Tổng quan

Tiêu chuẩn Bảo mật dữ liệu thẻ thanh toán (PCI DSS) là tiêu chuẩn bảo mật thông tin quyền sở hữu được quản lý bởi Hội đồng Tiêu chuẩn bảo mật PCI, được thành lập bởi American Express, Discover Financial Services, JCB International, MasterCard Worldwide và Visa Inc.

PCI DSS áp dụng cho các chủ thể lưu trữ, xử lý hoặc truyền dữ liệu chủ thẻ (CHD) hoặc dữ liệu xác thực nhạy cảm (SAD), bao gồm thương gia, đơn vị xử lý, tổ chức thanh toán, nhà phát hành và nhà cung cấp dịch vụ. PCI DSS được hãng thẻ ủy nhiệm và do Hội đồng Tiêu chuẩn Bảo mật Thẻ thanh toán quản lý.

Khách hàng có thể xem Chứng nhận tuân thủ (AOC) và Tóm tắt trách nhiệm của PCI DSS thông qua AWS Artifact, cổng thông tin tự phục vụ để truy cập theo nhu cầu vào các báo cáo tuân thủ của AWS. Đăng nhập vào AWS Artifact trong Bảng điều khiển quản lý AWS, hoặc tìm hiểu thêm tại Bắt đầu sử dụng AWS Artifact.

Logo của PCI

Chủ đề trang

Câu hỏi chung thường gặp
3
AWS trên PCI DSS
17

Câu hỏi chung thường gặp

Mở tất cả

Có. Bạn có thể tải xuống tiêu chuẩn PCI DSS từ Thư viện tài liệu của Hội đồng tiêu chuẩn bảo mật PCI.

Có hai phương pháp chính mà các công ty sử dụng để xác thực việc tuân thủ PCI DSS hàng năm. Phương pháp đầu tiên là Chuyên gia đánh giá bảo mật (QSA) bên ngoài đánh giá môi trường hiện hành của bạn và sau đó lập Báo cáo về Tuân thủ (ROC) và Chứng nhận Tuân thủ (AOC); phương pháp này phổ biến nhất cho các chủ thể xử lý khối lượng giao dịch lớn. Phương pháp thứ hai là tiến hành Bảng câu hỏi tự đánh giá (SAQ); phương pháp này phổ biến nhất với các chủ thể xử lý khối lượng giao dịch nhỏ hơn.

Quan trọng cần lưu ý rằng các nhãn hiệu thanh toán và các tổ chức thanh toán phải chịu trách nhiệm thực thi tuân thủ, chứ không phải hội đồng PCI.

Dưới đây là tổng quan cấp cao về các yêu cầu PCI DSS.

Xây dựng cũng như duy trì sự an toàn cho hệ thống và mạng

  • Cài đặt và duy trì cơ chế kiểm soát bảo mật mạng.
  • Áp dụng cấu hình an toàn cho tất cả các thành phần hệ thống.

Bảo vệ dữ liệu tài khoản

  • Bảo vệ dữ liệu tài khoản được lưu trữ.
  • Bảo vệ dữ liệu chủ thẻ bằng mật mã mạnh trong quá trình truyền qua các mạng công cộng mở.

Duy trì chương trình quản lý lỗ hổng bảo mật

  • Bảo vệ tất cả các hệ thống và mạng khỏi phần mềm độc hại.
  • Phát triển và duy trì các hệ thống và phần mềm an toàn.

Thực hiện các biện pháp kiểm soát truy cập mạnh mẽ

  • Hạn chế quyền truy cập vào các thành phần hệ thống và dữ liệu chủ thẻ theo nhu cầu cần biết của doanh nghiệp.
  • Xác định người dùng và xác thực quyền truy cập vào các thành phần hệ thống.
  • Hạn chế tiếp cận thực tế với dữ liệu chủ thẻ.

Thường xuyên theo dõi và kiểm tra mạng

  • Ghi nhật ký và giám sát tất cả quyền truy cập vào các thành phần hệ thống và dữ liệu chủ thẻ.
  • Thường xuyên kiểm tra tính bảo mật của hệ thống và mạng.

Duy trì chính sách bảo mật thông tin

  • Hỗ trợ bảo mật thông tin với các chính sách và chương trình của tổ chức.

AWS trên PCI DSS

Mở tất cả

Có, Amazon Web Services (AWS) được chứng nhận là Nhà cung cấp dịch vụ PCI DSS cấp 1, là cấp độ đánh giá cao nhất hiện có. Đánh giá tuân thủ được thực hiện bởi Coalfire Systems Inc., một Chuyên gia đánh giá bảo mật (QSA) độc lập. Khách hàng có thể xem Chứng nhận Tuân thủ (AOC) và Tóm tắt trách nhiệm của PCI DSS thông qua AWS Artifact, cổng thông tin tự phục vụ cho truy cập theo nhu cầu vào các báo cáo tuân thủ của AWS. Đăng nhập vào AWS Artifact trong Bảng điều khiển quản lý AWS hoặc tìm hiểu thêm tại Bắt đầu sử dụng AWS Artifact.

Để tham khảo danh sách các dịch vụ AWS tuân thủ PCI DSS, vui lòng xem tab PCI trên trang web Dịch vụ AWS trong phạm vi theo Chương trình tuân thủ. Để biết thêm thông tin về việc sử dụng những dịch vụ này, hãy liên hệ với chúng tôi.

Là khách hàng sử dụng dịch vụ AWS để lưu trữ, xử lý hoặc truyền dữ liệu chủ thẻ, bạn có thể tín nhiệm cơ sở hạ tầng công nghệ của AWS khi bạn quản lý chứng chỉ tuân thủ PCI DSS của riêng mình.

AWS không trực tiếp lưu trữ, truyền hoặc xử lý dữ liệu chủ thẻ khách hàng (CHD). Tuy nhiên, bạn có thể tạo môi trường dữ liệu chủ thẻ riêng (CDE) có thể lưu trữ, truyền, hoặc xử lý dữ liệu chủ thẻ qua việc sử dụng dịch vụ AWS.

Kể cả khi bạn là khách hàng không theo PCI DSS, việc tuân thủ PCI DSS cũng chứng minh cam kết của chúng tôi về bảo mật thông tin trên mọi cấp độ. Vì tiêu chuẩn PCI DSS được thông qua bởi bên thứ ba độc lập bên ngoài nên xác nhận được rằng chương trình quản lý bảo mật của chúng tôi là toàn diện và theo biện pháp thực hành đầu ngành.

Khách hàng phải tự quản lý chứng chỉ tuân thủ PCI DSS và việc kiểm tra bổ sung sẽ được yêu cầu để xác minh rằng môi trường của bạn thỏa mãn tất cả các yêu cầu của PCS DSS. Tuy nhiên, đối với một phần của môi trường dữ liệu của chủ thẻ PCI (CDE) được triển khai trong AWS, Nhà đánh giá bảo mật đủ điều kiện (QSA) của bạn có thể dựa vào Chứng nhận tuân thủ AWS (AOC) mà không cần kiểm tra thêm.

Để biết thông tin chi tiết, vui lòng xem "Bản tóm tắt trách nhiệm AWS PCI DSS" trong Gói tuân thủ AWS PCI DSS, được cung cấp cho khách hàng thông qua AWS Artifact, một cổng tự phục vụ cho truy cập theo nhu cầu vào các báo cáo tuân thủ của AWS. Đăng nhập vào AWS Artifact trong Bảng điều khiển quản lý AWS, hoặc tìm hiểu thêm tại Bắt đầu sử dụng AWS Artifact. Khách hàng cũng có thể yêu cầu dịch vụ kiểm tra và tư vấn tuân thủ từ đội ngũ Dịch vụ đảm bảo bảo mật của AWS.

Gói tuân thủ AWS PCI được cung cấp cho khách hàng thông qua AWS Artifact, một cổng tự phục vụ cho phép truy cập theo nhu cầu vào các báo cáo tuân thủ của AWS. Đăng nhập vào AWS Artifact trong Bảng điều khiển quản lý AWS, hoặc tìm hiểu thêm tại Bắt đầu sử dụng AWS Artifact.

Gói tuân thủ AWS PCI bao gồm:

  • Chứng nhận tuân thủ (AOC) AWS PCI DSS 3.2.1
  • Bản tóm tắt trách nhiệm AWS PCI DSS 3.2.1

Có, AWS có tên trong cả Danh sách đăng ký nhà cung cấp dịch vụ toàn cầu của VisaDanh sách nhà cung cấp dịch vụ tuân thủ của MasterCard. Danh sách nhà cung cấp dịch vụ chứng minh thêm rằng AWS đã xác thực thành công việc tuân thủ PCI DSS và đáp ứng tất cả các yêu cầu được áp dụng của chương trình Visa và MasterCard.

Không. Môi trường AWS là một môi trường ảo hóa, nhiều đối tượng thuê. AWS đã thực hiện hiệu quả các quy trình quản lý bảo mật, các yêu cầu PCI DSS và kiểm soát bù để phân tách một cách hiệu quả và bảo mật từng khách hàng vào môi trường được bảo vệ của riêng của AWS. Kiến trúc bảo mật này đã được xác thực bởi một QSA độc lập và được cho là phù hợp với tất cả các yêu cầu được áp dụng của PCI DSS.

Hội đồng tiêu chuẩn bảo mật PCI đã công bố Hướng dẫn về điện toán đám mây PCI DSS cho khách hàng, nhà cung cấp dịch vụ và nhà đánh giá dịch vụ điện toán đám mây. Hội đồng cũng mô tả các mô hình dịch vụ và cách mà các vai trò và trách nhiệm tuân thủ được chia sẻ giữa các nhà cung cấp và khách hàng.

Không. Chứng nhận Tuân thủ (AOC) AWS thể hiện đánh giá bao quát về các biện pháp kiểm soát an ninh vật lý của các trung tâm dữ liệu AWS. QSA của một thương nhân không cần xác minh tính bảo mật của các trung tâm dữ liệu AWS.

Theo PCI-DSS, AWS không được xem là một "Nhà cung cấp dịch vụ lưu trữ dùng chung". Do đó, yêu cầu A1.4 của DSS sẽ không được áp dụng. Theo Mô hình trách nhiệm chung, chúng tôi cho phép khách hàng tiến hành các cuộc điều tra pháp chứng số trong môi trường AWS của riêng mình mà không cần yêu cầu hỗ trợ thêm từ AWS. Sự cho phép này được cung cấp thông qua việc khách hàng sử dụng các dịch vụ AWS và các giải pháp bên thứ 3 có trên AWS Marketplace. Để biết thêm thông tin, hãy xem các tài nguyên sau:

Miễn là bạn đang sử dụng các dịch vụ AWS tuân thủ PCI DSS, toàn bộ cơ sở hạ tầng hỗ trợ các dịch vụ trong phạm vi đều tuân thủ và không sử dụng môi trường riêng biệt hoặc API đặc biệt. Bất kỳ máy chủ hoặc đối tượng dữ liệu nào được triển khai trong hoặc bằng các dịch vụ này đều thuộc môi trường tuân thủ PCI DSS toàn cầu. Để tham khảo danh sách các dịch vụ AWS tuân thủ PCI DSS, vui lòng xem tab PCI trên trang web Dịch vụ AWS trong phạm vi theo Chương trình tuân thủ.

Có. Vui lòng tham khảo PCI DSS AOC mới nhất trong AWS Artifact để xem danh sách đầy đủ các địa điểm tuân thủ.

Đã có rồi, nhiều khách hàng AWS đã triển khai và chứng nhận thành công một phần hoặc tất cả môi trường chủ thẻ của họ trên AWS. AWS không tiết lộ những khách hàng đã đạt được chứng chỉ PCI DSS, nhưng thường xuyên làm việc với khách hàng và các nhà đánh giá PCI DSS của họ trong việc lập kế hoạch, triển khai, xác nhận và thực hiện quét hàng quý môi trường chủ thẻ trên AWS.

Có, AWS CloudHSM được cấp chứng nhận PCI PIN còn AWS Payment Cryptography được cấp chứng nhận PCI PIN và P2PE. Báo cáo của họ có sẵn trong AWS Artifact để khách hàng sử dụng.

Có, báo cáo PCI 3DS hàng năm của chúng tôi có sẵn trong Artifact. Mặc dù AWS không trực tiếp thực hiện các chức năng 3DS, nhưng chứng nhận tuân thủ AWS PCI 3DS có thể giúp các dịch vụ chạy trên AWS của khách hàng tuân thủ PCI 3DS.

PCI DSS

Tổng quan

Tiêu chuẩn Bảo mật Dữ liệu Thẻ thanh toán (PCI DSS) là tiêu chuẩn bảo mật thông tin quyền sở hữu được quản lý bởi Hội đồng Tiêu chuẩn Bảo mật PCI, được thành lập bởi American Express, Discover Financial Services, JCB International, MasterCard Worldwide và Visa Inc.

PCI DSS áp dụng cho các chủ thể lưu trữ, xử lý hoặc truyền dữ liệu chủ thẻ (CHD) hoặc dữ liệu xác thực nhạy cảm (SAD), bao gồm thương gia, nhà xử lý, tổ chức thanh toán, nhà phát hành và nhà cung cấp dịch vụ. PCI DSS được hãng thẻ ủy nhiệm và do Hội đồng Tiêu chuẩn Bảo mật Thẻ thanh toán quản lý.

Khách hàng có thể xem Chứng nhận Tuân thủ (AOC) và Tóm tắt trách nhiệm của PCI DSS thông qua AWS Artifact, cổng thông tin tự phục vụ cho truy cập theo nhu cầu vào các báo cáo tuân thủ của AWS. Đăng nhập vào AWS Artifact trong Bảng điều khiển quản lý AWS, hoặc tìm hiểu thêm tại Bắt đầu với AWS Artifact.

Bạn có thắc mắc? Hãy kết nối với đại diện kinh doanh AWS
Bạn đang khám phá vai trò của tuân thủ?
Hãy đăng ký ngay hôm nay »
Bạn muốn cập nhật Tuân thủ AWS?
Hãy theo dõi chúng tôi trên Twitter »