我想取得有關雲端 PCI DSS 的資訊
AWS PCI 合規

支付卡產業資料安全標準 (也稱為 PCI DSS) 是由 PCI 安全標準委員會管理的專屬資訊安全標準,由 American Express、Discover Financial Services、JCB International、MasterCard Worldwide 及 Visa Inc 共同創設。

PCI DSS 適用於存放、處理或傳輸持卡人資料 (CHD) 及/或敏感身份驗證資料 (SAD) 的所有實體,包含商家、處理者、取得者、發行者和服務提供者。PCI DSS 受卡片品牌所規範,且由支付卡產業安全標準委員會管理。

使用 AWS Artifact 請求 PCI DSS 合規聲明文件 (AOC) 和責任摘要。



是,AWS 已於 2010 年通過 PCI DSS 認證。截至 2016 年 7 月 11 日為止,外部合格安全評估機構公司 (QSAC) Coalfire Systems Inc. 已驗證 Amazon Web Services (AWS) 成功完成了 PCI 資料安全標準 3.2 第 1 級服務提供者評估,且符合下述所有服務的規定。

服務提供者級別定義如下:

第 1 級:每年儲存、處理和/或傳輸超過 30 萬筆交易的任何服務提供者

第 2 級:每年儲存、處理和/或傳輸少於 30 萬筆交易的任何服務提供者

Amazon Web Services (AWS) 是不直接存放、傳輸或處理任何客戶持卡人資料 (CHD) 的雲端服務提供者 (CSP)。但 AWS 客戶可建立自己的卡片資料環境 (CDE),使用 AWS 產品來存放、傳輸或處理持卡人資料。

您可以在合規計劃的 AWS 服務範圍找到已經涵蓋在 PCI DSS 合規範圍內的 AWS 服務。如果您想進一步了解使用這些服務的資訊及/或對其他服務感興趣,請聯絡我們

AWS 成為 PCI DSS「合規」服務提供者表示使用 AWS 產品和服務存放、處理或傳輸持卡人資料的客戶,可以倚賴我們的技術基礎設施來管理自己的 PCI DSS 合規認證。 

AWS 的 PCI DSS 合規進一步展現了對於所有層級資訊安全的承諾。由於 PCI DSS 標準是由外部的獨立第三方進行驗證,所以可確認我們的安全管理計劃不僅完備,且遵循領先業界的實務。此驗證提供我們客戶關於安全實務方面的保證。

所有實體都必須自行管理 PCI DSS 合規認證。至於 AWS 中部署的 PCI 持卡人環境部分,您的 QSA 可倚賴 AWS 合規聲明文件 (AOC),但仍須滿足所有其他 PCI DSS 要求。

如需詳細資訊,請參閱 AWS PCI DSS 合規套件中的「AWS 2016 PCI DSS 3.2 責任摘要」,請求即可取得該套件。

使用 AWS Artifact (一個隨需存取 AWS 合規報告的自助服務入口網站) 可將 AWS PCI 合規套裝服務提供給客戶。立即開始使用 AWS Artifact。

AWS PCI DSS 合規套件包含:

•  AWS PCI DSS 3.2 合規聲明文件 (AOC)
•  AWS 2016 PCI DSS 3.2 責任摘要

是。AWS 已名列於 Visa 全球服務提供商註冊專案MasterCard 合規服務供應商名單。服務提供者清單進一步展現 AWS 成功通過 PCI DSS 合規驗證,且已符合所有適用的 Visa 及 MasterCard 計劃要求。

否。AWS 環境是虛擬化的多租用戶環境。AWS 已有效實作安全管理程序、PCI DSS 要求以及其他補充控制,這些措施可以有效、安全地將每個客戶分隔在自己的受保護環境中。此安全架構已通過獨立 QSA 驗證,且符合 2016 年 4 月發佈的 PCI DSS 3.2 版本的所有要求。

PCI 安全標準委員會發佈了 PCI DSS Cloud Computing Guidelines 2.0,做為客戶、服務提供者和雲端運算服務評估機構的指導。它也描述服務模式以及提供者和客戶之間如何共享合規角色與責任。

此外,Third-Party Security Assurance 2016 提供組織在共享持卡人資料時選取、使用和管理第三方服務提供者的補充資訊。

商家的 QSA 可倚賴 AWS 合規聲明文件 (AOC) 來展現 AWS 資料中心實體安全控制的廣泛評估。

是。AWS 在管理鑑定調查時遵循 DSS 要求 A 1.4。客戶或其指定的合格事件反應評估機構 (QIRA) 可以按照要求聯繫 AWS 來進行鑑定調查。

否。支援範圍內服務的整個基礎設施都符合規定,無須使用單獨的環境或特殊 API。在這些服務中部署或使用這些服務的任何伺服器或資料物件都處於 PCI DSS 合規環境中。

是。下列位置的資料中心符合 PCI DSS 標準:美國東部 (維吉尼亞北部)、美國東部 (俄亥俄)、美國西部 (奧勒岡)、美國西部 (加利佛尼亞北部)、AWS GovCloud (US)、加拿大 (中部)、歐洲 (愛爾蘭)、歐洲 (法蘭克福)、歐洲 (倫敦)、亞太區域 (新加坡)、亞太區域 (雪梨)、亞太區域 (東京)、亞太區域 (首爾)、亞太區域 (孟買) 和南美洲 (聖保羅)。

是。您可以前往 PCI 安全標準委員會直接下載標準

是,許多 AWS 客戶已成功在 AWS 上部署與認證他們的部分或所有的持卡人環境。AWS 不會洩露已獲得 PCI DSS 認證的客戶,但會定期在 AWS 上與客戶及其 PCI DSS 評估機構一起對持卡人環境進行規劃、部署、認證以及執行季度掃描。

公司可透過兩種主要方式每年驗證自己的 PCI DSS 合規。第一種方式是透過外部合格安全評估機構 (QSA) 評估您的適用環境,然後建立合規報告 (ROC) 及合規聲明文件 (AOC);此方法最常見於處理大量交易的實體。第二種方式是執行自我評估問卷 (SAQ);此方法最常見於處理較少量交易的實體。

需要注意的是,付款品牌和取得者負責強制執行合規,而非 PCI 委員會。

以下是 12 個 PCI DSS 要求的簡要概觀。

建置和維護安全網路與系統

1. 安裝和維護防火牆組態以保護持卡人資料

2. 不使用廠商提供的預設值做為系統密碼和其他安全參數

保護持卡人資料

3. 保護存放的持卡人資料

4. 加密透過開放公有網路傳輸的持卡人資料

維護漏洞管理程式

5.保護所有系統不受惡意軟體的侵害並定期更新防毒軟體或程式

6. 開發和維護安全系統與應用程式

實作強式存取控制措施

7. 依業務範圍限制存取持卡人資料

8. 識別和驗證對系統元件的存取

9. 限制對持卡人資料的實體存取

定期監控和測試網路

10. 追蹤和監控對網路資源和持卡人資料的所有存取

11. 定期測試安全系統和程序

維護資訊安全政策

12. 維護可滿足所有人員資訊安全的政策

 

聯絡我們