- آموزش امواج رابرت بالان الیوت
- cryptocurrency بعدی برای منفجر شدن در سال 2022
- با افزایش سهم لوکس ، براساس آخرین داده های قیمت معاملات Kelley Blue Book ، قیمت های جدید در ماه نوامبر رکورد بالایی دارد
- FP Markets Account Demo: چگونه می توان از آن با تجارت استفاده کرد؟- یک آموزش سریع
- سبد سرمایه گذاری خود را بسازید
- 15 قانون معاملاتی ویکتور اسپراندو برای جلوگیری از اشتباه و دستیابی به بازدهی چشمگیر
- نحوه خرید سهام Google: سرمایه گذاری در سهام غول فناوری
- رالی بزرگ Smallcap. 5 رهبر و عقب مانده برتر.
- پنج اشتباه بزرگ از سرمایه گذاران "Do-It-Yourour"
- مسیرهای عصبی
آخرین مطالب
امکانات وب
استاندارد ایمنی داده ها برای صنعت PCI DSS یک استاندارد اختصاصی در زمینه امنیت اطلاعات است. این اداره تحت اداره اداری شورای امنیت استاندارد امنیت صنعت کارتهای پرداخت است که توسط American Express ، Discover Services Financial ، JCB Inteational ، MasterCard Worldwide و Visa Inc تأسیس شده است.
استاندارد PCI DSS در مورد اشخاص حقوقی که توسط صاحبان کارت (CHD) یا داده های تأیید اعتبار محرمانه (SAD) ذخیره شده ، پردازش یا منتقل می شوند ، از جمله شرکت های بازرگانی ، مراکز پردازش ، خرید ، صادرکنندگان کارت و ارائه دهندگان خدمات اعمال می شود. استاندارد PCI DSS توسط سیستم های پرداخت تصویب شده است ، و شورای استانداردهای امنیتی صنعت کارت پرداخت در اداره آن مشغول است.
گواهی رعایت الزامات (AOC) PCI DSS و بررسی حوزه مسئولیت را می توان با استفاده از AWS Artifact ، پورتال خود خدمات برای دسترسی به گزارش های AWS در مورد رعایت الزامات بدست آورد. بخش AWS Artifact را در کنسول کنترل AWS وارد کنید یا جزئیات مربوط به صفحه شروع کار را با AWS Artifact مشاهده کنید.
آیا AWS گواهینامه PCI DSS را دریافت کرده است؟
بله ، خدمات وب آمازون (AWS) ارائه دهنده معتبر خدمات PCI DSS سطح 1 است - بالاترین سطح ارزیابی خدمات موجود. ارزیابی انطباق توسط شرکت Coalfire Systems ، یک بازرس امنیتی واجد شرایط مستقل (QSA) انجام شد. گواهی رعایت الزامات (AOC) PCI DSS و بررسی حوزه مسئولیت را می توان با استفاده از AWS Artifact ، پورتال خود خدمات برای دسترسی به گزارش های AWS در مورد رعایت الزامات بدست آورد. بخش AWS Artifact را در کنسول کنترل AWS وارد کنید یا جزئیات مربوط به صفحه شروع کار را با AWS Artifact مشاهده کنید.
چه سرویس های AWS نیازهای PCI DSS را برآورده می کنند؟
به لیست خدمات AWS از الزامات PCI DSS در برگه PCI در سرویس AWS در سرویس AWS در برنامه ارائه انطباق مراجعه کنید. برای کسب اطلاعات بیشتر در مورد استفاده از این خدمات با ما تماس بگیرید.
اگر من یک شرکت بازرگانی یا ارائه دهنده خدمات PCI DSS باشم ، این برای من چه معنی دارد؟
هنگام استفاده از خدمات AWS برای ذخیره ، پردازش و انتقال صاحبان داده های کارت های پرداخت ، می توانید در طول صدور گواهینامه خود برای رعایت الزامات PCI DSS به زیرساخت های فناوری ما اعتماد کنید. AWS به طور مستقیم توسط صاحبان کارت برای مشتریان خود ذخیره ، منتقل یا پردازش نمی شود. با این حال ، با استفاده از خدمات AWS ، مشتریان می توانند محیط خود را برای این کارتهای پرداخت که در آن فرآیندهای ذخیره ، انتقال یا پردازش کارتهای پرداخت انجام می شود ، ایجاد کنند.
اگر من یک شرکت بازرگانی نیستم و از PCI DSS استفاده نمی کنم ، این برای من چه معنی دارد؟
حتی اگر گواهینامه PCI DSS ندارید ، رعایت خدمات ما با الزامات PCI نشان دهنده تعهد ما به امنیت اطلاعات در همه سطوح است. از آنجا که رعایت استاندارد PCI DSS توسط یک شرکت مستقل سو م-شخص بررسی می شود ، این بدان معنی است که برنامه مدیریت امنیت ما جامع است و با شیوه های پیشرفته صنعت مطابقت دارد.
آیا می توانم به عنوان یک مشتری AWS ، به گواهی انطباق صادر شده توسط AWS متکی باشم یا برای تأیید کامل انطباق ، باید یک چک اضافی را انجام دهم؟
مشتری ها باید برای رعایت الزامات PCI DSS ، تحت صدور گواهینامه خود قرار بگیرند تا تأیید کنند که یک محیط خاص کلیه الزامات PCI DSS را برآورده می کند ، ممکن است آزمایش های اضافی لازم باشد. با این حال ، در رابطه با محیط کار با صاحبان داده ها (CDE) مستقر در AWS ، یک بازرس امنیتی واجد شرایط (QSA) ممکن است بدون آزمایش اضافی به گواهی انطباق (AOC) دریافت شده توسط AWS اعتماد کند.
چگونه می توان فهمید که چه وسیله ای از مسئولیت PCI DSS بر من نهفته است؟
برای کسب اطلاعات بیشتر ، به سند مسئولیت AWS برای اطمینان از رعایت الزامات PCI DSS از رعایت AWS با الزامات PCI DSS مراجعه کنید (موجود با استفاده از AWS Artifact ، پورتال خود خدمات برای دسترسی به گزارش های AWS در مورد رعایت الزامات). بخش AWS Artifact را در کنسول کنترل AWS وارد کنید یا جزئیات مربوط به صفحه شروع کار را با AWS Artifact مشاهده کنید.
از کجا می توانم بسته ای از انطباق AWS را با الزامات PCI تهیه کنم؟
دسترسی به بسته انطباق AWS PCI را می توان با استفاده از AWS Artifact ، پورتال خدمات خود برای دسترسی به تقاضا برای گزارش های AWS در مورد رعایت الزامات بدست آورد. بخش AWS Artifact را در کنسول کنترل AWS وارد کنید یا جزئیات مربوط به صفحه شروع کار را با AWS Artifact مشاهده کنید.
بخشی از الزامات بسته انطباق AWS PCI DSS چیست؟
- گواهی مکاتبات AWS PCI DSS 3. 2. 1 (AOC) ؛
- بررسی حوزه مسئولیت AWS برای اطمینان از رعایت الزامات PCI DSS 3. 2. 1.
آیا AWS ثبت جهانی ارائه دهندگان خدمات ویزا یا در لیست خدمات تأیید شده MasterCard است؟
بله ، AWS در ثبت جهانی ارائه دهندگان خدمات ویزا و در لیست ارائه دهندگان خدمات MasterCard تأیید شده گنجانده شده است. این لیست از ارائه دهندگان خدمات بار دیگر نشان می دهد که AWS با موفقیت صدور گواهینامه را برای رعایت الزامات PCI DSS تصویب کرده و کلیه ویزا و MasterCard را برآورده می کند.
آیا PCI DSS برای کار با استاندارد PCI DSS برای یک مشتری لازم است؟
شمارهپلت فرم AWS یک محیط چند نفره مجازی است. AWS فرآیندهای مدیریت امنیتی مؤثر ، رعایت الزامات PCI DSS و سایر کنترل هایی را که با خیال راحت مشتریان را در محیط های محافظت شده خود جدا می کند ، پیاده سازی می کند. این معماری ایمن توسط یک بازرس مستقل QSA مورد آزمایش قرار گرفت ، که ثابت کرد که تمام نیازهای قابل اجرا از استاندارد PCI DSS را برآورده می کند. شورای امنیت PCI یک سند دستورالعمل های Cloud Cloud PCI DSS را برای مشتریان ، ارائه دهندگان خدمات و بررسی خدمات محاسبات ابری منتشر کرد. این مدل های احتمالی خدمات و توزیع بین تأمین کنندگان و مشتریان از نقش ها و وظایف را از نظر اطمینان از پیروی از الزامات توصیف می کند.
آیا شرکت بازرگانی سطح 1 به برنامه های فیزیکی QSA شما نیاز دارد؟
شمارهگواهی انطباق صادر شده توسط AWS نشانگر ارزیابی جامع روشهای مدیریت امنیت فیزیکی در مرکز داده AWS است. QSA شرکت بازرگانی ممکن است بررسی امنیت داده AWS را انجام ندهد.
آیا AWS از اقدامات تحقیقاتی پشتیبانی می کند؟
- ساده سازی پاسخ به حوادث امنیتی و اقدامات تحقیقاتی در AWS
- حوادث امنیتی AWS
آیا یک محیط خاص انطباق PCI DSS وجود دارد که هنگام شروع سرورها یا بارگیری اشیاء برای ذخیره سازی باید مشخص شود؟
اگر سرویس های AWS مورد استفاده از الزامات PCI DSS استفاده کنند ، کل زیرساخت هایی که از خدمات مربوطه پشتیبانی می کنند ، الزامات را برآورده می کنند. هیچ محیط جداگانه یا API خاص وجود ندارد. هر سرور یا شیء داده ای که در این سرویس ها مستقر شده باشد یا از آن استفاده کند ، در محیطی است که بدون در نظر گرفتن منطقه ، نیازهای PCI DSS را برآورده می کند. به لیست خدمات AWS از الزامات PCI DSS در برگه PCI در سرویس AWS در سرویس AWS در برنامه ارائه انطباق مراجعه کنید.
آیا مکاتبات AWS در سطح بین المللی به رسمیت شناخته شده است؟
آره. آخرین نسخه از پورتال AWS Artifact را ببینید تا لیست کاملی از مکانهایی را که مطابق با الزامات است ، بدست آورید.
آیا PCI DSS استاندارد عمومی است؟
آره. استاندارد PCI DSS را می توان مطابق با استانداردهای امنیتی PCI در کتابخانه اسناد شورا بارگیری کرد.
آیا سازمان هایی که قبلاً توسط PCI DSS در سکوی AWS تأیید شده اند ، وجود دارد؟
بله ، بسیاری از مشتریان قبلاً استقرار را در AWS Media برای سرویس دهی به صاحبان کارت (کامل یا جزئی) انجام داده اند و این محیط ها را با موفقیت تأیید کرده اند. AWS اطلاعاتی را در مورد مشتریانی که صدور گواهینامه PCI DSS را تصویب کرده اند ، فاش نمی کند ، اما به طور مرتب با مشتری ها و سازمانهایی که PCI DSS خود را از نظر برنامه ریزی ، استقرار ، صدور گواهینامه و اجرای یک تحلیل سه ماهه از محیط پردازش اطلاعات بر روی صاحبان AWS ارزیابی می کنند ، همکاری می کند.
چگونه شرکت ها از انطباق PCI DSS اطمینان می دهند؟
دو روش اصلی برای تأیید سالانه پیروی از الزامات PCI DSS وجود دارد. اولین مورد این است که به بازرس امنیتی واجد شرایط خارجی (QSA) برای ارزیابی بخش های مرتبط با محیط زیست و ارائه گزارشی در مورد رعایت الزامات (ROC) و گواهی انطباق (AOC) ارائه شود. این روش بیشتر توسط سازمانهایی که حجم زیادی از معاملات را پردازش می کنند ، استفاده می شود. دوم پر کردن پرسشنامه عزت نفس (SAQ) است. این روش معمولاً توسط سازمانهایی که معاملات کوچکتر را پردازش می کنند ، استفاده می شود. یادآوری این نکته حائز اهمیت است که مسئولیت حفظ رعایت الزامات توسط سیستم های پرداخت و به دست می آید ، و نه استانداردهای امنیتی PCI.
چه چیزی برای رعایت الزامات PCI DSS لازم است؟
در زیر مختصراً از الزامات PCI DSS آورده شده است.
| ایجاد و پشتیبانی از شبکه ها و سیستم های ایمن. | 1. نصب و پشتیبانی از تنظیمات آتش نشانی لازم برای محافظت از این صاحبان کارت. 2. جایگزینی رمزهای عبور سیستم نصب شده در کارخانه و سایر پارامترهای امنیتی پیش فرض. |
| محافظت از این صاحبان کارت. | 3. محافظت از این صاحبان کارت در هنگام ذخیره. 4- رمزگذاری این صاحبان کارت هنگام انتقال شبکه های عمومی باز. |
| اجرای برنامه کنترل آسیب پذیری. | 5. محافظت از کلیه سیستم ها از نرم افزار مخرب و به روزرسانی منظم برنامه های آنتی ویروس. 6. توسعه و پشتیبانی از سیستم ها و برنامه های ایمن. |
| اجرای اقدامات دقیق کنترل دسترسی. | 7. دسترسی محدود به صاحبان داده ها ، کاملاً در چارچوب ضرورت عملی. 8- شناسایی و احراز هویت دسترسی به مؤلفه های سیستم. 9. محدود کردن دسترسی فیزیکی به صاحبان داده ها. |
| نظارت منظم و آزمایش شبکه. | 10. شناسایی و نظارت بر کلیه درخواست های مربوط به منابع شبکه و داده های صاحبان کارت. 11. آزمایش منظم سیستم ها و فرآیندهای امنیتی. |
| تضمین سیاست امنیت اطلاعات. | 12. تضمین سیاست امنیت اطلاعات در رابطه با همه کارمندان. |
AWS برای پشتیبانی بیشتر از پروتکل TLS 1. 0 چه موقعیتی دارد؟
AWS کمپین را به منظور پروتکل TLS 1. 0 برای کلیه خدمات انجام نمی دهد ، زیرا برخی از مشتریان (تحت الزامات PCI قرار نمی گیرند) لازم است. با این حال ، خدمات AWS تأثیر خاموش کردن TLS 1. 0 بر روی مشتریان را بصورت جداگانه ارزیابی می کند و در برخی موارد می تواند این پروتکل را منسوخ کند. مشتریان همچنین می توانند از نقاط نهایی FIPS برای استفاده از رمزنگاری قابل اعتماد استفاده کنند. AWS حداقل نقاط پایانی FIPS را حداقل به نسخه TLS 1. 2 به روز می کند. اطلاعات مفصلی در این انتشارات وبلاگ ارائه شده است.
چگونه مشتری می تواند معماری AWS را برای اطمینان از رعایت الزامات PCI به پروتکل TLS تجهیزات تنظیم کند؟
کلیه خدمات AWS که نیازهای PCI را برآورده می کنند از نسخه های TLS 1. 1 یا بیشتر از نسخه های جدید پشتیبانی می کنند. برخی از این سرویس ها همچنین از TLS 1. 0 برای مشتریان (که تحت الزامات PCI قرار نمی گیرند) که به این پروتکل نیاز دارند ، پشتیبانی می کنند. مشتریان باید به طور مستقل سیستم های خود را به روز کنند تا از تعامل با خدمات AWS با استفاده از پروتکل TLS محافظت شده مانند TLS 1. 1 یا بالاتر اطمینان حاصل کنند. مشتریان نیاز به استفاده و پیکربندی AWS (برنامه بار Balad Balad Load Balad Balad) برای تبادل داده ایمن برای پروتکل TLS 1. 1 یا نسخه جدیدتر دارند. برای انجام این کار ، آنها باید یک سیاست امنیتی از پیش تعیین شده AWS را انتخاب کنند که می تواند با استفاده از پروتکل رمزگذاری بین مشتری و متعادل کننده بار ، تبادل داده را ارائه دهد ، به عنوان مثال TLS 1. 2. به عنوان مثال ، خط مشی امنیتی Balancer Balancer AWS ElbsecurityPolac y-tl s-2-2018-06 فقط از TLS 1. 2 پشتیبانی می کند.
اگر TLS 1. 0 در نتایج اسکن نمایش داده شود ، مشتری باید چه کاری انجام دهد؟
اگر اسکن انجام شده توسط تأمین کننده تأیید شده سرویس اسکن مشتری (ASV) حضور TLS 1. 0 را در نقطه پایان AWS نشان دهد ، این بدان معنی است که API هنوز از TLS 1. 0 و همچنین نسخه های TLS 1. 1 و بعدی پشتیبانی می کند. برخی از خدمات AWS که نیازهای PCI را برآورده می کند ، همچنان از TLS 1. 0 برای مشتریانی که برای بارهای کار در خارج از حوزه PCI نیاز دارند ، پشتیبانی می کند. مشتریان می توانند ASV را ثابت کنند که نقطه پایان AWS با استفاده از ابزار ، مانند آزمایشگاه های Qualys SSL ، از نسخه های TLS 1. 1 و جدیدتر پشتیبانی می کند تا پروتکل مورد استفاده را تعیین کند. مشتریان همچنین می توانند ثابت کنند که آنها از یک تبادل داده محافظت شده در پروتکل TLS استفاده می کنند ، هنگام اتصال AWS Elastic Load Balad Balad ، که با استفاده از یک سیاست امنیتی مناسب AWS ، پشتیبانی از TLS 1. 1 یا بالاتر (به عنوان مثال ، ElbsecurityPolityPolit y-tl s-1 -پیکربندی شده است. 2-2017-01 فقط از v1. 2 پشتیبانی می کند). ASV ممکن است مشتری را ملزم به اختلاف در مورد وجود آسیب پذیری کند ، و شواهد ارائه شده ممکن است به عنوان تأیید پیروی از الزامات عمل کند. درخواست اولیه ASV و ارائه شواهد قبل از اسکن نیز می تواند روند ارزیابی را ساده کند و به اسکن موفقیت آمیز کمک می کند.
آموزش تحلیل گری...
ما را در سایت آموزش تحلیل گری دنبال می کنید
برچسب :
نویسنده : ملیکا زارعی
بازدید : 75
