PCI DSS

概觀

支付卡產業資料安全標準 (PCI DSS) 是由 PCI 安全標準委員會管理的專屬資訊安全標準，由 American Express、Discover Financial Services、JCB International、MasterCard Worldwide 及 Visa Inc 共同創設。

PCI DSS 適用於存放、處理或傳輸持卡人資料 (CHD) 及/或敏感身份驗證資料 (SAD) 的實體，包含商家、處理者、取得者、發行者和服務提供者。PCI DSS 受卡片品牌所規範，且由支付卡產業安全標準委員會管理。

客戶可透過 AWS Artifact 取得 PCI DSS 合規聲明文件 (AOC) 與責任摘要，這是自助服務入口網站，可隨需存取 AWS 合規報告。登入 AWS 管理主控台中的 AWS Artifact，或者參閱 AWS Artifact 入門進一步了解詳細資訊。

• AWS 是否通過 PCI DSS 認證？

  是，Amazon Web Services (AWS) 已獲得 PCI DSS 第 1 級服務供應商的認證，這是目前最高等級的評定。合規評定由 Coalfire Systems Inc. 執行，這是一間獨立的合格安全評估機構 (QSA)。PCI DSS 合規聲明文件 (AOC) 與責任摘要透過 AWS Artifact 提供給客戶，這是自助服務入口網站，可隨需存取 AWS 合規報告。登入 AWS 管理主控台中的 AWS Artifact，或者參閱 AWS Artifact 入門進一步了解詳細資訊。
  

• 哪些 AWS 服務是 PCI DSS 合規服務？

  如需符合 PCI DSS 的 AWS 服務清單，請參閱合規計劃的 AWS 服務範圍網頁上的 PCI 標籤。如需使用這些服務的詳細資訊，請聯絡我們。
  

• 作為 PCI DSS 商家或服務提供者，這對我來說有什麼意義？

  使用 AWS 服務存放、處理或傳輸持卡人資料的客戶，可倚賴 AWS 技術基礎設施來管理您自己的 PCI DSS 合規認證。

  AWS 不會直接存放、傳輸或處理任何客戶持卡人資料 (CHD)。但您可建立自己的持卡人資料環境 (CDE)，使用 AWS 服務來存放、傳輸或處理持卡人資料。
  

• 作為非 PCI DSS 商家客戶，這對我來說有什麼意義？

  即使您是非 PCI DSS 客戶，我們的 PCI DSS 合規展現我們對所有層級資訊安全的承諾。由於 PCI DSS 標準是由外部的獨立第三方進行驗證，所以可確認我們的安全管理計劃不僅完備，且遵循領先業界的實務。
  

• 身為 AWS 客戶，我是否可以倚賴 AWS 合規聲明文件 (AOC) 或需要額外的測試才能取得完整合規？

  客戶必須自行管理他們的 PCI DSS 合規認證，而且需要執行額外測試以驗證您的環境滿足所有 PCS DSS 要求。不過，對於在 AWS 中部署的 PCI 持卡人資料環境 (CDE) 這個部分，您的合格安全評估機構 (QSA) 可倚賴 AWS 合規聲明文件 (AOC)，無需進一步測試。
  

• 如何了解我應該負責哪些 PCI DSS 控制？

  如需詳細資訊，請參閱 AWS PCI DSS 合規套裝服務中的「AWS PCI DSS 責任摘要」，客戶可經由 AWS Artifact 取得，它是一個自助服務入口網站，可隨需存取 AWS 合規報告。登入 AWS 管理主控台中的 AWS Artifact，或者參閱 AWS Artifact 入門進一步了解詳細資訊。
  

• 如何取得 AWS PCI 合規套裝服務？

  透過 AWS Artifact (一個隨需存取 AWS 合規報告的自助服務入口網站) 可將 AWS PCI 合規套裝服務提供給客戶。登入 AWS 管理主控台中的 AWS Artifact，或者參閱 AWS Artifact 入門進一步了解詳細資訊。
  

• AWS PCI DSS 合規套件包含哪些內容？

  AWS PCI 合規套件包含：

  • AWS PCI DSS 3.2.1 合規聲明文件 (AOC)
  • AWS PCI DSS 3.2.1 責任摘要

• AWS 是否列名於 Visa 全球服務提供商註冊專案以及 MasterCard 合規服務供應商名單？

  是。AWS 同時列於 Visa 全球服務供應商註冊專案與 MasterCard 合規服務供應商名單。服務提供者清單進一步展現 AWS 成功通過 PCI DSS 合規驗證，且已符合所有適用的 Visa 及 MasterCard 計劃要求。
  

• PCI DSS 標準是否需要單一租用戶環境才能符合規定？

  否。AWS 環境是虛擬化的多租用戶環境。AWS 已有效實作安全管理程序、PCI DSS 要求以及其他補充控制，這些措施可以有效、安全地將每個客戶分隔在自己的受保護環境中。此安全架構已通過獨立 QSA 驗證，且符合 PCI DSS 所有適用的要求。

  PCI 安全標準委員會發佈了 PCI DSS Cloud Computing Guidelines，適用於客戶、服務提供者和雲端運算服務評估機構。它也描述服務模式以及提供者和客戶之間如何共享合規角色與責任。
  

• 第 1 級商家的 QSA 是否需要對 AWS 資料中心進行實體評估？

  否。AWS 合規聲明文件 (AOC) 展現 AWS 資料中心實體安全控制的廣泛評估。商家的 QSA 不需要驗證 AWS 資料中心的安全性。
  

• AWS 是否配合鑑定調查？

  根據 PCI-DSS，AWS 並非「共享主機供應商」。因此，DSS 要求 A1.4 不適用。在我們的共享責任模型下，我們讓客戶能夠在自己的 AWS 環境中執行數位鑑識調查，而無需 AWS 的額外協助。透過使用 AWS 服務以及透過 AWS Marketplace 提供的第三方解決方案來提供此支援。如需詳細資訊，請參閱下列資源：

  • 簡化 AWS 上的安全事件回應和數位鑑識
  • AWS 安全事件回應指南

• 在連線伺服器或將物件上傳到存放區時，是否需要指定特殊的 PCI DSS 合規環境？

  只要您使用 PCI DSS 合規的 AWS 服務，支援範圍內服務的整個基礎設施都符合規定，無須使用單獨的環境或特殊 API。在這些服務中部署或使用這些服務的任何伺服器或資料物件都處於 PCI DSS 合規環境中。如需符合 PCI DSS 的 AWS 服務清單，請參閱合規計劃的 AWS 服務範圍網頁上的 PCI 標籤。
  

• AWS 合規是否適用於全球範圍？

  是。請參閱 AWS Artifact 中最新的 PCI DSS AOC，以獲取符合要求位置的完整清單。
  

• PCI DSS 標準是否公開？

  是。您可以從 PCI Security Standards Council Document Library 下載 PCI DSS 標準。
  

• 是否已經有透過 AWS 平台獲得 PCI DSS 認證的客戶？

  是，許多 AWS 客戶已成功在 AWS 上部署與認證他們的部分或所有的持卡人環境。AWS 不會洩露已獲得 PCI DSS 認證的客戶，但會定期在 AWS 上與客戶及其 PCI DSS 評估機構一起對持卡人環境進行規劃、部署、認證以及執行季度掃描。
  

• 公司要如何符合 PCI DSS？

  公司可透過兩種主要方式每年驗證自己的 PCI DSS 合規。第一種方式是透過外部合格安全評估機構 (QSA) 評估您的適用環境，然後建立合規報告 (ROC) 及合規聲明文件 (AOC)；此方法最常見於處理大量交易的實體。第二種方式是執行自我評估問卷 (SAQ)；此方法最常見於處理較少量交易的實體。

  需要注意的是，付款品牌和取得者負責強制執行合規，而非 PCI 委員會。
  

• PCI DSS 合規有哪些要求？

  以下是 PCI DSS 要求的簡要概觀。

  建置和維護安全網路與系統	1. 安裝和維護防火牆組態以保護持卡人資料 2. 不使用廠商提供的預設值做為系統密碼和其他安全參數
  保護持卡人資料	3.  保護存放的持卡人資料 4. 加密透過開放公有網路傳輸的持卡人資料
  維護漏洞管理程式	5. 保護所有系統不受惡意軟體的侵害並定期更新防毒軟體或程式 6. 開發和維護安全系統與應用程式
  實作強式存取控制措施	7. 依業務範圍限制存取持卡人資料 8. 識別和驗證對系統元件的存取 9. 限制對持卡人資料的實體存取
  定期監控和測試網路	10. 追蹤和監控對網路資源和持卡人資料的所有存取 11. 定期測試安全系統和程序
  維護資訊安全政策	12. 維護可滿足所有人員資訊安全的政策

• AWS 對繼續支援 TLS 1.0 協定的立場為何？

  因為有些客戶 (例如，非 PCI) 還需要 TLS 1.0 這個選項，所以 AWS 沒有宣佈淘汰所有服務的這項協定，不過我們會分別對各項 AWS 服務評估停用 TLS 1.0 對客戶的影響，而且可能最終選擇淘汰。客戶還可以使用 FIPS 端點來協助確保其使用強加密技術。AWS 會將所有 FIPS 端點更新為最低 TLS 版本 1.2。請參閱此部落格文章取得進一步詳細資訊。
  

• 客戶如何設定 AWS 架構以符合 PCI 需求以提供安全的 TLS？

  PCI 範圍內的所有 AWS 服務都會啟用 TLS 1.1 或更高版本，其中一些服務也針對需要 TLS 1.0 的客戶 (非 PCI) 支援該協定。客戶需負責升級自己的系統以初始化與使用安全 TLS (也就是 TLS 1.1 或更高版本) 之 AWS 的信號交換。客戶應使用並設定 AWS 負載平衡器 (Application Load Balancer 或 Classic Load Balancer) 以使用 TLS 1.1 或更高版本進行安全通訊，方法是選擇預先定義的 AWS 安全政策，它可確保用戶端與負載平衡器之間的加密協定談判使用 TLS (如 TLS 1.2)。例如，AWS 負載平衡器安全政策 ELBSecurityPolicy-TLS-1-2-2018-06 僅支援 TLS 1.2。
  

• 如果客戶的掃描結果出現 TLS 1.0，建議採取什麼動作？

  如果客戶 ASV (Approved Scanning Vendor) 掃描在 AWS API 端點上找到 TLS 1.0，這表示 API 仍然支援 TLS 1.0 以及 TLS 1.1 或更高版本。PCI 範圍內的部分 AWS 服務仍然為需要使用 TLS 1.0 處理非 PCI 工作負載的客戶支援該協定。客戶可使用工具 (如 Qualys SSL Labs) 識別出所使用的協定，向 ASV 出示 AWS API 端點支援 TLS 1.1 或更高版本的證明。客戶也可以提供他們透過 AWS Elastic Load Balancer 連線而啟用安全 TLS 信號交換的證明，這些負載平衡器需使用僅支援 TLS 1.1 或更高版本 (例如 ELBSecurityPolicy-TLS-1-2-2017-01 僅支援 v1.2) 的適用安全政策設定。ASV 可能會要求客戶遵循掃描漏洞爭議程序，而且所列的證據可做為合規證明。或者，及早與他們的 ASV 聯繫，在掃描之前將證據提供給 ASV 可加快評估程序並有助於通過 ASV 掃描。