PCI DSS

Visão geral

O Padrão de segurança de dados do Setor de cartões de pagamento (PCI DSS) é um padrão de segurança de informações exclusivas administrado pelo PCI Security Standards Council, o qual foi fundado pelas seguintes empresas: American Express, Discover Financial Services, JCB International, MasterCard Worldwide e Visa Inc.

O PCI DSS aplica-se às entidades que armazenam, processam ou transmitem Cardholder Data (CHD – Dados do titular do cartão) ou Sensitive Authentication Data (SAD – Dados confidenciais de autenticação), como comerciantes, processadores, compradores, emissores e fornecedores de serviços. O PCI DSS é controlado pelas bandeiras de cartão de pagamento e administrado pelo Payment Card Industry Security Standards Council.

O Attestation of Compliance (AOC – Atestado de conformidade) e o resumo de responsabilidades do PCI DSS estão disponíveis para os clientes por meio do AWS Artifact, um portal de autoatendimento para acesso sob demanda a relatórios de conformidade da AWS. Faça login no AWS Artifact no Console de Gerenciamento da AWS ou saiba mais em Conceitos básicos do AWS Artifact.

• A AWS é certificada pelo PCI DSS?

  Sim, a Amazon Web Services (AWS) é certificada como um provedor de serviços PCI DSS nível 1, o mais alto nível de avaliação disponível. A avaliação de conformidade foi realizada pela Coalfire Systems Inc., um Qualified Security Assessor (QSA – Avaliador de segurança qualificado). O Attestation of Compliance (AOC – Atestado de conformidade) e o resumo de responsabilidades do PCI DSS estão disponíveis para os clientes por meio do AWS Artifact, um portal de autoatendimento para acesso sob demanda a relatórios de conformidade da AWS. Faça login no AWS Artifact no Console de Gerenciamento da AWS ou saiba mais em Conceitos básicos do AWS Artifact.
  

• Quais serviços da AWS estão em conformidade com o PCI DSS?

  Para obter a lista de serviços da AWS em conformidade com o PCI DSS, consulte a guia PCI na página Serviços da AWS no escopo pelo programa de conformidade. Para obter mais informações sobre o uso desses serviços, entre em contato conosco.
  

• O que isso significa para mim enquanto comerciante ou provedor de serviços em conformidade com o PCI DSS?

  Como um cliente que usa serviços da AWS para armazenar, processar ou transmitir dados de titulares de cartão, você pode confiar na infraestrutura de tecnologia da AWS para gerenciar a sua própria certificação de conformidade com o PCI DSS.

  A AWS não armazena, transmite ou processa diretamente nenhum Cardholder Data (CHD – Dados do titular do cartão) dos clientes. No entanto, você pode criar seu próprio Cardholder Data Environment (CDE – Ambiente de dados de titulares de cartão), em que é possível armazenar, transmitir ou processar dados do titular do cartão usando serviços da AWS.
  

• O que isso significa para mim como cliente comerciante não vinculado ao PCI DSS?

  Mesmo que você não seja um cliente vinculado ao PCI DSS, a nossa conformidade com o PCI DSS demonstra o nosso compromisso com a segurança de informações em todos os níveis. Como o padrão PCI DSS foi validado por uma avaliação externa terceirizada independente, confirma que nosso programa de gerenciamento de segurança é abrangente e segue as principais práticas do setor.
  

• Como cliente da AWS, posso confiar na Declaração de conformidade (AOC) da AWS ou serão necessários testes adicionais para entrar totalmente em conformidade?

  Os clientes devem gerenciar sua própria certificação de conformidade com o PCI DSS. Serão necessários testes adicionais para verificar se o seu ambiente satisfaz a todos os requisitos do PCS DSS. No entanto, para a parte do Cardholder Data Environment (CDE – Ambiente de dados do titular do cartão) do PCI implementada na AWS, o Qualified Security Assessor (QSA – Avaliador de segurança qualificado) pode confiar no Attestation of Compliance (AOC – Atestado de conformidade) da AWS sem testes adicionais.
  

• Como posso saber mais sobre os controles do PCI DSS pelos quais sou responsável?

  Para obter informações detalhadas, consulte o “Resumo de responsabilidade do PCI DSS da AWS” no Pacote de conformidade com o PCI DSS da AWS disponível para os nossos clientes por meio do AWS Artifact, um portal de autoatendimento para acesso sob demanda aos relatórios de conformidade da AWS. Faça login no AWS Artifact no Console de Gerenciamento da AWS ou saiba mais em Conceitos básicos do AWS Artifact. Os clientes também podem solicitar serviços de consultoria de auditoria e conformidade da equipe de Serviços de garantia de segurança da AWS.

• Como posso obter o Pacote de conformidade com o PCI da AWS?

  O Pacote de conformidade com o PCI da AWS está disponível para os clientes que usam o AWS Artifact, um portal de autoatendimento para acesso sob demanda a relatórios de conformidade da AWS. Faça login no AWS Artifact no Console de Gerenciamento da AWS ou saiba mais em Conceitos básicos do AWS Artifact.
  

• Qual é o conteúdo do Pacote de conformidade com o PCI DSS da AWS?

  O Pacote de conformidade com o PCI da AWS inclui:

  • Atestado de conformidade (AOC) com o PCI DSS 3.2.1 da AWS
  • Resumo de responsabilidade do PCI DSS 3.2.1 da AWS

• A AWS faz parte da lista de Registro global de provedores de serviço Visa e da lista de Provedores de serviços compatíveis com a MasterCard?

  Sim, a AWS faz parte da lista do Registro global de provedores de serviço Visa e da Lista de provedores de serviço compatível com a MasterCard. As listas de provedores de serviços demonstram claramente que a AWS validou com êxito a conformidade com o PCI DSS e atendeu a todos os requisitos aplicáveis do programa da Visa e da MasterCard.
  

• O padrão PCI DSS exige ambientes dedicados para estabelecer conformidade?

  Não. O ambiente da AWS é um ambiente virtualizado multilocatário. A AWS implementou efetivamente processos de gestão da segurança, requisitos do PCI DSS e outros controles compensatórios que segregam de forma efetiva e segura cada cliente no seu próprio ambiente protegido. Essa arquitetura segura foi validada por um Qualified Security Assessor (QSA – Avaliador de segurança qualificado) independente e foi determinado que ela está em conformidade com todos os requisitos aplicáveis do PCI DSS.

  O PCI Security Standards Council publicou as Diretrizes de computação em nuvem do PCI DSS para clientes, provedores de serviços e avaliadores de serviços de computação em nuvem. Além de descreverem modelos de serviço, também mostram como funções e responsabilidades de conformidade são compartilhadas entre provedores e clientes.
  

• Os QSAs para comerciantes do nível 1 exigem uma demonstração física dos datacenters da AWS?

  Não. O Attestation of Compliance (AOC – Atestado de conformidade) da AWS demonstra uma avaliação extensa dos controles de segurança física dos datacenters da AWS. Não é necessário que o QSA de um comerciante verifique a segurança dos datacenters da AWS.
  

• A AWS oferece suporte a investigações forenses?

  A AWS não é considerada um “Provedor de Hospedagem Compartilhada” do PCI-DSS. Por esse motivo, o requisito A1.4 do DSS não é aplicável. Conforme o nosso Modelo de Responsabilidade Compartilhada, capacitamos nossos clientes a realizar investigações forenses em seus próprios ambientes da AWS sem precisar de assistência adicional da AWS. Essa capacitação é fornecida por meio dos serviços da AWS e de soluções de terceiros disponíveis por meio do AWS Marketplace. Para obter mais informações, consulte os recursos a seguir:

  • Simplify Security Incident Response and Digital Forensics on AWS
  • Guia de resposta a incidentes de segurança da AWS

• Existe algum ambiente especial em conformidade com o PCI DSS que preciso especificar ao conectar servidores ou enviar objetos para armazenamento?

  Desde que você usa serviços da AWS em conformidade com o PCI DSS, toda a infraestrutura que oferece suporte a serviços no escopo está em conformidade e não há um ambiente separado nem uma API especial para uso. Qualquer servidor ou objeto de dados implantado ou que utilize esses serviços está em um ambiente em conformidade com o PCI DSS, globalmente. Para obter a lista de serviços da AWS em conformidade com o PCI DSS, consulte a guia PCI na página Serviços da AWS no escopo por programa de conformidade.
  

• A conformidade da AWS é aplicável internacionalmente?

  Sim. Consulte o AOC mais recente do PCI DSS no AWS Artifact para obter a lista completa de locais em conformidade.
  

• O padrão PCI DSS é público?

  Sim. Você pode fazer download do padrão PCI DSS na biblioteca de documentos do PCI Security Standards Council.
  

• Alguém obteve a certificação do PCI DSS na plataforma da AWS?

  Sim. Vários clientes da AWS implantaram com sucesso e certificaram parte ou todos os ambientes de titulares de cartão na AWS. A AWS não revela os clientes que obtiveram a certificação do PCI DSS, mas trabalha frequentemente com seus clientes e avaliadores do PCI DSS no planejamento, na implantação, na certificação e na execução de verificações quadrimestrais dos ambientes do titular do cartão na AWS.
  

• Como as empresas mantém a conformidade com o PCI DSS?

  Existem duas abordagens principais que as empresas usam para validar anualmente sua conformidade com o PCI DSS. A primeira é ter um Qualified Security Assessor (QSA – Avaliador de segurança qualificado) externo para avaliar seu ambiente aplicável e, então, criar um Report on Compliance (ROC – Relatório sobre a conformidade) e um Attestation of Compliance (AOC – Atestado de conformidade). Essa abordagem é a mais comum para entidades que administram grandes volumes de transações. A segunda abordagem é executar um questionário de autoavaliação (SAQ). Essa abordagem é a mais comum para entidades que administram volumes menores de transações.

  É importante observar que as bandeiras de cartões de pagamento e os compradores são responsáveis por aplicar a conformidade, não o PCI Council.
  

• Quais são os requisitos da conformidade com o PCI DSS?

  Veja abaixo uma visão geral básica dos requisitos do PCI DSS.

  Criar e manter rede e sistemas seguros	1. Instale e mantenha controles de segurança de rede. 2. Aplique configurações seguras a todos os componentes do sistema.
  Proteja os dados da conta	3. Proteja os dados armazenados da conta. 4. Proteja os dados do titular do cartão com criptografia forte durante a transmissão em redes públicas abertas.
  Mantenha um programa de gerenciamento de vulnerabilidades	5. Proteja todos os sistemas e redes contra software malicioso. 6. Desenvolva e mantenha sistemas e software seguros.
  Implemente medidas rigorosas de controle de acesso	7. Restrinja o acesso a componentes do sistema e a dados de titulares de cartões ao mínimo necessário. 8. Identifique usuários e autentique o acesso a componentes do sistema. 9. Restrinja o acesso físico aos dados de titulares de cartões.
  Monitore e teste redes com frequência	10. Registre em log e monitore todo o acesso aos componentes do sistema e aos dados de titulares de cartões. 11. Teste regularmente a segurança de sistemas e redes
  Mantenha uma política de segurança da informação	12. Apoie a segurança da informação com políticas e programas organizacionais.

• Algum serviço da AWS tem certificação PCI PIN, PCI P2PE?

  Sim, o AWS CloudHSM é certificado PCI PIN e a AWS Payment Cryptography é certificada PCI PIN e P2PE. Os respectivos relatórios estão disponíveis no AWS Artifact para uso do cliente.

• A atestação PCI 3DS está disponível para a AWS?

  Sim, nossos relatórios anuais do PCI 3DS estão disponíveis no Artifact. Embora a AWS não execute funções 3DS diretamente, a atestação de conformidade com o PCI 3DS da AWS pode ajudar os clientes a obter sua própria conformidade com o PCI 3DS para seus serviços executados na AWS.