ภาพรวม

มาตรฐานการรักษาความปลอดภัยของข้อมูลของอุตสาหกรรมบัตรชำระเงิน (PCI DSS) คือมาตรฐานการรักษาความปลอดภัยของข้อมูลที่เป็นกรรมสิทธิ์ซึ่งควบคุมดูแลโดยคณะกรรมการมาตรฐานการรักษาความปลอดภัยของ PCI ซึ่งก่อตั้งโดย American Express, Discover Financial Services, JCB International, MasterCard Worldwide และ Visa Inc.

PCI DSS ใช้เอนทิตีที่จัดเก็บ ประมวลผล หรือส่งข้อมูลของผู้ถือบัตร (CHD) หรือข้อมูลการตรวจสอบสิทธิ์ที่มีความละเอียดอ่อน (SAD) ซึ่งรวมถึงผู้ค้า ผู้ประมวลผล ผู้รับบัตร ผู้ออกบัตร และผู้ให้บริการ PCI DSS เป็นคำสั่งที่ออกโดยแบรนด์บัตรและควบคุมดูแลโดยคณะกรรมการมาตรฐานการรักษาความปลอดภัยของอุตสาหกรรมบัตรชำระเงิน

ลูกค้าสามารถเข้าถึงหลักฐานยืนยันการปฏิบัติตามข้อกำหนด (AOC) และสรุปหน้าที่ของ PCI DSS ได้ผ่าน AWS Artifact ซึ่งเป็นพอร์ทัลบริการตนเองสำหรับเข้าถึงรายงานการปฏิบัติตามข้อกำหนดของ AWS ได้ตามความต้องการ ลงชื่อเข้าใช้ AWS Artifact ใน AWS Management Console (คอนโซลการจัดการของ AWS) หรือเรียนรู้เพิ่มเติมได้ที่การเริ่มต้นใช้งาน AWS Artifact

โลโก้ PCI

หัวข้อของหน้า

คำถามที่พบบ่อยทั่วไป
3
AWS บน PCI DSS
17

คำถามที่พบบ่อยทั่วไป

เปิดทั้งหมด

ใช่ คุณสามารถดาวน์โหลดมาตรฐาน PCI DSS ได้จากคลังเอกสารของคณะกรรมการมาตรฐานการรักษาความปลอดภัยของ PCI

บริษัทต่าง ๆ ใช้แนวทางหลักสองประการเพื่อยืนยันการปฏิบัติตามข้อกำหนดของ PCI DSS เป็นประจำทุกปี แนวทางแรกคือการให้ผู้ประเมินความปลอดภัยอิสระที่มีคุณสมบัติเหมาะสม (QSA) มาประเมินสภาพแวดล้อมที่ใช้งานได้ของคุณ จากนั้นจึงสร้างรายงานการปฏิบัติตามข้อกำหนด (ROC) และหลักฐานยืนยันการปฏิบัติตามข้อกำหนด (AOC) โดยแนวทางนี้เป็นแนวทางที่นิยมใช้มากที่สุดสำหรับเอนทิตีที่จัดการกับธุรกรรมเป็นจำนวนมาก แนวทางที่สองคือการใช้แบบสอบถามเพื่อประเมินตนเอง (SAQ) โดยแนวทางนี้เป็นแนวทางที่นิยมใช้มากที่สุดสำหรับเอนทิตีที่จัดการกับธุรกรรมจำนวนน้อย

สิ่งสำคัญที่ควรทราบคือแบรนด์และผู้รับบัตรชำระเงินมีหน้าที่รับผิดชอบต่อการบังคับใช้การปฏิบัติตามข้อกำหนด ซึ่งไม่ใช่หน้าที่ของคณะกรรมการ PCI

ด้านล่างนี้คือภาพรวมของข้อกำหนด PCI DSS ในระดับสูง

สร้างและรักษาเครือข่ายและระบบให้ปลอดภัย

  • ติดตั้งและบำรุงรักษาการควบคุมความปลอดภัยเครือข่าย
  • ใช้การกำหนดค่าที่ปลอดภัยกับส่วนประกอบของระบบทั้งหมด

ปกป้องข้อมูลบัญชี

  • ปกป้องข้อมูลบัญชีที่จัดเก็บไว้
  • ปกป้องข้อมูลผู้ถือบัตรโดยใช้การเข้ารหัสที่แน่นหนาระหว่างการส่งข้อมูลผ่านเครือข่ายสาธารณะแบบเปิด

ดูแลโปรแกรมการจัดการช่องโหว่ด้านความปลอดภัย

  • ปกป้องระบบและเครือข่ายทั้งหมดจากซอฟต์แวร์ที่เป็นอันตราย
  • พัฒนาและบำรุงรักษาระบบและซอฟต์แวร์ที่ปลอดภัย

ใช้มาตรการควบคุมการเข้าถึงที่รัดกุม

  • จำกัดการเข้าถึงส่วนประกอบของระบบและข้อมูลผู้ถือบัตรตามความจำเป็นทางธุรกิจที่ต้องรู้
  • ยืนยันตัวตนผู้ใช้และรับรองความถูกต้องเพื่อเข้าถึงองค์ประกอบในระบบ
  • จำกัดการเข้าถึงข้อมูลของผู้ถือบัตรทางกายภาพ

ตรวจสอบและทดสอบเครือข่ายเป็นประจำ

  • บันทึกและตรวจสอบการเข้าถึงส่วนประกอบของระบบและข้อมูลผู้ถือบัตร
  • ทดสอบความปลอดภัยของระบบและเครือข่ายอย่างสม่ำเสมอ

รักษานโยบายด้านความปลอดภัยของข้อมูล

  • ส่งเสริมความปลอดภัยของข้อมูลโดยใช้นโยบายและโปรแกรมขององค์กร

AWS บน PCI DSS

เปิดทั้งหมด

ใช่ Amazon Web Services (AWS) ได้รับการรับรองว่าเป็นผู้ให้บริการมาตรฐาน PCI DSS ระดับ 1 ซึ่งเป็นระดับการประเมินสูงสุดที่มี การประเมินการปฏิบัติตามข้อกำหนดจัดทำโดย Coalfire Systems Inc. ซึ่งเป็นผู้ประเมินความปลอดภัยอิสระที่มีคุณสมบัติ (QSA) ลูกค้าสามารถเข้าถึงหลักฐานยืนยันการปฏิบัติตามข้อกำหนด (AOC) และสรุปหน้าที่ของ PCI DSS ได้ผ่าน AWS Artifact ซึ่งเป็นพอร์ทัลบริการตนเองสำหรับเข้าถึงรายงานการปฏิบัติตามข้อกำหนดของ AWS ได้ตามความต้องการ ลงชื่อเข้าใช้ AWS Artifact ใน AWS Management Console (คอนโซลการจัดการของ AWS) หรือเรียนรู้เพิ่มเติมได้ที่การเริ่มต้นใช้งาน AWS Artifact

ดูรายการบริการของ AWS ที่เป็นไปตามข้อกำหนดของ PCI DSS ได้ในแท็บ PCI บนเว็บเพจบริการของ AWS ตามขอบเขตของโปรแกรมการปฏิบัติตามข้อกำหนด สำหรับข้อมูลเพิ่มเติมเกี่ยวกับการใช้บริการเหล่านี้ โปรดติดต่อเรา

ในฐานะลูกค้าที่ใช้บริการของ AWS เพื่อจัดเก็บ ประมวลผล หรือส่งข้อมูลผู้ถือบัตร คุณสามารถพึ่งพาโครงสร้างพื้นฐานด้านเทคโนโลยีของ AWS ขณะที่บริหารการรับรองการปฏิบัติตามข้อกำหนดของ PCI DSS ของคุณเองได้

AWS จะไม่จัดเก็บ ส่ง หรือประมวลผลข้อมูลผู้ถือบัตร (CHD) ของลูกค้าใด ๆ โดยตรง อย่างไรก็ตาม คุณอาจสร้างสภาพแวดล้อมของข้อมูลผู้ถือบัตร (CDE) ขึ้นเองเพื่อจัดเก็บ ส่ง หรือประมวลผลข้อมูลผู้ถือบัตรโดยใช้บริการของ AWS ได้

แม้ว่าคุณจะไม่ใช่ลูกค้าของ PCI DSS แต่การปฏิบัติตามข้อกำหนดของ PCI DSS ของเราก็แสดงให้เห็นถึงความยึดมั่นต่อการรักษาความปลอดภัยของข้อมูลในทุกระดับ โปรแกรมการจัดการความปลอดภัยของเรามีความครอบคลุมและเป็นไปตามแนวทางปฏิบัติของอุตสาหกรรมชั้นนำตามมาตรฐานของ PCI DSS ที่ได้รับการยืนยันโดยองค์กรอิสระจากภายนอก

ลูกค้าต้องจัดการรับรองการปฏิบัติตามข้อกำหนดของ PCI DSS เองและต้องมีการตรวจสอบเพิ่มเติมเพื่อยืนยันว่าสภาพแวดล้อมของคุณสอดคล้องกับข้อกำหนดของ PCS DSS ทุกข้อ อย่างไรก็ตาม สำหรับสภาพแวดล้อมของข้อมูลผู้ถือบัตร PCI (CDE) ที่ใช้งานใน AWS ผู้ประเมินความปลอดภัยที่มีคุณสมบัติเหมาะสม (QSA) สามารถใช้หลักฐานยืนยันการปฏิบัติตามข้อกำหนด (AOC) ของ AWS ได้โดยไม่ต้องทำการตรวจสอบเพิ่มเติม

สำหรับข้อมูลอย่างละเอียด โปรดดูที่ "สรุปหน้าที่ของ AWS PCI DSS" ในแพคเกจการปฏิบัติตามข้อกำหนดของ AWS PCI DSS โดยลูกค้าสามารถเข้าไปใช้งานได้ทาง AWS Artifact ซึ่งเป็นพอร์ทัลบริการตนเองสำหรับเข้าถึงรายงานการปฏิบัติตามข้อกำหนดของ AWS ได้ตามความต้องการ ลงชื่อเข้าใช้ AWS Artifact ใน AWS Management Console (คอนโซลการจัดการของ AWS) หรือเรียนรู้เพิ่มเติมได้ที่การเริ่มต้นใช้งาน AWS Artifact นอกจากนี้ ลูกค้ายังสามารถขอรับบริการให้คำปรึกษาด้านการตรวจสอบและการปฏิบัติตามข้อกำหนดจากทีม AWS Security Assurance Services ได้อีกด้วย

ลูกค้าสามารถเข้าถึงแพคเกจการปฏิบัติตามข้อกำหนดของ AWS PCI ได้ผ่าน AWS Artifact ซึ่งเป็นพอร์ทัลบริการตนเองสำหรับการเข้าถึงรายงานการปฏิบัติตามข้อกำหนดของ AWS ได้ตามความต้องการ ลงชื่อเข้าใช้ AWS Artifact ใน AWS Management Console (คอนโซลการจัดการของ AWS) หรือเรียนรู้เพิ่มเติมได้ที่การเริ่มต้นใช้งาน AWS Artifact

แพ็กเกจการปฏิบัติตามข้อกำหนดของ AWS PCI ประกอบด้วย:

  • หลักฐานยืนยันการปฏิบัติตามข้อกำหนด (AOC) ของ AWS PCI DSS 3.2.1
  • สรุปหน้าที่ของ AWS PCI DSS 3.2.1

ใช่ AWS ได้รับการระบุรายชื่อทั้งใน Visa Global Registry of Service Providers และ MasterCard Compliant Service Provider List รายการผู้ให้บริการยังแสดงให้เห็นว่า AWS ประสบความสำเร็จในการยืนยันการปฏิบัติตามข้อกำหนดของ PCI DSS และตรงตามข้อกำหนดของโปรแกรม Visa และ MasterCard ทั้งหมดที่เกี่ยวข้องอีกด้วย

ไม่ สภาพแวดล้อม AWS เป็นสภาพแวดล้อมแบบจำลองสำหรับผู้เช่าหลายราย AWS ได้ดำเนินการอย่างมีประสิทธิภาพในกระบวนการจัดการด้านความปลอดภัย ข้อกำหนดของ PCI DSS และการควบคุมเพื่อการทดแทนอื่น ๆ ซึ่งได้แยกลูกค้าแต่ละรายตามสภาพแวดล้อมที่ได้รับการคุ้มครองอย่างมีประสิทธิภาพและปลอดภัย สถาปัตยกรรมที่ปลอดภัยนี้ผ่านการตรวจสอบโดย QSA อิสระและพบว่ามีการปฏิบัติตามข้อกำหนดของ PCI DSS ที่เกี่ยวข้องทั้งหมด

คณะกรรมการมาตรฐานการรักษาความปลอดภัยของ PCI ได้เผยแพร่แนวทางการประมวลผลบนคลาวด์ของ PCI DSS สำหรับลูกค้า ผู้ให้บริการ และผู้ประเมินของบริการประมวลผลบนคลาวด์ ซึ่งยังมีการอธิบายโมเดลการบริการและวิธีการแชร์บทบาทและความรับผิดชอบในการปฏิบัติตามข้อกำหนดระหว่างผู้ให้บริการกับลูกค้าอีกด้วย

ไม่ หลักฐานยืนยันการปฏิบัติตามข้อกำหนด (AOC) ของ AWS จะแสดงให้เห็นการประเมินแบบครอบคลุมของการควบคุมความปลอดภัยทางกายภาพของศูนย์ข้อมูลของ AWS QSA ของผู้ค้าไม่จำเป็นต้องตรวจสอบความปลอดภัยของศูนย์ข้อมูลของ AWS

AWS ไม่ถือว่าเป็น "ผู้ให้บริการโฮสต์ที่ใช้ร่วมกัน" ภายใต้ PCI-DSS ดังนั้น ข้อกำหนด DSS A1.4 จึงใช้ไม่ได้ ภายใต้โมเดลความรับผิดชอบร่วมกันของเรา เราอนุญาตให้ลูกค้าของเราดำเนินการตรวจสอบเพื่อพิสูจน์หลักฐานทางดิจิทัลในสภาพแวดล้อม AWS ของตนโดยไม่จำเป็นต้องมีการช่วยเหลือเพิ่มเติมจาก AWS โดยการอนุญาตนี้มีผลทั้งกับการใช้บริการของ AWS และโซลูชันจากบริษัทภายนอกที่มีให้บริการผ่าน AWS Marketplace สำหรับข้อมูลเพิ่มเติม โปรดดูแหล่งข้อมูลต่อไปนี้:

ตราบใดที่คุณใช้บริการของ AWS ที่ปฏิบัติตามข้อกำหนดของ PCI DSS โครงสร้างพื้นฐานทั้งหมดที่รองรับบริการในขอบเขตจะเป็นไปตามข้อกำหนดและจะไม่มีสภาพแวดล้อมแยกหรือต้องใช้ API พิเศษ เซิร์ฟเวอร์หรืออ็อบเจกต์ข้อมูลที่ติดตั้งใช้จริงหรือกำลังใช้บริการเหล่านี้อยู่ทั่วโลกจะเป็นไปตามข้อกำหนดของ PCI DSS ดูรายการบริการของ AWS ที่เป็นไปตามข้อกำหนดของ PCI DSS ได้ในแท็บ PCI บนเว็บเพจบริการของ AWS ตามขอบเขตของโปรแกรมการปฏิบัติตามข้อกำหนด

ใช่ โปรดดูที่ PCI DSS AOC ล่าสุดใน AWS Artifact เพื่อดูรายชื่อตำแหน่งที่ตั้งทั้งหมดที่เป็นไปตามข้อกำหนด

มี ลูกค้า AWS หลายรายเคยปรับใช้และได้รับการรับรองสภาพแวดล้อมของผู้ถือบัตรบางส่วนหรือทั้งหมดบน AWS มาแล้ว AWS จะไม่เปิดเผยลูกค้าที่เคยได้รับใบรับรอง PCI DSS แต่จะร่วมวางแผน ปรับใช้ รับรอง และแสดงการตรวจสภาพแวดล้อมของผู้ถือบัตรบน AWS กับลูกค้าและผู้ประเมินของ PCI DSS เป็นประจำทุกไตรมาส

ใช่ AWS CloudHSM ได้รับการรับรอง PCI PIN และ AWS Payment Cryptography ได้รับการรับรอง PCI PIN และ P2PE รายงานเหล่านี้มีอยู่ใน AWS Artifact สำหรับการใช้งานของลูกค้า

ใช่ รายงาน PCI 3DS ประจำปีของเรามีอยู่ใน Artifact แม้ว่า AWS จะไม่ได้ดำเนินการฟังก์ชัน 3DS โดยตรง แต่การรับรองการปฏิบัติตามข้อกำหนดของ AWS PCI 3DS จะสามารถช่วยให้ลูกค้าปฏิบัติตามข้อกำหนด PCI 3DS ของตนเองสำหรับบริการที่ทำงานบน AWS ได้

PCI DSS

ภาพรวม

มาตรฐานการรักษาความปลอดภัยของข้อมูลของอุตสาหกรรมบัตรชำระเงิน (PCI DSS) คือมาตรฐานการรักษาความปลอดภัยของข้อมูลที่เป็นกรรมสิทธิ์ซึ่งควบคุมดูแลโดยคณะกรรมการมาตรฐานการรักษาความปลอดภัยของ PCI ซึ่งก่อตั้งโดย American Express, Discover Financial Services, JCB International, MasterCard Worldwide และ Visa Inc.

PCI DSS ใช้เอนทิตีที่จัดเก็บ ประมวลผล หรือส่งข้อมูลของผู้ถือบัตร (CHD) หรือข้อมูลการตรวจสอบสิทธิ์ที่มีความละเอียดอ่อน (SAD) ซึ่งรวมถึงผู้ค้า ผู้ประมวลผล ผู้รับบัตร ผู้ออกบัตร และผู้ให้บริการ PCI DSS เป็นคำสั่งที่ออกโดยแบรนด์บัตรและควบคุมดูแลโดยคณะกรรมการมาตรฐานการรักษาความปลอดภัยของอุตสาหกรรมบัตรชำระเงิน

ลูกค้าสามารถเข้าถึงหลักฐานยืนยันการปฏิบัติตามข้อกำหนด (AOC) และสรุปหน้าที่ของ PCI DSS ได้ผ่าน AWS Artifact ซึ่งเป็นพอร์ทัลบริการตนเองสำหรับเข้าถึงรายงานการปฏิบัติตามข้อกำหนดของ AWS ได้ตามความต้องการ ลงชื่อเข้าใช้ AWS Artifact ใน AWS Management Console หรือเรียนรู้เพิ่มเติมได้ที่การเริ่มต้นใช้งาน AWS Artifact

มีคำถามหรือไม่ เชื่อมต่อกับตัวแทนธุรกิจของ AWS
ต้องการสำรวจบทบาทด้านการปฏิบัติตามข้อกำหนดใช่ไหม
สมัครวันนี้ »
ต้องการข่าวสารการอัปเดตเกี่ยวกับการปฏิบัติตามข้อกำหนดของ AWS ใช่ไหม
ติดตามเราบน Twitter »