PCI DSS

Tổng quan

Tiêu chuẩn Bảo mật Dữ liệu Thẻ thanh toán (PCI DSS) là tiêu chuẩn bảo mật thông tin quyền sở hữu được quản lý bởi Hội đồng Tiêu chuẩn Bảo mật PCI, được thành lập bởi American Express, Discover Financial Services, JCB International, MasterCard Worldwide và Visa Inc.

PCI DSS áp dụng cho các chủ thể lưu trữ, xử lý hoặc truyền dữ liệu chủ thẻ (CHD) hoặc dữ liệu xác thực nhạy cảm (SAD), bao gồm thương gia, nhà xử lý, tổ chức thanh toán, nhà phát hành và nhà cung cấp dịch vụ. PCI DSS được hãng thẻ ủy nhiệm và do Hội đồng Tiêu chuẩn Bảo mật Thẻ thanh toán quản lý.

Khách hàng có thể xem Chứng nhận Tuân thủ (AOC) và Tóm tắt trách nhiệm của PCI DSS thông qua AWS Artifact, cổng thông tin tự phục vụ cho truy cập theo nhu cầu vào các báo cáo tuân thủ của AWS. Đăng nhập vào AWS Artifact trong Bảng điều khiển quản lý AWS, hoặc tìm hiểu thêm tại Bắt đầu với AWS Artifact.

• AWS có được chứng nhận PCI DSS không?

  Có, Amazon Web Services (AWS) được chứng nhận là Nhà cung cấp dịch vụ PCI DSS cấp 1, là cấp độ đánh giá cao nhất hiện có. Đánh giá tuân thủ được thực hiện bởi Coalfire Systems Inc., một Chuyên gia đánh giá bảo mật (QSA) độc lập. Khách hàng có thể xem Chứng nhận Tuân thủ (AOC) và Tóm tắt trách nhiệm của PCI DSS thông qua AWS Artifact, cổng thông tin tự phục vụ cho truy cập theo nhu cầu vào các báo cáo tuân thủ của AWS. Đăng nhập vào AWS Artifact trong Bảng điều khiển quản lý AWS, hoặc tìm hiểu thêm tại Bắt đầu với AWS Artifact.
  

• Những dịch vụ AWS nào tuân thủ PCI DSS?

  Để biết danh sách các dịch vụ AWS tuân thủ PCI DSS, hãy xem tab PCI trên trang web Dịch vụ AWS trong phạm vi của Chương trình Tuân thủ. Để biết thêm thông tin về việc sử dụng những dịch vụ này, hãy liên lạc với chúng tôi.
  

• Điều này có ý nghĩa gì với tôi nếu tôi là thương gia hoặc nhà cung cấp dịch vụ theo PCI DSS?

  Với tư cách khách hàng sử dụng dịch vụ AWS để lưu trữ, xử lý, hoặc truyền dữ liệu chủ thẻ, bạn có thể tín nhiệm cơ sở hạ tầng công nghệ của AWS khi bạn quản lý chứng nhận tuân thủ PCI DSS của riêng mình.

  AWS không trực tiếp lưu trữ, truyền, hoặc xử lý bất cứ dữ liệu chủ thẻ khách hàng (CHD) nào. Tuy nhiên, bạn có thể tạo môi trường dữ liệu chủ thẻ riêng (CDE) có thể lưu trữ, truyền, hoặc xử lý dữ liệu chủ thẻ qua việc sử dụng dịch vụ AWS.
  

• Điều này có ý nghĩa gì với tôi trong tư cách thương nhân không theo PCI DSS?

  Kể cả khi bạn là khách hàng không theo PCI DSS, việc tuân thủ PCI DSS của chúng tôi cũng minh chứng cam kết của chúng tôi về bảo mật thông tin trên mọi cấp độ. Vì tiêu chuẩn PCI DSS được thông qua bởi bên thứ ba độc lập bên ngoài nên xác nhận được rằng chương trình quản lý bảo mật của chúng tôi là toàn diện và theo biện pháp thực hành đầu ngành.
  

• Với tư cách khách hàng của AWS, tôi có thể dựa vào Chứng nhận tuân thủ (AOC) của AWS được không, hay tôi sẽ cần phải kiểm tra bổ sung để tuân thủ hoàn toàn?

  Khách hàng phải quản lý chứng chỉ tuân thủ PCI DSS của họ và việc kiểm tra bổ sung sẽ được yêu cầu để xác minh rằng môi trường của bạn thỏa mãn tất cả các yêu cầu của PCS DSS. Tuy nhiên, đối với một phần của môi trường dữ liệu của chủ thẻ PCI (CDE) được triển khai trong AWS, Nhà đánh giá bảo mật đủ điều kiện (QSA) của bạn có thể dựa vào Chứng nhận tuân thủ AWS (AOC) mà không cần kiểm tra thêm.
  

• Làm thế nào để tôi biết biện pháp kiểm soát PCI DSS nào mà tôi chịu trách nhiệm?

  Để biết thông tin chi tiết, vui lòng xem "Bản tóm tắt trách nhiệm AWS PCI DSS" trong Gói tuân thủ AWS PCI DSS, được cung cấp cho khách hàng thông qua AWS Artifact, một cổng tự phục vụ cho truy cập theo nhu cầu vào các báo cáo tuân thủ của AWS. Đăng nhập vào AWS Artifact trong Bảng điều khiển quản lý AWS, hoặc tìm hiểu thêm tại Bắt đầu với AWS Artifact.
  

• Làm thế nào để tôi nhận Gói tuân thủ AWS PCI?

  Gói tuân thủ AWS PCI được cung cấp cho khách hàng thông qua AWS Artifact, một cổng tự phục vụ cho truy cập theo nhu cầu vào các báo cáo tuân thủ của AWS. Đăng nhập vào AWS Artifact trong Bảng điều khiển quản lý AWS, hoặc tìm hiểu thêm tại Bắt đầu với AWS Artifact.
  

• Gói tuân thủ PCI DSS của AWS bao gồm những gì?

  Gói tuân thủ AWS PCI bao gồm:

  • Chứng nhận tuân thủ (AOC) AWS PCI DSS 3.2.1
  • Bản tóm tắt trách nhiệm AWS PCI DSS 3.2.1

• AWS có được liệt kê trong Đăng ký toàn cầu nhà cung cấp dịch vụ của Visa và Danh sách nhà cung cấp dịch vụ tuân thủ của MasterCard không?

  Có, AWS có tên trong cả Danh sách đăng ký nhà cung cấp dịch vụ toàn cầu của Visa và Danh sách nhà cung cấp dịch vụ tuân thủ của MasterCard. Danh sách nhà cung cấp dịch vụ chứng minh thêm rằng AWS đã xác thực thành công việc tuân thủ PCI DSS và đáp ứng tất cả các yêu cầu được áp dụng của chương trình Visa và MasterCard.
  

• Tiêu chuẩn PCI DSS có yêu cầu môi trường một đối tượng thuê để tuân thủ không?

  Không. Môi trường AWS là một môi trường ảo hóa, nhiều đối tượng thuê. AWS đã thực hiện hiệu quả các quy trình quản lý bảo mật, các yêu cầu PCI DSS và kiểm soát bù để phân tách một cách hiệu quả và bảo mật từng khách hàng vào môi trường được bảo vệ của riêng của AWS. Kiến trúc bảo mật này đã được xác thực bởi một QSA độc lập và được cho là phù hợp với tất cả các yêu cầu được áp dụng của PCI DSS.

  Hội đồng tiêu chuẩn bảo mật PCI đã xuất bản Hướng dẫn về điện toán đám mây PCI DSS cho khách hàng, nhà cung cấp dịch vụ và nhà đánh giá dịch vụ điện toán đám mây. Hội đồng cũng mô tả các mô hình dịch vụ và cách mà các vai trò và trách nhiệm tuân thủ được chia sẻ giữa các nhà cung cấp và khách hàng.
  

• QSA cho các thương gia Cấp độ 1 có yêu cầu hướng dẫn vật lý về các trung tâm dữ liệu AWS không?

  Không. Chứng nhận Tuân thủ (AOC) AWS thể hiện đánh giá bao quát về các biện pháp kiểm soát an ninh vật lý của các trung tâm dữ liệu AWS. QSA của một thương nhân không cần xác minh tính bảo mật của các trung tâm dữ liệu AWS.
  

• AWS có hỗ trợ các cuộc điều tra tội phạm không?

  Theo PCI-DSS, AWS không được xem là một "Nhà cung cấp dịch vụ lưu trữ dùng chung". Do đó, yêu cầu A1.4 của DSS sẽ không được áp dụng. Theo Mô hình trách nhiệm chung, chúng tôi cho phép khách hàng tiến hành các cuộc điều tra tội phạm số trong môi trường AWS mà không cần yêu cầu hỗ trợ thêm từ AWS. Sự cho phép này được cung cấp thông qua việc khách hàng sử dụng các dịch vụ AWS và các giải pháp bên thứ 3 có trên AWS Marketplace. Để biết thêm thông tin, hãy xem các tài nguyên sau:

  • Đơn giản hóa hoạt động ứng phó sự cố bảo mật và điều tra số trên AWS
  • Hướng dẫn ứng phó với sự cố bảo mật AWS

• Tôi có cần xác định rõ môi trường tuân thủ PCI DSS đặc biệt khi kết nối máy chủ hoặc tải lên các đối tượng để lưu trữ không?

  Miễn là bạn đang sử dụng các dịch vụ AWS tuân thủ PCI DSS, toàn bộ cơ sở hạ tầng hỗ trợ các dịch vụ trong phạm vi đều tuân thủ và không sử dụng môi trường riêng biệt hoặc API đặc biệt. Bất kỳ máy chủ hoặc đối tượng dữ liệu nào được triển khai trong hoặc bằng các dịch vụ này đều thuộc môi trường tuân thủ PCI DSS toàn cầu. Để biết danh sách các dịch vụ AWS tuân thủ PCI DSS, vui lòng xem tab PCI trên trang web Dịch vụ AWS trong phạm vi của Chương trình tuân thủ.
  

• Tuân thủ AWS có áp dụng trên phạm vi quốc tế không?

  Có. Vui lòng tham khảo PCI DSS AOC mới nhất trong AWS Artifact để xem danh sách đầy đủ các địa điểm tuân thủ.
  

• Tiêu chuẩn PCI DSS có được công khai không?

  Có. Bạn có thể tải xuống tiêu chuẩn PCI DSS từ Thư viện tài liệu hội đồng tiêu chuẩn bảo mật PCI.
  

• Đã có ai đã đạt được chứng chỉ PCI DSS trên nền tảng AWS chưa?

  Đã có rồi, nhiều khách hàng AWS đã triển khai và chứng nhận thành công một phần hoặc tất cả môi trường chủ thẻ của họ trên AWS. AWS không tiết lộ những khách hàng đã đạt được chứng chỉ PCI DSS, nhưng thường xuyên làm việc với khách hàng và các nhà đánh giá PCI DSS của họ trong việc lập kế hoạch, triển khai, xác nhận và thực hiện quét hàng quý môi trường chủ thẻ trên AWS.
  

• Các công ty tuân thủ PCI DSS như thế nào?

  Có hai phương pháp chính mà các công ty sử dụng để xác thực việc tuân thủ PCI DSS hàng năm. Phương pháp đầu tiên là Chuyên gia đánh giá bảo mật (QSA) bên ngoài đánh giá môi trường hiện hành của bạn và sau đó lập Báo cáo về Tuân thủ (ROC) và Chứng nhận Tuân thủ (AOC); phương pháp này phổ biến nhất cho các chủ thể xử lý khối lượng giao dịch lớn. Phương pháp thứ hai là tiến hành Bảng câu hỏi tự đánh giá (SAQ); phương pháp này phổ biến nhất với các chủ thể xử lý khối lượng giao dịch nhỏ hơn.

  Quan trọng cần lưu ý rằng các nhãn hiệu thanh toán và các tổ chức thanh toán phải chịu trách nhiệm thực thi tuân thủ, chứ không phải hội đồng PCI.
  

• Những yêu cầu đối với việc tuân thủ PCI DSS là gì?

  Dưới đây là tổng quan cấp cao về các yêu cầu PCI DSS.

  Xây dựng và duy trì hệ thống và mạng an toàn	1. Cài đặt và duy trì cấu hình tường lửa để bảo vệ dữ liệu của chủ thẻ 2. Không sử dụng các giá trị mặc định của nhà cung cấp đối với mật khẩu hệ thống và các thông số bảo mật khác
  Bảo vệ dữ liệu chủ thẻ	3. Bảo vệ dữ liệu chủ thẻ được lưu trữ 4. Mã hóa truyền dữ liệu của chủ thẻ qua các mạng công cộng, mở
  Duy trì Chương trình quản lý lỗ hổng	5. Bảo vệ tất cả các hệ thống chống phần mềm độc hại và thường xuyên cập nhật phần mềm hoặc chương trình diệt vi rút 6. Phát triển và duy trì hệ thống và ứng dụng an toàn
  Thực hiện các biện pháp kiểm soát truy cập mạnh mẽ	7. Hạn chế truy cập vào dữ liệu chủ thẻ theo doanh nghiệp cần biết 8. Xác định và xác thực truy cập vào các thành phần hệ thống 9. Hạn chế truy cập vật lý vào dữ liệu chủ thẻ
  Thường xuyên theo dõi và kiểm tra mạng	10. Theo dõi và giám sát tất cả truy cập vào tài nguyên mạng và dữ liệu chủ thẻ 11. Thường xuyên kiểm tra các hệ thống và quy trình bảo mật
  Duy trì chính sách bảo mật thông tin	12. Duy trì chính sách giải quyết bảo mật thông tin cho tất cả nhân viên

• Quan điểm của AWS về việc hỗ trợ liên tục giao thức TLS 1.0 là gì?

  AWS không có chiến dịch để từ chối TLS 1.0 trên tất cả các dịch vụ do một số khách hàng (ví dụ: khách hàng không theo PCI) yêu cầu tùy chọn giao thức này. Tuy nhiên, dịch vụ AWS đánh giá riêng ảnh hưởng của khách hàng đến việc vô hiệu hóa TLS 1.0 cho dịch vụ của họ và có thể chọn từ chối giao thức này. Khách hàng cũng có thể sử dụng điểm cuối FIPS để đảm bảo rằng mật mã đủ mạnh. AWS sẽ cập nhật tất cả điểm cuối FIPS lên phiên bản TLS tối thiểu là 1.2. Vui lòng đọc bài blog này để biết thêm chi tiết.
  

• Làm cách nào để khách hàng cấu hình kiến trúc AWS để tuân thủ yêu cầu PCI đối với TLS bảo mật?

  Tất cả các dịch vụ AWS trong phạm vi của PCI cho phép TLS 1.1 hoặc cao hơn và một số dịch vụ trong đó cũng hỗ trợ TLS 1.0 cho khách hàng (không theo PCI) là những người yêu cầu. Trách nhiệm của khách hàng là nâng cấp hệ thống của họ để bắt đầu bắt tay với AWS sử dụng TLS bảo mật, tức là TLS 1.1 trở lên. Khách hàng nên sử dụng và cấu hình cân bằng tải AWS (Application Load Balancer hoặc Classic Load Balancer) để giao tiếp bảo mật bằng TLS 1.1 hoặc cao hơn bằng cách chọn chính sách bảo mật AWS được xác định trước mà có thể đảm bảo thỏa thuận giao thức mã hóa giữa máy khách và sử dụng cân bằng tải, ví dụ TLS 1.2. Ví dụ: Chính sách bảo mật cân bằng tải AWS ELBSecurityPolicy-TLS-1-2-2018-06 chỉ hỗ trợ TLS 1.2.
  

• Hành động được khuyến nghị cho khách hàng là gì nếu TLS 1.0 xuất hiện trong kết quả quét của họ?

  Nếu bản quét khách hàng ASV (Nhà cung cấp bản quét được chấp thuận) xác định TLS 1.0 trên thiết bị đầu cuối API AWS, điều đó có nghĩa là API vẫn hỗ trợ TLS 1.0 cũng như TLS 1.1 hoặc cao hơn. Một số dịch vụ AWS trong phạm vi PCI có thể vẫn cho phép TLS 1.0 đối với những khách hàng yêu cầu giao thức này cho khối lượng công việc không theo PCI. Khách hàng có thể cung cấp bằng chứng cho ASV về việc điểm cuối API AWS hỗ trợ TLS 1.1 trở lên bằng cách sử dụng công cụ như Qualys SSL Labs để xác định giao thức được dùng. Khách hàng cũng có thể cung cấp bằng chứng rằng họ bật giao thức bắt tay TLS bảo mật bằng cách kết nối thông qua AWS Elastic Load Balancer được cấu hình với Chính sách bảo mật phù hợp chỉ hỗ trợ TLS 1.1 trở lên (ví dụ: ELBSecurityPolicy-TLS-1-2-2017-01 chỉ hỗ trợ phiên bản 1.2). ASV có thể yêu cầu khách hàng tuân thủ quy trình khiếu nại về lỗ hổng bản quét và bằng chứng được nêu có thể được sử dụng làm bằng chứng tuân thủ. Ngoài ra, việc liên hệ sớm với ASV của mình và cung cấp bằng chứng này cho ASV trước khi quét có thể luân phiên sắp xếp việc đánh giá và hỗ trợ một bản quét ASV thông qua.