PCI DSS

Tổng quan

140940_AWS_Multi-Logo Graphic_600x400_PCI

Tiêu chuẩn Bảo mật Dữ liệu Thẻ thanh toán (PCI DSS) là tiêu chuẩn bảo mật thông tin quyền sở hữu được quản lý bởi Hội đồng Tiêu chuẩn Bảo mật PCI, được thành lập bởi American Express, Discover Financial Services, JCB International, MasterCard Worldwide và Visa Inc.

PCI DSS áp dụng cho mọi chủ thể có lưu trữ, xử lý hoặc truyền dữ liệu chủ thẻ (CHD) hoặc dữ liệu xác thực nhạy cảm (SAD), bao gồm thương gia, nhà xử lý, tổ chức thanh toán, nhà phát hành và nhà cung cấp dịch vụ. PCI DSS được hãng thẻ ủy nhiệm và do Hội đồng Tiêu chuẩn Bảo mật Thẻ thanh toán quản lý.

Chứng nhận Tuân thủ (AOC) và Tóm tắt trách nhiệm của PCI DSS khả dụng khi khách hàng sử dụng AWS Artifact, cổng thông tin tự phục vụ cho những truy cập theo yêu cầu tới các báo cáo tuân thủ của AWS. Đăng nhập vào AWS Artifact trong Bảng điều khiển quản lý AWS, hoặc tìm hiểu thêm tại Bắt đầu với AWS Artifact.

  • AWS có được chứng nhận PCI DSS không?

    Có, Amazon Web Services (AWS) được chứng nhận là Nhà cung cấp dịch vụ PCI DSS 3.2 cấp 1, cấp độ đánh giá cao nhất hiện có. Đánh giá tuân thủ được thực hiện bởi Coalfire Systems Inc., một Chuyên gia đánh giá bảo mật (QSA) độc lập. Chứng nhận Tuân thủ (AOC) và Tóm tắt trách nhiệm của PCI DSS hiện khả dụng khi khách hàng sử dụng AWS Artifact, cổng thông tin tự phục vụ cho những truy cập theo yêu cầu tới các báo cáo tuân thủ của AWS. Đăng nhập vào AWS Artifact trong Bảng điều khiển quản lý AWS, hoặc tìm hiểu thêm tại Bắt đầu với AWS Artifact.

  • Những dịch vụ AWS nào tuân thủ PCI DSS?

    Để biết danh sách các dịch vụ AWS tuân thủ PCI DSS, hãy xem tab PCI trên trang web ​Dịch vụ AWS trong phạm vi của Chương trình Tuân thủ​. Để biết thêm thông tin về việc sử dụng những dịch vụ này, hãy liên lạc với chúng tôi.

  • Điều này có ý nghĩa gì với tôi trong tư cách thương nhân hoặc nhà cung cấp dịch vụ theo PCI DSS?

    Với tư cách khách hàng sử dụng sản phẩm và dịch vụ của AWS để lưu trữ, xử lý, hoặc truyền dữ liệu chủ thẻ, bạn có thể tín nhiệm cơ sở hạ tầng công nghệ của AWS khi bạn quản lý chứng nhận tuân thủ PCI DSS của riêng mình.

    AWS không trực tiếp lưu trữ, truyền, hoặc xử lý bất cứ dữ liệu chủ thẻ khách hàng (CHD) nào. Tuy nhiên, bạn có thể tạo môi trường dữ liệu chủ thẻ riêng (CDE) có thể lưu trữ, truyền, hoặc xử lý dữ liệu chủ thẻ qua việc sử dụng sản phẩm của AWS.

  • Điều này có ý nghĩa gì với tôi trong tư cách thương nhân không theo PCI DSS?

    Kể cả khi bạn là khách hàng không theo PCI DSS, việc tuân thủ PCI DSS của chúng tôi cũng minh chứng cam kết của chúng tôi về bảo mật thông tin trên mọi cấp độ. Vì tiêu chuẩn PCI DSS được thông qua bởi bên thứ ba độc lập bên ngoài nên xác nhận được rằng chương trình quản lý bảo mật của chúng tôi là toàn diện và theo biện pháp thực hành đầu ngành.

  • Với tư cách khách hàng của AWS, tôi có thể dựa vào Chứng nhận tuân thủ (AOC) của AWS được không, hay tôi sẽ cần phải kiểm tra bổ sung để tuân thủ hoàn toàn?

    Khách hàng phải quản lý chứng chỉ tuân thủ PCI DSS của họ và việc kiểm tra bổ sung sẽ được yêu cầu để xác minh rằng môi trường của bạn thỏa mãn tất cả các yêu cầu của PCS DSS. Tuy nhiên, đối với một phần của môi trường dữ liệu của chủ thẻ PCI (CDE) được triển khai trong AWS, Nhà đánh giá bảo mật đủ điều kiện (QSA) của bạn có thể dựa vào Chứng nhận tuân thủ AWS (AOC) mà không cần kiểm tra thêm.

  • Làm thế nào tôi có thể biết biện pháp kiểm soát PCI DSS nào mà tôi chịu trách nhiệm?

    Để biết thông tin chi tiết, vui lòng xem "Bản tóm tắt trách nhiệm AWS 2016 PCI DSS 3.2" từ Gói tuân thủ AWS PCI DSS, được cung cấp cho khách hàng bằng cách sử dụng AWS Artifact, một cổng tự phục vụ cho những truy cập theo yêu cầu đến các báo cáo tuân thủ của AWS. Đăng nhập vào AWS Artifact trong Bảng điều khiển quản lý AWS, hoặc tìm hiểu thêm tại Bắt đầu với AWS Artifact.

  • Tôi có thể sử dụng Gói tuân thủ AWS PCI bằng cách nào?

    Gói tuân thủ AWS PCI được cung cấp cho khách hàng bằng cách sử dụng AWS Artifact, một cổng tự phục vụ cho những truy cập theo yêu cầu đến các báo cáo tuân thủ của AWS. Đăng nhập vào AWS Artifact trong Bảng điều khiển quản lý AWS, hoặc tìm hiểu thêm tại Bắt đầu với AWS Artifact.

  • Gói tuân thủ PCI DSS của AWS bao gồm những gì?

    Gói tuân thủ AWS PCI bao gồm:

    • Chứng nhận tuân thủ (AOC) AWS PCI DSS 3.2
    • Bản tóm tắt trách nhiệm AWS 2017 PCI DSS 3.2

  • AWS có được liệt kê trong Đăng ký toàn cầu nhà cung cấp dịch vụ của Visa và Danh sách nhà cung cấp dịch vụ tuân thủ của MasterCard không?

    Có, AWS được liệt kê trong cả Đăng ký toàn cầu nhà cung cấp dịch vụ của Visa và Danh sách nhà cung cấp dịch vụ tuân thủ của MasterCard. Danh sách nhà cung cấp dịch vụ chứng minh thêm rằng AWS đã xác thực thành công việc tuân thủ PCI DSS và đã đáp ứng tất cả các yêu cầu được áp dụng của chương trình Visa và MasterCard.

  • Tiêu chuẩn PCI DSS có yêu cầu môi trường một đối tượng thuê để tuân thủ không?

    Không. Môi trường AWS là một môi trường ảo hóa, nhiều đối tượng thuê. AWS đã thực hiện hiệu quả các quy trình quản lý bảo mật, các yêu cầu PCI DSS và kiểm soát bù để phân tách một cách hiệu quả và bảo mật từng khách hàng vào môi trường được bảo vệ của riêng của AWS. Kiến trúc bảo mật này đã được thông qua bởi một QSA độc lập và được cho là phù hợp với tất cả các yêu cầu của phiên bản PCI DSS 3.2 xuất bản vào tháng 4 năm 2016.

    Hội đồng tiêu chuẩn bảo mật PCI đã xuất bản Hướng dẫn về điện toán đám mây PCI DSS 2.0 cho khách hàng, nhà cung cấp dịch vụ và nhà đánh giá dịch vụ điện toán đám mây. Hội đồng cũng mô tả các mô hình dịch vụ và cách mà vai trò và trách nhiệm tuân thủ được chia sẻ giữa các nhà cung cấp và khách hàng.

    Ngoài ra, Bảo đảm an ninh bên thứ ba năm 2016 cung cấp thông tin bổ sung mà các tổ chức có thể sử dụng khi chọn, sử dụng và quản lý các nhà cung cấp dịch vụ bên thứ ba họ chia sẻ dữ liệu chủ thẻ.

  • QSA cho các thương gia Cấp độ 1 có yêu cầu hướng dẫn vật lý về các trung tâm dữ liệu AWS không?

    Không. Chứng nhận Tuân thủ (AOC) AWS thể hiện đánh giá bao quát về các biện pháp kiểm soát an ninh vật lý của các trung tâm dữ liệu AWS. QSA của một thương nhân không cần xác minh tính bảo mật của các trung tâm dữ liệu AWS.

  • AWS có hỗ trợ các cuộc điều tra tội phạm không?

    Có. AWS quản lý các cuộc điều tra tội phạm phù hợp với yêu cầu DSS A 1.4. Khách hàng hoặc Nhà đánh giá phản hồi sự cố đủ điều kiện được chỉ định của họ (QIRA) có thể liên hệ với AWS theo yêu cầu để thực hiện các cuộc điều tra tội phạm.

  • Tôi có cần xác định rõ môi trường tuân thủ PCI DSS đặc biệt khi kết nối máy chủ hoặc tải lên các đối tượng để lưu trữ không?

    Miễn là bạn đang sử dụng các dịch vụ AWS tuân thủ PCI DSS, toàn bộ cơ sở hạ tầng hỗ trợ các dịch vụ trong phạm vi đều tuân thủ và không sử dụng môi trường riêng biệt hoặc API đặc biệt. Bất kỳ máy chủ hoặc đối tượng dữ liệu nào được triển khai bên trong hoặc sử dụng các dịch vụ này đều nằm trong môi trường tuân thủ PCI DSS trên toàn cầu. Để biết danh sách các dịch vụ AWS tuân thủ PCI DSS, hãy xem tab PCI trên trang web ​Dịch vụ AWS trong phạm vi của Chương trình tuân thủ​.

  • Tuân thủ AWS có áp dụng trên phạm vi quốc tế không?

    Có. Các trung tâm dữ liệu ở các địa điểm sau tuân thủ tiêu chuẩn PCI DSS: Các Khu vực ở Miền Đông Hoa Kỳ (Phía Bắc Virginia), Miền Đông Hoa Kỳ (Ohio), Miền Tây Hoa Kỳ (Oregon), Miền Tây Hoa Kỳ (Phía Bắc California), AWS GovCloud (US), Canada (Miền trung), Châu Âu (Ai-len), Châu Âu (Frankfurt), Châu Âu (London), Châu Âu (Paris), Châu Á Thái Bình Dương (Singapore), Châu Á Thái Bình Dương (Sydney), Châu Á Thái Bình Dương (Tokyo), Châu Á Thái Bình Dương (Osaka), Châu Á Thái Bình Dương (Seoul), Châu Á Thái Bình Dương (Mumbai) và Nam Mỹ (São Paulo).

  • Tiêu chuẩn PCI DSS có được công khai không?

    Có. Bạn có thể tải về tiêu chuẩn PCI DSS từ Thư viện tài liệu hội đồng tiêu chuẩn bảo mật PCI.

  • Đã có ai đã đạt được chứng nhận K-ISMS chứng chỉ PCI DSS trên nền tảng AWS chưa?

    Đã có rồi, nhiều khách hàng AWS đã triển khai và chứng nhận thành công một phần hoặc tất cả môi trường chủ thẻ của họ trên AWS. AWS không tiết lộ những khách hàng đã đạt được chứng chỉ PCI DSS, nhưng thường xuyên làm việc với khách hàng và các nhà đánh giá PCI DSS của họ trong việc lập kế hoạch, triển khai, xác nhận và thực hiện quét hàng quý môi trường chủ thẻ trên AWS.

  • Các công ty tuân thủ PCI DSS như thế nào?

    Có hai phương pháp chính mà các công ty sử dụng để thông qua việc tuân thủ PCI DSS trên cơ sở hằng năm. Phương pháp đầu tiên là Chuyên gia đánh giá bảo mật (QSA) bên ngoài đánh giá môi trường hiện hành của bạn và sau đó lập Báo cáo về Tuân thủ (ROC) và Chứng nhận Tuân thủ (AOC); phương pháp này phổ biến nhất cho các chủ thể xử lý khối lượng giao dịch lớn. Phương pháp thứ hai là tiến hành Bảng câu hỏi tự đánh giá (SAQ); phương pháp này phổ biến nhất với các chủ thể xử lý khối lượng giao dịch nhỏ hơn.

    Quan trọng cần lưu ý rằng các nhãn hiệu thanh toán và các tổ chức thanh toán phải chịu trách nhiệm thực thi tuân thủ, chứ không phải hội đồng PCI.

  • Những yêu cầu đối với việc tuân thủ PCI DSS là gì?

    Dưới đây là tổng quan cấp cao về các yêu cầu PCI DSS.

    Xây dựng và duy trì hệ thống và mạng an toàn

    1. Cài đặt và duy trì cấu hình tường lửa để bảo vệ dữ liệu của chủ thẻ

    2. Không sử dụng các giá trị mặc định của nhà cung cấp đối với mật khẩu hệ thống và các thông số bảo mật khác

    Bảo vệ dữ liệu chủ thẻ

    3. Bảo vệ dữ liệu chủ thẻ được lưu trữ

    4. Mã hóa truyền dữ liệu của chủ thẻ qua các mạng công cộng, mở

    Duy trì Chương trình quản lý lỗ hổng

    5. Bảo vệ tất cả các hệ thống chống phần mềm độc hại và thường xuyên cập nhật phần mềm hoặc chương trình diệt vi rút

    6. Phát triển và duy trì hệ thống và ứng dụng an toàn

    Thực hiện các biện pháp kiểm soát truy cập mạnh mẽ

    7. Hạn chế truy cập vào dữ liệu chủ thẻ theo doanh nghiệp cần biết

    8. Xác định và xác thực truy cập vào các thành phần hệ thống

    9. Hạn chế truy cập vật lý vào dữ liệu chủ thẻ

    Thường xuyên theo dõi và kiểm tra mạng

    10. Theo dõi và giám sát tất cả truy cập vào tài nguyên mạng và dữ liệu chủ thẻ

    11. Thường xuyên kiểm tra các hệ thống và quy trình bảo mật

    Duy trì chính sách bảo mật thông tin

    12. Duy trì chính sách giải quyết bảo mật thông tin cho tất cả nhân viên

  • Quan điểm của AWS đối với sự hỗ trợ liên tục giao thức TLS 1.0 là gì?

    AWS không có chiến dịch để từ chối TLS 1.0 trên tất cả các dịch vụ do một số khách hàng (như khách hàng không theo PCI) yêu cầu tùy chọn giao thức này, tuy nhiên, dịch vụ AWS đánh giá riêng ảnh hưởng của khách hàng đến việc vô hiệu hóa TLS 1.0 cho dịch vụ của họ và có thể chọn từ chối giao thức này. 

  • Làm cách nào để khách hàng cấu hình kiến trúc AWS để tuân thủ yêu cầu PCI đối với TLS bảo mật?

    Tất cả các dịch vụ AWS trong phạm vi của PCI cho phép TLS 1.1 hoặc cao hơn và một số dịch vụ trong đó cũng hỗ trợ TLS 1.0 cho khách hàng (không theo PCI) là những người yêu cầu. Trách nhiệm của khách hàng là nâng cấp hệ thống của họ để bắt đầu bắt tay với AWS sử dụng TLS bảo mật, tức là TLS 1.1 trở lên. Khách hàng nên sử dụng và cấu hình cân bằng tải AWS (Cân bằng tải ứng dụng hoặc Cân bằng tải cổ điển) để giao tiếp bảo mật bằng TLS 1.1 hoặc cao hơn bằng cách chọn chính sách bảo mật AWS được xác định trước mà có thể đảm bảo thỏa thuận giao thức mã hóa giữa máy khách và sử dụng cân bằng tải, ví dụ TLS 1.2. Ví dụ: Chính sách bảo mật cân bằng tải AWS ELBSecurityPolicy-TLS-1-2-2018-06 chỉ hỗ trợ TLS 1.2.

     

  • Nếu bản quét khách hàng ASV (Nhà cung cấp bản quét được chấp thuận) xác định TLS 1.0 trên thiết bị đầu cuối API AWS, điều đó có nghĩa là API vẫn hỗ trợ TLS 1.0 cũng như TLS 1.1 hoặc cao hơn. Một số dịch vụ AWS trong phạm vi PCI có thể vẫn cho phép TLS 1.0 đối với những khách hàng yêu cầu giao thức này cho khối lượng công việc không theo PCI. Khách hàng có thể cung cấp bằng chứng cho ASV về việc điểm cuối API AWS hỗ trợ TLS 1.1 hoặc cao hơn bằng cách sử dụng công cụ như Qualys SSL Labs, để xác định giao thức được dùng. Khách hàng cũng có thể cung cấp bằng chứng rằng họ cho phép bắt tay TLS bảo mật bằng cách kết nối thông qua AWS Classic hoặc Cân bằng tải ứng dụng được cấu hình với Chính sách bảo mật cân bằng tải AWS mà chỉ hỗ trợ TLS 1.1 trở lên (ví dụ: ELBSecurityPolicy-TLS-1-2- 2017-01 chỉ hỗ trợ phiên bản 1.2). ASV có thể yêu cầu khách hàng tuân thủ quy trình khiếu nại về lỗ hổng bản quét và bằng chứng được nêu có thể được sử dụng làm bằng chứng tuân thủ. Ngoài ra, việc liên hệ sớm với ASV của mình và cung cấp bằng chứng này cho ASV trước khi quét có thể luân phiên sắp xếp việc đánh giá và hỗ trợ một bản quét ASV thông qua.

     

compliance-contactus-icon
Bạn có câu hỏi? Hãy kết nối với đại diện kinh doanh AWS
Bạn đang khám phá vai trò của tuân thủ?
Hãy đăng ký ngay hôm nay »
Bạn muốn cập nhật Tuân thủ AWS?
Hãy theo dõi chúng tôi trên Twitter »