PCI DSS
이번 장에서는 AWS가 PCI DSS 인증 여부와, SA가 PCI DSS 관련된 보안적인 부분에서 고려해야 하는 것에 대해서 알아보도록 한다.
PCI DSS란
- PCI DSS(Payment Card Industry Data Security Standard)는 “American Express”, “Discover Financial Services”, “JCB International”, “MasterCard Worldwide”, “Visa Inc.”가 설립한 PCI 보안 표준 위원회다.
- PCI DSS는 가맹점, 처리자, 인수자, 발행자 및 서비스 공급자를 비롯하여 카드 소지자 데이터(CHD) 또는 민감한 인증 데이터(SAD)를 저장 및 처리, 전송하는 엔터티에 적용된다.
- PCI DSS 규정 준수 증명(AOC) 및 책임 요약은 AWS 규정 준수 보고서에 대한 온디맨트 액세스를 제공하는 셀프 서비스 포털인
AWS Artifact를 통해 고객에게 제공된다.
Q&A
- Q. AWS는 PCI DSS 인증을 받았습니까?
- Yes. 독립적인 공인 봉안 평가 기관(QSAC)로 부터 최상위 평가 수준인 PCI DSS 1 레벨 1 서비스 공급자 인증을 받았다. PCI DSS 규정 준수 증명(AOC) 및 책임 요약은 셀프 서비스인 “AWS Artifact”를 통해 고객에게 제공된다.
- Q. PCI DSS 규정 준수에 포함된 AWS 서비스는 무엇입니까?
- PCI 서비스 범위에서 규정을 준수하고 있는 서비스 목록을 확인할 수 있다.
- Q. 이러한 내용은 PCI DSS 가맹점 또는 서비스 공급자에 어떤 의미가 있습니까?
- AWS 서비스를 사용하여 카드 소지자 데이터를 저장, 처리 또는 전송하는 고객은 자체 PCI DSS 규정 준수 인증을 관리할 때 AWS 기술 인프라를 신뢰할 수 있다.
- Q. 이러한 내용은 PCI DSS 가맹점 고객이 아닌 나에게는 어떤 의미가 있습니까?
- 큰 의미는 없으나, AWS가 규정 준수를 위해 노력하고 있음을 알 수 있다.
- Q. AWS 고객은 AWS 규정 준수 증명(AOC)을 신뢰할 수 있습니까? 아니면 완벽하게 규정을 준수하기 위해서는 추가 테스트가 필요합니까?
- 고객은 자체 PCI DSS 규정 준수 인증을 관리해야 하며, 고객 환경이 모든 PIS DSS 요구 사항을 충족함을 검증하기 위해서는 추가 테스트가 필요하다.
- Q. 자사에 책임이 있는 PCI DSS 제어 항목이 무엇인지 알아보려면 어떻게 해야 합니까?
- AWS PCI DSS 규정 준수 패키지의 “AWS PCI DSS 책임 요약”을 참고하면 된다.
- Q. AWS PCI 규정 준수 패키지를 받으려면 어떻게 해야 합니까?
- A. AWS PCI 규정 준수 패키지는 “AWS Artifact”를 통해 고객에게 제공된다.
- Q. AWS PCI DSS 규정 준수 패키지에는 어떤 것이 포함되어 있습니까?
- A. AWS PCI DSS 3.2.1. 규정 준수 증명(AOC), AWS PCI DSS 3.2.1 책임 항목 요약이 포함되어 있다.
- Q. AWS는 Visa 글로벌 서비스 공급자 목록과 MasterCard 규정 준수 서비스 공급자 목록에 포함되어 있습니까.
- Yes. 두 개의 목록에 모두 포함되어 있다. 서비스 공급자 목록은 AWS가 PCI DSS 규정을 준수함을 입증하고 두 프로그램의 요구 사항을 모두 충족하였음을 보여준다.
- Q. PCI DSS 표준을 준수하기 위해 단일 데넌트 환경이 필요합니까?
- No. AWS 환경은 가상화된 멀티 테넌트 환경이다. 독립적인 QSA에서 안전한 아키텍처를 검증했으며 그 결과 PCI DSS의 모든 적용 가능한 요구 사항을 충족하는 것으로 확인되었다.
- Q. 레벨 1 가맹점의 QSA도 AWS 데이터 센터를 물리적으로 확인해야 합니까?
- No. AWS 규정 준수 증명(AOC)은 AWS 데이터 센터의 물리적 보안 제어 항목에 대해 포괄적인 평가가 수행되었으므로 확인이 필요없다.
- Q. AWS에서는 과학 수사를 지원합니까?
- AWS는 PCI DSS하에서 “공유 호스팅 공급자”로 분류되지 않으므로, DSS 요건 A1.4는 해당 사항이 없다. AWS는 공동 책임 모델에 따라, AWS의 추가 지원 없이 자체 AWS 환경에서 디지털 포렌식 조사를 수행할 수 있게 지원한다. 이 때 AWS 서비스와 AWS Marketplace의 타사 솔루션을 사용하게 된다.
- Q. 서버에 연결하거나 객체를 스토어에 업로드할 때 지정해야 할 특별한 PCI DSS 규정 준수 환경이 있습니까?
- PCI DSS 규정을 준수하는 AWS 서비스를 사용하는 한다면, 전체 인프라가 규정을 준수하게 되므로 별도 환경은 사용할 필요가 없다.
- Q. AWS 규정 준수는 국제적으로 적용됩니까?
- Yes. 자세한 사항은 “AWS Artifact”에서 확인하면 된다.
- Q. PCI DSS 표준은 공개되어 있습니까?
- Yes. PCI 보안 표준 위원회 문서 라이브러리에서 확인이 가능하다.
- Q. AWS 플랫폼에서 PCI DSS 인증을 획득한 고객이 있습니까?
- Yes. 수많은 AWS 고객이 AWS에서 카드 소지자 호나경의 전체 또는 일부를 성공적으로 배포하고 인증받았다.
- Q. 기업에서 PCI DSS를 준수하려면 어떻게 해야 합니까?
- 두 가지 방법이 있다.
- 외부 공인 보안 평가자(QSA)가 해당하는 환경을 평가한 다음 규정 준수 보고서(ROC)와 규정 준수 증명(AOC)을 생성하는 방법.
- 자체 평가 질문지(SAQ)를 실시하는 방법
- Q. PCI DSS 규정 준수를 위한 요구 사항에는 어떤 것이 있습니까?
- 아래의 이미지를 참고.
- Q. TLS 1.0 프로토콜의 지속적인 지원에 대한 AWS의 입장은 무엇입니까?
- AWS는 모든 서비스에서 TLS 1.0 사용을 중단하도록 캠페인을 벌이지 않는다. 일부 사용자들은 TLS 1.0을 여전히 필요로 한다. 하지만 추후 TLS 1.0의 중단을 선택할 수 있으며, 모든 FIPS 엔드포인트를 TLS 버전 1.2 이상으로 업데이트할 예정이다.
- Q. 고객이 안전한 TLS를 위한 PCI 요구 사항을 준수하도록 AWS 아키텍처를 구성하려면 어떻게 해야 합니까?
- PCI 범위 내 AWS 서비스는 모두 TLS 1.1 이상을 지원하고 있다. TLS 1.1 이상의 안전한 TLS를 사용하도록 애플리케이션을 구축하는 것은 고객의 책임이다.
- Q. TLS 1.0이 스캔 결과에 표시되는 경우 고객에게 권장되는 조치는 무엇입니까?
- 고객 ASV(Approved Scanning Vendor) 스캔이 TLS 1.0을 식별하는 경우, AWS API 엔드포인트가 TLS 1.1 이상을 지원한다는 증명을 ASV에게 제공해야 한다.
참고 자료
'Compliance' 카테고리의 다른 글
| [AWS] NIST (0) | 2022.12.08 |
|---|
