PCI DSS

Обзор

Стандарт безопасности данных индустрии платежных карт (PCI DSS) – это проприетарный стандарт в области информационной безопасности. Он находится под административным управлением Совета по стандартам безопасности данных индустрии платежных карт, основанного компаниями American Express, Discover Financial Services, JCB International, MasterCard Worldwide и Visa Inc.

Стандарт PCI DSS распространяется на юридические лица, которые занимаются хранением, обработкой или передачей данных владельцев карт (CHD) или конфиденциальных данных аутентификации (SAD), в том числе на торговые компании, процессинговые центры, эквайеров, эмитентов карт и поставщиков услуг. Стандарт PCI DSS утверждается платежными системами, а его администрированием занимается Совет по стандартам безопасности данных индустрии платежных карт.

Сертификат соответствия требованиям (AOC) PCI DSS и обзор сферы ответственности можно получить с помощью AWS Artifact, портала самообслуживания для доступа по требованию к отчетам AWS по соответствию требованиям. Войдите в раздел AWS Artifact в Консоли управления AWS или см. подробности на странице Начало работы с AWS Artifact.

• Получила ли AWS сертификацию PCI DSS?

  Да, Amazon Web Services (AWS) является сертифицированным поставщиком услуг PCI DSS Level 1 – самого высокого уровня оценки из существующих. Оценка соответствия проводилась компанией Coalfire Systems Inc., независимым квалифицированным инспектором безопасности (QSA). Сертификат соответствия требованиям (AOC) PCI DSS и обзор сферы ответственности можно получить с помощью AWS Artifact, портала самообслуживания для доступа по требованию к отчетам AWS по соответствию требованиям. Войдите в раздел AWS Artifact в Консоли управления AWS или см. подробности на странице Начало работы с AWS Artifact.
  

• Какие сервисы AWS соответствуют требованиям PCI DSS?

  Перечень сервисов AWS, соответствующих требованиям PCI DSS, см. на вкладке PCI на странице Сервисы AWS в программе обеспечения соответствия. Свяжитесь с нами, чтобы получить дополнительную информацию об использовании этих сервисов.
  

• Что это значит для меня, если я являюсь торговой компанией или поставщиком услуг в сфере PCI DSS?

  При использовании сервисов AWS для хранения, обработки и передачи данных владельцев платежных карт вы можете полагаться на нашу технологическую инфраструктуру в ходе прохождения собственной сертификации на соответствие требованиям PCI DSS.

  AWS не занимается непосредственным хранением, передачей или обработкой данных владельцев карт для своих клиентов. Однако с помощью сервисов AWS клиенты могут создавать собственные среды для данных платежных карт, в которых будут происходить процессы хранения, передачи или обработки данных владельцев платежных карт.
  

• Что это значит для меня, если я не являюсь торговой компанией и не использую PCI DSS?

  Даже если у вас нет сертификации PCI DSS, соответствие наших сервисов требованиям PCI демонстрирует нашу приверженность информационной безопасности на всех уровнях. Поскольку соответствие стандарту PCI DSS проверяется независимой сторонней компанией, это означает, что наша программа управления безопасностью является всесторонней и соответствует передовым отраслевым практикам.
  

• Могу ли я как клиент AWS положиться на сертификат соответствия, выданный AWS, или для подтверждения полного соответствия мне необходимо пройти дополнительную проверку?

  Клиенты должны проходить собственную сертификацию на соответствие требованиям PCI DSS, поэтому для подтверждения того, что конкретная среда удовлетворяет всем требованиям PCI DSS, может потребоваться дополнительное тестирование. Однако в отношении среды для работы с данными владельцев карт (CDE), развернутой на AWS, квалифицированный инспектор безопасности (QSA) может положиться на сертификат соответствия (AOC), полученный AWS, без дополнительного тестирования.
  

• Как узнать, за какие средства управления PCI DSS ответственность лежит на мне?

  Для получения дополнительной информации см. документ с обзором сферы ответственности AWS по обеспечению соответствия требованиям PCI DSS из пакета по соответствию AWS требованиям PCI DSS (доступен с помощью AWS Artifact, портала самообслуживания для доступа по требованию к отчетам AWS по соответствию требованиям). Войдите в раздел AWS Artifact в Консоли управления AWS или см. подробности на странице Начало работы с AWS Artifact. Клиенты также могут запросить консультационные услуги по вопросам проверок и соответствия требованиям от команды AWS Security Assurance Services.

• Где можно получить пакет документов по соответствию AWS требованиям PCI?

  Доступ к пакету соответствия AWS PCI можно получить с помощью AWS Artifact, портала самообслуживания для доступа по требованию к отчетам AWS по соответствию требованиям. Войдите в раздел AWS Artifact в Консоли управления AWS или см. подробности на странице Начало работы с AWS Artifact.
  

• Что входит в состав пакета по соответствию AWS требованиям PCI DSS?

  Пакет по соответствию AWS требованиям PCI включает:

  • сертификат соответствия AWS требованиям PCI DSS 3.2.1 (AOC);
  • Обзор сферы ответственности AWS по обеспечению соответствия требованиям PCI DSS 3.2.1.

• Входит ли AWS в глобальный реестр поставщиков услуг Visa или в список одобренных поставщиков услуг MasterCard?

  Да, AWS входит в глобальный реестр поставщиков услуг Visa и в список одобренных поставщиков услуг MasterCard. Эти списки поставщиков услуг еще раз демонстрируют, что AWS успешно прошла сертификацию на соответствие требованиям PCI DSS и удовлетворяет всем применимым программным требованиям Visa и MasterCard.
  

• Требуется ли для работы по стандарту PCI DSS среда, выделенная для одного клиента?

  Нет. Платформа AWS – это виртуальная многопользовательская среда. В AWS реализованы эффективные процессы управления безопасностью, соответствия требованиями PCI DSS и другие средства управления, которые безопасно изолируют клиентов в собственных защищенных средах. Эта безопасная архитектура была протестирована независимым инспектором QSA, который установил, что она соответствует всем применимым требованиям стандарта PCI DSS.

  Совет по стандартам безопасности PCI опубликовал документ PCI DSS Cloud Computing Guidelines для клиентов, поставщиков услуг и проверяющих в сфере облачных вычислительных сервисов. В нем описаны возможные модели сервисов и распределение между поставщиками и клиентами ролей и обязанностей в части обеспечения соответствия требованиям.
  

• Требуется ли торговой компании уровня Level 1 предоставлять своим QSA физические схемы ЦОД AWS?

  Нет. Сертификат соответствия, выданный AWS, – это показатель всесторонней оценки методов управления физической безопасностью в ЦОД AWS. QSA торговой компании может не проводить проверку безопасности ЦОД AWS.
  

• Поддерживает ли AWS проведение следственных мероприятий?

  AWS не считается "Поставщиком совместно используемого хостинга" по стандарту PCI-DSS. Поэтому требование DSS A1.4 неприменимо. Согласно нашей Модели общей ответственности мы предоставляем пользователям возможность проводить следственные мероприятия в собственной среде AWS без дополнительной помощи со стороны AWS. Эта возможность обеспечивается через сервисы AWS и сторонние решения, доступные на AWS Marketplace. Дополнительные сведения см. в следующих ресурсах.

  • Упрощение реагирования на инциденты безопасности и следственные мероприятия в AWS
  • Руководство по реагированию на инциденты безопасности AWS

• Существует ли специальная среда соответствия PCI DSS, которую необходимо указывать при запуске серверов или загрузке объектов для хранения?

  Если используемые сервисы AWS соответствуют требованиям PCI DSS, вся инфраструктура, поддерживающая соответствующие сервисы, удовлетворяет требованиям. Отдельной среды или специального API нет. Любой сервер или объект данных, который развернут в этих сервисах или использует их, находится в среде, соответствующей требованиям PCI DSS, независимо от региона. Перечень сервисов AWS, соответствующих требованиям PCI DSS, см. на вкладке PCI на странице Сервисы AWS в программе обеспечения соответствия.
  

• Признается ли соответствие AWS на международном уровне?

  Да. См. новейшую версию AOC PCI DSS на портале AWS Artifact, чтобы получить полный список местоположений, которые соответствуют требованиям.
  

• Является ли стандарт PCI DSS публичным?

  Да. Стандарт PCI DSS можно загрузить в библиотеке документов Совета по стандартам безопасности PCI.
  

• Есть ли организации, которые уже прошли сертификацию PCI DSS на платформе AWS?

  Да, многие клиенты уже выполнили развертывание в AWS сред для обслуживания владельцев карт (полное или частичное) и успешно сертифицировали эти среды. AWS не раскрывает информацию о клиентах, прошедших сертификацию PCI DSS, но регулярно сотрудничает с клиентами и организациями, выполняющими их оценку на соответствие PCI DSS, в вопросах планирования, развертывания, сертификации и выполнения ежеквартального анализа среды обработки информации о владельцах карт на AWS.
  

• Каким образом компании обеспечивают соответствие PCI DSS?

  Существует два основных подхода к ежегодному подтверждению соответствия требованиям PCI DSS. Первый – поручить внешнему квалифицированному инспектору безопасности (QSA) провести оценку связанных частей среды и представить отчет о соответствии требованиям (ROC) и сертификат соответствия (AOC). Такой подход чаще применяется организациями, которые обрабатывают большие объемы транзакций. Второй – заполнить анкету самооценки (SAQ). Этот подход обычно применяется организациями, которые обрабатывают меньшие объемы транзакций.

  Важно помнить, что ответственность за поддержание соответствия требованиям несут платежные системы и эквайеры, а не Совет по стандартам безопасности PCI.
  

• Что необходимо для соответствия требованиям PCI DSS?

  Ниже приведен краткий обзор требований PCI DSS.

  Создание и поддержка безопасных сетей и систем	1. Установите и обслуживайте средства управления сетевой безопасностью. 2. Применяйте безопасные конфигурации ко всем системным компонентам.
  Защита данных аккаунта	3. Защитите сохраненные данные аккаунта. 4. Защищайте данные владельцев карт с помощью надежных средств криптографии во время передачи по открытым общедоступным сетям.
  Реализация программы контроля уязвимостей	5. Защитите все системы и сети от вредоносного программного обеспечения. 6. Разработайте и поддерживайте безопасные системы и приложения.
  Реализация строгих мер контроля доступа	7. Ограничьте доступ к системным компонентам и данным владельцев карт строго в рамках практической необходимости. 8. Идентифицируйте и аутентифицируйте доступ к системным компонентам. 9. Ограничьте физический доступ к данным владельцев карт.
  Регулярный мониторинг и тестирование сетей	10. Регистрируйте и контролируйте все обращения к системным компонентам и данным владельцев карт. 11. Регулярное тестирование безопасности систем и сетей
  Применение политики информационной безопасности	12. Обеспечивайте информационную безопасность с помощью организационных политик и программ.

• Сертифицированы ли какие-либо сервисы AWS по стандартам PCI PIN и PCI P2PE?

  Да, сервис AWS CloudHSM сертифицирован по стандарту PCI PIN, а AWS Payment Cryptography – по стандартам PCI PIN и P2PE. Их отчеты доступны в AWS Artifact для использования клиентами.

• Доступна ли сертификация PCI 3DS для AWS?

  Да, наши годовые отчеты PCI 3DS доступны в Artifact. Хотя AWS не выполняет функции 3DS напрямую, сертификация соответствия AWS PCI 3DS может помочь клиентам самостоятельно обеспечить соответствие требованиям PCI 3DS для своих сервисов, работающих на AWS.