PCI DSS

Présentation

La norme PCI DSS (Payment Card Industry Data Security Standard) est une norme de sécurité protégeant les informations confidentielles administrée par le Conseil des normes de sécurité PCI, fondé par American Express, Discover Financial Services, JCB International, MasterCard Worldwide et Visa Inc.

La norme PCI DSS s'applique aux entités qui stockent, traitent ou transmettent des données de titulaires de cartes et/ou des données d'authentification sensibles, notamment les commerçants, les sous-traitants, les acheteurs, les distributeurs et les fournisseurs de services. La norme PCI DSS est exigée par les marques de cartes de paiement et administrée par le Conseil des normes de sécurité PCI.

L'attestation de conformité (Attestation of Compliance ou AOC) à la norme PCI DSS et le récapitulatif des responsabilités sont mis à disposition des clients par l'intermédiaire d'AWS Artifact, un portail en libre-service qui permet d'accéder à la demande aux rapports de conformité d'AWS. Inscrivez-vous à AWS Artifact dans AWS Management Console, ou obtenez plus d'informations sur la page Mise en route avec AWS Artifact.

• AWS a-t-elle reçu la certification PCI DSS ?

  Oui, Amazon Web Services (AWS) a été certifiée en tant que fournisseur de services PCI DSS de niveau 1, soit le plus haut niveau d'évaluation disponible. L'évaluation de conformité a été réalisée par Coalfire Systems Inc., un auditeur de sécurité qualifié (QSA) indépendant. L'attestation de conformité (AOC) à la norme PCI DSS et le récapitulatif des responsabilités sont mis à disposition des clients par l'intermédiaire d'AWS Artifact, un portail en libre-service qui permet d'accéder à la demande aux rapports de conformité d'AWS. Inscrivez-vous à AWS Artifact dans AWS Management Console, ou obtenez plus d'informations sur la page Mise en route avec AWS Artifact.
  

• Quels services AWS sont conformes à la norme PCI DSS ?

  Pour obtenir la liste des services AWS conformes à la norme PCI DSS, consultez l'onglet « PCI » de la page web Services AWS concernés par le programme de conformité. Pour plus d'informations sur l'utilisation de ces services, veuillez nous contacter.
  

• Qu'est-ce que cela signifie pour moi, en tant que commerçant ou fournisseur de services PCI DSS ?

  En tant que client qui utilise les services AWS pour stocker, traiter ou transmettre les données de titulaires de cartes, vous pouvez compter sur l'infrastructure technologique d'AWS lorsque vous gérez votre propre certification de conformité à la norme PCI DSS.

  AWS ne stocke, ne transmet ou ne traite pas directement les données de titulaires de cartes (cardholder data ou CHD) de ses clients. Toutefois, vous pouvez créer votre propre environnement de données de titulaires de cartes (cardholder data environnement ou CDE) pour stocker, transmettre ou traiter les données de titulaires de cartes à l'aide des services AWS.
  

• Qu'est-ce que cela signifie pour moi en tant que client commerçant non PCI DSS ?

  Même si vous êtes un client qui n'est pas concerné par la norme PCI DSS, notre conformité à cette norme nous permet de témoigner notre engagement vis-à-vis de la sécurité des informations, et ce, à tous les niveaux. La norme PCI DSS étant validée par un tiers externe et indépendant, cela confirme que notre programme de gestion de la sécurité est complet et respecte les principales pratiques du secteur.
  

• En tant que client AWS, puis-je m'appuyer sur l'attestation de conformité d'AWS ou des tests supplémentaires seront-ils nécessaires pour être totalement conforme ?

  Tous les clients doivent gérer leur propre certification de conformité à la norme PCI DSS, et des tests supplémentaires devront être réalisés afin de vérifier que votre environnement répond bien à toutes les exigences établies par la norme PCI DSS. Cependant, pour ce qui est de la portion de l'environnement des données de titulaires de cartes (CDE) déployée sur AWS relativement à la norme PCI, votre auditeur de sécurité qualifié (QSA) peut se fier à votre attestation de conformité (AOC) AWS et n'a pas besoin de réaliser des tests supplémentaires.
  

• Comment puis-je connaître les contrôles PCI DSS dont je suis responsable ?

  Pour obtenir des informations détaillées, consultez le « Récapitulatif AWS des responsabilités relatives à la norme PCI DSS » dans le programme de conformité à la norme PCI DSS d'AWS, mis à disposition des clients par l'intermédiaire d'AWS Artifact, un portail en libre-service qui permet d'accéder à la demande aux rapports de conformité d'AWS. Inscrivez-vous à AWS Artifact dans AWS Management Console ou obtenez plus d'informations sur la page Mise en route avec AWS Artifact. Les clients peuvent également demander des services d'audit et de conseil en matière de conformité auprès de l'équipe AWS Security Assurance Services.

• Comment puis-je profiter du programme de conformité PCI d'AWS ?

  Le programme de conformité PCI d'AWS est disponible pour les clients par le biais d'AWS Artifact, un portail en libre-service qui permet d'accéder à la demande aux rapports de conformité d'AWS. Inscrivez-vous à AWS Artifact dans AWS Management Console, ou obtenez plus d'informations sur la page Mise en route avec AWS Artifact.
  

• Que contient le programme de conformité PCI DSS d'AWS ?

  Le programme de conformité PCI d'AWS comprend les éléments suivants :

  • Attestation de conformité PCI DSS 3.2.1 d'AWS
  • Récapitulatif des responsabilités PCI DSS 3.2.1 d'AWS

• AWS figure-t-il dans le registre mondial des prestataires de services de Visa et sur la liste des prestataires de services conformes de MasterCard ?

  Oui, AWS figure dans le registre mondial des prestataires de services de Visa et dans la liste des prestataires de services conformes de MasterCard. L'inscription sur ces listes de prestataires de services démontre à nouveau qu'AWS a confirmé avec succès sa conformité avec la norme et a rempli toutes les exigences applicables des programmes de Visa et MasterCard.
  

• La norme PCI DSS requiert-elle des environnements en location exclusive pour obtenir la conformité ?

  L'environnement AWS est un environnement virtualisé à locataires multiples. AWS a mis en place des processus de gestion de la sécurité, des exigences PCI DSS et d'autres contrôles compensatoires qui séparent de manière efficace et sécurisée chaque client dans son propre environnement protégé. Cette architecture a été validée par un QSA indépendant et a été déclarée conforme à toutes les exigences PCI DSS applicables.

  Le Conseil des normes de sécurité PCI a publié le document PCI DSS Cloud Computing Guidelines (Directives de cloud computing PCI DSS) à l'attention des clients, des prestataires de services et des évaluateurs de services de cloud computing. Ces recommandations décrivent aussi les modèles de service et la manière dont les rôles et les responsabilités en matière de conformité sont partagés entre les fournisseurs et les clients.
  

• Les QSA pour les commerçants de niveau 1 doivent-ils visiter physiquement les centres de données d'AWS ?

  Non. L'attestation de conformité (AOC) d'AWS témoigne de l'évaluation approfondie réalisée au niveau des contrôles de sécurité physique dans les centres de données AWS. Il n'est pas nécessaire que le QSA d'un commerçant vérifie la sécurité des centres de données AWS.
  

• AWS prend-il en charge les enquêtes judiciaires ?

  AWS n'est pas considéré comme un « fournisseur d'hébergement partagé » selon PCI-DSS. À ce titre, la norme DSS A1.4 ne s'applique pas. Conformément à notre Modèle de responsabilité partagée, nous permettons à nos clients de procéder à des enquêtes judiciaires dans leurs propres environnements AWS sans avoir besoin d'aide supplémentaire de la part d'AWS. Cet outil pratique est fourni dans le cadre de l'utilisation des services AWS et de solutions tierces disponibles sur AWS Marketplace. Pour plus d'informations, consultez les ressources suivantes :

  • Simplifier les réponses aux incidents et les enquêtes judiciaires sur AWS
  • Guide des réponses aux incidents de sécurité AWS

• Dois-je spécifier un environnement conforme PCI DSS en particulier lorsque je mets en place des serveurs ou que j'importe des objets à stocker ?

  Tant que vous utilisez des services AWS conformes à la norme PCI DSS, toute l'infrastructure qui prend en charge les services concernés est également conforme, et vous n'avez pas besoin d'utiliser un environnement différent ou un API spécial. Tout serveur ou objet de données déployé dans ces services ou les utilisant se trouve dans un environnement conforme PCI DSS, et ce dans le monde entier. Pour obtenir la liste des services AWS conformes à la norme PCI DSS, consultez l'onglet « PCI » de la page Web Services AWS concernés par le programme de conformité.
  

• La conformité d'AWS est-elle applicable dans le monde entier ?

  Oui. Reportez-vous à la dernière AOC PCI DSS dans AWS Artifact pour consulter la liste complète des emplacements conformes.
  

• La norme PCI DSS est-elle publique ?

  Oui. Vous pouvez télécharger la norme PCI DSS depuis le PCI Security Standards Council Document Library (Fonds documentaire sur le Conseil des normes de sécurité PCI).
  

• Quelqu'un a-t-il obtenu la certification PCI DSS sur la plateforme AWS ?

  Oui, de nombreux clients d'AWS ont déployé et certifié avec succès une partie ou l'intégralité de leurs environnements de titulaires de cartes sur AWS. AWS ne divulgue pas les noms des clients qui ont obtenu la certification PCI DSS, mais travaille régulièrement avec les clients et leurs experts PCI DSS pour planifier, déployer, certifier et réaliser des analyses trimestrielles de l'environnement des titulaires de cartes sur AWS.
  

• Comment s'y prennent les entreprises pour assurer leur conformité avec la norme PCI DSS ?

  Les entreprises adoptent principalement deux approches pour valider leur conformité à la norme PCI DSS chaque année. La première approche consiste à faire évaluer votre environnement applicable par un expert en sécurité compétent ou QSA (Qualified Security Assessor) externe, puis à créer un rapport sur la conformité et une attestation de conformité ; il s'agit de l'approche la plus couramment adoptée par les entités amenées à gérer d'importants volumes de transactions. La seconde approche consiste à répondre à un questionnaire d'autoévaluation ou SAQ (Self-Assessment Questionnaire) ; il s'agit de l'approche la plus couramment adoptée par les entités amenées à gérer de faibles volumes de transactions.

  Il convient de noter que les sociétés de cartes de paiement et les acheteurs sont tenus de garantir la conformité ; ce n'est pas le rôle du Conseil des normes de sécurité PCI.
  

• Quelles sont les exigences de conformité à la norme PCI DSS ?

  Voici une présentation détaillée des exigences de la norme PCI DSS.

  Créer et maintenir un réseau et des systèmes sécurisés	1. Installer et gérer les contrôles de sécurité du réseau. 2. Appliquer des configurations sécurisées à tous les composants du système.
  Protéger les données du compte	3. Protéger les données de compte stockées. 4. Protéger les données des titulaires de cartes à l'aide d'une cryptographie robuste lors de leur transmission sur des réseaux publics ouverts.
  Respecter un programme de gestion de la vulnérabilité	5. Protéger tous les systèmes et réseaux contre les logiciels malveillants. 6. Développer et maintenir des systèmes et des logiciels sécurisés.
  Mettre en œuvre de solides mesures de contrôle d'accès	7. Limiter l'accès aux données des composants du système et des titulaires de cartes, qui ont besoin de connaître ces informations. 8. Identifier les utilisateurs et authentifier l'accès aux composants du système. 9. Limiter l'accès physique aux données de titulaires de cartes.
  Surveiller et tester régulièrement les réseaux	10. Enregistrer et surveiller tous les accès aux composants du système et aux données des titulaires de cartes. 11. Tester régulièrement la sécurité des systèmes et des réseaux
  Respecter une politique de sécurité des informations	12. Assurer la sécurité de l'information grâce à des politiques et des programmes organisationnels.

• Certains services AWS sont-ils certifiés PCI PIN ou PCI P2PE ?

  Oui, AWS CloudHSM est certifié PCI PIN et AWS Payment Cryptography est certifié PCI PIN et P2PE. Leurs rapports sont disponibles dans AWS Artifact pour utilisation par le client.

• L'attestation PCI 3DS est-elle disponible pour AWS ?

  Oui, nos rapports annuels PCI 3DS sont disponibles dans Artifact. Bien qu'AWS n'exécute pas directement les fonctions 3DS, l'attestation de conformité AWS PCI 3DS peut aider les clients à atteindre leur propre conformité PCI 3DS pour leurs services exécutés sur AWS.