PCI DSS

نظرة عامة

معيار أمن بيانات صناعة بطاقات الدفع (PCI DSS) هو معيار أمن معلومات مسجل الملكية يديره مجلس المعايير الأمنية لصناعة بطاقات الدفع، الذي تم تأسيسه من قِبل American Express، وDiscover Financial Services، وJCB International، وMasterCard Worldwide وVisa Inc.

يُطبَّق معيار PCI DSS على الكيانات التي تخزن بيانات حاملي البطاقات (CHD)، أو بيانات المصادقة الحساسة (SAD)، أو تعالجها أو تنقلها، بمن في ذلك التجار والمعالجون والمحصِّلون وجهات الإصدار ومزودو الخدمات. تلتزم العلامات التجارية للبطاقات بتطبيق المعيار PCI DSS، ويديره مجلس المعايير الأمنية لصناعة بطاقات الدفع.

يستطيع العملاء مطالعة "التصديق على الامتثال (AOC) للمعيار PCI DSS" و"ملخص المسؤولية" من خلال AWS Artifact، وهي بوابة خدمة ذاتية تتيح الوصول إلى تقارير امتثال AWS عند الطلب. سجِّل الدخول إلى AWS Artifact في وحدة إدارة تحكم AWS، أو اطّلع على المزيد من المعلومات من خلال أساسيات البدء مع AWS Artifact.

• هل AWS حاصلة على اعتماد PCI DSS؟

  نعم، إن Amazon Web Services (AWS) معتمدة وفقًا لشهادة "PCI DSS المستوى 1 - مزود خدمات"، وهي أعلى مستوى تقييم متاح. لقد أُجريَ تقييم الامتثال هذا من قِبَل شركة Coalfire Systems Inc.، وهي "مقيِّم أمني مؤهل" (QSA) مستقل. يستطيع العملاء مطالعة "التصديق على الامتثال (AOC) للمعيار PCI DSS" و"ملخص المسؤولية" من خلال AWS Artifact، وهي بوابة خدمة ذاتية تتيح الوصول إلى تقارير امتثال AWS عند الطلب. سجِّل الدخول إلى AWS Artifact في وحدة إدارة تحكم AWS أو اطّلع على المزيد من المعلومات من خلال أساسيات البدء مع AWS Artifact.
  

• ما خدمات AWS الممتثلة للمعيار PCI DSS؟

  للاطلاع على قائمة خدمات AWS التي تمتثل للمعيار PCI DSS، انظر علامة تبويب "PCI" على صفحتنا الإلكترونية "خدمات AWS ضمن نطاق برنامج الامتثال". لمزيد من المعلومات عن استخدام هذه الخدمات، يرجى الاتصال بنا.
  

• ماذا يعني أن أكون تاجرًا أو مزود خدمات ممتثلًا للمعيار PCI DSS؟

  بصفتك عميلًا يستخدم خدمات AWS لتخزين بيانات حاملي البطاقات أو معالجتها أو نقلها، يمكنك الاعتماد على البنية الأساسية التكنولوجية لدى AWS، في حين تدير شهادة امتثال PCI DSS الخاصة بك.

  لا تقوم AWS بتخزين بيانات حاملي بطاقات العملاء (CHD)، أو نقلها، أو معالجتها بشكل مباشر. ولكن يمكنك إنشاء بيئة بيانات حاملي البطاقات (CDE) الخاصة بك تستطيع من خلالها تخزين بيانات حاملي البطاقات، أو نقلها، أو معالجتها باستخدام خدمات AWS.
  

• ما الذي يعنيه بالنسبة لي أن أكون عميلًا تاجرًا غير ممتثل للمعيار DSS PCI؟

  حتى إن كنت عميلًا غير ممتثل للمعيار PCI DSS، فإن امتثالنا لهذا المعيار يدل على التزامنا بأمن المعلومات على جميع المستويات. نظرًا إلى أن معيار PCI DSS يجب التصديق عليه من جانب طرف ثالث مستقل خارجي، فهذا يؤكد أن برنامج الإدارة الأمنية لدينا شامل ويتبع الممارسات الصناعية الرائدة.
  

• باعتباري عميلاَ لدى AWS، هل يمكنني الاعتماد على "التصديق على الامتثال" (AOC) الخاص بـ AWS، أم أن الأمر يتطلب اختبارًا إضافيًا من أجل الامتثال الكامل؟

  يتعين أن يدير كل عميل شهادة امتثاله للمعيار PCI DSS، ويلزم إجراء اختبار إضافي للتحقق من أن بيئته تفي بجميع متطلبات PCS DSS. ولكن، بالنسبة للجزء من بيئة بيانات حاملي البطاقات (CDE) في إطار صناعة بطاقات الدفع (PCI) لديك المنشور على AWS، يستطيع "المقيِّم الأمني المؤهل" (QSA) أن يعتمد على التصديق على الامتثال (AOC) الخاص بـ AWS بدون إجراء المزيد من الاختبارات.
  

• كيف يمكنني معرفة وحدات تحكم PCI DSS التي تقع ضمن مسؤوليتي؟

  للحصول على معلومات تفصيلية، يرجى الاطلاع على "ملخص مسؤولية AWS PCI DSS" من "مجموعة امتثال AWS PCI DSS"، المتاح للعملاء من خلال AWS Artifact، وهي بوابة خدمات ذاتية تتيح الوصول إلى تقارير امتثال AWS عند الطلب. سجِّل الدخول إلى AWS Artifact في وحدة إدارة تحكم AWS أو اطّلع على المزيد من المعلومات من خلال أساسيات البدء مع AWS Artifact. يمكن للعملاء أيضًا طلب خدمات المراجعة والامتثال الاستشارية من فريق AWS Security Assurance Services.

• كيف يمكنني الحصول على "مجموعة امتثال AWS PCI"؟

  يستطيع العملاء مطالعة "مجموعة امتثال AWS PCI" من خلال AWS Artifact، وهي بوابة خدمات ذاتية تتيح الوصول إلى تقارير امتثال AWS عند الطلب. سجِّل الدخول إلى AWS Artifact في وحدة إدارة تحكم AWS أو اطّلع على المزيد من المعلومات من خلال أساسيات البدء مع AWS Artifact.
  

• علامَ تحتوي "مجموعة امتثال AWS PCI DSS"؟

  تتضمن "مجموعة امتثال AWS PCI" ما يلي:

  • التصديق على الامتثال (AOC) AWS PCI DSS 3.2.1
  • ملخص مسؤولية AWS PCI DSS 3.2.1

• هل ِAWS مدرجة في "سجل Visa العالمي لمزودي الخدمات" و"قائمة MasterCard لمزودي الخدمات الممتثلين"؟

  نعم، إن AWS مدرجة في كل من "سجل Visa العالمي لمزودي الخدمات" و"قائمة MasterCard لمزودي الخدمات الممتثلين". من شأن إدراج AWS في قوائم مزودي الخدمات أن يثبت أيضًا صحة امتثالها للمعيار PCI DSS بنجاح، وأنها قد استوفت جميع متطلبات Visa وبرنامج MasterCard المطبقة.
  

• هل يشترط المعيار PCI DSS أن تكون البيئات ذات مثيل وحيد لكي تكون ممتثلة؟

  لا. فإن بيئة AWS عبارة عن بيئة افتراضية متعددة المثيلات. ولقد نفذت AWS بفعالية عمليات الإدارة الأمنية، ومتطلبات PCI DSS، وغير ذلك من وحدات التحكم التعويضية التي تفصل بين بيئات العملاء المحمية بصورة فعالة وآمنة. وتمت مصادقة هذه البنية الآمنة من قِبل مقيِّم أمني مؤهل (QSA) مستقل، وتبين أنها تمتثل لجميع متطلبات PCI DSS المطبقة.

  لقد نشر مجلس المعايير الأمنية لصناعة بطاقات الدفع "إرشادات الحوسبة السحابية بشأن PCI DSS" للعملاء ومزودي الخدمات ومقيِّمي خدمات الحوسبة السحابية. ويقدم المجلس أيضًا وصفًا لنماذج الخدمات، وكيفية تقاسم أدوار الامتثال ومسؤولياته بين مزودي الخدمات والعملاء.
  

• هل يشترط المقيِّمون الأمنيون المؤهلون إجراء تدقيق مادي لمراكز بيانات AWS لمنح شهادة الامتثال الخاصة بالتجار من المستوى 1؟

  لا. إن التصديق على الامتثال (AOC) الخاص بـ AWS يثبت إجراء تقييم واسع النطاق لوحدات تحكم الأمن المادي لمراكز بيانات AWS. وليس من الضروري أن يتحقق المقيِّم الأمني المؤهل التابع للتاجر من مراكز بيانات AWS.
  

• أتدعم AWS إجراء تحقيقات تشخيصية؟

  لا تُعد AWS "مزودة استضافة مشتركة" في إطارPCI-DSS. وعلى هذا النحو، لا ينطبق مطلب DSS A1.4. وفي إطار نموذج المسؤولية المشتركة لدينا، إننا نمكِّن عملاءنا من إجراء تحقيقات تشخيصية رقمية في بيئات AWS الخاصة بهم بدون الحاجة إلى مساعدة إضافية من AWS. يتوفر هذا التمكين من خلال استخدام كل من خدمات AWS وحلول الأطراف الثالثة المتاحة عن طريق AWS Marketplace. لمزيد من المعلومات، راجع الموارد التالية:

  • تبسيط الاستجابة للحوادث الأمنية والتشخيصات الرقمية على AWS
  • دليل استجابة AWS للحوادث الأمنية

• هل هناك بيئة خاصة ممتثلة للمعيار PCI DSS أحتاج إلى تحديدها عند ربط الخوادم أو تحميل الأشياء المطلوب تخزينها؟

  ما دمت تستخدم خدمات AWS الممتثلة للمعيار PCI DSS، فإن البنية الأساسية بالكامل التي تدعم الخدمات المغطاة ضمن هذا النطاق تكون ممتثلة، ولا توجد بيئة منفصلة، أو واجهة برمجة تطبيقات (API) خاصة من المقرر استخدامها. أي خادم أو كائن بيانات منشور على هذه الخدمات، أو يستخدمها يكون في بيئة ممتثلة للمعيار PCI DSS بشكل عام. وللاطلاع على قائمة خدمات AWS الممتثلة للمعيار PCI DSS، انظر علامة تبويب PCI على صفحة الويب الخاصة بـ خدمات AWS ضمن نطاق برنامج الامتثال.
  

• هل ينطبق امتثال AWS على الصعيد الدولي؟

  نعم. يرجى الرجوع إلى أحدث تصديق على الامتثال للمعيار PCI DSS في AWS Artifact للاطلاع على قائمة كاملة بالمواقع الممتثلة.
  

• هل المعيار PCI DSS عام؟

  نعم. يمكنك تنزيل المعيار PCI DSS من مكتبة وثائق مجلس المعايير الأمنية لصناعة بطاقات الدفع.
  

• هل حصل أي شخص على شهادة PCI DSS على منصة AWS؟

  نعم، فقد نجح العديد من عملاء AWS في نشر بيئات حاملي البطاقات على AWS، واعتمادها جزئيًا أو كليًا. لا تفصح AWS عن العملاء الذين حصلوا على شهادةPCI DSS، ولكنها تعمل بانتظام مع العملاء ومقيِّمي PCI DSS التابعين لهم في التخطيط لبيئة حاملي بطاقات، ونشرها على AWS، واعتمادها، وإجراء فحص فصلي لها.
  

• كيف تمتثل الشركات للمعيار PCI DSS؟

  هناك نهجان رئيسان تتبعهما الشركات للتحقق من امتثالها لمعيار PCI DSS على أساس سنوي. يتلخص النهج الأول في تكليف "مقيِّم أمني مؤهل" (QSA) مستقل بتقييم بيئتك المناسبة، ومن ثم إنشاء "تقرير حول الامتثال" (ROC) وإصدار "تصديق على الامتثال" (AOC)، ويشيع استخدام هذا النهج مع الكيانات التي تتعامل مع كميات كبيرة من المعاملات. أما النهج الثاني، فيتلخص في إجراء استبيان تقييم ذاتي (SAQ)، ويشيع استخدام هذا النهج مع الكيانات التي تتعامل مع كميات أصغر من المعاملات.

  من المهم ملاحظة أن العلامات التجارية والمحصِّلين المعنيين بالمدفوعات مسؤولون عن إنفاذ معايير الامتثال، ولا تقع على المجلس المعني بصناعة بطاقات الدفع أي مسؤولية.
  

• ما شروط امتثال PCI DSS؟

  فيما يلي لمحة عامة رفيعة المستوى عن متطلبات PCI DSS.

  بناء شبكة وأنظمة آمنة وصيانتهما	1. تثبيت عناصر التحكم في أمان الشبكة والحفاظ عليها. 2. تطبيق التكوينات الآمنة على جميع مكونات النظام.
  حماية بيانات الحساب	3. حماية بيانات الحساب المخزنة. 4. حماية بيانات حامل البطاقة بالتشفير القوي أثناء الإرسال عبر الشبكات العامة المفتوحة.
  الحفاظ على برنامج إدارة الثغرات الأمنية	5. حماية جميع الأنظمة والشبكات من البرامج الضارة. 6. تطوير وصيانة أنظمة وبرامج آمنة.
  تنفيذ تدابير قوية للتحكم في الوصول	7. تقييد الوصول إلى مكونات النظام وبيانات حامل البطاقة حسب Business Need to Know. 8. تحديد المستخدمين ومصادقة الوصول إلى مكونات النظام. 9. حظر الوصول المادي إلى بيانات حاملي البطاقات
  رصد الشبكات واختبارها بانتظام	10. تسجيل ومراقبة جميع عمليات الوصول إلى مكونات النظام وبيانات حامل البطاقة. 11. اختبار أمان الأنظمة والشبكات بانتظام
  الحفاظ على سياسة أمن معلومات	12. دعم أمن المعلومات بالسياسات والبرامج التنظيمية.

• هل هناك أي خدمة من خدمات AWS حاصلة على شهادة PCI PIN وPCI P2PE؟

  نعم، AWS CloudHSM حاصلة على شهادة PCI PIN وتشفير الدفع من AWS حاصلة على شهادة PCI PIN وشهادة P2PE. تتوفر تقاريرهم في AWS Artifact لاستخدام العملاء.

• هل شهادة PCI 3DS متاحة لـ AWS؟

  نعم، تتوفر تقارير PCI 3DS السنوية الخاصة بنا في Artifact. على الرغم من أن AWS لا تؤدي وظائف 3DS بشكل مباشر، إلا أن شهادة التوافق الخاصة بـ AWS PCI 3DS يمكن أن تساعد العملاء على تحقيق توافق PCI 3DS لخدماتهم التي تعمل على AWS.