クラウドにおける PCI DSS について教えてください
AWS PCI コンプライアンス

Payment Card Industry Data Security Standard (PCI DSS とも呼ばれる) は、American Express、Discover Financial Services、JCB International、MasterCard Worldwide、および Visa International により創設された PCI の Security Standards Council によって管理される機密情報のセキュリティ標準です。

PCI DSS は、販売店、処理業者、取得者、発行者、およびサービスプロバイダーを含む、カード所有者のデータ (CHD) および/または機密性の高い認証データ (SAD) を保存、処理、または転送するすべてのエンティティに適用されます。PCI DSS は、カードブランドにより要求され、Payment Card Industry Security Standards Council により管理されています。

AWS Artifact を使用して、PCI DSS Attestation of Compliance (AOC) と Responsibility Summary をリクエストしてください。



はい。AWS は 2010 年から PCI DSS の認証を受けています。2016 年 7 月 11 日現在、外部の Qualified Security Assessor Company (QSAC) である Coalfire Systems Inc. では、アマゾン ウェブ サービス (AWS) が PCI データセキュリティ基準 3.2 のレベル 1 サービスプロバイダー評価を正常に完了し、以下で説明されているサービスに関する条件に準拠しているかどうかを検証しました。

サービスプロバイダレベルは次のように定義されています。

レベル 1: 年間 300,000 を超えるトランザクションの保存、処理、および伝送を行うサービスプロバイダ。

レベル 2: 年間 300,000 未満のトランザクションの保存、処理、および伝送を行うサービスプロバイダ。

アマゾン ウェブ サービス (AWS) は、カード所有者のいかなるデータ (CHD) も直接的に保存、または処理しないクラウドサービスプロバイダー (CSP) です。ただし、AWS のお客様は、AWS 製品を使用するカード所有者のデータを保存、または処理が可能な自分のカードデータ環境 (CDE) を作成できます。

既に PCI DSS に準拠している AWS の対象サービスは、コンプライアンスプログラムによる AWS 対象範囲内のサービスで確認できます。このサービスの使用方法やその他のサービスの詳細に関心をお持ちの場合は、お問い合わせください。

AWS が PCI DSS "準拠" のサービスプロバイダーであることは、PCI DSS 準拠の認証を管理するときに、カード所有者データを保存、処理、または転送するために AWS の製品とサービスを使用するお客様が、AWS のテクノロジーインフラストラクチャを信頼できることを示します。

AWS の PCI DSS 準拠によって、すべてのレベルで情報セキュリティへの当社の取り組みがさらに実証されます。この PCI DSS 標準に準拠していることは、外部の独立したサードパーティにより検証されており、セキュリティ管理プログラムが包括的であり、業界の主要なプラクティスに従っていることが裏付けられます。この検証により、お客様はセキュリティ実施方法に関する保証を得られます。

すべてのエンティティは、自分の PCI DSS コンプライアンス認証を管理する必要があります。AWS にデプロイされている PCI カード所有者環境の部分について、お客様の QSA は AWS Attestation of Compliance (AOC) を信頼できますが、その他すべての PCI DSS 要件を満たす必要があります。

さらに詳細については、AWS PCI DSS Compliance Package の「AWS 2016 PCI DSS 3.2 Responsibility Summary」を参照してください。ご請求に応じて入手可能です。

AWS PCI Compliance Package は、お客様が AWS Artifact (AWS のコンプライアンスレポートへのオンデマンドアクセス用のセルフサービスポータル) を使用して入手できます。今すぐ AWS Artifact の使用を開始する

AWS PCI DSS Compliance Package には次のものが含まれます。

•  AWS PCI DSS 3.2 Attestation of Compliance (AOC)
•  AWS 2016 PCI DSS 3.2 Responsibility Summary

はい。AWS は Visa Global Registry of Service Providers および MasterCard Compliant Service Provider の両方に掲載されています。Service Provider リストでは AWS の PCI DSS への準拠が正常に検証済みであること、また適用されるすべての Visa および MasterCard プログラムの要件が満たされていることが示されます。

いいえ。AWS 環境は仮想化されたマルチテナント環境です。AWS は、セキュリティ管理プロセス、PCI DSS 要件およびその他の補完的な制御を実装して、お客様を効率的かつ安全な方法でそれぞれの保護された環境に分離します。この安全なアーキテクチャは、独立した QSA による検証を受け、2016 年 4 月に発行された PCI DSS バージョン 3.2 のすべての要件に準拠しているという結果が出ています。

PCI Security Standards Council では、お客様、サービスプロバイダー、およびクラウドコンピューティングサービスの評価者のためのガイドラインとして、PCI DSS Cloud Computing Guidelines 2.0 を発行しました。その中では、サービスモデルについて、またプロバイダーとお客様の間でコンプライアンスの役割と責任をどのように分担するかについても説明されています。

さらに、Third-Party Security Assurance 2016 では、カード所有者データを共有するサードパーティサービスプロバイダーの選択、使用、および管理における組織の補足情報を提供しています。

加盟店の QSA には、AWS Attestation of Compliance (AOC) (準拠証明書) を常に信頼し、AWS データセンターの物理的なセキュリティ管理の詳細な評価を示していただくことができます。

はい。AWS は、DSS 要件の A 1.4 に従い、フォレンジック調査を管理しています。お客様、またはお客様が指定した Qualified Incident Response Assessors(QIRA)は、フォレンジック調査の実行が必要な場合に AWS に問い合わせることができます。

いいえ。範囲内のサービスをサポートするインフラストラクチャ全体が準拠しており、別の環境または特殊な API を使用する必要はありません。これらのサービス内またはこれらのサービスを使用してデプロイされたサーバーまたはデータオブジェクトは、グローバルで PCI DSS 準拠環境内にあります。

はい。次の場所にあるデータセンターは、PCI DSS 標準に準拠しています。米国東部 (バージニア北部)、米国東部 (オハイオ)、米国西部 (オレゴン)、米国西部 (北カリフォルニア)、AWS GovCloud (US)、カナダ (中部)、欧州 (アイルランド)、欧州 (フランクフルト)、欧州 (ロンドン)、アジアパシフィック (シンガポール)、アジアパシフィック (シドニー)、アジアパシフィック (東京)、アジアパシフィック (ソウル)、アジアパシフィック (ムンバイ)、南米 (サンパウロ) です。

はい。PCI Security Standards Council から基準を直接ダウンロードできます。

はい。多くの AWS のお客様が、AWS 製品を使用して、カード所有者環境の全体、または一部のデプロイおよび認証に成功しています。AWS は PCI DSS 認証を獲得したお客様を公開していませんが、お客様やお客様の PCI DSS 評価者と定期的に協力して、AWS のカード所有者環境のデプロイ、認証、および四半期ごとのスキャンに関する計画を行っています。

企業が、PCI DSS コンプライアンスを毎年検証するための主要なアプローチが 2 つあります。最初のアプローチは、お客様の適用できる環境を評価し、Report on Compliance (ROC) および Attestation of Compliance (AOC) (準拠証明書) を作成する外部の Qualified Security Assessor (QSA) を持つことです。このアプローチは大量のトランザクションを処理するエンティティに最も一般的です。2 番目のアプローチは、Self-Assessment Questionnaire (SAQ) を実行することです。このアプローチはより少量のトランザクションを処理するエンティティに最も一般的です。

PCI council ではなく、支払いブランドと取得者が、コンプライアンスの責任を負うことに留意するのは重要です。

PCI DSS の 12 の要件の概要は以下の通りです。

安全なネットワークとシステムを構築し、保守する

1. カード所有者のデータを保護するためにファイアウォール設定をインストールして維持する。

2. システムのパスワードなどのセキュリティパラメータについて、サプライヤが提供するデフォルトを使用しない

カード所有者のデータを保護する

3. 保存されているカード所有者のデータを保護する

4. カード所有者のデータをオープンなパブリックネットワークを通じて送信する際に暗号化する

脆弱性管理プログラムを保守する

5. すべてのシステムをマルウェアから保護し、アンチウイルスソフトウェアまたはプログラムを定期的に更新する

6. 安全なシステムおよびアプリケーションを開発し、維持する

強力なアクセスコントロール対策の実装

7. カード所有者データへのアクセスを、業務に必要な範囲に制限する

8. システムコンポーネントへのアクセスを識別して認証する

9. カード所有者のデータへの物理的アクセスを制限する

ネットワークを定期的にモニターし、テストする

10. ネットワークリソースおよびカード所有者データへのすべてのアクセスを追跡およびモニタリングする

11. セキュリティシステムおよびプロセスを定期的にテストする

情報セキュリティポリシーを保守する

12. すべての人員の情報セキュリティを扱うポリシーを保守する

 

お問い合わせ