PCI DSS

ภาพรวม

มาตรฐานการรักษาความปลอดภัยของข้อมูลของอุตสาหกรรมบัตรชำระเงิน (PCI DSS) คือมาตรฐานการรักษาความปลอดภัยของข้อมูลที่เป็นกรรมสิทธิ์ซึ่งควบคุมดูแลโดยคณะกรรมการมาตรฐานการรักษาความปลอดภัยของ PCI ซึ่งก่อตั้งโดย American Express, Discover Financial Services, JCB International, MasterCard Worldwide และ Visa Inc.

PCI DSS ใช้เอนทิตีที่จัดเก็บ ประมวลผล หรือส่งข้อมูลของผู้ถือบัตร (CHD) หรือข้อมูลการตรวจสอบสิทธิ์ที่มีความละเอียดอ่อน (SAD) ซึ่งรวมถึงผู้ค้า ผู้ประมวลผล ผู้รับบัตร ผู้ออกบัตร และผู้ให้บริการ PCI DSS เป็นคำสั่งที่ออกโดยแบรนด์บัตรและควบคุมดูแลโดยคณะกรรมการมาตรฐานการรักษาความปลอดภัยของอุตสาหกรรมบัตรชำระเงิน

ลูกค้าสามารถเข้าถึงหลักฐานยืนยันการปฏิบัติตามข้อกำหนด (AOC) และสรุปหน้าที่ของ PCI DSS ได้ผ่าน AWS Artifact ซึ่งเป็นพอร์ทัลบริการตนเองสำหรับเข้าถึงรายงานการปฏิบัติตามข้อกำหนดของ AWS ได้ตามความต้องการ ลงชื่อเข้าใช้ AWS Artifact ใน AWS Management Console หรือเรียนรู้เพิ่มเติมได้ที่การเริ่มต้นใช้งาน AWS Artifact

• AWS PCI DSS ได้รับการรับรองหรือไม่

  ใช่ Amazon Web Services (AWS) ได้รับการรับรองว่าเป็นผู้ให้บริการมาตรฐาน PCI DSS ระดับ 1 ซึ่งเป็นระดับการประเมินสูงสุดที่มี การประเมินการปฏิบัติตามข้อกำหนดจัดทำโดย Coalfire Systems Inc. ซึ่งเป็นผู้ประเมินความปลอดภัยอิสระที่มีคุณสมบัติ (QSA) ลูกค้าสามารถเข้าถึงหลักฐานยืนยันการปฏิบัติตามข้อกำหนด (AOC) และสรุปหน้าที่ของ PCI DSS ได้ผ่าน AWS Artifact ซึ่งเป็นพอร์ทัลบริการตนเองสำหรับเข้าถึงรายงานการปฏิบัติตามข้อกำหนดของ AWS ได้ตามความต้องการ ลงชื่อเข้าใช้ AWS Artifact ใน AWS Management Console หรือเรียนรู้เพิ่มเติมได้ที่การเริ่มต้นใช้งาน AWS Artifact
  

• บริการใดของ AWS ที่เป็นไปตามข้อกำหนดของ PCI DSS

  สำหรับรายการบริการของ AWS ที่เป็นไปตามข้อกำหนดของ PCI DSS โปรดดูในแท็บ PCI บนเว็บเพจบริการของ AWS ตามขอบเขตของโปรแกรมการปฏิบัติตามข้อกำหนด สำหรับข้อมูลเพิ่มเติมเกี่ยวกับการใช้บริการเหล่านี้ โปรดติดต่อเรา
  

• ในฐานะผู้ค้าหรือผู้ให้บริการของ PCI DSS สิ่งนี้หมายความว่าอย่างไร

  ในฐานะลูกค้าที่ใช้บริการของ AWS เพื่อจัดเก็บ ประมวลผล หรือส่งข้อมูลผู้ถือบัตร คุณสามารถพึ่งพาโครงสร้างพื้นฐานด้านเทคโนโลยีของ AWS ขณะที่บริหารการรับรองการปฏิบัติตามข้อกำหนดของ PCI DSS ของคุณเองได้

  AWS จะไม่จัดเก็บ ส่ง หรือประมวลผลข้อมูลผู้ถือบัตร (CHD) ของลูกค้าใดๆ โดยตรง อย่างไรก็ตาม คุณอาจสร้างสภาพแวดล้อมของข้อมูลผู้ถือบัตร (CDE) ขึ้นเองเพื่อจัดเก็บ ส่ง หรือประมวลผลข้อมูลผู้ถือบัตรโดยใช้บริการของ AWS ได้
  

• ในฐานะลูกค้าที่ไม่ใช่ผู้ค้าของ PCI DSS สิ่งนี้หมายความว่าอย่างไร

  แม้ว่าคุณจะไม่ใช่ลูกค้าของ PCI DSS แต่การปฏิบัติตามข้อกำหนดของ PCI DSS ของเราก็แสดงให้เห็นถึงความยึดมั่นต่อการรักษาความปลอดภัยของข้อมูลในทุกระดับ โปรแกรมการจัดการความปลอดภัยของเรามีความครอบคลุมและเป็นไปตามแนวทางปฏิบัติของอุตสาหกรรมชั้นนำตามมาตรฐานของ PCI DSS ที่ได้รับการยืนยันโดยองค์กรอิสระจากภายนอก
  

• ในฐานะลูกค้าของ AWS ฉันสามารถใช้เพียงหลักฐานยืนยันการปฏิบัติตามข้อกำหนด (AOC) ของ AWS ได้หรือไม่ หรือต้องมีการตรวจสอบเพิ่มเติมเพื่อที่จะเป็นการปฏิบัติตามข้อกำหนดอย่างครบถ้วน

  ลูกค้าต้องจัดการรับรองการปฏิบัติตามข้อกำหนดของ PCI DSS เองและต้องมีการตรวจสอบเพิ่มเติมเพื่อยืนยันว่าสภาพแวดล้อมของคุณสอดคล้องกับข้อกำหนดของ PCS DSS ทุกข้อ อย่างไรก็ตาม สำหรับสภาพแวดล้อมของข้อมูลผู้ถือบัตร PCI (CDE) ที่ใช้งานใน AWS ผู้ประเมินความปลอดภัยที่มีคุณสมบัติเหมาะสม (QSA) สามารถใช้หลักฐานยืนยันการปฏิบัติตามข้อกำหนด (AOC) ของ AWS ได้โดยไม่ต้องทำการตรวจสอบเพิ่มเติม
  

• ฉันจะรู้ได้อย่างไรว่าฉันรับผิดชอบการควบคุม PCI DSS ใด

  สำหรับข้อมูลอย่างละเอียด โปรดดูที่ "สรุปหน้าที่ของ AWS PCI DSS" ในแพคเกจการปฏิบัติตามข้อกำหนดของ AWS PCI DSS โดยลูกค้าสามารถเข้าไปใช้งานได้ทาง AWS Artifact ซึ่งเป็นพอร์ทัลบริการตนเองสำหรับเข้าถึงรายงานการปฏิบัติตามข้อกำหนดของ AWS ได้ตามความต้องการ ลงชื่อเข้าใช้ AWS Artifact ในคอนโซลการจัดการของ AWS หรือเรียนรู้เพิ่มเติมได้ที่การเริ่มต้นใช้งาน AWS Artifact นอกจากนี้ ลูกค้ายังสามารถขอรับบริการให้คำปรึกษาด้านการตรวจสอบและการปฏิบัติตามข้อกำหนดจากทีม AWS Security Assurance Services ได้อีกด้วย

• ฉันจะรับแพ็กเกจการปฏิบัติตามข้อกำหนดของ AWS PCI ได้อย่างไร

  ลูกค้าสามารถเข้าถึงแพคเกจการปฏิบัติตามข้อกำหนดของ AWS PCI ได้ผ่าน AWS Artifact ซึ่งเป็นพอร์ทัลบริการตนเองสำหรับการเข้าถึงรายงานการปฏิบัติตามข้อกำหนดของ AWS ได้ตามความต้องการ ลงชื่อเข้าใช้ AWS Artifact ใน AWS Management Console หรือเรียนรู้เพิ่มเติมได้ที่การเริ่มต้นใช้งาน AWS Artifact
  

• แพ็กเกจการปฏิบัติตามข้อกำหนดของ AWS PCI DSS ประกอบด้วยอะไรบ้าง

  แพ็กเกจการปฏิบัติตามข้อกำหนดของ AWS PCI ประกอบด้วย:

  • หลักฐานยืนยันการปฏิบัติตามข้อกำหนด (AOC) ของ AWS PCI DSS 3.2.1
  • สรุปหน้าที่ของ AWS PCI DSS 3.2.1

• AWS ได้รับการระบุไว้บน Visa Global Registry of Service Providers และ MasterCard Compliant Service Provider List หรือไม่

  ใช่ AWS ได้รับการระบุรายชื่อทั้งใน Visa Global Registry of Service Providers และ MasterCard Compliant Service Provider List รายการผู้ให้บริการยังแสดงให้เห็นว่า AWS ประสบความสำเร็จในการยืนยันการปฏิบัติตามข้อกำหนดของ PCI DSS และตรงตามข้อกำหนดของโปรแกรม Visa และ MasterCard ทั้งหมดที่เกี่ยวข้องอีกด้วย
  

• มาตรฐาน PCI DSS จำเป็นต้องใช้สภาพแวดล้อมสำหรับผู้เช่ารายเดียวเพื่อให้เป็นไปตามข้อกำหนดหรือไม่

  ไม่ สภาพแวดล้อม AWS เป็นสภาพแวดล้อมแบบจำลองสำหรับผู้เช่าหลายราย AWS ได้ดำเนินการอย่างมีประสิทธิภาพในกระบวนการจัดการด้านความปลอดภัย ข้อกำหนดของ PCI DSS และการควบคุมเพื่อการทดแทนอื่นๆ ซึ่งได้แยกลูกค้าแต่ละรายตามสภาพแวดล้อมที่ได้รับการคุ้มครองอย่างมีประสิทธิภาพและปลอดภัย สถาปัตยกรรมที่ปลอดภัยนี้ผ่านการตรวจสอบโดย QSA อิสระและพบว่ามีการปฏิบัติตามข้อกำหนดของ PCI DSS ที่เกี่ยวข้องทั้งหมด

  คณะกรรมการมาตรฐานการรักษาความปลอดภัยของ PCI ได้เผยแพร่แนวทางการประมวลผลระบบคลาวด์ของ PCI DSS สำหรับลูกค้า ผู้ให้บริการ และผู้ประเมินของบริการประมวลผลระบบคลาวด์ ซึ่งยังมีการอธิบายโมเดลการบริการและวิธีการแชร์บทบาทและความรับผิดชอบในการปฏิบัติตามข้อกำหนดระหว่างผู้ให้บริการกับลูกค้าอีกด้วย
  

• QSA สำหรับผู้ค้าระดับ 1 จำเป็นต้องมีภาพรวมศูนย์ข้อมูลของ AWS ทางกายภาพหรือไม่

  ไม่ หลักฐานยืนยันการปฏิบัติตามข้อกำหนด (AOC) ของ AWS จะแสดงให้เห็นการประเมินแบบครอบคลุมของการควบคุมความปลอดภัยทางกายภาพของศูนย์ข้อมูลของ AWS QSA ของผู้ค้าไม่จำเป็นต้องตรวจสอบความปลอดภัยของศูนย์ข้อมูลของ AWS
  

• AWS รองรับการตรวจสอบเพื่อพิสูจน์หลักฐานหรือไม่

  AWS ไม่พิจารณา "ผู้ให้บริการโฮสต์ที่ใช้ร่วมกัน" ภายใต้ PCI-DSS ดังนั้น ข้อกำหนด DSS A1.4 จึงใช้ไม่ได้ ภายใต้โมเดลความรับผิดชอบร่วมกันของเรา เราอนุญาตให้ลูกค้าของเราดำเนินการตรวจสอบเพื่อพิสูจน์หลักฐานทางดิจิทัลในสภาพแวดล้อม AWS ของตนโดยไม่จำเป็นต้องมีการช่วยเหลือเพิ่มเติมจาก AWS โดยการอนุญาตนี้มีผลทั้งกับการใช้บริการของ AWS และโซลูชันจากบริษัทภายนอกที่มีให้บริการผ่าน AWS Marketplace สำหรับข้อมูลเพิ่มเติม โปรดดูแหล่งข้อมูลต่อไปนี้:

  • การทำให้การตอบสนองต่อเหตุการณ์ด้านความปลอดภัยและการตรวจสอบพิสูจน์หลักฐานทางดิจิทัลบน AWS เป็นเรื่องง่าย
  • คู่มือการตอบสนองต่อเหตุการณ์ด้านความปลอดภัยของ AWS

• มีสภาพแวดล้อมที่ต้องปฏิบัติตามข้อกำหนดของ PCI DSS พิเศษที่ฉันต้องระบุเมื่อเชื่อมต่อเซิร์ฟเวอร์หรืออัปโหลดอ็อบเจ็กต์เพื่อจัดเก็บหรือไม่

  ตราบใดที่คุณใช้บริการของ AWS ที่ปฏิบัติตามข้อกำหนดของ PCI DSS โครงสร้างพื้นฐานทั้งหมดที่รองรับบริการในขอบเขตจะเป็นไปตามข้อกำหนดและจะไม่มีสภาพแวดล้อมแยกหรือต้องใช้ API พิเศษ เซิร์ฟเวอร์หรืออ็อบเจกต์ข้อมูลที่ติดตั้งใช้จริงหรือกำลังใช้บริการเหล่านี้อยู่ทั่วโลกจะเป็นไปตามข้อกำหนดของ PCI DSS ดูรายการบริการของ AWS ที่เป็นไปตามข้อกำหนดของ PCI DSS ได้ในแท็บ PCI บนเว็บเพจบริการของ AWS ตามขอบเขตของโปรแกรมการปฏิบัติตามข้อกำหนด
  

• การปฏิบัติตามข้อกำหนดของ AWS สามารถใช้ในระดับสากลได้หรือไม่

  ได้ โปรดดูที่ PCI DSS AOC ล่าสุดใน AWS Artifact เพื่อดูรายชื่อตำแหน่งที่ตั้งทั้งหมดที่เป็นไปตามข้อกำหนด
  

• มาตรฐาน PCI DSS เป็นสาธารณะหรือไม่

  เป็น คุณสามารถดาวน์โหลดมาตรฐาน PCI DSS ได้จากคลังเอกสารของคณะกรรมการมาตรฐานการรักษาความปลอดภัยของ PCI
  

• มีใครเคยได้รับใบรับรอง PCI DSS บนแพลตฟอร์มของ AWS หรือไม่

  มี ลูกค้า AWS หลายรายเคยปรับใช้และได้รับการรับรองสภาพแวดล้อมของผู้ถือบัตรบางส่วนหรือทั้งหมดบน AWS มาแล้ว AWS จะไม่เปิดเผยลูกค้าที่เคยได้รับใบรับรอง PCI DSS แต่จะร่วมวางแผน ปรับใช้ รับรอง และแสดงการตรวจสภาพแวดล้อมของผู้ถือบัตรบน AWS กับลูกค้าและผู้ประเมินของ PCI DSS เป็นประจำทุกไตรมาส
  

• บริษัทจะสามารถปฏิบัติตาม PCI DSS ได้อย่างไร

  บริษัทต่างๆ ใช้แนวทางหลักสองประการเพื่อยืนยันการปฏิบัติตามข้อกำหนดของ PCI DSS เป็นประจำทุกปี แนวทางแรกคือการให้ผู้ประเมินความปลอดภัยอิสระที่มีคุณสมบัติเหมาะสม (QSA) มาประเมินสภาพแวดล้อมที่ใช้งานได้ของคุณ จากนั้นจึงสร้างรายงานการปฏิบัติตามข้อกำหนด (ROC) และหลักฐานยืนยันการปฏิบัติตามข้อกำหนด (AOC) โดยแนวทางนี้เป็นแนวทางที่นิยมใช้มากที่สุดสำหรับเอนทิตีที่จัดการกับธุรกรรมเป็นจำนวนมาก แนวทางที่สองคือการใช้แบบสอบถามเพื่อประเมินตนเอง (SAQ) โดยแนวทางนี้เป็นแนวทางที่นิยมใช้มากที่สุดสำหรับเอนทิตีที่จัดการกับธุรกรรมจำนวนน้อย

  สิ่งสำคัญที่ควรทราบคือแบรนด์และผู้รับบัตรชำระเงินมีหน้าที่รับผิดชอบต่อการบังคับใช้การปฏิบัติตามข้อกำหนด ซึ่งไม่ใช่หน้าที่ของคณะกรรมการ PCI
  

• ข้อกำหนดในการปฏิบัติตามข้อกำหนดของ PCI DSS มีอะไรบ้าง

  ด้านล่างนี้คือภาพรวมของข้อกำหนด PCI DSS ในระดับสูง

  สร้างและรักษาเครือข่ายและระบบให้ปลอดภัย	1. ติดตั้งและบำรุงรักษาการควบคุมความปลอดภัยเครือข่าย 2. ใช้การกำหนดค่าที่ปลอดภัยกับส่วนประกอบของระบบทั้งหมด
  ปกป้องข้อมูลบัญชี	3. ปกป้องข้อมูลบัญชีที่จัดเก็บไว้ 4. ปกป้องข้อมูลผู้ถือบัตรโดยใช้การเข้ารหัสที่แน่นหนาระหว่างการส่งข้อมูลผ่านเครือข่ายสาธารณะแบบเปิด
  ดูแลโปรแกรมการจัดการช่องโหว่ด้านความปลอดภัย	5. ปกป้องระบบและเครือข่ายทั้งหมดจากซอฟต์แวร์ที่เป็นอันตราย 6. พัฒนาและบำรุงรักษาระบบและซอฟต์แวร์ที่ปลอดภัย
  ใช้มาตรการควบคุมการเข้าถึงที่รัดกุม	7. จำกัดการเข้าถึงส่วนประกอบของระบบและข้อมูลผู้ถือบัตรตามความจำเป็นทางธุรกิจที่ต้องรู้ 8. ยืนยันตัวตนผู้ใช้และรับรองความถูกต้องเพื่อเข้าถึงองค์ประกอบในระบบ 9. จำกัดการเข้าถึงข้อมูลของผู้ถือบัตรทางกายภาพ
  ตรวจสอบและทดสอบเครือข่ายเป็นประจำ	10. บันทึกและตรวจสอบการเข้าถึงส่วนประกอบของระบบและข้อมูลผู้ถือบัตร 11. ทดสอบความปลอดภัยของระบบและเครือข่ายอย่างสม่ำเสมอ
  รักษานโยบายด้านความปลอดภัยของข้อมูล	12. ส่งเสริมความปลอดภัยของข้อมูลโดยใช้นโยบายและโปรแกรมขององค์กร

• AWS Services PCI PIN, PCI P2PE ได้รับการรับรองหรือไม่

  ใช่ AWS CloudHSM ได้รับการรับรอง PCI PIN และ AWS Payment Cryptography ได้รับการรับรอง PCI PIN และ P2PE รายงานเหล่านี้มีอยู่ใน AWS Artifact สำหรับการใช้งานของลูกค้า

• มีการรับรอง PCI 3DS สำหรับ AWS ใช่หรือไม่

  ใช่ รายงาน PCI 3DS ประจำปีของเรามีอยู่ใน Artifact แม้ว่า AWS จะไม่ได้ดำเนินการฟังก์ชัน 3DS โดยตรง แต่การรับรองการปฏิบัติตามข้อกำหนดของ AWS PCI 3DS จะสามารถช่วยให้ลูกค้าปฏิบัติตามข้อกำหนด PCI 3DS ของตนเองสำหรับบริการที่ทำงานบน AWS ได้