS 1.0 in tutti i servizi a causa di alcuni clienti (ad esempio i clienti privi di certificazione PCI) che richiedono l'opzione di questo protocollo, tuttavia, i servizi AWS stanno valutando individualmente l'impatto sul cliente della disattivazione del protocollo TLS 1.0 per il loro servizio e potrebbe decidere di dichiararlo obsoleto. 

  • In che modo un cliente può configurare l'architettura di AWS in modo tale che sia conforme ai requisiti PCI per un protocollo TLS sicuro?

    Tutti i servizi AWS nell’ambito dello standard PCI abilitano il protocollo TLS 1.1 o superiore e alcuni di questi servizi supportano anche il protocollo TLS 1.0 per i clienti (privi di certificazione PCI) che lo richiedono. È responsabilità del cliente aggiornare i propri sistemi per avviare un processo handshake con AWS che utilizzi un protocollo TLS sicuro, ovvero TLS 1.1 o superiore. I clienti devono utilizzare e configurare gli equilibratori di carico di AWS (Application Load Balancers o Classic Load Balancers) per comunicazioni sicure utilizzando il protocollo TLS 1.1 o superiore, selezionando una policy di sicurezza AWS predefinita in grado di garantire la negoziazione del protocollo di crittografia tra un client e l'uso degli equilibratori di carico, ad esempio TLS 1.2. Ad esempio, la policy di sicurezza per equilibratori di carico di AWS ELBSecurityPolicy-TLS-1-2-2018-06 supporta solo il protocollo TLS 1.2.

     

  • Se una scansione ASV (Approved Scanning Vendor) del cliente identifica il protocollo TLS 1.0 su un endpoint API di AWS significa che l'API supporta ancora il protocollo TLS 1.0 oltre al protocollo TLS 1.1 o superiore. Alcuni servizi AWS nell'ambito dello standard PCI possono abilitare ancora il protocollo TLS 1.0 per i clienti che lo richiedono per carichi di lavoro privi di certificazione PCI. Il cliente può fornire all'ASV la prova che l'endpoint API di AWS supporta il protocollo TLS 1.1 o superiore utilizzando uno strumento, come Qualys SSL Labs, per identificare i protocolli utilizzati. Il cliente può inoltre dimostrare l’abilitazione di un handshake TLS sicuro collegandosi tramite un equilibratore di carico Classic o Application di AWS configurato con una policy di sicurezza per equilibratori di carico di AWS che supporta solo TLS 1.1 o superiore (ad esempio ELBSecurityPolicy-TLS-1-2-2017-01 supporta solo v1.2). L'ASV può richiedere al cliente di seguire un processo di contestazione delle vulnerabilità di scansione e le prove delineate possono essere utilizzate come prova di conformità. In alternativa, il coinvolgimento anticipato del proprio ASV e la presentazione di tale prova all’ASV prima della scansione possono semplificare la valutazione e supportare il superamento della scansione ASV.

     

compliance-contactus-icon
Hai domande? Contatta un rappresentante aziendale di AWS
Sei interessato a un ruolo nell'ambito della conformità?
Invia subito la tua domanda »
Desideri aggiornamenti sulla conformità in AWS?
Seguici su Twitter »