PCI DSS

Tổng quan

Tiêu chuẩn Bảo mật Dữ liệu Thẻ thanh toán (PCI DSS) là tiêu chuẩn bảo mật thông tin quyền sở hữu được quản lý bởi Hội đồng Tiêu chuẩn Bảo mật PCI, được thành lập bởi American Express, Discover Financial Services, JCB International, MasterCard Worldwide và Visa Inc.

PCI DSS áp dụng cho các chủ thể lưu trữ, xử lý hoặc truyền dữ liệu chủ thẻ (CHD) hoặc dữ liệu xác thực nhạy cảm (SAD), bao gồm thương gia, nhà xử lý, tổ chức thanh toán, nhà phát hành và nhà cung cấp dịch vụ. PCI DSS được hãng thẻ ủy nhiệm và do Hội đồng Tiêu chuẩn Bảo mật Thẻ thanh toán quản lý.

Khách hàng có thể xem Chứng nhận Tuân thủ (AOC) và Tóm tắt trách nhiệm của PCI DSS thông qua AWS Artifact, cổng thông tin tự phục vụ cho truy cập theo nhu cầu vào các báo cáo tuân thủ của AWS. Đăng nhập vào AWS Artifact trong Bảng điều khiển quản lý AWS, hoặc tìm hiểu thêm tại Bắt đầu với AWS Artifact.

• AWS có được chứng nhận PCI DSS không?

  Có, Amazon Web Services (AWS) được chứng nhận là Nhà cung cấp dịch vụ PCI DSS cấp 1, là cấp độ đánh giá cao nhất hiện có. Đánh giá tuân thủ được thực hiện bởi Coalfire Systems Inc., một Chuyên gia đánh giá bảo mật (QSA) độc lập. Khách hàng có thể xem Chứng nhận Tuân thủ (AOC) và Tóm tắt trách nhiệm của PCI DSS thông qua AWS Artifact, cổng thông tin tự phục vụ cho truy cập theo nhu cầu vào các báo cáo tuân thủ của AWS. Đăng nhập vào AWS Artifact trong Bảng điều khiển quản lý AWS, hoặc tìm hiểu thêm tại Bắt đầu với AWS Artifact.
  

• Những dịch vụ AWS nào tuân thủ PCI DSS?

  Để biết danh sách các dịch vụ AWS tuân thủ PCI DSS, hãy xem tab PCI trên trang web Dịch vụ AWS trong phạm vi của Chương trình Tuân thủ. Để biết thêm thông tin về việc sử dụng những dịch vụ này, hãy liên lạc với chúng tôi.
  

• Điều này có ý nghĩa gì với tôi nếu tôi là thương gia hoặc nhà cung cấp dịch vụ theo PCI DSS?

  Với tư cách khách hàng sử dụng dịch vụ AWS để lưu trữ, xử lý, hoặc truyền dữ liệu chủ thẻ, bạn có thể tín nhiệm cơ sở hạ tầng công nghệ của AWS khi bạn quản lý chứng nhận tuân thủ PCI DSS của riêng mình.

  AWS không trực tiếp lưu trữ, truyền, hoặc xử lý bất cứ dữ liệu chủ thẻ khách hàng (CHD) nào. Tuy nhiên, bạn có thể tạo môi trường dữ liệu chủ thẻ riêng (CDE) có thể lưu trữ, truyền, hoặc xử lý dữ liệu chủ thẻ qua việc sử dụng dịch vụ AWS.
  

• Điều này có ý nghĩa gì với tôi trong tư cách thương nhân không theo PCI DSS?

  Kể cả khi bạn là khách hàng không theo PCI DSS, việc tuân thủ PCI DSS của chúng tôi cũng minh chứng cam kết của chúng tôi về bảo mật thông tin trên mọi cấp độ. Vì tiêu chuẩn PCI DSS được thông qua bởi bên thứ ba độc lập bên ngoài nên xác nhận được rằng chương trình quản lý bảo mật của chúng tôi là toàn diện và theo biện pháp thực hành đầu ngành.
  

• Với tư cách khách hàng của AWS, tôi có thể dựa vào Chứng nhận tuân thủ (AOC) của AWS được không, hay tôi sẽ cần phải kiểm tra bổ sung để tuân thủ hoàn toàn?

  Khách hàng phải quản lý chứng chỉ tuân thủ PCI DSS của họ và việc kiểm tra bổ sung sẽ được yêu cầu để xác minh rằng môi trường của bạn thỏa mãn tất cả các yêu cầu của PCS DSS. Tuy nhiên, đối với một phần của môi trường dữ liệu của chủ thẻ PCI (CDE) được triển khai trong AWS, Nhà đánh giá bảo mật đủ điều kiện (QSA) của bạn có thể dựa vào Chứng nhận tuân thủ AWS (AOC) mà không cần kiểm tra thêm.
  

• Làm thế nào để tôi biết biện pháp kiểm soát PCI DSS nào mà tôi chịu trách nhiệm?

  Để biết thông tin chi tiết, vui lòng xem "Bản tóm tắt trách nhiệm AWS PCI DSS" trong Gói tuân thủ AWS PCI DSS, được cung cấp cho khách hàng thông qua AWS Artifact, một cổng tự phục vụ cho truy cập theo nhu cầu vào các báo cáo tuân thủ của AWS. Đăng nhập vào AWS Artifact trong Bảng điều khiển quản lý AWS, hoặc tìm hiểu thêm tại Bắt đầu với AWS Artifact. Khách hàng cũng có thể yêu cầu dịch vụ tư vấn kiểm tra và tuân thủ từ đội ngũ AWS Security Assurance Services.

• Làm thế nào để tôi nhận Gói tuân thủ AWS PCI?

  Gói tuân thủ AWS PCI được cung cấp cho khách hàng thông qua AWS Artifact, một cổng tự phục vụ cho truy cập theo nhu cầu vào các báo cáo tuân thủ của AWS. Đăng nhập vào AWS Artifact trong Bảng điều khiển quản lý AWS, hoặc tìm hiểu thêm tại Bắt đầu với AWS Artifact.
  

• Gói tuân thủ PCI DSS của AWS bao gồm những gì?

  Gói tuân thủ AWS PCI bao gồm:

  • Chứng nhận tuân thủ (AOC) AWS PCI DSS 3.2.1
  • Bản tóm tắt trách nhiệm AWS PCI DSS 3.2.1

• AWS có được liệt kê trong Đăng ký toàn cầu nhà cung cấp dịch vụ của Visa và Danh sách nhà cung cấp dịch vụ tuân thủ của MasterCard không?

  Có, AWS có tên trong cả Danh sách đăng ký nhà cung cấp dịch vụ toàn cầu của Visa và Danh sách nhà cung cấp dịch vụ tuân thủ của MasterCard. Danh sách nhà cung cấp dịch vụ chứng minh thêm rằng AWS đã xác thực thành công việc tuân thủ PCI DSS và đáp ứng tất cả các yêu cầu được áp dụng của chương trình Visa và MasterCard.
  

• Tiêu chuẩn PCI DSS có yêu cầu môi trường một đối tượng thuê để tuân thủ không?

  Không. Môi trường AWS là một môi trường ảo hóa, nhiều đối tượng thuê. AWS đã thực hiện hiệu quả các quy trình quản lý bảo mật, các yêu cầu PCI DSS và kiểm soát bù để phân tách một cách hiệu quả và bảo mật từng khách hàng vào môi trường được bảo vệ của riêng của AWS. Kiến trúc bảo mật này đã được xác thực bởi một QSA độc lập và được cho là phù hợp với tất cả các yêu cầu được áp dụng của PCI DSS.

  Hội đồng tiêu chuẩn bảo mật PCI đã xuất bản Hướng dẫn về điện toán đám mây PCI DSS cho khách hàng, nhà cung cấp dịch vụ và nhà đánh giá dịch vụ điện toán đám mây. Hội đồng cũng mô tả các mô hình dịch vụ và cách mà các vai trò và trách nhiệm tuân thủ được chia sẻ giữa các nhà cung cấp và khách hàng.
  

• QSA cho các thương gia Cấp độ 1 có yêu cầu hướng dẫn vật lý về các trung tâm dữ liệu AWS không?

  Không. Chứng nhận Tuân thủ (AOC) AWS thể hiện đánh giá bao quát về các biện pháp kiểm soát an ninh vật lý của các trung tâm dữ liệu AWS. QSA của một thương nhân không cần xác minh tính bảo mật của các trung tâm dữ liệu AWS.
  

• AWS có hỗ trợ các cuộc điều tra tội phạm không?

  Theo PCI-DSS, AWS không được xem là một "Nhà cung cấp dịch vụ lưu trữ dùng chung". Do đó, yêu cầu A1.4 của DSS sẽ không được áp dụng. Theo Mô hình trách nhiệm chung, chúng tôi cho phép khách hàng tiến hành các cuộc điều tra tội phạm số trong môi trường AWS mà không cần yêu cầu hỗ trợ thêm từ AWS. Sự cho phép này được cung cấp thông qua việc khách hàng sử dụng các dịch vụ AWS và các giải pháp bên thứ 3 có trên AWS Marketplace. Để biết thêm thông tin, hãy xem các tài nguyên sau:

  • Đơn giản hóa hoạt động ứng phó sự cố bảo mật và điều tra số trên AWS
  • Hướng dẫn ứng phó với sự cố bảo mật AWS

• Tôi có cần xác định rõ môi trường tuân thủ PCI DSS đặc biệt khi kết nối máy chủ hoặc tải lên các đối tượng để lưu trữ không?

  Miễn là bạn đang sử dụng các dịch vụ AWS tuân thủ PCI DSS, toàn bộ cơ sở hạ tầng hỗ trợ các dịch vụ trong phạm vi đều tuân thủ và không sử dụng môi trường riêng biệt hoặc API đặc biệt. Bất kỳ máy chủ hoặc đối tượng dữ liệu nào được triển khai trong hoặc bằng các dịch vụ này đều thuộc môi trường tuân thủ PCI DSS toàn cầu. Để biết danh sách các dịch vụ AWS tuân thủ PCI DSS, vui lòng xem tab PCI trên trang web Dịch vụ AWS trong phạm vi của Chương trình tuân thủ.
  

• Tuân thủ AWS có áp dụng trên phạm vi quốc tế không?

  Có. Vui lòng tham khảo PCI DSS AOC mới nhất trong AWS Artifact để xem danh sách đầy đủ các địa điểm tuân thủ.
  

• Tiêu chuẩn PCI DSS có được công khai không?

  Có. Bạn có thể tải xuống tiêu chuẩn PCI DSS từ Thư viện tài liệu hội đồng tiêu chuẩn bảo mật PCI.
  

• Đã có ai đã đạt được chứng chỉ PCI DSS trên nền tảng AWS chưa?

  Đã có rồi, nhiều khách hàng AWS đã triển khai và chứng nhận thành công một phần hoặc tất cả môi trường chủ thẻ của họ trên AWS. AWS không tiết lộ những khách hàng đã đạt được chứng chỉ PCI DSS, nhưng thường xuyên làm việc với khách hàng và các nhà đánh giá PCI DSS của họ trong việc lập kế hoạch, triển khai, xác nhận và thực hiện quét hàng quý môi trường chủ thẻ trên AWS.
  

• Các công ty tuân thủ PCI DSS như thế nào?

  Có hai phương pháp chính mà các công ty sử dụng để xác thực việc tuân thủ PCI DSS hàng năm. Phương pháp đầu tiên là Chuyên gia đánh giá bảo mật (QSA) bên ngoài đánh giá môi trường hiện hành của bạn và sau đó lập Báo cáo về Tuân thủ (ROC) và Chứng nhận Tuân thủ (AOC); phương pháp này phổ biến nhất cho các chủ thể xử lý khối lượng giao dịch lớn. Phương pháp thứ hai là tiến hành Bảng câu hỏi tự đánh giá (SAQ); phương pháp này phổ biến nhất với các chủ thể xử lý khối lượng giao dịch nhỏ hơn.

  Quan trọng cần lưu ý rằng các nhãn hiệu thanh toán và các tổ chức thanh toán phải chịu trách nhiệm thực thi tuân thủ, chứ không phải hội đồng PCI.
  

• Những yêu cầu đối với việc tuân thủ PCI DSS là gì?

  Dưới đây là tổng quan cấp cao về các yêu cầu PCI DSS.

  Xây dựng và duy trì hệ thống và mạng an toàn	1. Cài đặt và duy trì kiểm soát bảo mật mạng. 2. Áp dụng cấu hình an toàn cho tất cả các thành phần hệ thống.
  Bảo vệ dữ liệu tài khoản	3. Bảo vệ dữ liệu tài khoản được lưu trữ. 4. Bảo vệ dữ liệu chủ thẻ bằng mật mã mạnh trong quá trình truyền qua các mạng công cộng mở.
  Duy trì chương trình quản lý lỗ hổng bảo mật	5. Bảo vệ tất cả các hệ thống và mạng khỏi phần mềm độc hại. 6. Phát triển và duy trì các hệ thống và phần mềm an toàn.
  Thực hiện các biện pháp kiểm soát truy cập mạnh mẽ	7. Hạn chế quyền truy cập vào các thành phần hệ thống và dữ liệu chủ thẻ theo nhu cầu cần biết của doanh nghiệp. 8. Xác định người dùng và xác thực quyền truy cập vào các thành phần hệ thống. 9. Hạn chế truy cập vật lý vào dữ liệu chủ thẻ.
  Thường xuyên theo dõi và kiểm tra mạng	10. Ghi nhật ký và giám sát tất cả quyền truy cập vào các thành phần hệ thống và dữ liệu chủ thẻ. 11. Thường xuyên kiểm tra tính bảo mật của hệ thống và mạng
  Duy trì chính sách bảo mật thông tin	12. Hỗ trợ bảo mật thông tin với các chính sách và chương trình của tổ chức.

• Có bất kỳ Dịch vụ AWS nào được cấp chứng nhận PIN PCI, PCI P2PE không?

  Có, AWS CloudHSM được cấp chứng nhận PCI PIN và AWS Payment Cryptography được cấp chứng nhận PCI PIN và P2PE. Báo cáo của họ có sẵn trong AWS Artifact để khách hàng sử dụng.

• Chứng nhận PCI 3DS có sẵn cho AWS không?

  Có, báo cáo PCI 3DS hàng năm của chúng tôi có sẵn trong Artifact. Mặc dù AWS không trực tiếp thực hiện các chức năng 3DS, nhưng chứng nhận tuân thủ AWS PCI 3DS có thể giúp các dịch vụ chạy trên AWS của khách hàng tuân thủ PCI 3DS.