Ikhtisar

Payment Card Industry Data Security Standard (PCI DSS) adalah standar keamanan informasi kepemilikan yang dikelola oleh PCI Security Standards Council, yang didirikan oleh American Express, Discover Financial Services, JCB International, MasterCard Worldwide, dan Visa Inc.

PCI DSS berlaku pada entitas yang menyimpan, memproses, atau mengirimkan data pemilik kartu (CHD) atau data autentikasi sensitif (SAD), termasuk merchant, pengolah, pengakuisisi, penerbit, dan penyedia layanan. PCI DSS dimandatkan oleh merek kartu dan dikelola oleh Payment Card Industry Security Standards Council.

Pengesahan Kepatuhan (AOC) dan Ringkasan Tanggung Jawab PCI DSS tersedia untuk pelanggan melalui AWS Artifact, yaitu portal layanan mandiri untuk akses sesuai permintaan ke laporan kepatuhan AWS. Masuk ke AWS Artifact di Konsol Manajemen AWS, atau pelajari selengkapnya di Memulai AWS Artifact.

Logo PCI

Topik halaman

Pertanyaan Sering Diajukan (FAQ) Umum
3
AWS di PCI DSS
17

Pertanyaan Sering Diajukan (FAQ) Umum

Buka semua

Ya. Anda dapat mengunduh standar PCI DSS dari Pustaka Dokumen PCI Security Standards Council.

Ada dua pendekatan utama yang dilakukan perusahaan untuk memvalidasi kepatuhan PCI DSS mereka setiap tahun. Pendekatan pertama adalah dengan penilaian lingkungan Anda yang berlaku oleh Qualified Security Assessor (QSA) lalu membuat Laporan tentang Kepatuhan (ROC) dan Pengesahan Kepatuhan (AOC); pendekatan ini paling umum untuk entitas yang menangani transaksi dalam volume besar. Pendekatan kedua adalah melakukan Kuesioner Penilaian Mandiri (SAQ); pendekatan ini umum digunakan entitas yang menangani volume transaksi yang lebih kecil.

Penting untuk dicatat bahwa merek pembayaran dan pengakuisisi bertanggung jawab dalam memberlakukan kepatuhan, bukan dewan PCI.

Di bawah ini adalah gambaran umum tingkat tinggi mengenai persyaratan PCI DSS.

Bangun serta Pertahankan Jaringan dan Sistem yang Aman

  • Instal dan Pertahankan Kontrol Keamanan Jaringan.
  • Terapkan Konfigurasi Aman ke Semua Komponen Sistem.

Lindungi Data Akun

  • Lindungi Data Akun Tersimpan.
  • Lindungi Data Pemilik Kartu dengan Kriptografi Kuat Selama Transmisi Melalui Jaringan Publik Terbuka.

Kelola Program Manajemen Kerentanan

  • Lindungi Semua Sistem dan Jaringan dari Perangkat Lunak yang Berbahaya.
  • Kembangkan dan Pertahankan Sistem serta Perangkat Lunak yang Aman.

Terapkan Langkah-Langkah Kontrol Akses yang Kuat

  • Batasi Akses ke Komponen Sistem dan Data Pemilik Kartu berdasarkan Kebutuhan Bisnis.
  • Identifikasi Pengguna dan Autentikasi Akses ke Komponen Sistem.
  • Batasi Akses Fisik ke Data Pemilik Kartu.

Pantau dan Uji Jaringan Secara Berkala

  • Log dan Pantau Semua Akses ke Komponen Sistem dan Data Pemegang Kartu.
  • Uji Keamanan Sistem dan Jaringan Secara Berkala.

Pertahankan Kebijakan Keamanan Informasi

  • Mendukung Keamanan Informasi dengan Kebijakan dan Program Organisasi.

AWS di PCI DSS

Buka semua

Ya, Amazon Web Services (AWS) memiliki sertifikasi sebagai Penyedia Layanan PCI DSS Tingkat 1, tingkat penilaian tertinggi yang ada. Penilaian kepatuhan dilakukan oleh Coalfire Systems Inc., Qualified Security Assessor (QSA) yang independen. Pengesahan Kepatuhan (AOC) dan Ringkasan Tanggung Jawab PCI DSS tersedia untuk pelanggan melalui AWS Artifact, yaitu portal layanan mandiri untuk akses sesuai permintaan ke laporan kepatuhan AWS. Masuk ke AWS Artifact di Konsol Manajemen AWS, atau pelajari selengkapnya di Memulai AWS Artifact.

Untuk daftar layanan AWS yang sesuai dengan PCI DSS, lihat tab PCI pada halaman web Layanan AWS yang Tercakup dalam Program Kepatuhan. Untuk informasi selengkapnya tentang penggunaan layanan ini, hubungi kami.

Sebagai pelanggan yang menggunakan layanan AWS untuk menyimpan, memproses, atau mengirimkan data pemilik kartu, Anda dapat mengandalkan infrastruktur teknologi AWS saat Anda mengelola sertifikasi kepatuhan PCI DSS Anda sendiri.

AWS tidak menyimpan, mengirimkan, atau memproses data pemilik kartu pelanggan (CHD) secara langsung. Namun, Anda dapat membuat lingkungan data pemegang kartu Anda sendiri (CDE) yang dapat menyimpan, mengirim, atau memproses data pemegang kartu menggunakan layanan AWS.

Bahkan jika Anda bukanlah pelanggan PCI DSS, kepatuhan PCI DSS kami menunjukkan komitmen kami terhadap keamanan informasi di setiap tingkat. Mengingat standar PCI DSS divalidasi oleh pihak ketiga eksternal yang independen, hal ini menegaskan bahwa program manajemen keamanan kami komprehensif dan mengikuti praktik industri terkemuka.

Pelanggan harus mengelola sertifikasi kepatuhan PCI DSS mereka sendiri, dan pengujian tambahan akan diperlukan untuk memverifikasi bahwa lingkungan Anda memenuhi semua persyaratan PCS DSS. Namun, untuk porsi lingkungan data pemegang kartu (CDE) PCI yang disebarkan di AWS, Qualified Security Assessor (QSA) Anda dapat mengandalkan Pengesahan Kepatuhan (AOC) AWS tanpa pengujian lebih lanjut.

Untuk informasi selengkapnya lihat "Ringkasan Tanggung Jawab AWS PCI DSS" dari Paket Kepatuhan AWS PCI DSS, tersedia untuk pelanggan melalui AWS Artifact, sebuah portal layanan mandiri untuk akses sesuai permintaan ke laporan kepatuhan AWS. Masuk ke AWS Artifact di Konsol Manajemen AWS, atau pelajari selengkapnya di Memulai AWS Artifact. Pelanggan juga dapat meminta layanan konsultasi audit dan kepatuhan dari tim Layanan Jaminan Keamanan AWS.

Paket Kepatuhan AWS PCI tersedia untuk pelanggan melalui AWS Artifact, yaitu portal layanan mandiri untuk akses sesuai permintaan ke laporan kepatuhan AWS. Masuk ke AWS Artifact di Konsol Manajemen AWS, atau pelajari selengkapnya di Memulai AWS Artifact.

Paket Kepatuhan AWS PCI mencakup:

  • Pengesahan Kepatuhan (AOC) AWS PCI DSS 3.2.1
  • Ringkasan Tanggung Jawab AWS PCI DSS 3.2.1

Ya, AWS terdaftar di Daftar Penyedia Layanan Global Visa dan Daftar Penyedia Layanan Kepatuhan MasterCard. Cantuman dalam daftar Penyedia Layanan menunjukkan bahwa AWS berhasil memvalidasi kepatuhan PCI DSS dan telah memenuhi semua persyaratan program Visa dan MasterCard yang berlaku.

Tidak. Lingkungan AWS adalah lingkungan multi-tenant yang divirtualisasi. AWS telah menerapkan proses manajemen keamanan, persyaratan PCI DSS, dan kontrol pelengkap lainnya yang secara efektif dan aman memisahkan setiap pelanggan ke dalam lingkungannya sendiri yang terlindungi. Arsitektur yang aman ini telah divalidasi oleh QSA independen dan ditemukan telah sesuai dengan semua persyaratan PCI DSS yang berlaku.

PCI Security Standards Council telah menerbitkan Panduan Komputasi Cloud PCI DSS untuk pelanggan, penyedia layanan, dan penilai layanan komputasi cloud. Pedoman tersebut juga menjelaskan berbagai model layanan dan porsi tanggung jawab kepatuhan antara penyedia dan pelanggan.

Pengesahan Kepatuhan (AOC) AWS menunjukkan penilaian ekstensif untuk kontrol keamanan fisik dari pusat data AWS. QSA merchant tidak perlu memverifikasi keamanan pusat data AWS.

AWS tidak dianggap sebagai "Penyedia Hosting Bersama" berdasarkan PCI-DSS. Dengan demikian, persyaratan DSS A1.4 tidak berlaku. Berdasarkan Model Tanggung Jawab Bersama, kami memungkinkan pelanggan melakukan investigasi forensik digital di lingkungan AWS mereka sendiri tanpa memerlukan bantuan tambahan dari AWS. Pemberdayaan ini diberikan melalui penggunaan layanan AWS dan solusi pihak ketiga yang tersedia melalui AWS Marketplace. Untuk informasi lebih lanjut, lihat sumber daya berikut:

Selama Anda menggunakan layanan AWS yang sesuai dengan PCI DSS, seluruh infrastruktur yang mendukung layanan dalam cakupan sudah sesuai dan tidak ada lingkungan terpisah atau API khusus yang digunakan. Setiap server atau objek data yang diterapkan atau menggunakan layanan ini berada dalam lingkungan yang patuh terhadap PCI DSS, secara global. Untuk daftar layanan AWS yang sesuai dengan PCI DSS, lihat tab PCI pada halaman web Layanan AWS yang Tercakup dalam Program Kepatuhan.

Ya. Silakan melihat AOC PCI DSS terbaru di AWS Artifact untuk mendapatkan daftar lengkap lokasi yang sesuai.

Ya, banyak pelanggan AWS yang telah berhasil menyebarkan dan menyertifikasi sebagian atau semua lingkungan pemegang kartu mereka di AWS. AWS tidak mengungkapkan pelanggan yang sudah mendapatkan sertifikasi PCI DSS, tapi bekerja dengan pelanggan dan penilai PCI DSS mereka secara reguler dalam merencanakan, menyebarkan, memberikan sertifikasi, dan melakukan pemindaian triwulan untuk lingkungan pemegang kartu di AWS.

Ya, AWS CloudHSM tersertifikasi PCI PIN dan AWS Payment Cryptography tersertifikasi PCI PIN dan P2PE. Laporan mereka tersedia di AWS Artifact untuk digunakan pelanggan.

Ya, laporan PCI 3DS tahunan kami tersedia di Artifact. Meskipun AWS tidak menjalankan fungsi 3DS secara langsung, pengesahan kepatuhan AWS PCI 3DS dapat membantu pelanggan mencapai kepatuhan PCI 3DS mereka sendiri untuk layanan mereka yang berjalan di AWS.

PCI DSS

Gambaran Umum

Payment Card Industry Data Security Standard (PCI DSS) adalah standar keamanan informasi kepemilikan yang dikelola oleh PCI Security Standards Council, yang dibentuk oleh American Express, Discover Financial Services, JCB International, MasterCard Worldwide, dan Visa Inc.

PCI DSS berlaku pada entitas yang menyimpan, memproses, atau mengirimkan data pemegang kartu (CHD) atau data autentikasi sensitif (SAD), termasuk merchant, pengolah, pengakuisisi, penerbit, dan penyedia layanan. PCI DSS dimandatkan oleh merek kartu dan dikelola oleh Payment Card Industry Security Standards Council.

Pengesahan Kepatuhan (AOC) dan Ringkasan Tanggung Jawab PCI DSS tersedia untuk pelanggan melalui AWS Artifact, yaitu portal layanan mandiri untuk akses sesuai permintaan ke laporan kepatuhan AWS. Masuk ke AWS Artifact di AWS Management Console, atau pelajari selengkapnya di Memulai AWS Artifact.

Ada pertanyaan? Hubungi perwakilan bisnis AWS
Ingin menyelami lebih jauh pentingnya kepatuhan?
Daftar sekarang »
Ingin info terbaru tentang AWS Compliance?
Ikuti kami di Twitter »