Gostaria de obter informações sobre o PCI DSS na nuvem
Conformidade da AWS com o PCI

O Padrão de segurança de dados do Setor de cartões de pagamento (também conhecido como PCI DSS) é um padrão de segurança de informações exclusivas administrado pelo PCI Security Standards Council, fundado pelas seguintes empresas: American Express, Discover Financial Services, JCB International, MasterCard Worldwide e Visa Inc.

O PCI DSS aplica-se a todas as entidades que armazenam, processam ou transmitem dados do titular do cartão (CHD) e/ou dados que dependem de autenticação (SAD), como comerciantes, processadores, compradores, emissores e provedores de serviços. O PCI DSS é mandatado pelas bandeiras de cartão de pagamento e administrado pelo Payment Card Industry Security Standards Council.

Solicite a declaração de conformidade (AOC) com o PCI DSS e o resumo de responsabilidade usando o AWS Artifact



Sim. A AWS tem a certificação do PCI DSS desde 2010. Em 11 de julho de 2016, uma empresa de avaliação de segurança qualificada (QSAC) externa, a Coalfire Systems Inc., corroborou que a Amazon Web Services (AWS) concluiu com êxito a avaliação de provedor de serviço dos Padrões de segurança de dados do PCI 3.2 (nível 1) e foi classificada como em conformidade com os serviços relacionados abaixo.

Os níveis de provedor de serviço são definidos como:

Nível 1: Qualquer provedor de serviço que armazena, processa e/ou transmite mais que 300.000 transações anualmente

Nível 2: Qualquer provedor de serviço que armazena, processa e/ou transmite até 300.000 transações anualmente

A Amazon Web Services (AWS) é um provedor de serviços na nuvem (CSP) que não armazena, transmite ou processa diretamente nenhum dado do titular do cartão (CHD). No entanto, o cliente da AWS pode criar seu próprio ambiente de dados de cartão (CDE), em que é possível armazenar, transmitir ou processar dados do titular do cartão usando produtos da AWS.

Os serviços da AWS cobertos e já em conformidade com o PCI DSS podem ser encontrados em Serviços da AWS no escopo por programa de conformidade. Se quiser saber mais sobre o uso desses serviços e/ou tiver interesse em outros, entre em contato conosco.

A AWS é um provedor de serviços em conformidade com o PCI DSS e isso significa que os clientes que usam produtos e serviços da AWS para armazenar, processar ou transmitir dados do titular do cartão podem contar com a nossa infraestrutura de tecnologia, enquanto administram suas próprias certificações de conformidade com o PCI DSS.  

A conformidade com o PCI DSS da AWS demonstra de forma mais clara o compromisso com a segurança da informação em todos os níveis. O padrão PCI DSS foi validado por uma avaliação externa terceirizada independente, confirmando que nosso programa de gestão de segurança é abrangente e segue as principais práticas do setor. Essa validação proporciona aos clientes uma garantia quanto às nossas práticas de segurança.

Todas as entidades devem gerir suas próprias certificações de conformidade com o PCI DSS. Para a implantação do ambiente do titular do cartão em conformidade com o PCI na AWS, seu QSA pode confiar na declaração de conformidade da AWS, mas você ainda precisará atender a todos os outros requisitos do PCI DSS.

Para obter informações detalhadas consulte a seção "Resumo de responsabilidade do PCI DSS 3.2 da AWS de 2016" do Pacote de conformidade com o PCI DSS da AWS, disponível mediante solicitação.

O Pacote de conformidade com o PCI da AWS está disponível para os clientes que usam o AWS Artifact, um portal de autoatendimento para acesso sob demanda a relatórios de conformidade da AWS. Comece a usar o AWS Artifact hoje mesmo.

O Pacote de conformidade com o PCI DSS da AWS inclui:

•  Declaração de conformidade (AOC) com o PCI DSS 3.2 da AWS
•  Resumo de responsabilidade do PCI DSS 3.2 da AWS de 2016

Sim, a AWS faz parte da lista de Registro global de provedores de serviço Visa e da lista de Provedores de serviço em conformidade com a MasterCard. As listas de provedores de serviços demonstram claramente que a AWS validou com êxito a conformidade com o PCI DSS e atendeu a todos os requisitos aplicáveis do programa da Visa e da MasterCard.

Não. O ambiente da AWS é virtualizado e de locação múltipla. A AWS implementou efetivamente processos de gestão da segurança, requisitos do PCI DSS e outros controles compensatórios que segregam de forma efetiva e segura cada cliente no seu próprio ambiente protegido. Essa arquitetura segura foi validada por um QSA (Qualified Security Assessor, Avaliador qualificado de segurança) independente e foi determinado que ela está em conformidade com todos os requisitos da versão 3.2 do PCI DSS publicada em abril de 2016.

O PCI Security Standards Council publicou as Diretrizes de computação na nuvem 2.0 do PCI DSS como uma orientação para clientes, provedores de serviços e avaliadores de serviços de computação na nuvem. Além de descreverem modelos de serviço, também mostram como funções e responsabilidades de conformidade são compartilhadas entre provedores e clientes.

Além disso, o Controle de segurança terceirizado de 2016 disponibiliza para empresas informações adicionais sobre a seleção, o uso e a gestão de provedores de serviços terceirizados com os quais dados do titular do cartão são compartilhados.

Um QSA do comerciante poderá sempre contar com a declaração de conformidade da AWS para demonstrar uma avaliação extensiva dos controles de segurança física dos datacenters da AWS.

Sim. A AWS gerencia investigações forenses em alinhamento com o requerimento A 1.4 do DSS. Os clientes ou seus Qualified Incident Response Assessors (QIRA – Assessores Qualificados de Resposta a Incidentes) designados podem entrar em contato com a AWS conforme necessário para realizar investigações forenses.

Não. Toda a infraestrutura de suporte aos serviços em escopo está em conformidade e não existe um ambiente separado ou API especial a serem utilizados. Qualquer servidor ou objeto de dados implantado ou que utilize esses serviços está em um ambiente em conformidade com o PCI DSS, globalmente.

Sim. Os datacenters nas seguintes regiões estão em conformidade com o padrão PCI DSS: Leste dos EUA (Norte da Virgínia), Leste dos EUA (Ohio), Oeste dos EUA (Oregon), Oeste dos EUA (Norte da Califórnia), AWS GovCloud (US), Canadá (Central), Europa (Irlanda), Europa (Frankfurt), Europa (Londres), Ásia-Pacífico (Cingapura), Ásia-Pacífico (Sydney), Ásia-Pacífico (Tóquio), Ásia-Pacífico (Seul), Ásia-Pacífico (Mumbai) e América do Sul (São Paulo).

Sim. Você pode baixar o padrão diretamente do PCI Security Standards Council.

Sim. Vários clientes da AWS implantaram com sucesso e certificaram parte ou todos os ambientes de titulares de cartão na AWS. A AWS não revela os clientes que obtiveram a certificação do PCI DSS, mas trabalha frequentemente com os seus clientes e avaliadores do PCI DSS no planejamento, na implantação, na certificação e na execução de verificações quadrimestrais dos ambientes do titular do cartão na AWS.

Existem duas principais abordagens que as empresas usam para validar sua conformidade com o PCI DSS anualmente. A primeira é ter um avaliador de segurança qualificado (QSA) externo para avaliar seu ambiente aplicável e, então, criar um relatório sobre a conformidade (ROC) e uma declaração de conformidade (AOC). Essa abordagem é a mais comum para entidades que administram grandes volumes de transações. A segunda abordagem é executar um questionário de autoavaliação (SAQ). Essa abordagem é a mais comum para entidades que administram volumes menores de transações.

É importante observar que as bandeiras de cartões de pagamento e os compradores são responsáveis por aplicar a conformidade, não o PCI Council.

Veja abaixo uma visão geral básica dos 12 requisitos do PCI DSS.

Criar e manter rede e sistemas seguros

1. Instalar e manter uma configuração de firewall para proteger dados do titular do cartão

2. Não usar padrões do fornecedor para senhas do sistema e outros parâmetros de segurança

Proteger os dados do titular do cartão

3. Proteger os dados armazenados do titular do cartão

4. Criptografar a transmissão de dados do titular do cartão em redes públicas abertas

Manter um programa de gestão de vulnerabilidades

5. Proteger todos os sistemas contra malware e atualizar com frequência o software ou os programas antivírus

6. Desenvolver e manter sistemas e aplicações seguras

Implementar medidas rigorosas de controle de acesso

7. Restringir o acesso aos dados do titular do cartão com base na necessidade de consulta da empresa

8. Identificar e autenticar o acesso a componentes do sistema

9. Restringir o acesso físico aos dados do titular do cartão

Monitorar e testar redes com frequência

10. Controlar e monitorar todo o acesso aos recursos de rede e dados do titular do cartão

11. Testar com frequência processos e sistemas de segurança

Manter uma política de segurança da informação

12. Manter uma política direcionada à segurança da informação para toda a equipe

 

Entre em contato conosco