Información general

El Estándar de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI DSS) es un estándar patentado de seguridad de la información que está administrado por el Consejo de Estándares de Seguridad de PCI, fundado por American Express, Discover Financial Services, JCB International, MasterCard Worldwide y Visa Inc.

PCI DSS se aplica a las entidades que almacenan, procesan o transmiten datos de titulares de tarjetas (CHD) o datos de autenticación confidenciales (SAD), incluidos comerciantes, procesadores, adquisidores, emisores y proveedores de servicios. El PCI DSS existe bajo mandato de las marcas de tarjetas y está administrado por el Consejo de Estándares de Seguridad de la Industria de las Tarjetas de Pago.

La declaración de conformidad (AOC) y el resumen de responsabilidades de PCI DSS están disponibles para clientes mediante AWS Artifact, un portal de autoservicio para el acceso bajo demanda a los informes de cumplimiento de AWS. Inicie sesión en AWS Artifact en la Consola de administración de AWS u obtenga más información en Introducción a AWS Artifact.

Logotipo de PCI

Temas de la página

Preguntas frecuentes generales
3
AWS en PCI DSS
17

Preguntas frecuentes generales

Abrir todo

Sí. Puede descargar el estándar PCI DSS de la biblioteca de documentos del Consejo de Estándares de Seguridad de PCI.

Existen dos métodos principales que las compañías pueden utilizar para validar su conformidad con PCI DSS de forma anual. El primer método es disponer de un asesor de seguridad cualificado (QSA) que evalúe el entorno aplicable y elabore un Informe de Conformidad (ROC) y una declaración de conformidad (AOC). Este método es el más común entre las compañías que administran grandes volúmenes de transacciones. El segundo método consiste en realizar un Cuestionario de Autoevaluación (SAQ). Es el método más común entre las compañías que administran volúmenes de transacciones de menor tamaño.

Es importante tener en cuenta que las marcas y adquisidores de pago son responsables de exigir la conformidad, no el Consejo de PCI.

A continuación, se incluye un resumen detallado de los requisitos de PCI DSS.

Crear y mantener redes y sistemas seguros

  • Instalar y mantener los controles de seguridad de red.
  • Aplicar configuraciones seguras a todos los componentes del sistema.

Proteger los datos de la cuenta

  • Proteger los datos de la cuenta almacenados.
  • Proteger los datos de los titulares de tarjetas con una criptografía sólida durante la transmisión a través de redes públicas abiertas.

Disponer de un programa de administración de vulnerabilidades

  • Proteger todos los sistemas y redes del software malicioso.
  • Desarrollar y mantener sistemas y software seguros.

Implementar medidas sólidas de control del acceso

  • Restringir el acceso a los componentes del sistema y a los datos de los titulares de tarjetas según lo que la empresa necesite saber.
  • Identificar usuarios y autenticar el acceso a los componentes del sistema.
  • Restringir el acceso físico a los datos de los titulares de las tarjetas.

Supervisar y probar las redes con frecuencia

  • Registrar y monitorear todos los accesos a los componentes del sistema y a los datos de los titulares de las tarjetas.
  • Probar periódicamente la seguridad de sistemas y redes.

Disponer de una política de seguridad de la información

  • Apoyar la seguridad de la información con políticas y programas organizativos.

AWS en PCI DSS

Abrir todo

Sí, Amazon Web Services (AWS) está certificado como proveedor de servicios de Nivel 1 PCI DSS, el nivel más alto de evaluación disponible. La evaluación de conformidad fue realizada por Coalfire Systems Inc., un asesor de seguridad cualificado (QSA) independiente. La declaración de conformidad (AOC) y el resumen de responsabilidades de PCI DSS están disponibles para clientes mediante AWS Artifact, un portal de autoservicio para el acceso bajo demanda a los informes de conformidad de AWS. Inicie sesión en AWS Artifact en la Consola de administración de AWS u obtenga más información en Introducción a AWS Artifact.

Para obtener una lista de los servicios de AWS que logran la conformidad con PCI DSS, consulte la pestaña PCI en la página web Servicios de AWS en el ámbito del programa de conformidad. Para obtener más información sobre el uso de estos servicios, póngase en contacto con nosotros.

Como cliente que utiliza servicios de AWS para almacenar, procesar o transmitir datos de titulares de tarjetas, puede confiar en la infraestructura de tecnología de AWS mientras gestiona su propia certificación de conformidad con PCI DSS.

AWS no almacena, transmite ni procesa directamente ningún dato del titular de la tarjeta del cliente (CHD). Sin embargo, puede crear sus propios entornos de datos de titulares de tarjetas (CDE), capaces de almacenar, transmitir y procesar datos de titulares de tarjetas mediante el uso de los servicios de AWS.

Incluso si usted no es cliente de PCI DSS, nuestra conformidad con PCI DSS demuestra nuestro compromiso con la seguridad de la información en todos los niveles. Dado que el estándar PCI DSS está validado por un tercero externo e independiente, confirma que nuestro programa de administración de seguridad es exhaustivo y sigue las prácticas líder de la industria.

Los clientes deben administrar su propia certificación de conformidad con PCI DSS, y se requerirán pruebas adicionales para verificar que su entorno cumpla con todos los requisitos de PCS DSS. Sin embargo, para la parte del entorno de datos del titular de la tarjeta (CDE) de PCI que se implementa en AWS, su Asesor de seguridad cualificado (QSA) puede confiar en la certificación de conformidad (AOC) de AWS sin más pruebas.

Para obtener información detallada, consulte “Resumen de responsabilidad con PCI DSS de AWS” del paquete de conformidad PCI DSS de AWS, disponible para los clientes mediante AWS Artifact, un portal de autoservicio para el acceso bajo demanda a los informes de conformidad de AWS. Inicie sesión en AWS Artifact en la Consola de administración de AWS u obtenga más información en Introducción a AWS Artifact. Los clientes también pueden solicitar servicios de auditoría y asesoramiento sobre conformidad al equipo de servicios de garantía de seguridad de AWS.

El paquete de conformidad con PCI de AWS se encuentra disponible para clientes mediante AWS Artifact, un portal de autoservicio para el acceso bajo demanda a informes de conformidad de AWS. Inicie sesión en AWS Artifact en la Consola de administración de AWS u obtenga más información en Introducción a AWS Artifact.

El paquete de conformidad PCI de AWS incluye:

  • Declaración de conformidad (AOC) con PCI DSS 3.2.1 de AWS
  • Resumen de responsabilidad con PCI DSS 3.2.1 de AWS

Sí, AWS aparece en el registro global de proveedores de servicios de Visa y en la lista de proveedores de servicios de conformidad con MasterCard. Las listas de proveedores de servicios demuestran que AWS ha validado correctamente la conformidad con PCI DSS y ha cumplido todos los requisitos correspondientes de los programas de Visa y MasterCard.

No. El entorno de AWS es un entorno virtualizado de varios inquilinos. AWS implementó con efectividad procesos de administración de la seguridad, requisitos de PCI DSS y otros controles compensatorios que asignan de manera efectiva y segura a cada cliente su propio entorno protegido. Un asesor de seguridad cualificado independiente validó esta arquitectura y se observó que cumple con todos los requisitos vigentes de PCI DSS.

El Consejo de Estándares de Seguridad de PCI publicó el documento Directrices de informática en la nube de PCI DSS para clientes, proveedores de servicios y asesores de servicios de computación en la nube. En él, también se describen modelos de servicio y cómo las funciones y responsabilidades de conformidad se comparten entre proveedores y clientes.

No. La certificación de conformidad (AOC) de AWS demuestra una evaluación exhaustiva de los controles de seguridad física de los centros de datos de AWS. No es necesario que un QSA de un comerciante verifique la seguridad de los centros de datos de AWS.

Según PCI-DSS, AWS no se considera un “proveedor de alojamiento compartido”. Por lo tanto, no se aplica el requisito A1.4 del DSS. Gracias a nuestro modelo de responsabilidad compartida, permitimos que nuestros clientes realicen investigaciones forenses digitales en sus propios entornos de AWS sin necesidad de asistencia adicional de AWS. Esto se logra mediante el uso de servicios de AWS y de soluciones de terceros disponibles a través de AWS Marketplace. Para obtener más información, consulte los siguientes recursos:

Siempre que utilice los servicios de AWS que logran la conformidad con PCI DSS, toda la infraestructura que admite los servicios dentro del ámbito es compatible y no hay un entorno separado o una API especial para usar. Todos los servidores u objetos de datos que se implementen mediante estos servicios se encuentran en un entorno global conforme con PCI DSS. Para obtener una lista de los servicios de AWS que logran la conformidad con PCI DSS, consulte la pestaña PCI en la página web Servicios de AWS en el ámbito del programa de conformidad.

Sí. Consulte la última declaración de conformidad de PCI DSS para obtener la lista completa de ubicaciones en conformidad.

Sí, muchos clientes de AWS implementaron y certificaron con éxito parte o la totalidad de sus entornos de titulares de tarjetas de crédito en AWS. AWS no puede revelar el nombre de los clientes que han obtenido la certificación PCI DSS; sin embargo, colabora regularmente con sus clientes y los asesores de PCI DSS a la hora de planificar, implementar, certificar y analizar trimestralmente los entornos de titulares de tarjetas de crédito basados en AWS.

Sí, AWS CloudHSM cuenta con la certificación PCI PIN y AWS Payment Cryptography cuenta con la certificación PCI PIN y P2PE. Sus informes están disponibles en AWS Artifact para uso de los clientes.

Sí, nuestros informes anuales sobre PCI 3DS están disponibles en Artifact. Aunque AWS no realiza funciones 3DS directamente, la certificación de conformidad PCI 3DS de AWS puede ayudar a los clientes a obtener su propia conformidad PCI 3DS para sus servicios que se ejecutan en AWS.

PCI DSS

Información general

El estándar de seguridad de datos de la industria de tarjetas de pago (PCI DSS) es un estándar exclusivo de seguridad de la información administrado por el Consejo de Estándares de Seguridad de PCI, fundado por American Express, Discover Financial Services, JCB International, MasterCard Worldwide y Visa Inc.

PCI DSS se aplica a las entidades que almacenan, procesan o transmiten datos de titulares de tarjetas (CHD) o datos de autenticación confidenciales (SAD), incluidos comerciantes, procesadores, adquisidores, emisores y proveedores de servicios. El PCI DSS existe bajo mandato de las marcas de tarjetas y está administrado por el Consejo de Estándares de Seguridad de la industria de tarjetas de pago.

La declaración de conformidad (AOC) y el resumen de responsabilidades de PCI DSS están disponible para clientes mediante AWS Artifact, un portal de autoservicio para el acceso bajo demanda a los informes de conformidad de AWS. Inicie sesión en AWS Artifact en la consola de administración de AWS u obtenga más información en Introducción a AWS Artifact.

¿Tiene preguntas? Pónganse en contacto con un representante empresarial de AWS
¿Está buscando trabajo en el sector de conformidad?
Inscríbase hoy mismo »
¿Desea recibir novedades acerca de asuntos de conformidad en AWS?
Síganos en Twitter »