PCI DSS

概要

140940_AWS_Multi-Logo Graphic_600x400_PCI

Payment Card Industry Data Security Standard (PCI DSS) は、American Express、Discover Financial Services、JCB International、MasterCard Worldwide、および Visa International により創設された PCI の Security Standards Council によって管理される機密情報のセキュリティ標準です。

PCI DSS は、カード所有者のデータ (CHD) や機密性の高い認証データ (SAD) を保存、処理、転送するすべてのエンティティに適用されます。これらのエンティティには、販売店、処理業者、取得者、発行者、サービスプロバイダーが含まれます。PCI DSS は、カードブランドにより要求され、Payment Card Industry Security Standards Council により管理されています。

PCI DSS Attestation of Compliance (AOC) および Responsibility Summary は、AWS Artifact (AWS のコンプライアンスレポートをオンデマンドで入手するためのセルフサービスポータル) を使用して入手できます。AWS マネジメントコンソール内の AWS Artifact にサインインするか、AWS Artifact の開始方法ページで詳細をご覧ください。

  • AWS は PCI DSS の認証を受けていますか?

    はい。アマゾン ウェブ サービス (AWS) は、最高の評価である PCI DSS 3.2 レベル 1 サービスプロバイダーとしての認証を受けています。このコンプライアンス評価は、独立した認定審査期間 (QSA) である Coalfire Systems Inc. によって実行されました。PCI DSS Attestation of Compliance (AOC) および Responsibility Summary は、AWS Artifact (AWS のコンプライアンスレポートをオンデマンドで入手するためのセルフサービスポータル) を使用して入手できます。詳細は、AWS マネジメントコンソール内の AWS Artifact にサインインするか、AWS Artifact の開始方法ページでご確認いただけます。

  • PCI DSS に準拠した AWS のサービスはどれですか?

    PCI DSS に準拠した AWS のサービスのリストは、コンプライアンスプログラムによる AWS 対象範囲内のサービスウェブページの PCI タブを参照してください。これらのサービスの使用についての詳細は、お問い合わせください。

  • PCI DSS 加盟店またはサービスプロバイダーにとって、これはどのような意味がありますか?

    AWS の製品とサービスを使用してカード所有者データの保存、処理、送信を行うお客様は、AWS のテクノロジーインフラストラクチャを利用して自身の PCI DSS コンプライアンス証明書を管理できます。

    AWS ではいかなる顧客カード所有者データ (CHD) も直接的に保存、送信、処理しません。ただし、AWS のお客様は、AWS 製品を使用するカード所有者のデータを保存、または処理が可能な自分のカードデータ環境 (CDE) を作成できます。

  • PCI DSS 加盟店以外の顧客にとって、これはどのような意味がありますか?

    AWS の PCI DSS コンプライアンスは、あらゆるレベルでの情報セキュリティへの当社の取り組みを、PCI DSS の顧客以外にも証明します。PCI DSS 標準は第三者の独立監査人により検証されており、これによって当社のセキュリティ管理プログラムが包括的であり、ベストプラクティスに従っていることが裏付けられています。

  • AWS の顧客は、AWS Attestation of Compliance (AOC) に依存できますか? それとも完全に準拠するには、追加のテストが必要ですか?

    お客様は、自身の PCI DSS コンプライアンス認定を管理する必要があります。また、お客様の環境がすべての PCS DSS 要件を満たしているかどうか確認するには、追加のテストが必要になります。ただし、AWS にデプロイされている PCI カード所有者データ環境 (CDE) の部分については、Qualified Security Assessor (QSA) は、それ以上のテストを行わなくても AWS Attestation of Compliance (AOC) に依存できます。

  • PCI DSS 管理におけるユーザーの責任を確認するにはどうすればよいですか?

    詳細な情報については、AWS Artifact (AWS のコンプライアンスレポートをオンデマンドで入手するためのセルフサービスポータル) を使用して入手できる AWS PCI DSS Compliance Package の「AWS 2016 PCI DSS 3.2 Responsibility Summary」をご覧ください。詳細は、AWS マネジメントコンソール内の AWS Artifact にサインインするか、AWS Artifact の開始方法ページでご確認いただけます。

  • AWS PCI Compliance Package はどのようにしたら入手できますか?

    AWS PCI Compliance Package は、AWS Artifact (AWS のコンプライアンスレポートへのオンデマンドアクセス用のセルフサービスポータル) を使用して入手できます。詳細は、AWS マネジメントコンソール内AWS Artifact にサインインするか、AWS Artifact の開始方法ページでご確認いただけます。

  • AWS PCI DSS Compliance Package には何が含まれますか?

    AWS PCI Compliance Package には次のものが含まれます。

    • AWS PCI DSS 3.2 Attestation of Compliance (AOC)
    • AWS 2017 PCI DSS 3.2 Responsibility Summary

  • AWS は Visa Global Registry of Service Providers および MasterCard Compliant Service Provider List に掲載されていますか?

    はい。AWS は Visa Global Registry of Service Providers および MasterCard Compliant Service Provider の両方に掲載されています。 Service Provider リストでは AWS の PCI DSS への準拠が正常に検証済みであること、また適用されるすべての Visa および MasterCard プログラムの要件が満たされていることが示されます。

  • PCI DSS 標準に準拠するには、単一テナント環境が必要ですか?

    いいえ。AWS 環境は仮想化されたマルチテナント環境です。AWS は、セキュリティ管理プロセス、PCI DSS 要件およびその他の補完的な制御を実装して、お客様を効率的かつ安全な方法でそれぞれの保護された環境に分離します。この安全なアーキテクチャは、独立した QSA による検証を受け、2016 年 4 月に発行された PCI DSS バージョン 3.2 のすべての要件に準拠しているという結果が出ています。

    PCI Security Standards Council では、お客様とサービスプロバイダーのため、およびクラウドコンピューティングサービスを評価するためのガイドラインとして、PCI DSS Cloud Computing Guidelines 2.0 を発行しました。その中では、サービスモデルについて、またプロバイダーとお客様の間でコンプライアンスの役割と責任をどのように分担するかについても説明されています。

    さらに、Third-Party Security Assurance 2016 では、カード所有者データを共有するサードパーティサービスプロバイダーの選択、使用、および管理における組織の補足情報を提供しています。

  • レベル 1 加盟店の QSA は、AWS データセンターに実際に入場する必要はありますか?

    いいえ。AWS Attestation of Compliance (AOC) が AWS データセンターの物理的なセキュリティ管理の詳細な評価を示します。加盟店の QSA が AWS データセンターのセキュリティを確認する必要はありません。

  • AWS はフォレンジック調査をサポートしますか?

    はい。AWS は、DSS 要件の A 1.4 に従い、フォレンジック調査を管理しています。お客様、またはお客様が指定した Qualified Incident Response Assessors (QIRA) は、フォレンジック調査の実行が必要な場合に AWS に問い合わせることができます。

  • サーバーに接続するとき、または保存するオブジェクトをアップロードするときに、特別な PCI DSS 準拠環境を指定する必要はありますか?

    PCI DSS 準拠である AWS サービスを使用している限り、範囲内のサービスをサポートするインフラストラクチャ全体が準拠しているので、別の環境または特殊な API を使用する必要はありません。これらのサービス内またはこれらのサービスを使用してデプロイされたサーバーまたはデータオブジェクトは、グローバルで PCI DSS 準拠環境内にあります。PCI DSS に準拠した AWS のサービスのリストは、コンプライアンスプログラムによる AWS 対象範囲内のサービスウェブページの PCI タブを参照してください。

  • AWS 準拠は国際的に適用できますか?

    はい。米国東部 (バージニア北部)、米国東部 (オハイオ)、米国西部 (オレゴン)、米国西部 (北カリフォルニア)、AWS GovCloud (米国)、カナダ (中部)、欧州 (アイルランド)、欧州 (フランクフルト)、欧州 (ロンドン)、欧州 (パリ)、アジアパシフィック (シンガポール)、アジアパシフィック (シドニー)、アジアパシフィック (東京)、アジアパシフィック (大阪)、アジアパシフィック (ソウル)、アジアパシフィック (ムンバイ)、南米 (サンパウロ) にあるデータセンターは、PCI DSS 標準に準拠しています。

  • PCI DSS 標準は公開されていますか?

    はい。PCI Security Standards Council ドキュメントライブラリから PCI DSS 標準をダウンロードできます。

  • AWS プラットフォームで PCI DSS 認証を受けた顧客はいますか?

    はい。多くの AWS のお客様が、AWS 製品を使用して、カード所有者環境の全体、または一部のデプロイおよび認証に成功しています。AWS は PCI DSS 認証を獲得したお客様を公開していませんが、お客様やお客様の PCI DSS 評価者と定期的に協力して、AWS のカード所有者環境のデプロイ、認証、および四半期ごとのスキャンに関する計画を行っています。

  • 企業はどのように PCI DSS に準拠していますか?

    企業が、PCI DSS コンプライアンスを毎年検証するための主要なアプローチが 2 つあります。一つ目のアプローチは、お客様の適用できる環境を評価し、Report on Compliance (ROC) および Attestation of Compliance (AOC) (準拠証明書) を作成する外部の Qualified Security Assessor (QSA) を持つことです。このアプローチは大量のトランザクションを処理するエンティティに最も一般的です。2 番目のアプローチは、Self-Assessment Questionnaire (SAQ) を実行することです。このアプローチはより少量のトランザクションを処理するエンティティに最も一般的です。

    PCI Council ではなく、支払いブランドと取得者が、コンプライアンスの責任を負うことに留意することは重要です。

  • PCI DSS コンプライアンスの要件はどのようなものですか?

    PCI DSS の要件の概要は以下の通りです。

    安全なネットワークとシステムを構築し、保守する

    1. カード所有者のデータを保護するためにファイアウォール設定をインストールして維持する

    2. システムのパスワードなどのセキュリティパラメータについて、サプライヤが提供するデフォルトを使用しない

    カード所有者のデータを保護する

    3. 保存されているカード所有者のデータを保護する

    4. カード所有者のデータをオープンなパブリックネットワークを通じて送信する際に暗号化する

    脆弱性管理プログラムを保守する

    5. すべてのシステムをマルウェアから保護し、アンチウイルスソフトウェアまたはプログラムを定期的に更新する

    6. 安全なシステムおよびアプリケーションを開発し、維持する

    強力なアクセスコントロール対策の実装

    7. カード所有者データへのアクセスを、業務に必要な範囲に制限する

    8. システムコンポーネントへのアクセスを識別して認証する

    9. カード所有者のデータへの物理的アクセスを制限する

    ネットワークを定期的にモニターし、テストする

    10. ネットワークリソースおよびカード所有者データへのすべてのアクセスを追跡およびモニタリングする

    11. セキュリティシステムおよびプロセスを定期的にテストする

    情報セキュリティポリシーを保守する

    12. すべての人員の情報セキュリティを扱うポリシーを保守する

  • TLS 1.0 プロトコルの継続したサポートについての AWS の見解は何ですか?

    このプロトコルのオプションを必要とする一部のお客様 (PCI でない場合など) のため、AWS ではすべてのサービスで TLS 1.0 を廃止することはしません。ただし、AWS のサービスではサービスに対して TLS 1.0 を無効にしたことによるお客様への影響を個別に評価しており、廃止することを選択する可能性があります。 

  • AWS アーキテクチャをどのように設定すればセキュア TLS 向けの PCI 要件に準拠できますか?

    PCI の対象となるすべての AWS サービスは TLS 1.1 以上を有効にし、これらのサービスの中には PCI でない顧客のために TLS 1.0 もサポートするものがあります。セキュア TLS、つまり TLS 1.1 以上を使用する AWS とハンドシェイクする前にシステムをアップグレードすることは、お客様の責任となります。お客様は、TLS 1.1 以上を使用する安全なコミュニケーションのために、クライアントとロードバランサー間の暗号化プロトコルネゴシエーションを保証することができる事前に定義された AWS セキュリティポリシーを選択することによって、AWS ロードバランサー (Application Load Balancer あるいは Classic Load Balancer) を使用し設定することを検討ください。例えば、AWS Load Balancer セキュリティポリシーの ELBSecurityPolicy-TLS-1-2-2018-06 は TLS 1.2 のみをサポートします。

     

  • お客様の ASV (Approved Scanning Vendor) スキャンが AWS API エンドポイントで TLS 1.0 を認識した場合、それは API が TLS 1.1 以上、および TLS 1.0 を引き続きサポートしていることを意味します。PCI の対象となるいくつかの AWS サービスは、PCI ではないワークロードに必要な TLS 1.0 を引き続き有効化する可能性があります。使用されたプロトコルを Qualys SSL ラボなどのツールを使って識別することによって、AWS API エンドポイントが TLS 1.1 以上をサポートすることを ASV に証明することができます。お客様は、v1.2 のみをサポートする ELBSecurityPolicy-TLS-1-2-2017-01 などの、TLS 1.1 以上のみをサポートする AWS Load Balancer セキュリティポリシーで設定された AWS Classic Load Balancer あるいは Application Load Balancer を介して接続することにより、安全な TLS ハンドシェイクを有効化したという証拠を提供することもできます。ASV によりスキャン脆弱性の論争プロセスに従うことを要求される可能性があります。記述された証拠は、コンプライアンスの証明として使用できます。別の方法として、それらの ASV を早めにエンゲージし、スキャンの前に ASV に証拠を提供することによって、評価が効率化され ASV スキャン合格の手助けになる可能性もあります。

     

compliance-contactus-icon
ご質問がありますか? AWS のビジネス担当者と連絡を取る
コンプライアンスの役割について調べますか?
今すぐご登録ください »
AWS コンプライアンスの更新情報を入手しますか?
Twitter でフォローしてください »