PCI DSS

Übersicht

Der „Payment Card Industry Data Security Standard“ (PCI DSS) ist ein proprietärer Datensicherheitsstandard, der vom PCI Security Standards Council, das von American Express, Discover Financial Services, JCB International, MasterCard Worldwide und Visa Inc. gegründet wurde, verwaltet wird.

PCI DSS gilt für alle Entitäten, die Karteninhaberdaten (Cardholder Data, CHD) oder vertrauliche Authentifizierungsdaten (Sensitive Authentication Data, SAD) speichern, verarbeiten oder übertragen, darunter Händler, Hersteller, Ankäufer, Herausgeber und Serviceanbieter. PCI DSS untersteht dem Mandat der Kartenmarken und wird vom Payment Card Industry Security Standards Council verwaltet.

Die Zusammenfassung der PCI DSS-Konformitätsbescheinigung (AOC) und der Verantwortung steht Kunden über AWS Artifact zur Verfügung, ein Self-Service-Portal für den On-Demand-Zugriff auf AWS-Konformitätsberichte. Melden Sie sich bei AWS Artifact in der AWS-Managementkonsole an oder erfahren Sie mehr unter Erste Schritte mit AWS Artifact.

• Ist AWS PCI DSS-zertifiziert?

  Ja, Amazon Web Services (AWS) ist als PCI DSS Level 1-Dienstanbieter zertifiziert. Dies ist die höchste verfügbare Bewertungsstufe. Die Bewertung der Compliance wurde von Coalfire Systems Inc. durchgeführt, einem unabhängigen Qualified Security Assessor (QSA). Die PCI DSS-Konformitätsbescheinigung (AOC) und die Zusammenfassung der Verantwortlichkeiten stehen Kunden über AWS Artifact zur Verfügung, ein Self-Service-Portal für den On-Demand-Zugriff auf AWS-Konformitätsberichte. Melden Sie sich bei AWS Artifact in der AWS-Managementkonsole an oder erfahren Sie mehr unter Erste Schritte mit AWS Artifact.
  

• Welche AWS-Services sind PCI DSS-konform?

  Eine Liste der PCI DSS-konformen AWS-Services finden Sie auf der Registerkarte "PCI" der Webseite AWS-Services in Scope nach Compliance-Programm. Bei Fragen zur Verwendung dieser Services kontaktieren Sie uns.
  

• Was bedeutet das für mich als PCI DSS-Händler oder Service-Anbieter?

  Als Kunde, der AWS-Services zum Speichern, Verarbeiten oder Übertragen von Karteninhaberdaten verwendet, können Sie sich bei der Verwaltung Ihrer eigenen PCI DSS-Konformitätszertifizierung auf die AWS-Technologieinfrastruktur verlassen.

  Karteninhaberdaten von Kunden werden von AWS nicht direkt gespeichert, übertragen oder verarbeitet. Sie können jedoch eine eigene Karteninhaberdatenumgebung (Card Data Environment, CDE) erstellen, in der Karteninhaberdaten mithilfe von AWS-Services gespeichert, übertragen oder verarbeitet werden können.
  

• Was bedeutet das für mich als nicht PCI DSS-konformen Händler als AWS-Kunde?

  Selbst wenn Sie nicht als PCI DSS-konformer Händler zertifiziert sind, weist unsere PCI DSS-Compliance unsere Verpflichtung zur Informationssicherheit auf jeder Ebene nach. Da der PCI DSS-Standard von einer unabhängigen dritten Partei überprüft wird, kann auf diese Weise bestätigt werden, dass unser Sicherheitsverwaltungsprogramm umfassend ist und den führenden Branchenpraktiken folgt.
  

• Kann ich mich als AWS-Kunde auf die AWS Attestation of Compliance (AOC) verlassen, oder sind zusätzliche Tests erforderlich, um vollständig konform zu sein?

  Kunden müssen die PCI DSS-Compliance ihres Unternehmens selbst zertifizieren lassen. Für Ihr Unternehmen muss Ihr Qualified Security Assessor (QSA) durch zusätzliche Tests nachweisen, dass Ihre Umgebung alle Anforderungen des PCS DSS erfüllt. Bei dem Teil der PCI-Karteninhaberdatenumgebung (CDE), der auf AWS bereitgestellt wird, kann sich Ihr QSA jedoch ganz auf die für AWS ausgestellte Attestation of Compliance (AOC) verlassen, ohne weitere Tests durchführen zu müssen.
  

• Wie erfahre ich, für welche PCI DSS-Kontrollen ich zuständig bin?

  Ausführliche Informationen finden Sie unter "AWS PCI DSS-Verantwortlichkeitsübersicht" aus dem AWS PCI DSS-Konformitätspaket, das Kunden über AWS Artifact, ein Self-Service-Portal für den On-Demand-Zugriff auf AWS-Konformitätsberichte, zur Verfügung steht. Melden Sie sich bei AWS Artifact in der AWS-Managementkonsole an, oder erfahren Sie mehr unter Erste Schritte mit AWS Artifact. Kunden können auch Audit- und Compliance-Beratungsdienste vom AWS Security Assurance Services-Team anfordern.

• Wie erhalte ich das AWS PCI Compliance-Paket?

  Das AWS PCI-Konformitätspaket steht Kunden über AWS Artifact zur Verfügung, ein Self-Service-Portal für den On-Demand-Zugriff auf AWS-Konformitätsberichte. Melden Sie sich bei AWS Artifact in der AWS-Managementkonsole an oder erfahren Sie mehr unter Erste Schritte mit AWS Artifact.
  

• Was ist im AWS PCI DSS Compliance Package enthalten?

  Das AWS PCI Compliance-Paket enthält Folgendes:

  • AWS PCI DSS 3.2.1 Attestation of Compliance (AOC)
  • AWS PCI DSS 3.2.1 Responsibility Summary

• Ist AWS im Visa-Verzeichnis der weltweiten Serviceanbieter und der Liste der MasterCard-fähigen Serviceanbieter enthalten?

  Ja, AWS ist im Visa-Verzeichnis der weltweiten Serviceanbieter und auf der Liste der MasterCard-fähigen Serviceanbieter enthalten. Die Serviceanbieter-Auflistungen zeigen außerdem, dass AWS die PCI DSS-Compliance erfolgreich überprüft hat und alle entsprechenden Visa- und MasterCard-Programmanforderungen erfüllt.
  

• Ist für den PCI DSS-Standard Compliance von Einzelmandantenumgebungen erforderlich?

  Nein. Die AWS-Umgebung ist eine virtualisierte Mehrmandantenumgebung. AWS hat effektive Sicherheitsverwaltungsprozesse, PCI DSS-Anforderungen und andere Sicherheitskontrollen eingerichtet, mit deren Hilfe die Daten der einzelnen Kunden in eigenen geschützten Umgebungen wirksam und sicher voneinander getrennt werden. Diese sichere Architektur wurde von einem unabhängigen QSA validiert und entspricht allen geltenden Anforderungen von PCI DSS.

  Der PCI Security Standards Council hat PCI DSS Cloud Computing-Richtlinien für Kunden, Dienstanbieter und Bewerter von Cloud Computing-Diensten veröffentlicht. Dort werden außerdem Servicemodelle und die gemeinsame Nutzung von Compliance-Rollen und -Verantwortlichkeiten durch Anbieter und Kunden beschrieben.
  

• Verlangen QSAs bei Level 1-Händlern eine physische Begehung der AWS-Rechenzentren?

  Nein. Die für AWS ausgestellte Attestation of Compliance (AOC) weist eine umfassende Bewertung der physischen Sicherheitskontrollen in den Rechenzentren von AWS nach. Eine Überprüfung der Sicherheit der AWS-Rechenzentren durch den QSA eines Händlers ist nicht erforderlich.
  

• Unterstützt AWS kriminaltechnische Ermittlungen?

  AWS gilt nicht als „Shared Hosting Provider“ gemäß PCI-DSS. Daher trifft die DSS-Anforderung A1.4 nicht zu. Im Rahmen unseres Modells der gemeinsamen Verantwortung ermöglichen wir unseren Kunden das Durchführen digitaler forensischer Untersuchungen in ihren eigenen AWS-Umgebungen, ohne dass zusätzliche Unterstützung von AWS zu erforderlich ist. Diese Möglichkeit wird sowohl durch die Nutzung von AWS-Services als auch durch Lösungen von Drittanbietern geboten, die über AWS Marketplace verfügbar sind. Weitere Informationen finden Sie in den folgenden Ressourcen:

  • Vereinfachte Reaktion auf Sicherheitsvorfälle und digitale Forensik in AWS
  • Leitfaden zur Reaktion auf Sicherheitsvorfälle in AWS

• Gibt es eine spezielle PCI DSS-konforme Umgebung, die ich beim Verbindungsaufbau mit Servern oder beim Hochladen zu speichernder Objekte angeben muss?

  Solange Sie PCI DSS-konforme AWS-Services verwenden, ist die gesamte Infrastruktur, die diese In-scope-Services unterstützt, PCI DSS-konform, Sie müssen also keine spezielle Umgebung oder API aufrufen. Alle Server oder Datenobjekte, die bereitgestellt werden oder diese Services nutzen, befinden sich global in einer PCI DSS-konformen Umgebung. Eine Liste der PCI DSS-konformen AWS-Services finden Sie auf der Registerkarte "PCI" der Webseite AWS-Services in Scope nach Compliance-Programm.
  

• Gilt die PCI-Konformität von AWS international?

  Ja. Die vollständige Liste der kompatiblen Standorte finden Sie im neuesten PCI DSS AOC in AWS Artifact.
  

• Ist der PCI DSS-Standard öffentlich?

  Ja. Sie können den PCI DSS-Standard aus der Bibliothek PCI Security Standards Council Document Library herunterladen.
  

• Gibt es Unternehmen, die die PCI DSS-Zertifizierung auf der AWS-Plattform erworben haben?

  Ja, zahlreiche AWS-Kunden haben ihre Karteninhaberumgebungen erfolgreich ganz oder teilweise auf AWS bereitgestellt und zertifiziert. AWS gibt die Kunden nicht preis, die die PCI DSS-Zertifizierung erlangt haben. Doch AWS arbeitet regelmäßig mit Kunden und ihren PCI DSS-Prüfern bei der Planung, Bereitstellung, Zertifizierung und Durchführung vierteljährlicher Überprüfungen von Karteninhaberumgebungen in AWS zusammen.
  

• Wie sorgen Unternehmen für PCI DSS-Compliance?

  Es gibt zwei Hauptansätze, mit denen Unternehmen die PCI DSS-Compliance jährlich nachweisen können. Der erste Ansatz ist ein externer Qualified Security Assessor (QSA), der die jeweilige Umgebung bewertet und dann einen Report on Compliance (ROC) und eine Attestation of Compliance (AOC) erstellt. Dieser Ansatz wird am häufigsten für Entitäten verwendet, die eine große Anzahl von Transaktionen verarbeiten. Der zweite Ansatz ist die Durchführung eines Self-Assessment Questionnaire (SAQ). Dieser Ansatz wird am häufigsten für Entitäten verwendet, die eine kleinere Anzahl von Transaktionen verarbeiten.

  Beachten Sie unbedingt, dass die Zahlungsmarken und Ankäufer für das Durchsetzen der Compliance verantwortlich sind, nicht das PCI-Council.
  

• Welche Voraussetzungen gelten für die PCI DSS-Compliance?

  Unten finden Sie eine allgemeine Übersicht der PCI DSS-Anforderungen.

  Aufbauen und Warten sicherer Netzwerke und Systeme	1. Installation und Wartung von Netzwerksicherheitskontrollen. 2. Sichere Konfigurationen auf alle Systemkomponenten anwenden.
  Kontodaten schützen	3. Schützen gespeicherter Kontodaten. 4. Schützen von Karteninhaberdaten mit starker Kryptografie bei der Übertragung über offene, öffentliche Netzwerke.
  Betreiben eines Programms zur Prüfung auf Schwachstellen	5. Schützen Sie alle Systeme und Netzwerke vor bösartiger Software. 6. Entwickeln und Warten sicherer Systeme und Software.
  Implementieren strenger Zugriffssteuerungsmaßnahmen	7. Beschränken des Zugriffs auf Systemkomponenten und Karteninhaberdaten je nach geschäftlichem Bedarf. 8. Identifizieren von Benutzern und Authentifizieren des Zugriffs auf Systemkomponenten. 9. Beschränken des physischen Zugriffs auf Karteninhaberdaten.
  Regelmäßiges Überwachen und Testen der Netzwerke	10. Protokollieren und überwachen Sie den gesamten Zugriff auf Systemkomponenten und Karteninhaberdaten. 11. Testen Sie regelmäßig die Sicherheit von Systemen und Netzwerken
  Befolgen einer Richtlinie für Informationssicherheit	12. Unterstützen Sie die Informationssicherheit mit organisatorischen Richtlinien und Programmen.

• Sind alle AWS-Services PCI-PIN- oder PCI P2PE-zertifiziert?

  Ja, AWS CloudHSM ist PCI-PIN-zertifiziert und AWS Payment Cryptography ist PCI-PIN- und P2PE-zertifiziert. Ihre Berichte sind in AWS Artifact für Kunden verfügbar.

• Ist das PCI 3DS-Testat für AWS verfügbar?

  Ja, unsere jährlichen PCI 3DS-Berichte sind in Artifact verfügbar. Obwohl AWS 3DS-Funktionen nicht direkt ausführt, kann die AWS PCI 3DS-Konformitätsbescheinigung Kunden dabei helfen, ihre eigene PCI-3DS-Konformität für ihre auf AWS ausgeführten Services zu erreichen.