PCI DSS

Información general

El estándar de seguridad de datos de la industria de tarjetas de pago (PCI DSS) es un estándar exclusivo de seguridad de la información administrado por el Consejo de Estándares de Seguridad de PCI, fundado por American Express, Discover Financial Services, JCB International, MasterCard Worldwide y Visa Inc.

PCI DSS se aplica a las entidades que almacenan, procesan o transmiten datos de titulares de tarjetas (CHD) o datos de autenticación confidenciales (SAD), incluidos comerciantes, procesadores, adquisidores, emisores y proveedores de servicios. El PCI DSS existe bajo mandato de las marcas de tarjetas y está administrado por el Consejo de Estándares de Seguridad de la industria de tarjetas de pago.

La declaración de conformidad (AOC) y el resumen de responsabilidades de PCI DSS están disponible para clientes mediante AWS Artifact, un portal de autoservicio para el acceso bajo demanda a los informes de conformidad de AWS. Inicie sesión en AWS Artifact en la consola de administración de AWS u obtenga más información en Introducción a AWS Artifact.

• ¿AWS cuenta con la certificación de PCI DSS?

  Sí, Amazon Web Services (AWS) está certificado como proveedor de servicios de Nivel 1 PCI DSS, el nivel más alto de evaluación disponible. La evaluación de conformidad fue realizada por Coalfire Systems Inc., un asesor de seguridad cualificado (QSA) independiente. La declaración de conformidad (AOC) y el resumen de responsabilidades de PCI DSS están disponibles para clientes mediante AWS Artifact, un portal de autoservicio para el acceso bajo demanda a los informes de conformidad de AWS. Inicie sesión en AWS Artifact en la consola de administración de AWS u obtenga más información en Introducción a AWS Artifact.
  

• ¿Qué servicios de AWS logran la conformidad con PCI DSS?

  Para obtener una lista de los servicios de AWS que logran la conformidad con PCI DSS, consulte la pestaña PCI en la página web Servicios de AWS en el ámbito del programa de conformidad. Para obtener más información sobre el uso de estos servicios, póngase en contacto con nosotros.
  

• ¿Qué implica esto para mí como comerciante o proveedor de servicios sujeto a PCI DSS?

  Como cliente que utiliza servicios de AWS para almacenar, procesar o transmitir datos de titulares de tarjetas, puede confiar en la infraestructura de tecnología de AWS mientras gestiona su propia certificación de conformidad con PCI DSS.

  AWS no almacena, transmite ni procesa directamente ningún dato del titular de la tarjeta del cliente (CHD). Sin embargo, puede crear sus propios entornos de datos de titulares de tarjetas (CDE), capaces de almacenar, transmitir y procesar datos de titulares de tarjetas mediante el uso de los servicios de AWS.
  

• ¿Qué implica esto para mí como cliente comerciante no sujeto a PCI DSS?

  Incluso si usted no es cliente de PCI DSS, nuestra conformidad con PCI DSS demuestra nuestro compromiso con la seguridad de la información en todos los niveles. Dado que el estándar PCI DSS está validado por un tercero externo e independiente, confirma que nuestro programa de administración de seguridad es exhaustivo y sigue las prácticas líder de la industria.
  

• Como cliente de AWS, ¿puedo confiar en la declaración de conformidad (AOC) de AWS, o se necesitarán pruebas adicionales para garantizar la conformidad absoluta?

  Los clientes deben administrar su propia certificación de conformidad con PCI DSS, y se requerirán pruebas adicionales para verificar que su entorno cumpla con todos los requisitos de PCS DSS. Sin embargo, para la parte del entorno de datos del titular de la tarjeta (CDE) de PCI que se implementa en AWS, su asesor de seguridad cualificado (QSA) puede confiar en la certificación de conformidad (AOC) de AWS sin más pruebas.
  

• ¿Cómo puedo saber de qué controles de PCI DSS soy responsable?

  Para obtener información detallada, consulte “Resumen de responsabilidad con PCI DSS de AWS” del paquete de conformidad PCI DSS de AWS, disponible para los clientes mediante AWS Artifact, un portal de autoservicio para el acceso bajo demanda a los informes de conformidad de AWS. Inicie sesión en AWS Artifact en la consola de administración de AWS u obtenga más información en Introducción a AWS Artifact. Los clientes también pueden solicitar servicios de auditoría y asesoramiento sobre conformidad al equipo de servicios de garantía de seguridad de AWS.

• ¿Cómo puedo obtener el paquete de conformidad con PCI de AWS?

  El paquete de conformidad con PCI de AWS se encuentra disponible para clientes mediante AWS Artifact, un portal de autoservicio para el acceso bajo demanda a informes de conformidad de AWS. Inicie sesión en AWS Artifact en la consola de administración de AWS u obtenga más información en Introducción a AWS Artifact.
  

• ¿Qué contiene el paquete de conformidad PCI DSS de AWS?

  El paquete de conformidad PCI de AWS incluye:

  • Declaración de conformidad (AOC) con PCI DSS 3.2.1 de AWS
  • Resumen de responsabilidad con PCI DSS 3.2.1 de AWS

• ¿AWS aparece en el registro global de proveedores de servicios de Visa y en la lista de proveedores de servicios en conformidad con MasterCard?

  Sí, AWS aparece en el registro global de proveedores de servicios de Visa y en la lista de proveedores de servicios de conformidad con MasterCard. Las listas de proveedores de servicios demuestran que AWS validó correctamente la conformidad con PCI DSS y cumplió con todos los requisitos correspondientes de los programas de Visa y MasterCard.
  

• ¿El estándar PCI DSS requiere entornos de un único inquilino para lograr la conformidad?

  No. El entorno de AWS es un entorno virtualizado de varios inquilinos. AWS implementó con efectividad procesos de administración de la seguridad, requisitos de PCI DSS y otros controles compensatorios que asignan de manera efectiva y segura a cada cliente su propio entorno protegido. Un asesor de seguridad cualificado independiente validó esta arquitectura y se observó que cumple con todos los requisitos vigentes de PCI DSS.

  El Consejo de Estándares de Seguridad de PCI publicó el documento Directrices de informática en la nube de PCI DSS para clientes, proveedores de servicios y asesores de servicios de informática en la nube. En él, también se describen modelos de servicio y cómo las funciones y responsabilidades de conformidad se comparten entre proveedores y clientes.
  

• ¿Los QSA para comerciantes de nivel 1 requieren un recorrido físico por los centros de datos de AWS?

  No. La certificación de conformidad (AOC) de AWS demuestra una evaluación exhaustiva de los controles de seguridad física de los centros de datos de AWS. No es necesario que un QSA de un comerciante verifique la seguridad de los centros de datos de AWS.
  

• ¿AWS es compatible con las investigaciones forenses?

  Según PCI-DSS, AWS no se considera un “proveedor de alojamiento compartido”. Por lo tanto, no se aplica el requisito A1.4 del DSS. Gracias a nuestro modelo de responsabilidad compartida, permitimos que nuestros clientes realicen investigaciones forenses digitales en sus propios entornos de AWS sin necesidad de asistencia adicional de AWS. Esto se logra mediante el uso de servicios de AWS y de soluciones de terceros disponibles a través de AWS Marketplace. Para obtener más información, consulte los siguientes recursos:

  • Simplifique la respuesta ante incidentes de seguridad y el análisis forense digital en AWS
  • Guía de respuesta ante incidentes de seguridad en AWS

• ¿Debo especificar algún entorno especial conforme con PCI DSS a la hora de conectar con los servidores o cargar objetos en la tienda?

  Siempre que utilice los servicios de AWS que logran la conformidad con PCI DSS, toda la infraestructura que admite los servicios dentro del ámbito es compatible y no hay un entorno separado o una API especial para usar. Todos los servidores u objetos de datos que se implementen mediante estos servicios se encuentran en un entorno global conforme con PCI DSS. Para obtener una lista de los servicios de AWS que logran la conformidad con PCI DSS, consulte la pestaña PCI en la página web Servicios de AWS en el ámbito del programa de conformidad.
  

• ¿La conformidad de AWS se aplica a nivel internacional?

  Sí. Consulte la última declaración de conformidad de PCI DSS para obtener la lista completa de ubicaciones en conformidad.
  

• ¿El estándar PCI DSS es público?

  Sí. Puede descargar el estándar PCI DSS de la biblioteca de documentos del Consejo de Estándares de Seguridad de PCI.
  

• ¿Algún usuario de la plataforma de AWS obtuvo la certificación PCI DSS?

  Sí, muchos clientes de AWS implementaron y certificaron con éxito parte o la totalidad de sus entornos de titulares de tarjetas de crédito en AWS. AWS no puede revelar el nombre de los clientes que obtuvieron la certificación PCI DSS; sin embargo, colabora regularmente con sus clientes y los asesores de PCI DSS a la hora de planificar, implementar, certificar y analizar trimestralmente los entornos de titulares de tarjetas de crédito basados en AWS.
  

• ¿De qué manera las compañías pueden cumplir los requisitos de PCI DSS?

  Existen dos métodos principales que las compañías pueden utilizar para validar su conformidad con PCI DSS de forma anual. El primer método es disponer de un asesor de seguridad cualificado (QSA) que evalúe el entorno aplicable y elabore un Informe de Conformidad (ROC) y una declaración de conformidad (AOC). Este método es el más común entre las compañías que administran grandes volúmenes de transacciones. El segundo método consiste en realizar un cuestionario de autoevaluación (SAQ). Es el método más común entre las compañías que administran volúmenes de transacciones de menor tamaño.

  Es importante tener en cuenta que las marcas y adquisidores de pago son responsables de exigir la conformidad, no el Consejo de PCI.
  

• ¿Cuáles son los requisitos de conformidad de PCI DSS?

  A continuación, se incluye un resumen detallado de los requisitos de PCI DSS.

  Crear y mantener redes y sistemas seguros	1. Instalar y mantener los controles de seguridad de red. 2. Aplicar configuraciones seguras a todos los componentes del sistema.
  Proteger los datos de la cuenta	3. Proteger los datos de la cuenta almacenados. 4. Proteger los datos de los titulares de tarjetas con una criptografía sólida durante la transmisión a través de redes públicas abiertas.
  Disponer de un programa de administración de vulnerabilidades	5. Proteger todos los sistemas y redes del software malicioso. 6. Desarrollar y mantener sistemas y software seguros.
  Implementar medidas sólidas de control del acceso	7. Restringir el acceso a los componentes del sistema y a los datos de los titulares de tarjetas según lo que la empresa necesite saber. 8. Identificar usuarios y autenticar el acceso a los componentes del sistema. 9. Restringir el acceso físico a los datos de los titulares de las tarjetas.
  Supervisar y probar las redes con frecuencia	10. Registrar y monitorear todos los accesos a los componentes del sistema y a los datos de los titulares de las tarjetas. 11. Probar periódicamente la seguridad de sistemas y redes
  Disponer de una política de seguridad de la información	12. Apoyar la seguridad de la información con políticas y programas organizativos.

• ¿Algunos servicios de AWS cuentan con certificación PCI PIN o PCI P2PE?

  Sí, AWS CloudHSM cuenta con la certificación PCI PIN y AWS Payment Cryptography cuenta con la certificación PCI PIN y P2PE. Sus informes están disponibles en AWS Artifact para uso de los clientes.

• ¿Está disponible la certificación PCI 3DS para AWS?

  Sí, nuestros informes anuales sobre PCI 3DS están disponibles en Artifact. Aunque AWS no realiza funciones 3DS directamente, la certificación de conformidad PCI 3DS de AWS puede ayudar a los clientes a obtener su propia conformidad PCI 3DS para sus servicios que se ejecutan en AWS.