目次

コンプライアンス違反の確認コンプライアンス違反のDSS Awsサービスとリソースの確認

このページのトピック
AWS BAA
根拠
参照

クレジットカード情報を保存、処理、および送信するための安全な環境を維持するために、AWSアカウント内で実行されるeコマースアプリケーションで使用されるすべてのAWSサービスおよびリソースがPCI DSSに準拠していることを確認してください。PCI DSS(Payment Card Industry Data Security Standard)は、 PCI Security Standards Council(American Express、Discover 金融サービス、JCB International、MasterCard、およびVisa Inc.)によって設立され、進行中のPayment Card Industry Data Security Standardの管理PCI DSSは、カード会員データ(CHD)または機密認証データ(SAD)を保存、処理、または送信するすべての組織に適用されます。

PCI DSSは、カードのブランドによって承認され、 Payment Card Industry Security Standards Councilによって管理されています。AWS製品およびサービスを使用してカード会員データを保存、処理、または送信するお客様は、独自のPCI DSSコンプライアンス証明書を管理する際にAWSクラウドインフラストラクチャを利用できます。Amazon Web Servicesでは、お客様のカード所有者データ(CHD)を直接保存、送信、または処理することはありませんが、AWS製品を使用してカード所有者データを保存、送信、または処理できる独自のカード所有者データ環境(CDE)を作成できます。また、セキュリティとコンプライアンスはAWSとお客様の間で共通の責任であるため、使用するサービス、アプリケーション環境へのサービスの統合、適用される法律や規制によって責任が異なるため、AWSが選択するサービスについて慎重に検討する必要があります。そのため、PCI DSS対応のAWSサービスおよびリソースのみを使用して、eコマースWebサイトおよびアプリケーションのPCI DSSコンプライアンスを取得できます。

AWS BAA

  • Amazon API Gateway
  • Amazon Athena
  • Amazon Cloud Directory
  • Amazon CloudFront
  • Amazon CloudWatch Logs
  • Amazon Cognito
  • Amazon Comprehend
  • Amazon Connect
  • Amazon DocumentDB (with MongoDB compatibility)
  • Amazon DynamoDB
  • Amazon ElastiCache for Redis
  • Amazon Elastic Container Registry (ECR)
  • Amazon Elastic Container Service (ECS) - including both Fargate and EC2 launch types
  • Amazon Elastic Container Service for Kubernetes (EKS)
  • Amazon Elastic Block Store (EBS)
  • Amazon Elastic Compute Cloud (EC2)
  • Amazon Elastic MapReduce
  • Amazon Elastic File System (EFS)
  • Amazon Elasticsearch Service
  • Amazon FreeRTOS
  • Amazon FSx
  • Amazon Glacier
  • Amazon GuardDuty
  • Amazon Inspector
  • Amazon Kinesis Data Analytics
  • Amazon Kinesis Data Streams
  • Amazon Kinesis Data Firehose
  • Amazon Kinesis Video Streams
  • Amazon Macie
  • Amazon MQ
  • Amazon Neptune
  • Amazon Polly
  • Amazon Quicksight
  • Amazon Redshift
  • Amazon Rekognition
  • Amazon Relational Database Service (RDS) - including Amazon Aurora
  • Amazon Route 53
  • Amazon S3 Transfer Acceleration
  • Amazon SageMaker
  • Amazon SimpleDB
  • Amazon Simple Queue Service (SQS)
  • Amazon Simple Storage Service (S3)
  • Amazon Simple Notification Service (SNS)
  • Amazon Simple Workflow Service (SWF)
  • Amazon Transcribe
  • Amazon Translate
  • Amazon Virtual Private Cloud (VPC)
  • Amazon WorkDocs
  • Amazon WorkSpaces
  • Amazon Auto Scaling
  • Amazon AppSync
  • Amazon Backup
  • Amazon Batch
  • Amazon Certificate Manager (ACM)
  • Amazon CodeBuild
  • Amazon CodeCommit
  • Amazon CloudFormation
  • Amazon CloudHSM
  • Amazon CloudTrail
  • Amazon Config
  • Amazon Database Migration Service
  • Amazon DataSync
  • Amazon Direct Connect
  • Amazon Directory Service for Microsoft and AD Connector
  • Amazon Elastic Beanstalk
  • Amazon Elemental MediaConnect
  • Amazon Firewall Manager
  • Amazon Global Accelerator
  • Amazon Glue
  • Amazon IoT Greengrass
  • Amazon Identity & Access Management (IAM)
  • Amazon IoT Core - including Device Management
  • Amazon Key Management Service
  • Amazon Lambda
  • Amazon Lambda@Edge
  • Amazon Managed Services
  • Amazon OpsWorks CM - including Chef Automate and Puppet Enterprise
  • Amazon OpsWorks Stacks
  • Amazon RoboMaker
  • Amazon Secrets Manager
  • Amazon Serverless Application Repository
  • Amazon Server Migration Service (SMS)
  • Amazon Service Catalog
  • Amazon Shield
  • Amazon Snowball
  • Amazon Snowball Edge
  • Amazon Snowmobile
  • Amazon Step Functions
  • Amazon Storage Gateway
  • Amazon Systems Manager
  • Amazon Transfer for SFTP
  • Amazon WAF
  • Amazon X-Ray
  • Amazon Elastic Load Balancing
  • Amazon VM Import/Export

AWSアカウント内でPCI準拠のアプリケーション環境を設計、作成、変更、またはアップグレードする前に、PCI DSS要件をサポートするAWSサービスおよびリソースの アップデートリスト を確認してください。非準拠のPCI DSSサービスの例としては、Amazon CloudSearchがあります。これは、Amazon CloudSearchのリソースが現時点では準拠していないため、Webサイトやアプリケーションの検索ソリューションの設定、管理、およびスケーリングを容易にするフルマネージドサービスです。これらの種類のAWSリソースはまだ対象外であるため、AWS CloudSearchリソースを使用してカード会員データ(CHD)を処理または送信している限り、クラウドアプリケーションはPCI DSSに準拠できません。AWSアカウント内でPCI DSSコンプライアンスを取得するために、Cloud Conformity では、準拠していないPCI DSSリソース(Amazon CloudSearch検索ドメインなど)を終了することを強くお勧めします。PCI DSSコンプライアンスの維持を支援するために、Cloud Conformity はAmazon Web Servicesアカウントをリアルタイムで監視し、PCIデータセキュリティ基準外でAWSリソースが作成されるとすぐに通知アラートを送信します。

根拠

Amazon Web Servicesは、PCI DSS 3.2レベル1サービスプロバイダとして認定されています。PCI DSS準拠証明書(AOC)と責任Summaryは、Payment Card Industry(PCI)やService Organization Control(SOC)などのAWSコンプライアンスレポートにオンデマンドでアクセスできるセルフサービスポータルであるAmazon Artifactを使用して利用できます。そうは言っても、AWSはPCI DSSのセキュリティ要件を満たすために必要な保護を提供するため、PCI準拠のクラウドサービスとリソースを使用して、カード会員データ(CHD)や機密認証データ(SAD)を保存、処理、または送信する電子商取引のWebサイトやアプリケーションを構築できます。ただし、すべてのAWSコンポーネントがPCIDSSに対応しているわけではないため、Payment Card Industry(PCI)Data Security Standard(DSS)規制に準拠していないサービスやリソースを使用すると、財務上および評判上の影響、法的措置、さらにはPCI DSSセキュリティルールに違反した場合、月額 $5、000から $100、000の間の罰金が科せられます。

参照