PCI コンプライアンス – アマゾンウェブサービス (AWS)

AWS は PCI DSS の認証を受けていますか?

はい。アマゾンウェブサービス（AWS）は、最高の評価である PCI DSS レベル 1 のサービスプロバイダーとして認証を受けています。このコンプライアンス評価は、独立した認定審査機関（QSA）である Coalfire Systems Inc. によって実行されました。PCI DSS Attestation of Compliance (AOC) および Responsibility Summary は、AWS Artifact（AWS のコンプライアンスレポートをオンデマンドで入手するためのセルフサービスポータル）経由で入手できます。詳細は、AWS マネジメントコンソール内の AWS Artifact にサインインするか、AWS Artifact の開始方法ページでご確認いただけます。

PCI DSS に準拠した AWS のサービスはどれですか?

PCI DSS に準拠した AWS のサービスのリストは、コンプライアンスプログラムによる AWS 対象範囲内のサービスウェブページの PCI タブを参照してください。これらのサービスの使用についての詳細は、お問い合わせください。

PCI DSS 加盟店またはサービスプロバイダーにとって、この認証にはどのような意味がありますか?

AWS のサービスを使用してカード所有者データの保存、処理、送信を行うお客様は、ご自身の PCI DSS コンプライアンス証明書の管理に、AWS のテクノロジーインフラストラクチャをご利用いただけます。

AWS では、いかなる顧客カード所有者データ（CHD）も、直接的に保存、送信、処理しません。ただし、AWS のお客様は、AWS のサービスによりカード所有者のデータを保存、転送、または処理することができる自身のカードデータ環境 (CDE) を、作成していただくことができます。

PCI DSS 加盟店以外の顧客にとって、これはどのような意味がありますか?

AWS の PCI DSS コンプライアンスは、あらゆるレベルでの情報セキュリティへの当社の取り組みを、PCI DSS の顧客以外にも証明します。PCI DSS 標準は第三者の独立監査人により検証されており、これによって当社のセキュリティ管理プログラムが包括的であり、ベストプラクティスに従っていることが裏付けられています。

AWS の顧客は、AWS Attestation of Compliance (AOC) に依存できますか? それとも完全に準拠するには、追加のテストが必要ですか?

お客様は、自身の PCI DSS コンプライアンス認定を管理する必要があります。また、お客様の環境がすべての PCS DSS 要件を満たしているかどうか確認するには、追加のテストが必要になります。ただし、AWS にデプロイされている PCI カード所有者データ環境 (CDE) の部分については、Qualified Security Assessor (QSA) は、それ以上のテストを行わなくても AWS Attestation of Compliance (AOC) に依存できます。

責任を負うべき PCI DSS 管理を確認するにはどうすればよいですか?

詳細な情報については、AWS Artifact（AWS のコンプライアンスレポートをオンデマンドで入手するためのセルフサービスポータル）を経由して入手できる、AWS PCI DSS Compliance Package の "AWS PCI DSS Responsibility Summary" をご覧ください。AWS マネジメントコンソール内の AWS Artifact にサインインするか、AWS Artifact の開始方法ページでご確認いただけます。お客様は AWS セキュリティ保証サービスチームに監査およびコンプライアンスアドバイザリーサービスをリクエストすることもできます。

AWS PCI Compliance Package はどのようにしたら入手できますか?

AWS PCI Compliance Package は、AWS Artifact（AWS のコンプライアンスレポートをオンデマンドで取得するためのセルフサービスポータル）経由で入手できます。詳細は、AWS マネジメントコンソール内の AWS Artifact にサインインするか、AWS Artifact の開始方法ページでご確認いただけます。

AWS PCI DSS Compliance Package には何が含まれますか?

AWS PCI Compliance Package には次のものが含まれます。

AWS PCI DSS 3.2.1 Attestation of Compliance (AOC)
AWS PCI DSS 3.2.1 Responsibility Summary

AWS は Visa Global Registry of Service Providers および MasterCard Compliant Service Provider List に掲載されていますか?

はい。AWS は、Visa Global Registry of Service Providers と MasterCard Compliant Service Provider List の両方に登録されています。これらの Service Provider のリストでは、AWS において PCI DSS への準拠が正常に検証済みであること、また適用されるすべての Visa および MasterCard プログラムの要件が満たされていることが示されています。

PCI DSS 標準に準拠するには、単一テナント環境が必要ですか?

いいえ。AWS 環境は仮想化されたマルチテナント環境です。AWS には、セキュリティ管理プロセス、PCI DSS 要件、およびその他に関する補完的な制御が有効に実装されています。この機能により、お客様を、個別の保護された環境の中で効率的かつ安全な方法で分離します。この安全なアーキテクチャは、独立した QSA による検証を受けており、PCI DSS の適用されるすべての要件に準拠しているという結果を得ています。

PCI Security Standards Council では、お客様やサービスプロバイダーのため、およびクラウドコンピューティングサービスの評価者のためのガイドラインとして、PCI DSS Cloud Computing Guidelines を発行しました。このガイドラインでは、サービスモデルについて、またプロバイダーとお客様の間でコンプライアンスの役割と責任をどのように分担するか、などについてが説明されています。

レベル 1 加盟店の QSA は、AWS のデータセンターを実際に査察することを要求しますか?

いいえ。AWS Attestation of Compliance (AOC) が AWS データセンターの物理的なセキュリティ管理の詳細な評価を示します。加盟店の QSA が AWS データセンターのセキュリティを確認する必要はありません。

AWS はフォレンジック調査をサポートしますか?

AWS は、PCI-DSS に基づく「共有ホスティングプロバイダー」とみなされていません。したがって、DSS の要件 A1.4 に該当しません。当社では、責任共有モデルに基づいて、お客様が、AWS から追加のサポートを得なくても、自身の AWS 環境にデジタルフォレンジック調査を実行できるようにしています。これは、AWS のサービスと供に、AWS Marketplace で提供されるサードパーティ製のソリューションの両方を使用することで、実行可能となっています。詳細については、以下のリソースを参照してください。

サーバーに接続するとき、または保存するオブジェクトをアップロードするときに、特別な PCI DSS 準拠環境を指定する必要はありますか?

PCI DSS 準拠である AWS サービスを使用している限り、範囲内のサービスをサポートするインフラストラクチャ全体が準拠しているので、別の環境または特殊な API を使用する必要はありません。これらのサービス内でデプロイされている、または、これらのサービスを使用しているサーバーもしくはデータオブジェクトであれば、グローバルで PCI DSS に準拠する環境内にあります。PCI DSS に準拠した AWS のサービスの一覧については、コンプライアンスプログラムによる AWS 対象範囲内のサービス、のウェブページで、PCI タブを参照してください。

AWS のコンプライアンスは国際的に適用できますか?

はい。最新の PCI DSS AOC については、準拠する全ロケーションの一覧を AWS Artifact から取得の上、ご確認ください。

PCI DSS 標準は公開されていますか?

はい。どなたでも、PCI Security Standards Council Document Libraryから PCI DSS 標準をダウンロードできます。

AWS プラットフォームで PCI DSS 認証を受けた顧客はいますか?

はい。多くの AWS のお客様が、AWS 製品を使用して、カード所有者環境の全体、または一部のデプロイおよび認証に成功しています。AWS は PCI DSS 認証を獲得したお客様を公開していませんが、お客様やお客様の PCI DSS 評価者と定期的に協力して、AWS のカード所有者環境のデプロイ、認証、および四半期ごとのスキャンに関する計画を行っています。

企業はどのように PCI DSS に準拠していますか?

企業が、PCI DSS コンプライアンスを毎年検証するために取るべき主要なアプローチには、2 つの種類があります。一つ目のアプローチは、お客様の適用できる環境を評価し、Report on Compliance (ROC) および Attestation of Compliance (AOC) (準拠証明書) を作成する外部の Qualified Security Assessor (QSA) を持つことです。このアプローチは大量のトランザクションを処理するエンティティに最も一般的です。2 番目のアプローチは、Self-Assessment Questionnaire (SAQ) を実行することです。このアプローチはより少量のトランザクションを処理するエンティティに最も一般的です。

PCI Council ではなく、支払いブランドと取得者が、コンプライアンスの責任を負うことに留意することは重要です。

PCI DSS コンプライアンスの要件はどのようなものですか?

PCI DSS の要件の概要は以下の通りです。

安全なネットワークとシステムを構築し、保守する	1. ネットワークセキュリティコントロールのインストールと保守 2. すべてのシステムコンポーネントに安全な構成を適用します。
アカウントデータを保護します。	3. 保存されているアカウントデータを保護します。 4.オープンなパブリックネットワークでの送信中は、強力な暗号化でカード会員データを保護します。
脆弱性管理プログラムを保守します。	5. すべてのシステムとネットワークを悪意のあるソフトウェアから保護します。 6. 安全なシステムおよびアプリケーションを開発し、維持します。
強力なアクセスコントロール対策を実装します。	7. システムコンポーネントとカード会員データへのアクセスを業務上必要な範囲に制限します。 8. システムコンポーネントへのアクセスを識別して認証します。 9. カード所有者のデータへの物理的アクセスを制限します。
ネットワークを定期的にモニターし、テストします。	10. システムコンポーネントとカード会員データへのすべてのアクセスをログして監視します。 11. システムとネットワークのセキュリティを定期的にテストします。
情報セキュリティポリシーを保守します。	12. 組織の方針とプログラムで情報セキュリティをサポートします。

AWS サービスの PCI 暗証番号や PCI P2PE 認証を受けているものはありますか?

はい。 AWS CloudHSM は PCI PIN 認定を受けており、 AWS ペイメントクリプトグラフィーは PCI PIN と P2PE の認定を受けています。これらのレポートは AWS Artifact でお客様が使用できるようになっています。

PCI 3DS 認証は AWS で利用できますか?

はい、当社の年次 PCI 3DS レポートはアーティファクトでご覧いただけます。AWS は 3DS 機能を直接実行しませんが、AWS PCI 3DS コンプライアンス証明書は、お客様が AWS 上で稼働するサービスについて、お客様ご自身で PCI 3DS コンプライアンスを達成するのに役立ちます。

PCI DSS

概要