PCI DSS

Обзор

140940_AWS_Multi-Logo Graphic_600x400_PCI

Стандарт безопасности данных индустрии платежных карт (PCI DSS) – это проприетарный стандарт в области информационной безопасности. Он находится под административным управлением Совета по стандартам безопасности данных индустрии платежных карт, основанного компаниями American Express, Discover Financial Services, JCB International, MasterCard Worldwide и Visa Inc.

Стандарт PCI DSS распространяется на все юридические лица, которые занимаются хранением, обработкой или передачей данных владельцев карт или конфиденциальных данных аутентификации, в том числе на торговые компании, процессинговые центры, эквайеров, эмитентов карт и поставщиков услуг. Стандарт PCI DSS утверждается платежными системами, а его администрированием занимается Совет по стандартам безопасности данных индустрии платежных карт.

Сертификат соответствия требованиям (AOC) PCI DSS и обзор сферы ответственности можно получить с помощью AWS Artifact, портала самообслуживания для доступа по требованию к отчетам AWS по соответствию требованиям. Войдите в раздел AWS Artifact в Консоли управления AWS или см. подробности на странице Начало работы с AWS Artifact.

  • Получила ли AWS сертификацию PCI DSS?

    Да, Amazon Web Services (AWS) является сертифицированным поставщиком услуг PCI DSS 3.2 Level 1 – самого высокого уровня оценки из существующих. Оценка соответствия проводилась компанией Coalfire Systems Inc., независимым квалифицированным инспектором безопасности (КИБ). Сертификат соответствия требованиям (AOC) PCI DSS и обзор сферы ответственности можно получить с помощью AWS Artifact, портала самообслуживания для доступа по требованию к отчетам AWS по соответствию требованиям. Войдите в раздел AWS Artifact в Консоли управления AWS или см. подробности на странице Начало работы с AWS Artifact.

  • Какие сервисы AWS соответствуют требованиям PCI DSS?

    Перечень сервисов AWS, соответствующих требованиям PCI DSS, см. на вкладке PCI на странице Сервисы AWS в программе обеспечения соответствия. Свяжитесь с нами, чтобы получить дополнительную информацию об использовании этих сервисов.

  • Что это значит для меня, если я являюсь торговой компанией или поставщиком услуг в сфере PCI DSS?

    При использовании продуктов и сервисов AWS для хранения, обработки и передачи данных владельцев платежных карт вы можете полагаться на нашу технологическую инфраструктуру в ходе прохождения собственной сертификации на соответствие требованиям PCI DSS.

    AWS не занимается непосредственным хранением, передачей или обработкой данных владельцев карт для своих клиентов. Однако с помощью продуктов AWS клиенты могут создавать собственные среды для данных платежных карт, в которых будут происходить процессы хранения, передачи или обработки данных владельцев платежных карт.

  • Что это значит для меня, если я не являюсь торговой компанией и не использую PCI DSS?

    Даже если у вас нет сертификации PCI DSS, соответствие наших сервисов требованиям PCI демонстрирует нашу приверженность информационной безопасности на всех уровнях. Поскольку соответствие стандарту PCI DSS проверяется независимой сторонней компанией, это означает, что наша программа управления безопасностью является всесторонней и соответствует передовым отраслевым практикам.

  • Могу ли я как клиент AWS положиться на сертификат соответствия, выданный AWS, или для подтверждения полного соответствия мне необходимо пройти дополнительную проверку?

    Клиенты должны проходить собственную сертификацию на соответствие требованиям PCI DSS, поэтому для подтверждения того, что конкретная среда удовлетворяет всем требованиям PCI DSS, может потребоваться дополнительное тестирование. Однако в отношении среды для работы с данными владельцев карт, развернутой на AWS, квалифицированный инспектор безопасности может положиться на сертификат соответствия, полученный AWS, без дополнительного тестирования.

  • Как узнать, за какие средства управления PCI DSS ответственность лежит на мне?

    Для получения дополнительной информации см. документ с обзором сферы ответственности AWS по обеспечению соответствия требованиям PCI DSS 3.2. за 2016 год из пакета по соответствию AWS требованиям PCI DSS (доступен с помощью AWS Artifact, портала самообслуживания для доступа по требованию к отчетам AWS по соответствию требованиям). Войдите в раздел AWS Artifact в Консоли управления AWS или см. подробности на странице Начало работы с AWS Artifact.

  • Где можно получить пакет документов по соответствию AWS требованиям PCI?

    Доступ к пакету по соответствию AWS требованиям PCI DSS можно получить с помощью AWS Artifact, портала самообслуживания для доступа по требованию к отчетам AWS по соответствию требованиям. Войдите в раздел AWS Artifact в Консоли управления AWS или см. подробности на странице Начало работы с AWS Artifact.

  • Что входит в состав пакета по соответствию AWS требованиям PCI DSS?

    Пакет по соответствию AWS требованиям PCI включает:

    • сертификат соответствия AWS требованиям PCI DSS 3.2 (AOC);
    • обзор сферы ответственности AWS по обеспечению соответствия требованиям PCI DSS 3.2. за 2017 год.

  • Входит ли AWS в глобальный регистр поставщиков услуг Visa или в список совместимых поставщиков услуг MasterCard?

    Да, AWS входит в глобальный реестр поставщиков услуг Visa и в список одобренных поставщиков услуг MasterCard. Эти перечни поставщиков услуг еще раз демонстрируют, что AWS успешно прошла сертификацию на соответствие требованиям PCI DSS и удовлетворяет всем применимым программным требованиям Visa и MasterCard.

  • Требуется ли для работы по стандарту PCI DSS среда, выделенная для одного клиента?

    Нет. Платформа AWS – это виртуальная многопользовательская среда. В AWS реализованы эффективные процессы управления безопасностью, соответствия требованиями PCI DSS и другие средства управления, которые безопасно изолируют клиентов в собственных защищенных средах. Эта безопасная архитектура была протестирована независимым КИБ, который установил, что она соответствует всем требованиям стандарта PCI DSS 3.2, опубликованного в апреле 2016 г.

    Совет по стандартам безопасности PCI опубликовал документ PCI DSS Cloud Computing Guidelines 2.0 для клиентов, поставщиков услуг и проверяющих в сфере облачных вычислительных сервисов. В нем описаны возможные модели сервисов и распределение между поставщиками и клиентами ролей и обязанностей в части обеспечения соответствия требованиям.

    Кроме того, в документе Third-Party Security Assurance 2016 приведена дополнительная информация по выбору стороннего поставщика сервисов для совместной работы с данными владельцев карт, по его использованию и управлению взаимодействием с ним.

  • Требуется ли торговой компании уровня Level 1 предоставлять своим КИБ физические схемы ЦОД AWS?

    Нет. Сертификат соответствия, выданный AWS, – это показатель всесторонней оценки методов управления физической безопасностью в ЦОД AWS. КИБ торговой компании может не проводить проверку безопасности ЦОД AWS.

  • Поддерживает ли AWS проведение следственных мероприятий?

    Да. AWS поддерживает проведение следственных мероприятий в соответствии с требованиями DSS A 1.4. Клиенты или их компетентные эксперты по реагированию на инциденты могут обращаться в AWS для проведения следственных мероприятий.

  • Существует ли специальная среда соответствия PCI DSS, которую необходимо указывать при запуске серверов или загрузке объектов для хранения?

    Если используемые сервисы AWS соответствуют требованиям PCI DSS, вся инфраструктура, поддерживающая соответствующие сервисы, удовлетворяет требованиям; отдельной среды или специального API нет. Любой сервер или объект данных, который развернут в этих сервисах или использует их, находится в среде, соответствующей требованиям PCI DSS, независимо от региона. Перечень сервисов AWS, соответствующих требованиям PCI DSS, см. на вкладке PCI на странице Сервисы AWS в программе обеспечения соответствия.

  • Признается ли соответствие AWS на международном уровне?

    Да. Соответствие стандарту PCI DSS подтверждено для ЦОД в следующих регионах: Восток США (Северная Вирджиния), Восток США (Огайо), Запад США (Орегон), Запад США (Северная Калифорния), AWS GovCloud (США), Канада (Центр), Европа (Ирландия), Европа (Франкфурт), Европа (Лондон), Азия и Тихий океан (Сингапур), Азия и Тихий океан (Сидней), Азия и Тихий океан (Токио), Азия и Тихий океан (Сеул), Азия и Тихий океан (Мумбаи) и Южная Америка (Сан-Паулу).

  • Является ли стандарт PCI DSS публичным?

  • Есть ли организации, которые уже прошли сертификацию PCI DSS на платформе AWS?

    Да, многие клиенты уже выполнили развертывание в AWS сред для обслуживания владельцев карт (полное или частичное) и успешно сертифицировали эти среды. AWS не раскрывает информацию о клиентах, прошедших сертификацию PCI DSS, но регулярно сотрудничает с клиентами и организациями, выполняющими их оценку на соответствие PCI DSS, в вопросах планирования, развертывания, сертификации и выполнения ежеквартального анализа среды обработки информации о владельцах карт на AWS.

  • Каким образом компании подтверждают соответствие PCI DSS?

    Существует два основных подхода к ежегодному подтверждению соответствия требованиям PCI DSS. Первый – поручить внешнему квалифицированному инспектору безопасности (КИБ) провести оценку связанных частей среды и представить отчет о соответствии требованиям (ROC) и сертификат соответствия (AOC). Такой подход чаще применяется организациями, которые обрабатывают большие объемы транзакций. Второй – заполнить анкету самооценки (SAQ). Этот подход обычно применяется организациями, которые обрабатывают меньшие объемы транзакций.

    Важно помнить, что ответственность за поддержание соответствия требованиям несут платежные системы и эквайеры, а не Совет по стандартам безопасности PCI.

  • Что необходимо для соответствия требованиям PCI DSS?

    Ниже приведен краткий обзор требований PCI DSS.

    Создание и поддержка безопасных сетей и систем.

    1. Установка и поддержка настроек брандмауэра, необходимых для защиты данных владельцев карт.

    2. Замена установленных на заводе системных паролей и прочих параметров безопасности по умолчанию.

    Защита данных владельцев карт.

    3. Защита данных владельцев карт при хранении.

    4.Шифрование данных владельцев карт при передаче по открытым публичным сетям.

    Реализация программы контроля уязвимостей.

    5. Защита всех систем от вредоносного ПО и регулярное обновление антивирусных программ.

    6. Разработка и поддержка безопасных систем и приложений.

    Реализация строгих мер контроля доступа.

    7. Ограниченный доступ к данным владельцев карт, строго в рамках практической необходимости.

    8. Идентификация и аутентификация доступа к компонентам системы.

    9. Ограничение физического доступа к данным владельцев карт.

    Регулярный мониторинг и тестирование сетей.

    10. Отслеживание и мониторинг всех обращений к сетевым ресурсам и данным владельцев карт.

    11. Регулярное тестирование систем и процессов, связанных с безопасностью.

    Обеспечение политики информационной безопасности.

    12. Обеспечение политики информационной безопасности в отношении всех сотрудников.

  • Какой позиции придерживается AWS в отношении дальнейшей поддержки протокола TLS 1.0?

    AWS не ведет кампанию по исключению TLS 1.0 из состава всех сервисов, так как некоторым клиентам (не подпадающим под требования PCI) нужен данный протокол. Однако сервисы AWS индивидуально оценивают воздействие отключения TLS 1.0 на клиентов и в некоторых случаях могут отключить этот протокол. 

  • Каким образом клиент может настроить архитектуру AWS для обеспечения соответствия требованиям PCI к защищенному протоколу TLS?

    Все сервисы AWS, соответствующие требованиям PCI, поддерживают TLS 1.1 или более новых версий; некоторые из этих сервисов также поддерживают TLS 1.0 для клиентов (не подпадающих под требования PCI), которым нужен данный протокол. Клиенты должны самостоятельно обновить свои системы, чтобы обеспечить взаимодействие с сервисами AWS, использующими защищенный протокол TLS, например TLS 1.1 или выше. От клиентов требуется использовать и настроить балансировщики нагрузки AWS (Application Load Balancer или Classic Load Balancer) для защищенного обмена данными по протоколу TLS 1.1 или более новой версии. Для этого им нужно выбрать предопределенную политику безопасности AWS, способную обеспечить обмен данными с применением протокола шифрования между клиентом и балансировщиком нагрузки, например TLS 1.2. К примеру, политика безопасности балансировщика нагрузки AWS ELBSecurityPolicy-TLS-1-2-2018-06 поддерживает только TLS 1.2.

     

  • Если сканирование, выполненное утвержденным поставщиком услуг сканирования (ASV) клиента, выявит наличие TLS 1.0 в конечной точке API AWS, это значит, что API все еще поддерживает TLS 1.0, а также TLS 1.1 и более поздние версии. Некоторые сервисы AWS, соответствующие требованиям PCI, по-прежнему поддерживают TLS 1.0 для клиентов, которым необходим этот протокол для рабочих нагрузок вне сферы PCI. Клиенты могут доказать ASV, что конечная точка API AWS поддерживает TLS 1.1 и более новых версий с помощью инструмента, например Qualys SSL Labs, для определения используемого протокола. Клиенты могут также доказать, что они используют защищенный обмен данными по протоколу TLS, при подключении с помощью балансировщика нагрузки AWS типа Classic Load Balancer или Application Load Balancer, который настроен с помощью политики безопасности балансировщиков нагрузки AWS, поддерживающей TLS 1.1 или выше (например, ELBSecurityPolicy-TLS-1-2-2017-01 поддерживает только v1.2). ASV может потребовать от клиента пройти через процесс спора о наличии уязвимостей, и представленные доказательства могут выступить в качестве подтверждения соответствия требованиям. Раннее обращение в ASV и предоставление ему доказательств перед выполнением сканирования также может упростить процесс оценки и поможет успешно пройти сканирование.

     

compliance-contactus-icon
Есть вопросы? Связаться с представителем AWS
Ищете работу в сфере соответствия требованиям?
Предложите свою кандидатуру прямо сегодня »
Хотите получать новости в сфере соответствия AWS требованиям?
Следить за новостями в Twitter »