PCI DSS

概觀

支付卡產業資料安全標準 (PCI DSS) 是由 PCI 安全標準委員會管理的專屬資訊安全標準，由 American Express、Discover Financial Services、JCB International、MasterCard Worldwide 及 Visa Inc 共同創設。

PCI DSS 適用於存放、處理或傳輸持卡人資料 (CHD) 及/或敏感身份驗證資料 (SAD) 的實體，包含商家、處理者、取得者、發行者和服務提供者。PCI DSS 受卡片品牌所規範，且由支付卡產業安全標準委員會管理。

客戶可透過 AWS Artifact 取得 PCI DSS 合規聲明文件 (AOC) 與責任摘要，這是自助服務入口網站，可隨需存取 AWS 合規報告。登入 AWS 管理主控台中的 AWS Artifact，或者參閱 AWS Artifact 入門進一步了解詳細資訊。

• AWS 是否通過 PCI DSS 認證？

  是，Amazon Web Services (AWS) 已獲得 PCI DSS 第 1 級服務供應商的認證，這是目前最高等級的評定。合規評定由 Coalfire Systems Inc. 執行，這是一間獨立的合格安全評估機構 (QSA)。PCI DSS 合規聲明文件 (AOC) 與責任摘要透過 AWS Artifact 提供給客戶，這是自助服務入口網站，可隨需存取 AWS 合規報告。登入 AWS 管理主控台中的 AWS Artifact，或者參閱 AWS Artifact 入門進一步了解詳細資訊。
  

• 哪些 AWS 服務是 PCI DSS 合規服務？

  如需符合 PCI DSS 的 AWS 服務清單，請參閱合規計劃的 AWS 服務範圍網頁上的 PCI 標籤。如需使用這些服務的詳細資訊，請聯絡我們。
  

• 作為 PCI DSS 商家或服務提供者，這對我來說有什麼意義？

  使用 AWS 服務存放、處理或傳輸持卡人資料的客戶，可倚賴 AWS 技術基礎設施來管理您自己的 PCI DSS 合規認證。

  AWS 不會直接存放、傳輸或處理任何客戶持卡人資料 (CHD)。但您可建立自己的持卡人資料環境 (CDE)，使用 AWS 服務來存放、傳輸或處理持卡人資料。
  

• 作為非 PCI DSS 商家客戶，這對我來說有什麼意義？

  即使您是非 PCI DSS 客戶，我們的 PCI DSS 合規展現我們對所有層級資訊安全的承諾。由於 PCI DSS 標準是由外部的獨立第三方進行驗證，所以可確認我們的安全管理計劃不僅完備，且遵循領先業界的實務。
  

• 身為 AWS 客戶，我是否可以倚賴 AWS 合規聲明文件 (AOC) 或需要額外的測試才能取得完整合規？

  客戶必須自行管理他們的 PCI DSS 合規認證，而且需要執行額外測試以驗證您的環境滿足所有 PCS DSS 要求。不過，對於在 AWS 中部署的 PCI 持卡人資料環境 (CDE) 這個部分，您的合格安全評估機構 (QSA) 可倚賴 AWS 合規聲明文件 (AOC)，無需進一步測試。
  

• 如何了解我應該負責哪些 PCI DSS 控制？

  如需詳細資訊，請參閱 AWS PCI DSS 合規套裝服務中的「AWS PCI DSS 責任摘要」，客戶可經由 AWS Artifact 取得，它是一個自助服務入口網站，可隨需存取 AWS 合規報告。登入 AWS 管理主控台中的 AWS Artifact，或者參閱 AWS Artifact 入門進一步了解詳細資訊。客戶還可向 AWS 安全保證服務團隊請求稽核與合規諮詢服務。

• 如何取得 AWS PCI 合規套裝服務？

  透過 AWS Artifact (一個隨需存取 AWS 合規報告的自助服務入口網站) 可將 AWS PCI 合規套裝服務提供給客戶。登入 AWS 管理主控台中的 AWS Artifact，或者參閱 AWS Artifact 入門進一步了解詳細資訊。
  

• AWS PCI DSS 合規套件包含哪些內容？

  AWS PCI 合規套件包含：

  • AWS PCI DSS 3.2.1 合規聲明文件 (AOC)
  • AWS PCI DSS 3.2.1 責任摘要

• AWS 是否列名於 Visa 全球服務提供商註冊專案以及 MasterCard 合規服務供應商名單？

  是。AWS 同時列於 Visa 全球服務供應商註冊專案與 MasterCard 合規服務供應商名單。服務提供者清單進一步展現 AWS 成功通過 PCI DSS 合規驗證，且已符合所有適用的 Visa 及 MasterCard 計劃要求。
  

• PCI DSS 標準是否需要單一租用戶環境才能符合規定？

  否。AWS 環境是虛擬化的多租用戶環境。AWS 已有效實作安全管理程序、PCI DSS 要求以及其他補充控制，這些措施可以有效、安全地將每個客戶分隔在自己的受保護環境中。此安全架構已通過獨立 QSA 驗證，且符合 PCI DSS 所有適用的要求。

  PCI 安全標準委員會發佈了 PCI DSS Cloud Computing Guidelines，適用於客戶、服務提供者和雲端運算服務評估機構。它也描述服務模式以及提供者和客戶之間如何共享合規角色與責任。
  

• 第 1 級商家的 QSA 是否需要對 AWS 資料中心進行實體評估？

  否。AWS 合規聲明文件 (AOC) 展現 AWS 資料中心實體安全控制的廣泛評估。商家的 QSA 不需要驗證 AWS 資料中心的安全性。
  

• AWS 是否配合鑑定調查？

  根據 PCI-DSS，AWS 並非「共享主機供應商」。因此，DSS 要求 A1.4 不適用。在我們的共享責任模型下，我們讓客戶能夠在自己的 AWS 環境中執行數位鑑識調查，而無需 AWS 的額外協助。透過使用 AWS 服務以及透過 AWS Marketplace 提供的第三方解決方案來提供此支援。如需詳細資訊，請參閱下列資源：

  • 簡化 AWS 上的安全事件回應和數位鑑識
  • AWS 安全事件回應指南

• 在連線伺服器或將物件上傳到存放區時，是否需要指定特殊的 PCI DSS 合規環境？

  只要您使用 PCI DSS 合規的 AWS 服務，支援範圍內服務的整個基礎設施都符合規定，無須使用單獨的環境或特殊 API。在這些服務中部署或使用這些服務的任何伺服器或資料物件都處於 PCI DSS 合規環境中。如需符合 PCI DSS 的 AWS 服務清單，請參閱合規計劃的 AWS 服務範圍網頁上的 PCI 標籤。
  

• AWS 合規是否適用於全球範圍？

  是。請參閱 AWS Artifact 中最新的 PCI DSS AOC，以獲取符合要求位置的完整清單。
  

• PCI DSS 標準是否公開？

  是。您可以從 PCI Security Standards Council Document Library 下載 PCI DSS 標準。
  

• 是否已經有透過 AWS 平台獲得 PCI DSS 認證的客戶？

  是，許多 AWS 客戶已成功在 AWS 上部署與認證他們的部分或所有的持卡人環境。AWS 不會洩露已獲得 PCI DSS 認證的客戶，但會定期在 AWS 上與客戶及其 PCI DSS 評估機構一起對持卡人環境進行規劃、部署、認證以及執行季度掃描。
  

• 公司要如何符合 PCI DSS？

  公司可透過兩種主要方式每年驗證自己的 PCI DSS 合規。第一種方式是透過外部合格安全評估機構 (QSA) 評估您的適用環境，然後建立合規報告 (ROC) 及合規聲明文件 (AOC)；此方法最常見於處理大量交易的實體。第二種方式是執行自我評估問卷 (SAQ)；此方法最常見於處理較少量交易的實體。

  需要注意的是，付款品牌和取得者負責強制執行合規，而非 PCI 委員會。
  

• PCI DSS 合規有哪些要求？

  以下是 PCI DSS 要求的簡要概觀。

  建置和維護安全網路與系統	1. 安裝與維護網路安全控制。 2. 將安全組態套用至所有系統元件。
  保護帳戶資料	3. 保護存放的帳戶資料。 4.在傳輸期間透過開放式公有網路，使用強大的密碼來保護持卡人資料。
  維護漏洞管理程式	5. 保護所有系統和網路免受惡意軟體的侵害。 6. 開發和維護安全系統與軟體。
  實作強式存取控制措施	7. 依業務範圍限制存取系統元件和持卡人資料。 8. 識別使用者並驗證對系統元件的存取。 9. 限制對持卡人資料的實體存取。
  定期監控和測試網路	10. 記錄並監控系統元件和持卡人資料的所有存取。 11. 定期測試系統與網絡的安全性
  維護資訊安全政策	12. 使用組織政策和計畫來支援資訊安全。

• 是否有任何 AWS 服務通過 PCI PIN、PCI P2PE 認證？

  是，AWS CloudHSM 已通過 PCI PIN，並且 AWS Payment Cryptography 已通過 PCI PIN 和 P2PE 認證。其報告可在 AWS Artifact 提供以供客戶使用。

• AWS 是否提供 PCI 3DS 認證？

  是，我們的年度 PCI 3DS 報告可在 Artifact 中提供。雖然 AWS 不直接執行 3DS 功能，但 AWS PCI 3DS 合規認證能夠協助客戶針對執行於 AWS 的服務實現自己的 PCI 3DS 合規性。