Visão geral

O Padrão de Segurança de Dados do Setor de Cartões de Pagamento (PCI DSS) é um padrão de segurança de informações proprietárias administrado pelo PCI Security Standards Council, que foi fundado pelas seguintes empresas: American Express, Discover Financial Services, JCB International, MasterCard Worldwide e Visa Inc.

O PCI DSS aplica-se às entidades que armazenam, processam ou transmitem dados do titular do cartão (CHD, da sigla em inglês) ou dados confidenciais de autenticação (SAD, da sigla em inglês), como comerciantes, processadores, compradores, emissores e fornecedores de serviços. O PCI DSS é aplicado pelas bandeiras de cartão de pagamento e administrado pelo Payment Card Industry Security Standards Council.

O Atestado de Conformidade (AOC, da sigla em inglês) e o Resumo de Responsabilidades do PCI DSS estão disponíveis para os clientes por meio do AWS Artifact, um portal de autoatendimento para acesso sob demanda a relatórios de conformidade da AWS. Faça login no AWS Artifact usando o Console de Gerenciamento da AWS ou saiba mais informações em Conceitos básicos do AWS Artifact.

logotipo da PCI

Perguntas frequentes gerais

Abrir tudo

Sim. Você pode fazer download do padrão PCI DSS na biblioteca de documentos do PCI Security Standards Council.

Existem duas abordagens principais que as empresas usam para validar anualmente sua conformidade com o PCI DSS. A primeira é ter um Qualified Security Assessor (QSA – Avaliador de segurança qualificado) externo para avaliar seu ambiente aplicável e, então, criar um Report on Compliance (ROC – Relatório sobre a conformidade) e um Attestation of Compliance (AOC – Atestado de conformidade). Essa abordagem é a mais comum para entidades que administram grandes volumes de transações. A segunda abordagem é executar um questionário de autoavaliação (SAQ). Essa abordagem é a mais comum para entidades que administram volumes menores de transações.

É importante observar que as bandeiras de cartões de pagamento e os compradores são responsáveis por aplicar a conformidade, não o PCI Council.

Veja abaixo uma visão geral básica dos requisitos do PCI DSS.

Criar e manter uma rede e sistemas seguros

  • Instale e mantenha controles de segurança de rede.
  • Aplique configurações seguras a todos os componentes do sistema.

Proteger os dados da conta

  • Proteja os dados armazenados da conta.
  • Proteja os dados do titular do cartão com criptografia forte durante a transmissão em redes públicas abertas.

Manter um programa de gerenciamento de vulnerabilidades

  • Proteja todos os sistemas e redes contra software malicioso.
  • Desenvolva e mantenha sistemas e software seguros.

Implementar medidas rigorosas de controle de acesso

  • Restrinja o acesso a componentes do sistema e a dados de titulares de cartões com base na necessidade comercial de conhecê-los.
  • Identifique usuários e autentique o acesso a componentes do sistema.
  • Restrinja o acesso físico aos dados de titulares de cartões.

Monitorar e testar redes com frequência

  • Registre em log e monitore todo o acesso aos componentes do sistema e aos dados de titulares de cartões.
  • Teste regularmente a segurança de sistemas e redes.

Manter uma política de segurança da informação

  • Apoie a segurança da informação com políticas e programas organizacionais.

AWS no PCI DSS

Abrir tudo

Sim, a Amazon Web Services (AWS) é certificada como um provedor de serviços PCI DSS nível 1, o mais alto nível de avaliação disponível. A avaliação de conformidade foi realizada pela Coalfire Systems Inc., um Qualified Security Assessor (QSA – Avaliador de segurança qualificado). O Attestation of Compliance (AOC – Atestado de conformidade) e o resumo de responsabilidades do PCI DSS estão disponíveis para os clientes por meio do AWS Artifact, um portal de autoatendimento para acesso sob demanda a relatórios de conformidade da AWS. Faça login no AWS Artifact no Console de Gerenciamento da AWS ou saiba mais em Conceitos básicos do AWS Artifact.

Para obter a lista de serviços da AWS em conformidade com o PCI DSS, consulte a guia PCI na página da web Serviços da AWS no escopo pelo programa de conformidade. Para obter mais informações sobre o uso desses serviços, entre em contato conosco.

Como um cliente que usa serviços da AWS para armazenar, processar ou transmitir dados de titulares de cartão, você pode confiar na infraestrutura de tecnologia da AWS para gerenciar a sua própria certificação de conformidade com o PCI DSS.

A AWS não armazena, transmite ou processa diretamente nenhum dado dos titulares de cartões (CHD, da sigla em inglês) dos clientes. No entanto, você pode criar seu próprio Cardholder Data Environment (CDE – Ambiente de dados de titulares de cartão), em que é possível armazenar, transmitir ou processar dados do titular do cartão usando serviços da AWS.

Mesmo que você não seja um cliente vinculado ao PCI DSS, nossa conformidade com o PCI DSS demonstra o nosso compromisso com a segurança das informações em todos os níveis. Como o padrão PCI DSS foi validado por uma avaliação externa terceirizada independente, confirma que nosso programa de gerenciamento de segurança é abrangente e segue as principais práticas do setor.

Os clientes devem gerenciar sua própria certificação de conformidade com o PCI DSS. Serão necessários testes adicionais para verificar se o seu ambiente atende a todos os requisitos do PCS DSS. No entanto, para a parte do Cardholder Data Environment (CDE – Ambiente de dados do titular do cartão) do PCI implementada na AWS, o Qualified Security Assessor (QSA – Avaliador de segurança qualificado) pode confiar no Attestation of Compliance (AOC – Atestado de conformidade) da AWS sem testes adicionais.

Para obter informações detalhadas, consulte o “Resumo de responsabilidade do PCI DSS da AWS” no Pacote de conformidade com o PCI DSS da AWS disponível para os nossos clientes por meio do AWS Artifact, um portal de autoatendimento para acesso sob demanda aos relatórios de conformidade da AWS. Faça login no AWS Artifact usando o Console de Gerenciamento da AWS ou saiba mais informações em Conceitos básicos do AWS Artifact. Os clientes também podem solicitar serviços de consultoria de auditoria e conformidade da equipe de Serviços de garantia de segurança da AWS.

O Pacote de conformidade com o PCI da AWS está disponível para os clientes que usam o AWS Artifact, um portal de autoatendimento para acesso sob demanda a relatórios de conformidade da AWS. Faça login no AWS Artifact usando o Console de Gerenciamento da AWS ou saiba mais informações em Conceitos básicos do AWS Artifact.

O Pacote de conformidade com o PCI da AWS inclui:

  • Atestado de conformidade (AOC) com o PCI DSS 3.2.1 da AWS
  • Resumo de responsabilidade do PCI DSS 3.2.1 da AWS

Sim, a AWS faz parte da lista do Registro global de provedores de serviços Visa e da Lista de provedores de serviços compatíveis com a MasterCard. As listas de provedores de serviços demonstram claramente que a AWS validou com êxito a compatibilidade com o PCI DSS e atendeu a todos os requisitos aplicáveis do programa da Visa e da MasterCard.

Não. O ambiente da AWS é um ambiente virtualizado multilocatário. A AWS implementou efetivamente processos de gestão da segurança, requisitos do PCI DSS e outros controles compensatórios que segregam de forma efetiva e segura cada cliente no seu próprio ambiente protegido. Essa arquitetura segura foi validada por um Qualified Security Assessor (QSA – Avaliador de segurança qualificado) independente e foi determinado que ela está em conformidade com todos os requisitos aplicáveis do PCI DSS.

O PCI Security Standards Council publicou as Diretrizes de computação em nuvem do PCI DSS para clientes, provedores de serviços e avaliadores de serviços de computação em nuvem. Além de descreverem modelos de serviço, também mostram como funções e responsabilidades de conformidade são compartilhadas entre provedores e clientes.

Não. O Attestation of Compliance (AOC – Atestado de conformidade) da AWS demonstra uma avaliação extensa dos controles de segurança física dos datacenters da AWS. Não é necessário que o QSA de um comerciante verifique a segurança dos datacenters da AWS.

A AWS não é considerada um “Provedor de hospedagem compartilhada” no âmbito do PCI-DSS. Por esse motivo, o requisito A1.4 do DSS não é aplicável. Conforme o nosso Modelo de Responsabilidade Compartilhada, capacitamos nossos clientes a realizar investigações forenses digitais em seus próprios ambientes da AWS sem precisar de assistência adicional da AWS. Essa capacitação é fornecida por meio dos serviços da AWS e de soluções de terceiros disponíveis por meio do AWS Marketplace. Para obter mais informações, consulte os recursos a seguir:

Desde que você esteja usando os serviços da AWS que estão em conformidade com o PCI DSS, toda a infraestrutura que oferece suporte a serviços no escopo estará em conformidade e não haverá um ambiente separado nem uma API especial a ser usada. Qualquer servidor ou objeto de dados implantado ou que utilize esses serviços está em um ambiente em compatibilidade com o PCI DSS, globalmente. Para obter a lista de serviços da AWS em conformidade com o PCI DSS, consulte a guia PCI na página da web Serviços da AWS no escopo pelo programa de conformidade.

Sim. Consulte o AOC mais recente do PCI DSS no AWS Artifact para obter a lista completa de locais em conformidade.

Sim. Vários clientes da AWS implantaram com sucesso e certificaram parte ou todos os ambientes de titulares de cartão na AWS. A AWS não revela os clientes que obtiveram a certificação do PCI DSS, mas trabalha frequentemente com seus clientes e avaliadores do PCI DSS no planejamento, na implantação, na certificação e na execução de verificações quadrimestrais dos ambientes do titular do cartão na AWS.

Sim, o AWS CloudHSM tem certificação PCI PIN e o AWS Payment Cryptography tem certificação PCI PIN e P2PE. Os respectivos relatórios estão disponíveis no AWS Artifact para uso do cliente.

Sim, nossos relatórios anuais do PCI 3DS estão disponíveis no Artifact. Embora a AWS não execute funções 3DS diretamente, a atestação de conformidade com o PCI 3DS da AWS pode ajudar os clientes a obter sua própria conformidade com o PCI 3DS para seus serviços executados na AWS.

PCI DSS

Visão geral

O Padrão de segurança de dados do Setor de cartões de pagamento (PCI DSS) é um padrão de segurança de informações exclusivas administrado pelo PCI Security Standards Council, o qual foi fundado pelas seguintes empresas: American Express, Discover Financial Services, JCB International, MasterCard Worldwide e Visa Inc.

O PCI DSS aplica-se às entidades que armazenam, processam ou transmitem Cardholder Data (CHD – Dados do titular do cartão) ou Sensitive Authentication Data (SAD – Dados confidenciais de autenticação), como comerciantes, processadores, compradores, emissores e fornecedores de serviços. O PCI DSS é controlado pelas bandeiras de cartão de pagamento e administrado pelo Payment Card Industry Security Standards Council.

O Attestation of Compliance (AOC – Atestado de conformidade) e o resumo de responsabilidades do PCI DSS estão disponíveis para os clientes por meio do AWS Artifact, um portal de autoatendimento para acesso sob demanda a relatórios de conformidade da AWS. Faça login no AWS Artifact no Console de Gerenciamento da AWS ou saiba mais em Conceitos básicos do AWS Artifact.

Dúvidas? Entre em contacto com um representante comercial da AWS
Está a explorar funções de conformidade?
Inscreva-se hoje »
Quer ficar atualizado sobre a Conformidade da AWS?
Siga-nos no Twitter »