PCI DSS
1. Обзор стандарта PCI DSS
Совет по стандартам безопасности PCI — это глобальный форум, который определяет стандарты безопасности для защиты данных счетов. Совет основан пятью крупными платежными брендами (American Express, Discover Financial Services, JCB International, MasterCard и Visa Inc.).
Стандарты безопасности данных PCI (PCI DSS) определяют операционные и технические требования для организаций, которые хранят, обрабатывают или передают сведения о платежных картах, включая продавцов, обработчиков, эквайеров, эмитентов и поставщиков услуг. PCI DSS администрируется и управляется Советом, однако обеспечение соблюдения стандарта PCI DSS осуществляется платежными брендами.
2. Применимость PCI DSS
Стандарты безопасности данных PCI применимы ко всем организациям, которые хранят, обрабатывают или передают сведения о платежных картах. Продавцов можно разделить на 4 уровня, от уровня 1 до уровня 4, в зависимости от объема транзакций в год с брендом платежной карты. Принцип определения уровня продавца устанавливается определяется брендом платежной карты. Следовательно, продавцам необходимо определить свой уровень в банке-эквайере. Совет учредил Анкету для самопроверки для предприятий малого и среднего бизнеса, которая позволяет подтвердить соответствие требованиям PCI DSS.
Продавцам необходимо дополнительно определить соответствующий тип анкеты и заполнить ее в соответствии с инструкциями. Для компаний определенного типа, например, SAQ A-EP, SAQ B-IP, SAQ C, SAQ D-Merchant и SAQ D-Service Provider, требуется ежеквартальное сканирование на наличие уязвимостей, которое должно проводиться утвержденным поставщиком сканирования PCI SSC (ASV). В итоге продавцы должны заполнить Аттестацию соответствия и предоставить всю запрашиваемую документацию в банки-эквайеры для проверки.
3. Alibaba Cloud соответствует требованиям PCI DSS
Стандарт PCI DSS включает 12 требований, охватывающих 6 категорий, таких как создание и поддержание защищенных сетей и систем, защита данных о держателях карт, поддержка программы по управлению уязвимостями, внедрение строгих мер контроля доступа, регулярный мониторинг и тестирование сетей и поддержание политики информационной безопасности, чтобы соответствующие организации могли оценить, поддерживает ли компания безопасную среду для защиты данных своих аффилированных счетов платежных карт.
Alibaba Cloud совместно с квалифицированным аудитором систем безопасности (QSA), одобренным PCI SSC, проводит ежегодную проверку на месте, то есть имеет сертификат PCI DSS v3.2.1 уровня 1. Проверка соблюдения стандарта PCI DSS охватывает облачные продукты, службы безопасности и службу CDN, которые доступны в 12 регионах мира (включая Гонконг). Для загрузки доступны три отдельных отчета о подтверждении соответствия (AOC). Для получения подробной информации об объеме см. соответствующий отчет.
4. Как обеспечить соответствие требованиям стандарта PCI DSS в Alibaba Cloud
— Понимать обязанности по выполнению требований PCI DSS.
Соответствие Alibaba Cloud требованиям стандарта PCI DSS не означает, что наш заказчик также соответствует требованиям PCI DSS. Среда оценки для Alibaba Cloud — это базовая физическая и виртуализированная инфраструктура, которая обеспечивает работу служб Alibaba Cloud, включая физические серверы, операционные системы хоста, сети, среду виртуализации и контроля для эксплуатации платформы и служб Alibaba Cloud и управления ими. Соблюдая требования стандарта PCI DSS, компания Alibaba Cloud может предоставить высокозащищенную платформу облачных служб с продуктами и услугами безопасности, которые помогут клиенту выполнить требования безопасности в соответствии с PCI DSS.
В рамках модели общей ответственности за безопасность компания Alibaba Cloud и ее клиенты несут совместную ответственность за безопасность приложений клиентов, созданных на базе Alibaba Cloud. Среди 12 требований стандарта PCI DSS требования, связанные с физической безопасностью, применимы только к Alibaba Cloud. Требования касательно среды данных о держателях карт и политики информационной безопасности, в основном, применимы только к клиентам, а остальные требования выполняются совместными усилиями Alibaba Cloud и наших клиентов.
— предложения Alibaba Cloud
Мы предоставляем Таблицу распределения ответственности Alibaba Cloud International Services по стандарту PCI DSS чтобы клиент мог понять, как интерпретировать отчет по аттестации соответствия Alibaba Cloud стандарту PCI, и за что он должен нести ответственность по каждому из требований, чтобы соответствовать требованиям стандарта PCI DSS. Чтобы ознакомиться подробнее, загрузите документ.
Как правило, клиенты отвечают за настройку и безопасное использование различных облачных продуктов, а также за создание своих собственных облачных приложений и услуг безопасным и управляемым способом на основе средств безопасности в таких облачных продуктах, что позволяет обеспечить безопасность данных в облаке.
Alibaba Cloud предоставляет технический документ Надежная защита с Alibaba Cloud — обзор услуг безопасности, в котором рассматриваются основные сценарии обеспечения безопасности в шести областях.
— Другая поддержка со стороны экосистемы Alibaba Cloud
На торговой площадке Alibaba Cloud заказчик может воспользоваться мастером контроля соответствия стандарту PCI DSS, который предоставляется LGMS (Международной компанией по оценке безопасности, прошедшей квалификацию PCI), чтобы бесплатно определить тип бизнеса и уровень соответствия стандарту PCI DSS. Затем можно воспользоваться мастером LGMS для заполнения анкеты по самопроверке соответствия PCI DSS, услугами по сканированию и подтверждения соответствия ASV, которые доступны на рынке в соответствии с вашими потребностями.
Мастер LGMS PCI DSS >;
Мастер LGMS для заполнения анкеты по самопроверке соответствия PCI DSS>
Официальная проверка PCI DSS ASV>
Подтверждение соответствия LGMS PCI DSS>
Если вы хотите поделиться с другими своими передовыми методами или трудностями, с которыми вы столкнулись при выполнении требований стандарта PCI DSS, опубликуйте их наAlibaba Cloud Forum — Solutions.
