PCI DSS

ภาพรวม

มาตรฐานการรักษาความปลอดภัยของข้อมูลของอุตสาหกรรมบัตรชำระเงิน (PCI DSS) คือมาตรฐานการรักษาความปลอดภัยของข้อมูลที่เป็นกรรมสิทธิ์ซึ่งควบคุมดูแลโดยคณะกรรมการมาตรฐานการรักษาความปลอดภัยของ PCI ซึ่งก่อตั้งโดย American Express, Discover Financial Services, JCB International, MasterCard Worldwide และ Visa Inc.

PCI DSS ใช้เอนทิตีที่จัดเก็บ ประมวลผล หรือส่งข้อมูลของผู้ถือบัตร (CHD) หรือข้อมูลการตรวจสอบสิทธิ์ที่มีความละเอียดอ่อน (SAD) ซึ่งรวมถึงผู้ค้า ผู้ประมวลผล ผู้รับบัตร ผู้ออกบัตร และผู้ให้บริการ PCI DSS เป็นคำสั่งที่ออกโดยแบรนด์บัตรและควบคุมดูแลโดยคณะกรรมการมาตรฐานการรักษาความปลอดภัยของอุตสาหกรรมบัตรชำระเงิน

ลูกค้าสามารถเข้าถึงหลักฐานยืนยันการปฏิบัติตามข้อกำหนด (AOC) และสรุปหน้าที่ของ PCI DSS ได้ผ่าน AWS Artifact ซึ่งเป็นพอร์ทัลบริการตนเองสำหรับเข้าถึงรายงานการปฏิบัติตามข้อกำหนดของ AWS ได้ตามความต้องการ ลงชื่อเข้าใช้ AWS Artifact ใน AWS Management Console หรือเรียนรู้เพิ่มเติมได้ที่การเริ่มต้นใช้งาน AWS Artifact

• AWS PCI DSS ได้รับการรับรองหรือไม่

  ใช่ Amazon Web Services (AWS) ได้รับการรับรองว่าเป็นผู้ให้บริการมาตรฐาน PCI DSS ระดับ 1 ซึ่งเป็นระดับการประเมินสูงสุดที่มี การประเมินการปฏิบัติตามข้อกำหนดจัดทำโดย Coalfire Systems Inc. ซึ่งเป็นผู้ประเมินความปลอดภัยอิสระที่มีคุณสมบัติ (QSA) ลูกค้าสามารถเข้าถึงหลักฐานยืนยันการปฏิบัติตามข้อกำหนด (AOC) และสรุปหน้าที่ของ PCI DSS ได้ผ่าน AWS Artifact ซึ่งเป็นพอร์ทัลบริการตนเองสำหรับเข้าถึงรายงานการปฏิบัติตามข้อกำหนดของ AWS ได้ตามความต้องการ ลงชื่อเข้าใช้ AWS Artifact ใน AWS Management Console หรือเรียนรู้เพิ่มเติมได้ที่การเริ่มต้นใช้งาน AWS Artifact
  

• บริการใดของ AWS ที่เป็นไปตามข้อกำหนดของ PCI DSS

  สำหรับรายการบริการของ AWS ที่เป็นไปตามข้อกำหนดของ PCI DSS โปรดดูในแท็บ PCI บนเว็บเพจบริการของ AWS ตามขอบเขตของโปรแกรมการปฏิบัติตามข้อกำหนด สำหรับข้อมูลเพิ่มเติมเกี่ยวกับการใช้บริการเหล่านี้ โปรดติดต่อเรา
  

• ในฐานะผู้ค้าหรือผู้ให้บริการของ PCI DSS สิ่งนี้หมายความว่าอย่างไร

  ในฐานะลูกค้าที่ใช้บริการของ AWS เพื่อจัดเก็บ ประมวลผล หรือส่งข้อมูลผู้ถือบัตร คุณสามารถพึ่งพาโครงสร้างพื้นฐานด้านเทคโนโลยีของ AWS ขณะที่บริหารการรับรองการปฏิบัติตามข้อกำหนดของ PCI DSS ของคุณเองได้

  AWS จะไม่จัดเก็บ ส่ง หรือประมวลผลข้อมูลผู้ถือบัตร (CHD) ของลูกค้าใดๆ โดยตรง อย่างไรก็ตาม คุณอาจสร้างสภาพแวดล้อมของข้อมูลผู้ถือบัตร (CDE) ขึ้นเองเพื่อจัดเก็บ ส่ง หรือประมวลผลข้อมูลผู้ถือบัตรโดยใช้บริการของ AWS ได้
  

• ในฐานะลูกค้าที่ไม่ใช่ผู้ค้าของ PCI DSS สิ่งนี้หมายความว่าอย่างไร

  แม้ว่าคุณจะไม่ใช่ลูกค้าของ PCI DSS แต่การปฏิบัติตามข้อกำหนดของ PCI DSS ของเราก็แสดงให้เห็นถึงความยึดมั่นต่อการรักษาความปลอดภัยของข้อมูลในทุกระดับ โปรแกรมการจัดการความปลอดภัยของเรามีความครอบคลุมและเป็นไปตามแนวทางปฏิบัติของอุตสาหกรรมชั้นนำตามมาตรฐานของ PCI DSS ที่ได้รับการยืนยันโดยองค์กรอิสระจากภายนอก
  

• ในฐานะลูกค้าของ AWS ฉันสามารถใช้เพียงหลักฐานยืนยันการปฏิบัติตามข้อกำหนด (AOC) ของ AWS ได้หรือไม่ หรือต้องมีการตรวจสอบเพิ่มเติมเพื่อที่จะเป็นการปฏิบัติตามข้อกำหนดอย่างครบถ้วน

  ลูกค้าต้องจัดการรับรองการปฏิบัติตามข้อกำหนดของ PCI DSS เองและต้องมีการตรวจสอบเพิ่มเติมเพื่อยืนยันว่าสภาพแวดล้อมของคุณสอดคล้องกับข้อกำหนดของ PCS DSS ทุกข้อ อย่างไรก็ตาม สำหรับสภาพแวดล้อมของข้อมูลผู้ถือบัตร PCI (CDE) ที่ใช้งานใน AWS ผู้ประเมินความปลอดภัยที่มีคุณสมบัติเหมาะสม (QSA) สามารถใช้หลักฐานยืนยันการปฏิบัติตามข้อกำหนด (AOC) ของ AWS ได้โดยไม่ต้องทำการตรวจสอบเพิ่มเติม
  

• ฉันจะรู้ได้อย่างไรว่าฉันรับผิดชอบการควบคุม PCI DSS ใด

  สำหรับข้อมูลอย่างละเอียด โปรดดูที่ "สรุปหน้าที่ของ AWS PCI DSS" ในแพคเกจการปฏิบัติตามข้อกำหนดของ AWS PCI DSS โดยลูกค้าสามารถเข้าไปใช้งานได้ทาง AWS Artifact ซึ่งเป็นพอร์ทัลบริการตนเองสำหรับเข้าถึงรายงานการปฏิบัติตามข้อกำหนดของ AWS ได้ตามความต้องการ ลงชื่อเข้าใช้ AWS Artifact ใน AWS Management Console หรือเรียนรู้เพิ่มเติมได้ที่การเริ่มต้นใช้งาน AWS Artifact
  

• ฉันจะรับแพคเกจการปฏิบัติตามข้อกำหนดของ AWS PCI ได้อย่างไร

  ลูกค้าสามารถเข้าถึงแพคเกจการปฏิบัติตามข้อกำหนดของ AWS PCI ได้ผ่าน AWS Artifact ซึ่งเป็นพอร์ทัลบริการตนเองสำหรับการเข้าถึงรายงานการปฏิบัติตามข้อกำหนดของ AWS ได้ตามความต้องการ ลงชื่อเข้าใช้ AWS Artifact ใน AWS Management Console หรือเรียนรู้เพิ่มเติมได้ที่การเริ่มต้นใช้งาน AWS Artifact
  

• แพ็กเกจการปฏิบัติตามข้อกำหนดของ AWS PCI DSS ประกอบด้วยอะไรบ้าง

  แพ็กเกจการปฏิบัติตามข้อกำหนดของ AWS PCI ประกอบด้วย:

  • หลักฐานยืนยันการปฏิบัติตามข้อกำหนด (AOC) ของ AWS PCI DSS 3.2.1
  • สรุปหน้าที่ของ AWS PCI DSS 3.2.1

• AWS ได้รับการระบุไว้บน Visa Global Registry of Service Providers และ MasterCard Compliant Service Provider List หรือไม่

  ใช่ AWS ได้รับการระบุรายชื่อทั้งใน Visa Global Registry of Service Providers และ MasterCard Compliant Service Provider List รายการผู้ให้บริการยังแสดงให้เห็นว่า AWS ประสบความสำเร็จในการยืนยันการปฏิบัติตามข้อกำหนดของ PCI DSS และตรงตามข้อกำหนดของโปรแกรม Visa และ MasterCard ทั้งหมดที่เกี่ยวข้องอีกด้วย
  

• มาตรฐาน PCI DSS จำเป็นต้องใช้สภาพแวดล้อมสำหรับผู้เช่ารายเดียวเพื่อให้เป็นไปตามข้อกำหนดหรือไม่

  ไม่ สภาพแวดล้อม AWS เป็นสภาพแวดล้อมแบบจำลองสำหรับผู้เช่าหลายราย AWS ได้ดำเนินการอย่างมีประสิทธิภาพในกระบวนการจัดการด้านความปลอดภัย ข้อกำหนดของ PCI DSS และการควบคุมเพื่อการทดแทนอื่นๆ ซึ่งได้แยกลูกค้าแต่ละรายตามสภาพแวดล้อมที่ได้รับการคุ้มครองอย่างมีประสิทธิภาพและปลอดภัย สถาปัตยกรรมที่ปลอดภัยนี้ผ่านการตรวจสอบโดย QSA อิสระและพบว่ามีการปฏิบัติตามข้อกำหนดของ PCI DSS ที่เกี่ยวข้องทั้งหมด

  คณะกรรมการมาตรฐานการรักษาความปลอดภัยของ PCI ได้เผยแพร่แนวทางการประมวลผลระบบคลาวด์ของ PCI DSS สำหรับลูกค้า ผู้ให้บริการ และผู้ประเมินของบริการประมวลผลระบบคลาวด์ ซึ่งยังมีการอธิบายโมเดลการบริการและวิธีการแชร์บทบาทและความรับผิดชอบในการปฏิบัติตามข้อกำหนดระหว่างผู้ให้บริการกับลูกค้าอีกด้วย
  

• QSA สำหรับผู้ค้าระดับ 1 จำเป็นต้องมีภาพรวมศูนย์ข้อมูลของ AWS ทางกายภาพหรือไม่

  ไม่ หลักฐานยืนยันการปฏิบัติตามข้อกำหนด (AOC) ของ AWS จะแสดงให้เห็นการประเมินแบบครอบคลุมของการควบคุมความปลอดภัยทางกายภาพของศูนย์ข้อมูลของ AWS QSA ของผู้ค้าไม่จำเป็นต้องตรวจสอบความปลอดภัยของศูนย์ข้อมูลของ AWS
  

• AWS รองรับการตรวจสอบเพื่อพิสูจน์หลักฐานหรือไม่

  AWS ไม่พิจารณา "ผู้ให้บริการโฮสต์ที่ใช้ร่วมกัน" ภายใต้ PCI-DSS ดังนั้น ข้อกำหนด DSS A1.4 จึงใช้ไม่ได้ ภายใต้โมเดลความรับผิดชอบร่วมกันของเรา เราอนุญาตให้ลูกค้าของเราดำเนินการตรวจสอบเพื่อพิสูจน์หลักฐานทางดิจิทัลในสภาพแวดล้อม AWS ของตนโดยไม่จำเป็นต้องมีการช่วยเหลือเพิ่มเติมจาก AWS โดยการอนุญาตนี้มีผลทั้งกับการใช้บริการของ AWS และโซลูชันจากบริษัทภายนอกที่มีให้บริการผ่าน AWS Marketplace สำหรับข้อมูลเพิ่มเติม โปรดดูแหล่งข้อมูลต่อไปนี้:

  • การทำให้การตอบสนองต่อเหตุการณ์ด้านความปลอดภัยและการตรวจสอบพิสูจน์หลักฐานทางดิจิทัลบน AWS เป็นเรื่องง่าย
  • คู่มือการตอบสนองต่อเหตุการณ์ด้านความปลอดภัยของ AWS

• มีสภาพแวดล้อมที่ต้องปฏิบัติตามข้อกำหนดของ PCI DSS พิเศษที่ฉันต้องระบุเมื่อเชื่อมต่อเซิร์ฟเวอร์หรืออัปโหลดอ็อบเจ็กต์เพื่อจัดเก็บหรือไม่

  ตราบใดที่คุณใช้บริการของ AWS ที่ปฏิบัติตามข้อกำหนดของ PCI DSS โครงสร้างพื้นฐานทั้งหมดที่รองรับบริการในขอบเขตจะเป็นไปตามข้อกำหนดและจะไม่มีสภาพแวดล้อมแยกหรือต้องใช้ API พิเศษ เซิร์ฟเวอร์หรืออ็อบเจกต์ข้อมูลที่ติดตั้งใช้จริงหรือกำลังใช้บริการเหล่านี้อยู่ทั่วโลกจะเป็นไปตามข้อกำหนดของ PCI DSS ดูรายการบริการของ AWS ที่เป็นไปตามข้อกำหนดของ PCI DSS ได้ในแท็บ PCI บนเว็บเพจบริการของ AWS ตามขอบเขตของโปรแกรมการปฏิบัติตามข้อกำหนด
  

• การปฏิบัติตามข้อกำหนดของ AWS สามารถใช้ในระดับสากลได้หรือไม่

  ได้ โปรดดูที่ PCI DSS AOC ล่าสุดใน AWS Artifact เพื่อดูรายชื่อตำแหน่งที่ตั้งทั้งหมดที่เป็นไปตามข้อกำหนด
  

• มาตรฐาน PCI DSS เป็นสาธารณะหรือไม่

  เป็น คุณสามารถดาวน์โหลดมาตรฐาน PCI DSS ได้จากคลังเอกสารของคณะกรรมการมาตรฐานการรักษาความปลอดภัยของ PCI
  

• มีใครเคยได้รับใบรับรอง PCI DSS บนแพลตฟอร์มของ AWS หรือไม่

  มี ลูกค้า AWS หลายรายเคยปรับใช้และได้รับการรับรองสภาพแวดล้อมของผู้ถือบัตรบางส่วนหรือทั้งหมดบน AWS มาแล้ว AWS จะไม่เปิดเผยลูกค้าที่เคยได้รับใบรับรอง PCI DSS แต่จะร่วมวางแผน ปรับใช้ รับรอง และแสดงการตรวจสภาพแวดล้อมของผู้ถือบัตรบน AWS กับลูกค้าและผู้ประเมินของ PCI DSS เป็นประจำทุกไตรมาส
  

• บริษัทจะสามารถปฏิบัติตาม PCI DSS ได้อย่างไร

  บริษัทต่างๆ ใช้แนวทางหลักสองประการเพื่อยืนยันการปฏิบัติตามข้อกำหนดของ PCI DSS เป็นประจำทุกปี แนวทางแรกคือการให้ผู้ประเมินความปลอดภัยอิสระที่มีคุณสมบัติเหมาะสม (QSA) มาประเมินสภาพแวดล้อมที่ใช้งานได้ของคุณ จากนั้นจึงสร้างรายงานการปฏิบัติตามข้อกำหนด (ROC) และหลักฐานยืนยันการปฏิบัติตามข้อกำหนด (AOC) โดยแนวทางนี้เป็นแนวทางที่นิยมใช้มากที่สุดสำหรับเอนทิตีที่จัดการกับธุรกรรมเป็นจำนวนมาก แนวทางที่สองคือการใช้แบบสอบถามเพื่อประเมินตนเอง (SAQ) โดยแนวทางนี้เป็นแนวทางที่นิยมใช้มากที่สุดสำหรับเอนทิตีที่จัดการกับธุรกรรมจำนวนน้อย

  สิ่งสำคัญที่ควรทราบคือแบรนด์และผู้รับบัตรชำระเงินมีหน้าที่รับผิดชอบต่อการบังคับใช้การปฏิบัติตามข้อกำหนด ซึ่งไม่ใช่หน้าที่ของคณะกรรมการ PCI
  

• ข้อกำหนดในการปฏิบัติตามข้อกำหนดของ PCI DSS มีอะไรบ้าง

  ด้านล่างนี้คือภาพรวมของข้อกำหนด PCI DSS ในระดับสูง

  สร้างและรักษาเครือข่ายและระบบให้ปลอดภัย	1. ติดตั้งและรักษาการกำหนดค่าไฟร์วอลล์เพื่อปกป้องข้อมูลของผู้ถือบัตร 2. อย่าใช้ค่าเริ่มต้นจากผู้จำหน่ายเพื่อเป็นรหัสผ่านของระบบและพารามิเตอร์ความปลอดภัยอื่นๆ
  ปกป้องข้อมูลของผู้ถือบัตร	3. ปกป้องข้อมูลของผู้ถือบัตรที่จัดเก็บไว้ 4. เข้ารหัสการส่งข้อมูลของผู้ถือบัตรผ่านเครือข่ายที่เปิดเผยและเป็นสาธารณะ
  ดูแลโปรแกรมการจัดการช่องโหว่ด้านความปลอดภัย	5. ปกป้องระบบทุกระบบให้ปลอดภัยจากมัลแวร์และอัปเดตซอฟต์แวร์หรือโปรแกรมป้องกันไวรัสเป็นประจำ 6. พัฒนาและรักษาระบบและแอปพลิเคชันให้ปลอดภัย
  ใช้มาตรการควบคุมการเข้าถึงที่รัดกุม	7. จำกัดการเข้าถึงข้อมูลของผู้ถือบัตรตามธุรกิจที่จำเป็นต้องรับรู้ข้อมูล 8. ยืนยันตัวตนและรับรองความถูกต้องเพื่อเข้าถึงองค์ประกอบต่างๆ ในระบบ 9. จำกัดการเข้าถึงข้อมูลของผู้ถือบัตรทางกายภาพ
  ตรวจสอบและทดสอบเครือข่ายเป็นประจำ	10. ติดตามและตรวจสอบทุกการเข้าถึงทรัพยากรเครือข่ายและข้อมูลของผู้ถือบัตร 11. ทดสอบระบบและกระบวนการด้านความปลอดภัยเป็นประจำ
  รักษานโยบายด้านความปลอดภัยของข้อมูล	12. รักษานโยบายที่ระบุข้อมูลด้านความปลอดภัยสำหรับทุกคน

• AWS มีท่าทีที่จะรองรับโปรโตคอล TLS 1.0 ต่อไปอย่างไร

  AWS ไม่มีแคมเปญที่จะยกเลิกการใช้ TLS 1.0 ในบริการทั้งหมดเนื่องจากมีลูกค้าบางราย (เช่น ผู้ที่ไม่ใช้ PCI) จำเป็นต้องใช้ตัวเลือกโปรโตคอลนี้ อย่างไรก็ตาม บริการของ AWS จะประเมินผลกระทบต่อบริการที่ลูกค้าแต่ละรายได้รับจากการเลิกใช้ TLS 1.0 และอาจเลือกที่จะยกเลิกการสนับสนุนโปรโตคอลดังกล่าว ลูกค้ายังสามารถใช้ตำแหน่งข้อมูล FIPS เพื่อช่วยรับรองการใช้การเข้ารหัสที่แน่นหนาของตนได้ AWS จะอัปเดตตำแหน่งข้อมูล FIPS ทั้งหมดเป็นเวอร์ชัน TLS เวอร์ชัน 1.2 เป็นอย่างน้อย โปรดดูรายละเอียดเพิ่มเติมผ่านบล็อกโพสต์นี้
  

• ลูกค้าจะกำหนดค่าสถาปัตยกรรมบน AWS เพื่อให้เป็นไปตามข้อกำหนดของ PCI ในการรักษาความปลอดภัยของ TLS อย่างไร

  บริการของ AWS ทุกบริการในขอบเขตของ PCI เปิดให้ใช้งาน TLS 1.1 หรือใหม่กว่านั้น และบริการเหล่านี้บางรายการยังรองรับ TLS 1.0 สำหรับลูกค้า (ที่ไม่ใช้ PCI) ที่จำเป็นต้องใช้ด้วย การอัปเกรดระบบเพื่อเริ่มต้นแฮนด์เชคกับ AWS ที่ใช้ TLS ที่ปลอดภัย เช่น TLS 1.1 หรือดีกว่านั้นเป็นหน้าที่ของลูกค้า ลูกค้าควรใช้และกำหนดค่าโหลดบาลานเซอร์ของ AWS (Application Load Balancer หรือ Classic Load Balancer) สำหรับการติดต่อสื่อสารที่ปลอดภัยซึ่งใช้ TLS 1.1 หรือดีกว่านั้น โดยการเลือกนโยบายด้านความปลอดภัยของ AWS ที่กำหนดไว้ล่วงหน้าที่สามารถรับรองว่ามีการใช้การเจรจาเกี่ยวกับโปรโตคอลการเข้ารหัสระหว่างลูกค้ากับโหลดบาลานเซอร์ที่ใช้ เช่น TLS 1.2 ตัวอย่างเช่น นโยบายด้านความปลอดภัยของโหลดบาลานเซอร์ AWS ที่ชื่อว่า ELBSecurityPolicy-TLS-1-2-2018-06 จะรองรับเฉพาะ TLS 1.2
  

• การดำเนินการที่จะแนะนำกับลูกค้าหาก TLS 1.0 ปรากฏขึ้นในผลการสแกนคืออะไร

  หากการสแกน ASV (Approved Scanning Vendor) ของลูกค้าพบ TLS 1.0 บนตำแหน่งข้อมูล API ของ AWS จะหมายความว่า API ยังรองรับ TLS 1.0 อยู่เช่นเดียวกับ TLS 1.1 หรือใหม่กว่านั้น บริการของ AWS ที่อยู่ในขอบเขตของ PCI บางรายการอาจยังให้ลูกค้าใช้ TLS 1.0 ได้หากจำเป็นต้องใช้กับปริมาณงานที่ไม่ใช่ PCI ลูกค้าสามารถให้หลักฐานยืนยันกับ ASV ว่าตำแหน่งข้อมูล API ของ AWS รองรับ TLS 1.1 หรือใหม่กว่านั้นได้โดยใช้เครื่องมือ เช่น Qualys SSL Labs เพื่อระบุโปรโตคอลที่ตนเองใช้ นอกจากนี้ลูกค้ายังสามารถให้หลักฐานยืนยันว่าพวกเขาเปิดใช้แฮนด์เชค TLS ที่ปลอดภัยโดยการเชื่อมต่อผ่านทาง AWS Elastic Load Balancer ที่กำหนดค่าตามนโยบายด้านความปลอดภัยที่เหมาะสมซึ่งรองรับเฉพาะ TLS 1.1 หรือใหม่กว่านั้น (เช่น ELBSecurityPolicy-TLS-1-2-2017-01 จะรองรับเฉพาะเวอร์ชัน 1.2) ASV อาจขอให้ลูกค้าปฏิบัติตามกระบวนการข้อพิพาทเรื่องการสแกนช่องโหว่ และหลักฐานที่ระบุไว้สามารถใช้เป็นข้อพิสูจน์ยืนยันการปฏิบัติตามข้อกำหนดได้ นอกจากนี้ การมีส่วนร่วมกับ ASV ตั้งแต่เนิ่นๆ และมอบหลักฐานนี้ให้กับ ASV ก่อนการสแกนอาจช่วยให้การประเมินมีประสิทธิภาพยิ่งขึ้นและช่วยให้การสแกน ASV มีความรวดเร็ว