Я хочу получать информацию о PCI DSS в облаке
Соответствие AWS требованиям PCI

Стандарт безопасности данных индустрии платежных карт (PCI DSS) – это проприетарный стандарт в области информационной безопасности, администрирование которого осуществляет Совет по стандартам безопасности данных индустрии платежных карт, основанный компаниями American Express, Discover Financial Services, JCB International, MasterCard Worldwide и Visa Inc.

Стандарт PCI DSS распространяется на все юридические лица, которые занимаются хранением, обработкой или передачей данных владельцев карт и (или) конфиденциальных данных аутентификации, в том числе на торговые компании, процессинговые центры, эквайеров, эмитентов карт и поставщиков услуг. Стандарт PCI DSS утверждается платежными системами, а его администрирование осуществляет Совет по стандартам безопасности данных индустрии платежных карт.

Запросите сертификат соответствия требованиям (AOC) PCI DSS и краткое описание ответственности с помощью AWS Artifact.



Да, AWS имеет сертификацию PCI DSS с 2010 года. 11 июля 2016 года внешний квалифицированный инспектор безопасности (КИБ), Coalfire Systems Inc., подтвердил, что платформа Amazon Web Services (AWS) успешно прошла проверку на соответствие стандарту PCI DSS 3.2 Level 1 для поставщиков услуг. Соответствие требованиям подтверждено для всех перечисленных ниже сервисов.

Уровни поставщиков услуг определяются следующим образом.

Level 1 – любой поставщик услуг, который хранит, обрабатывает и/или передает более 300 000 транзакций в год.

Level 2 – любой поставщик услуг, который хранит, обрабатывает и/или передает менее 300 000 транзакций в год.

Amazon Web Services (AWS) – поставщик облачных услуг, который не занимается непосредственным хранением, передачей или обработкой данных владельцев карт для своих клиентов. Однако клиент AWS может создать собственную среду данных платежных карт, которая будет хранить, передавать или обрабатывать данные владельцев карт с помощью продуктов AWS.

Сервисы AWS, уже соответствующие требованиям PCI DSS, можно найти на странице Сервисы AWS в программе соответствия требованиям. Чтобы подробнее узнать об использовании этих сервисов и/или задать вопросы о других сервисах, свяжитесь с нами.

Поскольку AWS является поставщиком услуг, обеспечивающим соответствие требованиям PCI DSS, при использовании продуктов и сервисов AWS для хранения, обработки и передачи данных владельцев карт клиенты могут полагаться на нашу технологическую инфраструктуру в ходе прохождения собственной сертификации на соответствие требованиям PCI DSS.  

Соответствие AWS требованиям PCI DSS демонстрирует нашу приверженность информационной безопасности на всех уровнях. Соответствие стандарту PCI DSS проверяется независимой сторонней компанией, а это означает, что наша программа управления безопасностью является всесторонней и соответствует передовым отраслевым практикам. Такая проверка подтверждает надежность наших методов обеспечения безопасности для клиентов.

Все юридические лица должны самостоятельно проходить сертификацию на соответствие требованиям PCI DSS. В отношении среды для работы с данными владельцев карт, развернутой в AWS, КИБ может положиться на сертификат соответствия, полученный AWS, но это не освобождает компании от необходимости выполнить все прочие требования стандарта PCI DSS.

Подробные сведения можно найти в документе «AWS 2016 PCI DSS 3.2 Responsibility Summary», входящем в состав пакета по соответствию AWS требованиям PCI DSS (предоставляется по запросу).

Доступ к пакету соответствия AWS PCI можно получить с помощью AWS Artifact, портала самообслуживания для доступа по требованию к отчетам AWS по соответствию требованиям. Начните работу с AWS Artifact уже сегодня.

Пакет по соответствию AWS требованиям PCI DSS включает:

•  сертификат соответствия AWS требованиям PCI DSS 3.2 (AOC);
•  обзор сферы ответственности AWS по обеспечению соответствия требованиям PCI DSS 3.2. за 2016 год.

Да, AWS входит в глобальный регистр поставщиков услуг Visa и в список совместимых поставщиков услуг MasterCard. Эти списки поставщиков услуг еще раз демонстрируют, что AWS успешно прошла сертификацию на соответствие требованиям PCI DSS и удовлетворяет всем применимым программным требованиям Visa и MasterCard.

Нет. Платформа AWS – это виртуальная многопользовательская среда. В AWS реализованы эффективные процессы управления безопасностью, соответствия требованиями PCI DSS и другие средства контроля, которые безопасно изолируют клиентов в собственных защищенных средах. Эта безопасная архитектура была протестирована независимым КИБ, который установил, что она соответствует всем требованиям стандарта PCI DSS 3.2, опубликованного в апреле 2016 г.

Совет по стандартам безопасности PCI опубликовал документ PCI DSS Cloud Computing Guidelines 2.0 в качестве руководства для клиентов, поставщиков услуг и проверяющих в сфере облачных вычислительных сервисов. В нем также описаны возможные модели сервисов и распределение ролей и обязанностей в части по обеспечению соответствия требованиям между поставщиками и клиентами.

В документе Third-Party Security Assurance 2016 приведена дополнительная информация по выбору стороннего поставщика услуг для совместной работы с данными владельцев карт, по его использованию и управлению взаимодействием с ним.

КИБ торговой компании всегда может полагаться на сертификат соответствия, выданный AWS, как показатель всесторонней оценки методов управления физической безопасностью в центрах обработки данных AWS.

Да. AWS поддерживает проведение следственных мероприятий в соответствии с требованиями DSS A 1.4. Клиенты или их компетентные эксперты по реагированию на инциденты могут обращаться в AWS для проведения следственных мероприятий.

Нет. Вся инфраструктура, поддерживающая соответствующие сервисы, удовлетворяет требованиям; отдельной среды или специального API нет. Любой сервер или объект данных, который развернут в этих сервисах или использует их, находится в среде, соответствующей требованиям PCI DSS, независимо от региона.

Да. Соответствие стандарту PCI DSS подтверждено для ЦОД в следующих регионах: Восток США (Северная Вирджиния), Восток США (Огайо), Запад США (Орегон), Запад США (Северная Калифорния), AWS GovCloud (США), Канада (Центр), Европа (Ирландия), Европа (Франкфурт), Европа (Лондон), Азия и Тихий океан (Сингапур), Азия и Тихий океан (Сидней), Азия и Тихий океан (Токио), Азия и Тихий океан (Сеул), Азия и Тихий океан (Мумбаи) и Южная Америка (Сан-Паулу).

Да. Можно загрузить стандарт прямо на сайте Совета по стандартам безопасности PCI.

Да, многие клиенты уже выполнили развертывание в AWS сред для обслуживания владельцев карт (полное или частичное) и успешно сертифицировали эти среды. AWS не раскрывает информацию о клиентах, прошедших сертификацию PCI DSS, но регулярно сотрудничает с клиентами и организациями, выполняющими их оценку на соответствие PCI DSS, в вопросах планирования, развертывания, сертификации и выполнения ежеквартального анализа среды обработки информации о владельцах карт на AWS.

Существует два основных подхода к ежегодному подтверждению соответствия требованиям PCI DSS. Первый – поручить внешнему квалифицированному инспектору безопасности (КИБ) провести оценку релевантных частей среды и представить отчет о соответствии требованиям (ROC) и сертификат соответствия (AOC). Такой подход чаще применяется организациями, которые обрабатывают большие объемы транзакций. Второй – заполнить анкету самооценки (SAQ). Этот подход обычно применяется организациями, которые обрабатывают меньшие объемы транзакций.

Важно помнить, что ответственность за поддержание соответствия требованиям несут платежные системы и эквайеры, а не Совет по стандартам безопасности PCI.

Ниже приведен краткий обзор 12 требований стандарта PCI DSS.

Создание и поддержка безопасных сетей и систем.

1. Установка и поддержка настроек брандмауэра, необходимых для защиты данных владельцев карт.

2. Замена установленных на заводе системных паролей и прочих параметров безопасности по умолчанию.

Защита данных владельцев карт.

3. Защита данных владельцев карт при хранении.

4. Шифрование данных владельцев карт при передаче по открытым публичным сетям.

Реализация программы контроля уязвимостей.

5. Защита всех систем от вредоносного ПО и регулярное обновление антивирусных программ.

6. Разработка и поддержка безопасных систем и приложений.

Реализация строгих мер контроля доступа.

7. Ограниченный доступ к данным владельцев карт, строго в рамках практической необходимости.

8. Идентификация и аутентификация доступа к компонентам системы.

9. Ограничение физического доступа к данным владельцев карт.

Регулярный мониторинг и тестирование сетей.

10. Идентификация и мониторинг всех обращений к сетевым ресурсам и данным владельцев карт.

11. Регулярное тестирование систем и процессов, связанных с безопасностью.

Обеспечение политики информационной безопасности.

12. Обеспечение политики информационной безопасности в отношении всех сотрудников.

 

Свяжитесь с нами