PCI DSS

概览

支付卡行业数据安全标准 (PCI DSS) 是一组专有信息安全标准，由 PCI 安全标准委员会管理，该委员会由 American Express、Discover Financial Services、JCB International、MasterCard Worldwide 和 Visa Inc. 创建。

PCI DSS 适用于存储、处理或传输持卡者数据 (CHD) 或敏感身份验证数据 (SAD) 的实体，包括商家、处理机构、购买方、发行机构和服务提供商。PCI DSS 由多家支付卡品牌联合制定，由支付卡行业安全标准委员会管理。

客户可以使用 AWS Artifact（一个允许按需访问 AWS 合规性报告的自助式门户）来获取 PCI DSS 合规性证明 (AOC) 和责任摘要。您可以登录 AWS 管理控制台中的 AWS Artifact 或 AWS Artifact 入门，了解更多信息。

• AWS 是否获得了 PCI DSS 认证？

  是。Amazon Web Services (AWS) 被认证为 PCI DSS 1 级服务提供商，这是级别最高的评估结果。合规性评估由 Coalfire Systems Inc. 执行，这是一家独立的合格安全评估机构 (QSA)。客户可以使用 AWS Artifact（一个允许按需访问 AWS 合规性报告的自助式门户）来获取 PCI DSS 合规性证明 (AOC) 和责任摘要。您可以登录 AWS 管理控制台中的 AWS Artifact 或 AWS Artifact 入门，了解更多信息。
  

• 哪些 AWS 服务符合 PCI DSS 标准？

  有关符合 PCI DSS 标准的 AWS 服务列表，请参阅按合规性计划提供的范围内 AWS 服务网页上的“PCI”选项卡。如需有关使用这些服务的更多信息，请联系我们。
  

• 作为 PCI DSS 商家或服务提供商，这对我意味着什么？

  作为使用 AWS 服务来存储、处理或传输持卡人数据的客户，您在管理自己的 PCI DSS 合规性认证时可以依赖 AWS 技术基础设施。

  AWS 不会直接存储、传输或处理任何客户持卡人数据 (CHD)。但是，您可以利用 AWS 服务创建自己的持卡人数据环境 (CDE)，用于存储、传输或处理持卡人数据。
  

• 作为非 PCI DSS 商家客户，这对我意味着什么？

  即使您是非 PCI DSS 客户，我们的 PCI DSS 合规性也证明了我们可以全面保障信息的安全性。由独立的外部第三方机构对我们进行 PCI DSS 标准认证，这还可以证明，我们的安全管理计划非常全面，并遵循了领先的行业做法。
  

• 作为 AWS 客户，我能否利用 AWS 合规性证明 (AOC) 来证明我完全合规，还是说我需要通过其他测试？

  客户必须自行管理其 PCI DSS 合规性认证，并且需要进行其他测试来验证您的环境是否满足所有 PCS DSS 要求。但对于在 AWS 中部署的 PCI 持卡人数据环境 (CDE)，您的合格安全评估机构 (QSA) 可以利用 AWS 合规性证明 (AOC)，而无需进行其他测试。
  

• 如何了解我需要承担哪些 PCI DSS 管理职责？

  有关详细信息，请参阅 AWS PCI DSS 合规性文件包中的“AWS PCI DSS 责任摘要”，客户可以使用 AWS Artifact（一个允许按需访问 AWS 合规性报告的自助式门户）来获取该软件包。您可以登录 AWS 管理控制台中的 AWS Artifact 或通过 AWS Artifact 入门了解更多信息。客户还可以向 AWS 安全保障服务团队申请审计和合规性咨询服务。

• 如何获取 AWS PCI 合规性软件包？

  AWS PCI Compliance Package 面向使用 AWS Artifact 的客户提供。AWS Artifact 是一个用于按需访问 AWS 合规性报告的自助服务门户。您可以登录 AWS 管理控制台中的 AWS Artifact 或 AWS Artifact 入门，了解更多信息。
  

• AWS PCI DSS 合规性软件包包含哪些内容？

  AWS PCI 合规性软件包包括：

  • AWS PCI DSS 3.2.1 合规性证明 (AOC)
  • AWS PCI DSS 3.2.1 职责概要

• Visa 全球服务提供商注册表和 MasterCard 合规服务提供商列表中是否列出了 AWS？

  是。Visa 全球服务提供商注册表和 MasterCard 合规服务提供商列表中都列出了 AWS。AWS 列入服务提供商列表，这进一步表明，AWS 成功通过了 PCI DSS 合规性验证且满足所有适用的 Visa 和 MasterCard 计划要求。
  

• 要通过 PCI DSS 标准认证，是否必须为单租户环境？

  否。AWS 环境是一个虚拟化的多租户环境。AWS 已有效地实施了安全管理流程、PCI DSS 要求以及其他补偿性控制措施，这些措施可以高效、安全地将各个客户隔离在各自受保护的环境中。该安全架构已通过独立 QSA 的验证，并符合 PCI DSS 的所有适用要求。

  PCI 安全标准委员会面向云计算服务客户、服务提供商和评估机构发布了 PCI DSS 云计算指南。它还介绍了各种服务模式以及如何在提供商与客户之间分配合规性管理角色和职责。
  

• 第 1 级商家的 QSA 是否要求 AWS 数据中心的实际演练？

  否。AWS 合规性证明 (AOC) 证明了 AWS 数据中心的物理安全控制措施已通过一系列评估。无需商家的 QSA 再验证 AWS 数据中心的安全性。
  

• AWS 是否支持事故调查？

  根据 PCI-DSS，AWS 不被视为“共享托管提供商”。因此，DSS 要求 A1.4 不适用。在我们的责任共担模型下，我们使客户能够在其自己的 AWS 环境中执行数字事故调查，无需 AWS 提供额外的帮助。这种支持通过使用 AWS 服务及通过 AWS Marketplace 提供的第三方解决方案来提供。有关更多信息，请参阅以下资源：

  • 简化 AWS 上的安全事故响应和数字事故
  • AWS 安全事故响应指南

• 在连接服务器或上传对象进行存储时，是否需要指定一个符合 PCI DSS 标准的特殊环境？

  只要您使用符合 PCI DSS 标准的 AWS 服务，支持范围内服务的整个基础设施都将符合规定，因此无需使用单独的环境或特殊 API。在这些服务中部署或使用的任何服务器或数据对象均处于全球范围内的 PCI DSS 合规环境中。有关符合 PCI DSS 标准的 AWS 服务列表，请参阅按合规性计划提供的范围内 AWS 服务网页上的“PCI”选项卡。
  

• AWS 合规性是否适用于全球范围？

  是。请参阅 AWS Artifact 中的最新 PCI DSS AOC，获取合规地点的完整列表。
  

• PCI DSS 标准是否公开？

  是。您可以从 PCI 安全标准委员会文档库下载 PCI DSS 标准。
  

• 是否有客户通过 AWS 平台获得了 PCI DSS 认证？

  是。许多 AWS 客户已在 AWS 上成功部署和认证了部分或所有持卡者环境。AWS 不会公开已获取 PCI DSS 证书的客户，但会定期在 AWS 上与客户及其 PCI DSS 评估机构一起对持卡者环境进行规划、部署、认证并进行季度审查。
  

• 企业如何确保 PCI DSS 合规？

  公司主要使用两种方法来执行每年的 PCI DSS 合规性评估。第一种方法是聘请外部的合格安全评估机构 (QSA) 对您的适用环境进行评估，然后出具合规性报告 (ROC) 与合规性证明 (AOC)；需要处理大量事务的实体通常会采用这种方法。第二种方法是执行自我评估问卷 (SAQ)；只需处理少量事务的实体通常采用这种方法。

  请注意，应履行合规性要求的是支付卡品牌和购买方，而非 PCI 委员会。
  

• PCI DSS 合规性有哪些要求？

  以下是对 PCI DSS 要求的概述。

  建立和维护一个安全的网络和系统	1. 安装和维护网络安全控制。 2. 将安全配置应用于所有系统组件。
  保护账户数据	3. 保护存储的账户数据。 4.在开放公共网络传输期间使用强加密技术保护持卡人数据。
  维护漏洞管理程序	5. 保护所有系统和网络免受恶意软件的侵害。 6. 开发并维护安全的系统和软件。
  部署严格的访问控制措施	7. 根据业务须知限制对系统组件和持卡人数据的访问。 8. 识别用户并验证对系统组件的访问权限。 9. 限制对持卡者数据的物理访问。
  定期监控和测试网络	10. 记录和监控对系统组件和持卡人数据的所有访问权限。 11. 定期测试系统和网络的安全性
  维护信息安全策略	12. 通过组织政策和计划支持信息安全。

• 是否有已获得 PCI PIN、PCI P2PE 认证的 AWS 服务？

  是的，AWS CloudHSM 已获得 PCI PIN 认证，AWS 支付加密已获得 PCI PIN 和 P2PE 认证。可在 AWS Artifact 中找到它们的报告，以供客户使用。

• 是否为 AWS 提供 PCI 3DS 认证？

  是的，我们的年度 PCI 3DS 报告可在 Artifact 中找到。尽管 AWS 不直接执行 3DS 功能，但 AWS PCI 3DS 合规性证明可以帮助客户使其在 AWS 上运行的服务获得 PCI 3DS 合规性。