PCI DSS

概要

Payment Card Industry Data Security Standard (PCI DSS) は、American Express、Discover Financial Services、JCB International、MasterCard Worldwide、および Visa Inc. により創設された PCI Security Standards Council によって管理される、機密情報のセキュリティ標準です。

PCI DSS は、カード所有者のデータ(CHD)や機密性の高い認証データ(SAD)を保存、処理、転送するエンティティに適用されます。これらのエンティティには、販売店、処理業者、取得者、発行者、サービスプロバイダーが含まれます。PCI DSS は、カードブランドにより要求され、Payment Card Industry Security Standards Council により管理されています。

PCI DSS Attestation of Compliance (AOC) および Responsibility Summary は、AWS Artifact(AWS のコンプライアンスレポートをオンデマンドで入手するためのセルフサービスポータル)経由で入手できます。AWS マネジメントコンソール内の AWS Artifact にサインインするか、AWS Artifact の開始方法ページでご確認いただけます。

  • はい。アマゾン ウェブ サービス(AWS) は、最高の評価である PCI DSS レベル 1 のサービスプロバイダーとして認証を受けています。このコンプライアンス評価は、独立した認定審査機関(QSA)である Coalfire Systems Inc. によって実行されました。PCI DSS Attestation of Compliance (AOC) および Responsibility Summary は、AWS Artifact(AWS のコンプライアンスレポートをオンデマンドで入手するためのセルフサービスポータル)経由で入手できます。詳細は、AWS マネジメントコンソール内の AWS Artifact にサインインするか、AWS Artifact の開始方法ページでご確認いただけます。

  • PCI DSS に準拠した AWS のサービスのリストは、コンプライアンスプログラムによる AWS 対象範囲内のサービスウェブページの PCI タブを参照してください。これらのサービスの使用についての詳細は、お問い合わせください。

  • AWS のサービスを使用してカード所有者データの保存、処理、送信を行うお客様は、ご自身の PCI DSS コンプライアンス証明書の管理に、AWS のテクノロジーインフラストラクチャをご利用いただけます。

    AWS では、いかなる顧客カード所有者データ(CHD)も、直接的に保存、送信、処理しません。ただし、AWS のお客様は、AWS のサービスによりカード所有者のデータを保存、転送、または処理することができる自身のカードデータ環境 (CDE) を、作成していただくことができます。

  • AWS の PCI DSS コンプライアンスは、あらゆるレベルでの情報セキュリティへの当社の取り組みを、PCI DSS の顧客以外にも証明します。PCI DSS 標準は第三者の独立監査人により検証されており、これによって当社のセキュリティ管理プログラムが包括的であり、ベストプラクティスに従っていることが裏付けられています。

  • お客様は、自身の PCI DSS コンプライアンス認定を管理する必要があります。また、お客様の環境がすべての PCS DSS 要件を満たしているかどうか確認するには、追加のテストが必要になります。ただし、AWS にデプロイされている PCI カード所有者データ環境 (CDE) の部分については、Qualified Security Assessor (QSA) は、それ以上のテストを行わなくても AWS Attestation of Compliance (AOC) に依存できます。

  • 詳細な情報については、AWS Artifact(AWS のコンプライアンスレポートをオンデマンドで入手するためのセルフサービスポータル)を経由して入手できる、AWS PCI DSS Compliance Package の "AWS PCI DSS Responsibility Summary" をご覧ください。詳細は、AWS マネジメントコンソール内の AWS Artifact にサインインするか、AWS Artifact の開始方法ページでご確認いただけます。

  • AWS PCI Compliance Package は、AWS Artifact(AWS のコンプライアンスレポートをオンデマンドで取得するためのセルフサービスポータル)経由で入手できます。詳細は、AWS マネジメントコンソール内AWS Artifact にサインインするか、AWS Artifact の開始方法ページでご確認いただけます。

  • AWS PCI Compliance Package には次のものが含まれます。

    • AWS PCI DSS 3.2.1 Attestation of Compliance (AOC)
    • AWS PCI DSS 3.2.1 Responsibility Summary
  • はい。AWS は、Visa Global Registry of Service ProvidersMasterCard Compliant Service Provider List の両方に登録されています。これらの Service Provider のリストでは、AWS において PCI DSS への準拠が正常に検証済みであること、また適用されるすべての Visa および MasterCard プログラムの要件が満たされていることが示されています。

  • いいえ。AWS 環境は仮想化されたマルチテナント環境です。AWS には、セキュリティ管理プロセス、PCI DSS 要件、およびその他に関する補完的な制御が有効に実装されています。この機能により、お客様を、個別の保護された環境の中で効率的かつ安全な方法で分離します。この安全なアーキテクチャは、独立した QSA による検証を受けており、PCI DSS の適用されるすべての要件に準拠しているという結果を得ています。

    PCI Security Standards Council では、お客様やサービスプロバイダーのため、およびクラウドコンピューティングサービスの評価者のためのガイドラインとして、PCI DSS Cloud Computing Guidelines を発行しました。このガイドラインでは、サービスモデルについて、またプロバイダーとお客様の間でコンプライアンスの役割と責任をどのように分担するか、などについてが説明されています。

  • いいえ。AWS Attestation of Compliance (AOC) が AWS データセンターの物理的なセキュリティ管理の詳細な評価を示します。加盟店の QSA が AWS データセンターのセキュリティを確認する必要はありません。

  • AWS は、PCI-DSS に基づく「共有ホスティングプロバイダー」とみなされていません。したがって、DSS の要件 A1.4 に該当しません。当社では、責任共有モデルに基づいて、お客様が、AWS から追加のサポートを得なくても、自身の AWS 環境にデジタルフォレンジック調査を実行できるようにしています。これは、AWS のサービスと供に、AWS Marketplace で提供されるサードパーティ製のソリューションの両方を使用することで、実行可能となっています。詳細については、以下のリソースを参照してください。

  • PCI DSS 準拠である AWS サービスを使用している限り、範囲内のサービスをサポートするインフラストラクチャ全体が準拠しているので、別の環境または特殊な API を使用する必要はありません。これらのサービス内でデプロイされている、または、これらのサービスを使用しているサーバーもしくはデータオブジェクトであれば、グローバルで PCI DSS に準拠する環境内にあります。PCI DSS に準拠した AWS のサービスの一覧については、コンプライアンスプログラムによる AWS 対象範囲内のサービス、のウェブページで、PCI タブを参照してください。

  • はい。最新の PCI DSS AOC については、準拠する全ロケーションの一覧を AWS Artifact から取得の上、ご確認ください。

  • はい。どなたでも、PCI Security Standards Council Document LibraryからPCI DSS 標準をダウンロードできます。

  • はい。多くの AWS のお客様が、AWS 製品を使用して、カード所有者環境の全体、または一部のデプロイおよび認証に成功しています。AWS は PCI DSS 認証を獲得したお客様を公開していませんが、お客様やお客様の PCI DSS 評価者と定期的に協力して、AWS のカード所有者環境のデプロイ、認証、および四半期ごとのスキャンに関する計画を行っています。

  • 企業が、PCI DSS コンプライアンスを毎年検証するために取るべき主要なアプローチには、2 つの種類があります。一つ目のアプローチは、お客様の適用できる環境を評価し、Report on Compliance (ROC) および Attestation of Compliance (AOC) (準拠証明書) を作成する外部の Qualified Security Assessor (QSA) を持つことです。このアプローチは大量のトランザクションを処理するエンティティに最も一般的です。2 番目のアプローチは、Self-Assessment Questionnaire (SAQ) を実行することです。このアプローチはより少量のトランザクションを処理するエンティティに最も一般的です。

    PCI Council ではなく、支払いブランドと取得者が、コンプライアンスの責任を負うことに留意することは重要です。

  • PCI DSS の要件の概要は以下の通りです。

    安全なネットワークとシステムを構築し、保守する

    1. カード所有者のデータを保護するためにファイアウォール設定をインストールして維持する

    2. システムのパスワードなどのセキュリティパラメータについて、サプライヤが提供するデフォルトを使用しない

    カード所有者のデータを保護する

    3. 保存されているカード所有者のデータを保護する

    4. カード所有者のデータをオープンなパブリックネットワークを通じて送信する際に暗号化する

    脆弱性管理プログラムを保守する

    5. すべてのシステムをマルウェアから保護し、アンチウイルスソフトウェアまたはプログラムを定期的に更新する

    6. 安全なシステムおよびアプリケーションを開発し、維持する

    強力なアクセスコントロール対策の実装

    7. カード所有者データへのアクセスを、業務に必要な範囲に制限する

    8. システムコンポーネントへのアクセスを識別して認証する

    9. カード所有者のデータへの物理的アクセスを制限する

    ネットワークを定期的にモニターし、テストする

    10. ネットワークリソースおよびカード所有者データへのすべてのアクセスを追跡およびモニタリングする

    11. セキュリティシステムおよびプロセスを定期的にテストする

    情報セキュリティポリシーを保守する

    12. すべての人員の情報セキュリティを扱うポリシーを保守する

  • TLS 1.0 プロトコルのオプションを必要とする一部のお客様(PCI でない場合など)のため、AWS では、TLS 1.0 の廃止をすべてのサービスに広げることはしません。ただし、AWS のサービスでは、TLS 1.0 をサービスで無効にしたことにより生じるお客様への影響を個別に評価しており、廃止が決定される可能性もあります。お客様は、FIPS エンドポイントを使用することで、強力な暗号化機能を利用することもできます。AWS では、すべての FIPS エンドポイントについて、最低でも TLS バージョン 1.2 への更新を進めてまいります。より詳細な情報については、こちらのブログ記事を参照してください。

  • PCI の対象となるすべての AWS サービスは TLS 1.1 以上を有効にし、これらのサービスの中には PCI でない顧客のために TLS 1.0 もサポートするものがあります。セキュア TLS、つまり TLS 1.1 以上を使用する AWS とハンドシェイクする前にシステムをアップグレードすることは、お客様の責任となります。お客様は、TLS 1.1 以上を使用する安全なコミュニケーションのために、クライアントとロードバランサー間の暗号化プロトコルネゴシエーションを保証することができる事前に定義された AWS セキュリティポリシーを選択することによって、AWS ロードバランサー (Application Load Balancer あるいは Classic Load Balancer) を使用し設定することを検討ください。例えば、AWS Load Balancer セキュリティポリシーの ELBSecurityPolicy-TLS-1-2-2018-06 は TLS 1.2 のみをサポートします。

  • お客様の ASV (Approved Scanning Vendor) スキャンが AWS API エンドポイントで TLS 1.0 を認識した場合、それは API が TLS 1.1 以上、および TLS 1.0 を引き続きサポートしていることを意味します。PCI の対象となるいくつかの AWS サービスは、PCI ではないワークロードに必要な TLS 1.0 を引き続き有効化する可能性があります。お客様は、使用されているプロトコルを、Qualys SSL ラボなどのツールにより指定することによって、AWS API エンドポイントが TLS 1.1 以上をサポートしていることを、ASV に対して証明することができます。同時に、TLS 1.1 以上のみをサポートする適切なセキュリティポリシー(v1.2 のみをサポートする ELBSecurityPolicy-TLS-1-2-2017-01 など)で設定された、AWS Elastic Load Balancer を介して接続することにより、安全な TLS ハンドシェイクを有効化したという証拠を提供することもできます。ASV により、お客様がスキャン脆弱性の査察プロセスに従うように、要求される場合があります。この結果として記述された証拠は、コンプライアンスの証明として使用できます。別の方法として、それらの ASV を早めにエンゲージし、スキャンの前に ASV に証拠を提供することによって、評価が効率化され ASV スキャン合格の手助けになる可能性もあります。

ご質問がありますか? AWS のビジネス担当者と連絡を取る
コンプライアンスの役割について調べますか?
今すぐご登録ください »
AWS コンプライアンスの更新情報をお探しですか?
Twitter でフォローしてください »