PCI DSS

Visão geral

140940_AWS_Multi-Logo Graphic_600x400_PCI

O Padrão de segurança de dados do Setor de cartões de pagamento (PCI DSS) é um padrão de segurança de informações exclusivas administrado pelo PCI Security Standards Council, fundado pelas seguintes empresas: American Express, Discover Financial Services, JCB International, MasterCard Worldwide e Visa Inc.

O PCI DSS aplica-se a todas as entidades que armazenam, processam ou transmitem dados do titular do cartão ou dados que dependem de autenticação, como comerciantes, processadores, compradores, emissores e fornecedores de serviços. O PCI DSS é aplicado pelas bandeiras de cartão de pagamento e administrado pelo Payment Card Industry Security Standards Council.

O Attestation of Compliance (AOC – Atestado de conformidade) e o resumo de responsabilidades do PCI DSS estão disponíveis para os clientes por meio do AWS Artifact, um portal de autoatendimento para acesso sob demanda a relatórios de conformidade da AWS. Faça login no AWS Artifact no Console de Gerenciamento da AWS ou saiba mais em Conceitos básicos do AWS Artifact.

  • A AWS é certificada pelo PCI DSS?

    Sim. A Amazon Web Services (AWS) é certificada como um provedor de serviços de nível 1 do PCI DSS 3.2, o mais alto nível de avaliação disponível. A avaliação de conformidade foi realizada pela Coalfire Systems Inc., um Qualified Security Assessor (QSA – Avaliador de segurança qualificado). O Attestation of Compliance (AOC – Atestado de conformidade) e o resumo de responsabilidades do PCI DSS estão disponíveis para os clientes por meio do AWS Artifact, um portal de autoatendimento para acesso sob demanda a relatórios de conformidade da AWS. Faça login no AWS Artifact no Console de Gerenciamento da AWS ou saiba mais em Conceitos básicos do AWS Artifact.

  • Quais serviços da AWS estão em conformidade com o PCI DSS?

    Para obter a lista de serviços da AWS em conformidade com o PCI DSS, consulte a guia PCI na página Serviços da AWS no escopo pelo programa de conformidade. Para obter mais informações sobre o uso desses serviços, entre em contato conosco.

  • O que isso significa para mim como comerciante ou provedor de serviços em conformidade com o PCI DSS?

    Como um cliente que usa produtos e serviços da AWS para armazenar, processar ou transmitir dados de titulares de cartão, você pode confiar na infraestrutura de tecnologia da AWS para gerenciar a sua própria certificação de conformidade com o PCI DSS.

    A AWS não armazena, transmite ou processa diretamente nenhum Cardholder Data (CHD – Dados de titulares de cartão) dos clientes. No entanto, você pode criar seu próprio Cardholder Data Environment (CDE – Ambiente de dados de titulares de cartão), em que é possível armazenar, transmitir ou processar dados do titular do cartão usando produtos da AWS.

  • O que isso significa para mim como cliente comerciante não vinculado ao PCI DSS?

    Mesmo que você não seja um cliente vinculado ao PCI DSS, a nossa conformidade com o PCI DSS demonstra o nosso compromisso com a segurança de informações em todos os níveis. Como o padrão PCI DSS foi validado por uma avaliação externa terceirizada independente, confirma que nosso programa de gerenciamento de segurança é abrangente e segue as principais práticas do setor.

  • Como cliente da AWS, posso confiar na Declaração de conformidade (AOC) da AWS ou serão necessários testes adicionais para entrar totalmente em conformidade?

    Os clientes devem gerenciar sua própria certificação de conformidade com o PCI DSS. Serão necessários testes adicionais para verificar se o seu ambiente satisfaz a todos os requisitos do PCI DSS. No entanto, para a parte do Cardholder Data Environment (CDE – Ambiente de dados do titular do cartão) do PCI implementada na AWS, o Qualified Security Assessor (QSA – Avaliador de segurança qualificado) pode confiar no Attestation of Compliance (AOC – Atestado de conformidade) da AWS sem testes adicionais.

  • Como posso saber mais sobre os controles do PCI DSS pelos quais sou responsável?

    Para obter informações detalhadas, consulte o “Resumo de responsabilidade do PCI DSS 3.2 de 2016 da AWS”, no Pacote de conformidade com o PCI DSS da AWS, disponível para os nossos clientes por meio do AWS Artifact, um portal de autoatendimento para acesso sob demanda aos relatórios de conformidade da AWS. Faça login no AWS Artifact no Console de Gerenciamento da AWS ou saiba mais em Conceitos básicos do AWS Artifact.

  • Como posso obter o Pacote de conformidade com o PCI da AWS?

    O Pacote de conformidade com o PCI da AWS está disponível para os clientes por meio do AWS Artifact, um portal de autoatendimento para acesso sob demanda a relatórios de conformidade da AWS. Faça login no AWS Artifact no Console de Gerenciamento da AWS ou saiba mais em Conceitos básicos do AWS Artifact.

  • Qual é o conteúdo do Pacote de conformidade com o PCI DSS da AWS?

    O Pacote de conformidade com o PCI da AWS inclui:

    • Atestado de conformidade (AOC) com o PCI DSS 3.2 da AWS
    • Resumo de responsabilidade do PCI DSS 3.2 da AWS de 2017

  • A AWS faz parte da lista de Registro global de provedores de serviço Visa e da lista de Provedores de serviços compatíveis com a MasterCard?

    Sim, a AWS faz parte da lista de Registro global de provedores de serviço Visa e da lista de Provedores de serviço em conformidade com a MasterCard. As listas de provedores de serviços demonstram claramente que a AWS validou com êxito a conformidade com o PCI DSS e cumpriu todos os requisitos aplicáveis do programa da Visa e da MasterCard.

  • O padrão PCI DSS exige ambientes dedicados para estabelecer conformidade?

    Não. O ambiente da AWS é virtualizado e de locação múltipla. A AWS implementou efetivamente processos de gestão da segurança, requisitos do PCI DSS e outros controles compensatórios que segregam de forma efetiva e segura cada cliente no seu próprio ambiente protegido. Essa arquitetura segura foi validada por um Qualified Security Assessor (QSA – Avaliador de segurança qualificado) independente e foi determinado que ela está em conformidade com todos os requisitos da versão 3.2 do PCI DSS publicada em abril de 2016.

    O PCI Security Standards Council publicou as Diretrizes de computação na nuvem 2.0 do PCI DSS para clientes, provedores de serviços e avaliadores de serviços de computação na nuvem. Além de descreverem modelos de serviço, também mostram como funções e responsabilidades de conformidade são compartilhadas entre provedores e clientes.

    Além disso, a Garantia de segurança de terceiros de 2016 disponibiliza informações adicionais que as organizações podem usar para selecionar, usar e gerenciar provedores de serviços terceirizados com os quais os dados dos titulares de cartão são compartilhados.

  • Os QSAs para comerciantes do nível 1 exigem percorrer fisicamente os datacenters da AWS?

    Não. O Attestation of Compliance (AOC – Atestado de conformidade) da AWS demonstra uma avaliação extensa dos controles de segurança física dos datacenters da AWS. Não é necessário que o QSA de um comerciante verifique a segurança dos datacenters da AWS.

  • A AWS oferece suporte a investigações forenses?

    Sim. A AWS gerencia investigações forenses em alinhamento com o requerimento A 1.4 do DSS. Os clientes ou seus Qualified Incident Response Assessors (QIRA – Assessores Qualificados de Resposta a Incidentes) designados podem entrar em contato com a AWS conforme necessário para realizar investigações forenses.

  • Existe algum ambiente especial em conformidade com o PCI DSS que preciso especificar ao conectar servidores ou enviar objetos para armazenamento?

    Desde que você usa serviços da AWS em conformidade com o PCI DSS, toda a infraestrutura que oferece suporte a serviços no escopo está em conformidade e não há um ambiente separado nem uma API especial para uso. Qualquer servidor ou objeto de dados implantado ou que utilize esses serviços está em um ambiente em conformidade com o PCI DSS, globalmente. Para obter a lista de serviços da AWS em conformidade com o PCI DSS, consulte a guia PCI na página Serviços da AWS no escopo pelo programa de conformidade.

  • A conformidade da AWS se aplica internacionalmente?

    Sim. Os datacenters nas seguintes regiões estão em compatibilidade com o padrão PCI DSS: Leste dos EUA (Norte da Virgínia), Leste dos EUA (Ohio), Oeste dos EUA (Oregon), Oeste dos EUA (Norte da Califórnia), AWS GovCloud (EUA), Canadá (Central), Europa (Irlanda), Europa (Frankfurt), Europa (Londres), Ásia-Pacífico (Cingapura), Ásia-Pacífico (Sydney), Ásia-Pacífico (Tóquio), Ásia-Pacífico (Seul), Ásia-Pacífico (Mumbai) e América do Sul (São Paulo).

  • O padrão PCI DSS é público?

    Sim. Você pode fazer download do padrão PCI DSS standard na biblioteca de documentos do PCI Security Standards Council.

  • Alguém obteve a certificação do PCI DSS na plataforma da AWS?

    Sim. Vários clientes da AWS implantaram com sucesso e certificaram parte ou todos os ambientes de titulares de cartão na AWS. A AWS não revela os clientes que obtiveram a certificação do PCI DSS, mas trabalha frequentemente com seus clientes e avaliadores do PCI DSS no planejamento, na implantação, na certificação e na execução de verificações quadrimestrais dos ambientes do titular do cartão na AWS.

  • Como as empresas estabelecem a compatibilidade com o PCI DSS?

    Existem duas principais abordagens que as empresas usam para validar anualmente sua conformidade com o PCI DSS. A primeira é ter um Qualified Security Assessor (QSA – Avaliador de segurança qualificado) externo para avaliar seu ambiente aplicável e, então, criar um Report on Compliance (ROC – Relatório sobre a conformidade) e um Attestation of Compliance (AOC – Atestado de conformidade). Essa abordagem é a mais comum para entidades que administram grandes volumes de transações. A segunda abordagem é executar um questionário de autoavaliação (SAQ). Essa abordagem é a mais comum para entidades que administram volumes menores de transações.

    É importante observar que as bandeiras de cartões de pagamento e os compradores são responsáveis por aplicar a conformidade, não o PCI Council.

  • Quais são os requisitos da conformidade com o PCI DSS?

    Veja abaixo uma visão geral básica dos requisitos do PCI DSS.

    Criar e manter rede e sistemas seguros

    1. Instalar e manter uma configuração de firewall para proteger dados do titular do cartão

    2. Não usar padrões do fornecedor para senhas do sistema e outros parâmetros de segurança

    Proteger os dados do titular do cartão

    3. Proteger os dados armazenados do titular do cartão

    4. Criptografar a transmissão de dados do titular do cartão em redes públicas abertas

    Manter um programa de gestão de vulnerabilidades

    5. Proteger todos os sistemas contra malware e atualizar com frequência o software ou os programas antivírus

    6. Desenvolver e manter sistemas e aplicativos seguros

    Implementar medidas rigorosas de controle de acesso

    7. Restringir o acesso aos dados do titular do cartão com base na necessidade de consulta da empresa

    8. Identificar e autenticar o acesso a componentes do sistema

    9. Restringir o acesso físico aos dados do titular do cartão

    Monitorar e testar redes com frequência

    10. Controlar e monitorar todo o acesso aos recursos de rede e dados do titular do cartão

    11. Testar com frequência processos e sistemas de segurança

    Manter uma política de segurança da informação

    12. Manter uma política direcionada à segurança da informação para toda a equipe

  • Qual é a posição da AWS sobre a continuidade do suporte ao protocolo TLS 1.0?

    A AWS não tem uma campanha para descontinuar o TLS 1.0 em todos os serviços, pois alguns clientes (por exemplo, clientes não vinculados ao PCI) exigem essa opção de protocolo. No entanto, os serviços da AWS estão avaliando individualmente o impacto causado nos clientes pela desabilitação do TLS 1.0 no serviço e podem optar por descontinuá-lo. 

  • Como um cliente configura a arquitetura da AWS para cumprir o requisito de TLS seguro do PCI?

    Todos os serviços da AWS no escopo para o PCI habilitam o TLS 1.1 ou posterior e alguns desses serviços também oferecem suporte ao TLS 1.0 para clientes (não vinculados ao PCI) que precisam dele. É responsabilidade do cliente fazer upgrade de seus sistemas para iniciar uma comunicação com a AWS que usa TLS seguro, ou seja, TLS 1.1 ou posterior. Os clientes devem usar e configurar load balancers da AWS (Application Load Balancers ou Classic Load Balancers) para comunicação segura usando o TLS 1.1 ou posterior selecionando uma política de segurança pré-definida da AWS que garanta a negociação do protocolo de criptografia entre um cliente e o load balancer como, por exemplo, TLS 1.2. Por exemplo, a política de segurança de load balancer ELBSecurityPolicy-TLS-1-2-2018-06 da AWS somente oferece suporte ao TLS 1.2.

     

  • Se a verificação de um Approved Scanning Vendor (ASV – Fornecedor de verificação aprovado) identificar o TLS 1.0 em um endpoint de API da AWS, isso significa que a API ainda oferece suporte ao TLS 1.0, além do TLS 1.1 ou posterior. Alguns serviços da AWS no escopo para o PCI podem ainda habilitar o TLS 1.0 para clientes que precisam dele para cargas de trabalho não vinculadas ao PCI. O cliente pode comprovar ao ASV que o endpoint de API da AWS oferece suporte ao TLS 1.1 ou posterior usando uma ferramenta, como Qualys SSL Labs, para identificar os protocolos usados. O cliente também pode fornecer evidência de que habilita uma comunicação segura via TLS com uma conexão por meio de um Classic Load Balancer ou Application Load Balancer da AWS configurado com uma política de segurança de load balancer da AWS que ofereça suporte somente ao TLS 1.1 ou posterior (por exemplo, a política de segurança ELBSecurityPolicy-TLS-1-2-2017-01 oferece suporte apenas à versão v1.2). O ASV pode exigir que o cliente siga um processo de contestação de vulnerabilidade de verificação e a evidência descrita pode ser usada como prova de conformidade. Como alternativa, a interação com o ASV logo no início do processo e o fornecimento dessa evidência ao ASV antes da verificação pode dinamizar a avaliação e apoiar a aprovação na verificação do ASV.

     

compliance-contactus-icon
Dúvidas? Entre em contato com um representante de conformidade da AWS
Você está explorando funções de conformidade?
Inscreva-se hoje »
Você quer ficar atualizado sobre a conformidade da AWS?
Siga-nos no Twitter »