Controles que se aplican a PCI DSS v3.2.1 Controles que se aplican a PCI DSS v4.0.1

PCI DSS en el CSPM de Security Hub

El Estándar de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI DSS) es un marco de cumplimiento de terceros que proporciona un conjunto de reglas y directrices para manejar de forma segura la información de tarjetas de crédito y débito. El Consejo de Normas de Seguridad PCI (PCI SSC) crea y actualiza este marco.

El CSPM de AWS Security Hub proporciona un estándar PCI DSS que contribuye a mantener el cumplimiento con este marco externo. Puede utilizar este estándar para descubrir vulnerabilidades de seguridad en los recursos de AWS que gestionan los datos de los titulares de tarjetas. Recomendamos habilitar este estándar en Cuentas de AWS con recursos que almacenan, tratan o transmiten datos de titulares de tarjetas o información confidencial de autenticación. Las evaluaciones realizadas por el PCI SSC validaron este estándar.

El CSPM de Security Hub ofrece compatibilidad con PCI DSS v3.2.1 y PCI DSS v4.0.1. Recomendamos usar la versión v4.0.1 para mantenerse alineado con las prácticas recomendadas de seguridad más recientes. Puede tener ambas versiones del estándar habilitadas al mismo tiempo. Para obtener información sobre cómo habilitar estándares, consulte Habilitación de un estándar de seguridad. Si actualmente usa la versión v3.2.1 pero desea usar únicamente la v4.0.1, habilite primero la versión más reciente antes de desactivar la versión anterior. Esto evita deficiencias en las comprobaciones de seguridad. Si usa la integración del CSPM de Security Hub con AWS Organizations y desea habilitar la versión 4.0.1 de forma masiva en varias cuentas, recomendamos usar la configuración centralizada para hacerlo.

Las siguientes secciones especifican qué controles se aplican a PCI DSS v3.2.1 y a PCI DSS v4.0.1.

Controles que se aplican a PCI DSS v3.2.1

La siguiente lista especifica qué controles del CSPM de Security Hub se aplican a PCI DSS v3.2.1. Para revisar los detalles de un control, seleccione el control.

[AutoScaling.1] Los grupos de escalado automático asociados con un equilibrador de carga deben usar comprobaciones de estado de ELB

[CloudTrail.2] CloudTrail debe tener habilitado el cifrado en reposo

[CloudTrail.3] Al menos un registro de seguimiento de CloudTrail debe habilitarse

[CloudTrail.4] La validación de archivo de registro de CloudTrail debe estar habilitada

[CloudTrail.5] Las rutas de CloudTrail deben integrarse con Registros de Amazon CloudWatch

[CloudWatch.1] Debe existir un filtro de métrica de registro y una alarma para el uso del usuario “raíz”

[CodeBuild.1] Las URL del repositorio de origen de Bitbucket de CodeBuild no deben contener credenciales confidenciales

[CodeBuild.2] Las variables de entorno del proyecto de CodeBuild no deben contener credenciales de texto sin cifrar

[Config.1] AWS Config debe estar habilitado y usar el rol vinculado al servicio para el registro de recursos

[DMS.1] Las instancias de replicación de Database Migration Service no deben ser públicas

[EC2.1] Las instantáneas de Amazon EBS no se deben poder restaurar públicamente

[EC2.2] Los grupos de seguridad predeterminados de VPC no deben permitir el tráfico entrante ni saliente

[EC2.6] El registro de flujo de VPC debe estar habilitado en todas las VPC

[EC2.12] Los EIP EC2 de Amazon sin utilizar deben eliminarse

[EC2.13] Los grupos de seguridad no deben permitir la entrada desde 0.0.0.0/0 o ::/0 al puerto 22

[ELB.1] El equilibrador de carga de aplicación debe configurarse para redirigir todas las solicitudes HTTP a HTTPS

[ES.1] Los dominios de Elasticsearch deben tener habilitado el cifrado en reposo

[ES.2] Los dominios de Elasticsearch no deben ser de acceso público

[GuardDuty.1] Debe habilitarse GuardDuty

[IAM.1] Las políticas de IAM no deben permitir privilegios administrativos completos “*”

[IAM.2] Los usuarios de IAM no deben tener políticas de IAM asociadas

[IAM.4] La clave de acceso del usuario raíz de IAM no debería existir

[PCI.IAM.6] La MFA de hardware debe estar habilitada para el usuario raíz

[IAM.8] Deben eliminarse las credenciales de usuario de IAM no utilizadas

[IAM.9] La MFA debe estar habilitada para el usuario raíz

[IAM.10] Las políticas de contraseñas para usuarios de IAM deben tener configuraciones seguras

[IAM.19] MFA se debe habilitar para todos los usuarios de IAM

La rotación de claves AWS KMS [KMS.4] debe estar habilitada

[Lambda.1] Las políticas de función de Lambda deberían prohibir el acceso público

[Lambda.3] Las funciones de Lambda deben estar en una VPC

[Opensearch.1] Los dominios de OpenSearch deben tener activado el cifrado en reposo

[Opensearch.2] Los dominios de OpenSearch no deben ser de acceso público

[RDS.1] La instantánea de RDS debe ser privada

[RDS.2] Las instancias de base de datos de RDS deben prohibir el acceso público, en función de la configuración PubliclyAccessible

[Redshift.1] Los clústeres de Amazon Redshift deberían prohibir el acceso público

[S3.1] Los buckets de uso general de S3 deben tener habilitado el bloqueo de acceso público

[S3.2] Los buckets de uso general de S3 deben bloquear el acceso público de lectura

[S3.3] Los buckets de uso general de S3 deben bloquear el acceso público de escritura

[S3.5] En las solicitudes de los buckets de uso general de S3, se debe pedir el uso de SSL

[S3.7] Los buckets de uso general de S3 deben usar la replicación entre regiones

Las instancias de cuaderno de Amazon SageMaker [SageMaker.1] no deberían tener acceso directo a Internet

[SSM.1] Las instancias de Amazon EC2 deben administrarse mediante AWS Systems Manager

[SSM.2] Las instancias EC2 de Amazon administradas por Systems Manager deben tener un estado de conformidad de parche de COMPLIANT después de la instalación de un parche

[SSM.3] Las instancias Amazon EC2 administradas por Systems Manager deben tener el estado de conformidad de la asociación de COMPLIANT

Controles que se aplican a PCI DSS v4.0.1

La siguiente lista especifica qué controles del CSPM de Security Hub se aplican a PCI DSS v4.0.1. Para revisar los detalles de un control, seleccione el control.

[ACM.1] Los certificados importados y emitidos por ACM deben renovarse después de un período de tiempo específico

[ACM.2] Los certificados RSA administrados por ACM deben utilizar una longitud de clave de al menos 2048 bits

[APIGateway.9] El registro de acceso debe configurarse para las etapas V2 de API Gateway

[AppSync.2] AWS AppSync debe tener habilitado el registro a nivel de campo

[AutoScaling.3] Las configuraciones de lanzamiento de grupos de escalado automático deben configurar las instancias de EC2 para que requieran servicio de metadatos de instancias versión 2 (IMDSv2) (IMDSv2)

[AutoScaling.5] Las instancias de Amazon EC2 lanzadas mediante configuraciones de lanzamiento de grupo de escalado automático no deben tener direcciones IP públicas

[CloudFront.1] Las distribuciones de CloudFront deben tener configurado un objeto raíz predeterminado

[CloudFront.10] Las distribuciones de CloudFront no deben usar protocolos SSL obsoletos entre las ubicaciones periféricas y los orígenes personalizados

[CloudFront.12] Las distribuciones de CloudFront no deben apuntar a orígenes S3 inexistentes

[CloudFront.3] Las distribuciones de CloudFront deberían requerir el cifrado en tránsito

[CloudFront.5] Las distribuciones de CloudFront deben tener el registro habilitado

[CloudFront.6] Las distribuciones de CloudFront deben tener WAF habilitado