概要

Payment Card Industry Data Security Standard (PCI DSS) は、American Express、Discover Financial Services、JCB International、MasterCard Worldwide、および Visa Inc. により創設された PCI Security Standards Council によって管理される、機密情報のセキュリティ標準です。

PCI DSS は、カード所有者のデータ (CHD) や機密性の高い認証データ (SAD) を保存、処理、転送するエンティティに適用されます。これらのエンティティには、販売店、処理業者、取得者、発行者、サービスプロバイダーが含まれます。PCI DSS は、カードブランドにより要求され、Payment Card Industry Security Standards Council により管理されています。

PCI DSS Attestation of Compliance (AOC) および Responsibility Summary は、AWS Artifact (AWS のコンプライアンスレポートをオンデマンドで入手するためのセルフサービスポータル) 経由で入手できます。AWS マネジメントコンソール内の AWS Artifact にサインインするか、AWS Artifact の開始方法ページで詳細をご覧ください。

PCI ロゴ

ページトピック

全般的なよくある質問
3
PCI DSS 上の AWS
17

全般的なよくある質問

すべて開く

はい。どなたでも、PCI Security Standards Council Document Library から PCI DSS 標準をダウンロードできます。

企業が、PCI DSS コンプライアンスを毎年検証するために取るべき主要なアプローチには、2 つの種類があります。一つ目のアプローチは、お客様の適用できる環境を評価し、Report on Compliance (ROC) および Attestation of Compliance (AOC) (準拠証明書) を作成する外部の Qualified Security Assessor (QSA) を持つことです。このアプローチは大量のトランザクションを処理するエンティティに最も一般的です。2 番目のアプローチは、Self-Assessment Questionnaire (SAQ) を実行することです。このアプローチはより少量のトランザクションを処理するエンティティに最も一般的です。

PCI council ではなく、支払いブランドと取得者が、コンプライアンスの責任を負うことに留意するのは重要です。

PCI DSS の要件の概要は以下の通りです。

安全なネットワークとシステムを構築および保守

  • ネットワークセキュリティコントロールをインストールして保守します。
  • すべてのシステムコンポーネントに安全な構成を適用します。

アカウントデータを保護

  • 保存されているアカウントデータを保護します。
  • オープンなパブリックネットワークでの送信中は、強力な暗号化でカード会員データを保護します。

脆弱性管理プログラムを保守

  • すべてのシステムとネットワークを悪意のあるソフトウェアから保護します。
  • 安全なシステムおよびアプリケーションを開発し、維持します。

強力なアクセスコントロール対策を実装

  • システムコンポーネントとカード会員データへのアクセスを業務上必要な範囲に制限します。
  • システムコンポーネントへのアクセスを識別して認証します。
  • カード所有者のデータへの物理的アクセスを制限します。

ネットワークを定期的にモニタリングおよびテスト

  • システムコンポーネントとカード会員データへのすべてのアクセスをログして監視します。
  • システムとネットワークのセキュリティを定期的にテストします。

情報セキュリティポリシーを保守

  • 組織の方針とプログラムで情報セキュリティをサポートします。

PCI DSS 上の AWS

すべて開く

はい。アマゾン ウェブ サービス(AWS) は、最高の評価である PCI DSS レベル 1 のサービスプロバイダーとして認証を受けています。このコンプライアンス評価は、独立した認定審査機関(QSA)である Coalfire Systems Inc. によって実行されました。PCI DSS Attestation of Compliance (AOC) および Responsibility Summary は、AWS Artifact(AWS のコンプライアンスレポートをオンデマンドで入手するためのセルフサービスポータル)経由で入手できます。AWS マネジメントコンソールで AWS Artifact にサインインするか、「AWS Artifact の開始方法」ページで詳細をご覧ください。

PCI DSS に準拠した AWS のサービスの一覧については、コンプライアンスプログラムによる AWS 対象範囲内のサービスのウェブページで、PCI タブを参照してください。これらのサービスの使用についての詳細は、お問い合わせください。

AWS のサービスを使用してカード所有者データの保存、処理、送信を行うお客様は、ご自身の PCI DSS コンプライアンス証明書の管理に、AWS のテクノロジーインフラストラクチャをご利用いただけます。

AWS では、いかなる顧客カード所有者データ (CHD) も、直接的に保存、送信、処理しません。ただし、AWS のお客様は、AWS のサービスによりカード所有者のデータを保存、転送、または処理することができる自身のカードデータ環境 (CDE) を、作成していただくことができます。

AWS の PCI DSS コンプライアンスは、あらゆるレベルでの情報セキュリティへの当社の取り組みを、PCI DSS の顧客以外にも証明します。PCI DSS 標準は第三者の独立監査人により検証されており、これによって当社のセキュリティ管理プログラムが包括的であり、ベストプラクティスに従っていることが裏付けられています。

お客様は、自身の PCI DSS コンプライアンス認定を管理する必要があります。また、お客様の環境がすべての PCS DSS 要件を満たしているかどうか確認するには、追加のテストが必要になります。ただし、AWS にデプロイされている PCI カード所有者データ環境 (CDE) の部分については、Qualified Security Assessor (QSA) は、それ以上のテストを行わなくても AWS Attestation of Compliance (AOC) に依存できます。

詳細な情報については、AWS Artifact(AWS のコンプライアンスレポートをオンデマンドで入手するためのセルフサービスポータル)を経由して入手できる、AWS PCI DSS Compliance Package の "AWS PCI DSS Responsibility Summary" をご覧ください。AWS マネジメントコンソール内の AWS Artifact にサインインするか、AWS Artifact の開始方法ページで詳細をご覧ください。お客様は AWS セキュリティ保証サービスチームに監査およびコンプライアンスアドバイザリーサービスをリクエストすることもできます。

AWS PCI Compliance Package は、AWS Artifact (AWS のコンプライアンスレポートをオンデマンドで取得するためのセルフサービスポータル) 経由で入手できます。AWS マネジメントコンソール内の AWS Artifact にサインインするか、AWS Artifact の開始方法ページで詳細をご覧ください。

AWS PCI Compliance Package には次のものが含まれます。

  • AWS PCI DSS 3.2.1 Attestation of Compliance (AOC)
  • AWS PCI DSS 3.2.1 Responsibility Summary

はい。AWS は、Visa Global Registry of Service ProvidersMasterCard Compliant Service Provider List の両方に登録されています。Service Provider リストでは AWS の PCI DSS への準拠が正常に検証済みであること、また適用されるすべての Visa および MasterCard プログラムの要件が満たされていることが示されます。

いいえ。AWS 環境は仮想化されたマルチテナント環境です。AWS には、セキュリティ管理プロセス、PCI DSS 要件、およびその他に関する補完的な制御が有効に実装されています。この機能により、お客様を、個別の保護された環境の中で効率的かつ安全な方法で分離します。この安全なアーキテクチャは、独立した QSA による検証を受けており、PCI DSS の適用されるすべての要件に準拠しているという結果を得ています。

PCI Security Standards Council では、お客様やサービスプロバイダーのため、およびクラウドコンピューティングサービスの評価者のためのガイドラインとして、PCI DSS Cloud Computing Guidelines を発行しました。その中では、サービスモデルについて、またプロバイダーとお客様の間でコンプライアンスの役割と責任をどのように分担するかについても説明されています。

いいえ。AWS Attestation of Compliance (AOC) が AWS データセンターの物理的なセキュリティ管理の詳細な評価を示します。加盟店の QSA が AWS データセンターのセキュリティを確認する必要はありません。

AWS は、PCI-DSS に基づく「共有ホスティングプロバイダー」とみなされていません。したがって、DSS の要件 A1.4 に該当しません。当社では、責任共有モデルに基づいて、お客様が、AWS から追加のサポートを得なくても、自身の AWS 環境にデジタルフォレンジック調査を実行できるようにしています。これは、AWS のサービスと供に、AWS Marketplace で提供されるサードパーティ製のソリューションの両方を使用することで、実行可能となっています。詳細については、以下のリソースを参照してください。

PCI DSS 準拠である AWS サービスを使用している限り、範囲内のサービスをサポートするインフラストラクチャ全体が準拠しているので、別の環境または特殊な API を使用する必要はありません。これらのサービス内またはこれらのサービスを使用してデプロイされたサーバーまたはデータオブジェクトは、グローバルで PCI DSS 準拠環境内にあります。PCI DSS に準拠した AWS のサービスの一覧については、コンプライアンスプログラムによる AWS 対象範囲内のサービスのウェブページで、PCI タブを参照してください。

はい。最新の PCI DSS AOC については、準拠する全ロケーションの一覧を AWS Artifact から取得の上、ご確認ください。

はい。多くの AWS のお客様が、AWS 製品を使用して、カード所有者環境の全体、または一部のデプロイおよび認証に成功しています。AWS は PCI DSS 認証を獲得したお客様を公開していませんが、お客様やお客様の PCI DSS 評価者と定期的に協力して、AWS のカード所有者環境のデプロイ、認証、および四半期ごとのスキャンに関する計画を行っています。

はい。AWS CloudHSM は PCI PIN 認定を受けており、AWS ペイメントクリプトグラフィーは PCI PIN と P2PE の認定を受けています。これらのレポートは AWS Artifact でお客様が使用できるようになっています。

はい、当社の年次 PCI 3DS レポートはアーティファクトでご覧いただけます。AWS は 3DS 機能を直接実行しませんが、AWS PCI 3DS コンプライアンス証明書は、お客様が AWS 上で稼働するサービスについて、お客様ご自身で PCI 3DS コンプライアンスを達成するのに役立ちます。

PCI DSS

概要

Payment Card Industry Data Security Standard (PCI DSS) は、American Express、Discover Financial Services、JCB International、MasterCard Worldwide、および Visa Inc. により創設された PCI Security Standards Council によって管理される、機密情報のセキュリティ標準です。

PCI DSS は、カード所有者のデータ(CHD)や機密性の高い認証データ(SAD)を保存、処理、転送するエンティティに適用されます。これらのエンティティには、販売店、処理業者、取得者、発行者、サービスプロバイダーが含まれます。PCI DSS は、カードブランドにより要求され、Payment Card Industry Security Standards Council により管理されています。

PCI DSS Attestation of Compliance (AOC) および Responsibility Summary は、AWS Artifact(AWS のコンプライアンスレポートをオンデマンドで入手するためのセルフサービスポータル)経由で入手できます。AWS マネジメントコンソール内の AWS Artifact にサインインするか、AWS Artifact の開始方法ページでご確認いただけます。

ご質問がありますか? AWS のビジネス担当者と連絡を取る
コンプライアンスの役割について調べますか?
今すぐご登録ください »
AWS コンプライアンスの更新情報をお探しですか?
Twitter でフォローしてください »