Ringkasan Prasyarat dan batasan Alat Epik Sumber daya terkait Informasi tambahan Lampiran

Verifikasi praktik terbaik operasional untuk PCI DSS 4.0 dengan menggunakan AWS Config

Tala Qraitem dan Alex Goff, Amazon Web Services

Ringkasan

Standar Keamanan Data Industri Kartu Pembayaran (PCI DSS) menguraikan protokol teknis dan operasional penting untuk membantu melindungi data pembayaran. PCI DSS dikembangkan untuk mendorong dan meningkatkan keamanan data untuk akun kartu pembayaran. Ini juga memfasilitasi adopsi global langkah-langkah keamanan yang konsisten. Meskipun dirancang khusus untuk lingkungan dengan data akun kartu pembayaran, Anda dapat menggunakan PCI DSS untuk membantu melindungi dari ancaman dan mengamankan elemen lain dalam ekosistem pembayaran.

PCI DSS versi 4.0 dirilis untuk memenuhi persyaratan yang berkembang, memberikan klarifikasi atau panduan tambahan, dan meningkatkan struktur dan format standar. Untuk informasi selengkapnya tentang perubahan, lihat Ringkasan perubahan dari PCI DSS versi 3.2.1 ke 4.0.

Paket AWS Config kesesuaian adalah kumpulan AWS Config aturan dan tindakan remediasi yang membantu Anda membuat pemeriksaan tata kelola keamanan, operasional, atau pengoptimalan biaya. Anda dapat menerapkan paket kesesuaian sebagai entitas tunggal dalam Akun AWS dan Wilayah AWS, atau Anda dapat menerapkan di seluruh organisasi di. AWS Organizations

Paket kesesuaian untuk PCI DSS versi 4.0 ditambah dan dibangun di atas paket kesesuaian untuk versi 3.2.1. Aturan dalam peta paket kesesuaian dengan aturan dalam standar. Untuk informasi selengkapnya, lihat pemetaan yang disediakan di bagian Lampiran. Anda dapat memilih di antara dua versi paket kesesuaian ini: satu yang menyertakan jenis sumber daya global dan satu yang mengecualikan mereka.

penting

Paket kesesuaian tidak dirancang untuk sepenuhnya memastikan kepatuhan terhadap tata kelola atau standar kepatuhan tertentu. Anda bertanggung jawab untuk membuat penilaian sendiri tentang apakah penggunaan memenuhi persyaratan hukum dan peraturan yang berlaku.

Prasyarat dan batasan

Prasyarat

Memiliki yang aktif Akun AWS.
Mengatur AWS Config.
Memenuhi prasyarat untuk paket kesesuaian.
Menyebarkan paket kesesuaian PCI DSS versi 3.2.1.
Memiliki izin untuk mengakses AWS Config dan mengelola paket kesesuaian. Untuk kebijakan contoh, lihat bagian Informasi tambahan dari pola ini.

Batasan

Anda Akun AWS memiliki kuota default, sebelumnya disebut sebagai batas, untuk masing-masing. Layanan AWS Kecuali dinyatakan lain, setiap kuota bersifat khusus per Wilayah. Anda dapat meminta kenaikan untuk beberapa kuota, tetapi tidak semua kuota dapat ditingkatkan. Pastikan Anda terbiasa dengan batas AWS Config layanan, termasuk batasan untuk paket kesesuaian akun tunggal dan paket kesesuaian organisasi.
Versi paket kesesuaian ini yang mencakup tipe sumber daya global ditujukan untuk penerapan hanya di Wilayah. us-east-1
Versi paket kesesuaian ini yang mengecualikan jenis sumber daya global ditujukan untuk penerapan hanya di Wilayah berikut:
- ap-east-1
- ap-south-1
- ap-northeast-2
- ap-southeast-1
- ap-southeast-2
- ap-northeast-1
- ca-central-1
- eu-central-1
- eu-west-1
- eu-west-2
- eu-west-3
- eu-north-1
- sa-east-1
- us-east-2
- us-west-1
- us-west-2

Alat

Layanan AWS

AWS Configmemberikan tampilan rinci tentang sumber daya di Anda Akun AWS dan bagaimana mereka dikonfigurasi. Ini membantu Anda mengidentifikasi bagaimana sumber daya terkait satu sama lain dan bagaimana konfigurasinya telah berubah dari waktu ke waktu.
AWS Systems Managermembantu Anda mengelola aplikasi dan infrastruktur yang berjalan di AWS Cloud. Ini menyederhanakan aplikasi dan manajemen sumber daya, mempersingkat waktu untuk mendeteksi dan menyelesaikan masalah operasional, dan membantu Anda mengelola AWS sumber daya Anda dengan aman dalam skala besar.

Repositori kode

Paket kesesuaian terletak di repositori paket AWS Config kesesuaian. GitHub Repositori ini berisi template berikut yang terkait dengan PCI DSS versi 4.0:

Epik

Tugas	Deskripsi	Keterampilan yang dibutuhkan
Unduh paket kesesuaian.	Jika Anda menerapkan paket kesesuaian di `us-east-1` Wilayah, unduh template operational-best-practices-for-PCI-DSS-v4.0 - .yaml. including-global-resourcetypes Jika Anda menerapkan paket kesesuaian di Wilayah yang berbeda, unduh template operational-best-practices-for-PCI-DSS-v4.0 - .yaml. excluding-global-resourcetypes	DevOps insinyur
(Opsional) Ubah paket kesesuaian.	Anda dapat memodifikasi template paket kesesuaian untuk kebutuhan unik organisasi Anda. Misalnya, Anda dapat membuat tindakan remediasi khusus. Untuk informasi selengkapnya tentang cara membuat dan memodifikasi template, lihat Membuat template untuk paket kesesuaian kustom dalam dokumentasi. AWS Config	AWS Umum
Menyebarkan paket kesesuaian.	Jika Anda menerapkan di target Akun AWS atau Wilayah AWS, ikuti petunjuk dalam Menerapkan paket kesesuaian dalam dokumentasi. AWS Config Anda dapat menggunakan AWS Management Console atau AWS Command Line Interface (AWS CLI). Jika Anda menerapkan paket kesesuaian di seluruh organisasi AWS Organizations, ikuti petunjuk di Deploy AWS Config conformance pack menggunakan Quick Setup dalam dokumentasi. AWS Systems Manager	AWS Umum
(Opsional) Edit paket kesesuaian.	Jika Anda ingin mengedit paket kesesuaian, ikuti petunjuk dalam Mengedit paket kesesuaian dalam dokumentasi. AWS Config Anda dapat menggunakan AWS Management Console atau AWS CLI.	AWS Umum
(Opsional) Hapus paket kesesuaian.	Jika Anda ingin menghapus paket kesesuaian, ikuti petunjuk di Menghapus paket kesesuaian dalam dokumentasi. AWS Config Anda dapat menggunakan AWS Management Console atau AWS CLI.	AWS Umum

Sumber daya terkait

AWS sumber daya

Paket kesesuaian untuk AWS Config (dokumentasi)AWS Config
Menyebarkan paket AWS Config kesesuaian menggunakan Quick Setup (dokumentasi Systems Manager)
Kepatuhan PCI DSS pada AWS(situs web)AWS
PCI DSS versi 4.0 aktif AWS(Panduan Kepatuhan)

Sumber daya PCI DSS

Informasi tambahan

Berikut ini adalah contoh kebijakan AWS Identity and Access Management (IAM) yang memungkinkan pengguna mengakses AWS Config dan mengelola paket kesesuaian:


{
    "Version": "2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "config:PutConfigRule",
                "config:PutConformancePack",
                "config:DeleteConfigRule",
                "config:DeleteRemediationConfiguration",
                "config:DeleteConformancePack",
                "config:PutRemediationConfigurations",
                "config:BatchGetAggregateResourceConfig",
                "config:BatchGetResourceConfig",
                "config:Get*",
                "config:Describe*",
                "config:Deliver*",
                "config:List*",
                "config:Select*"
            ],
            "Resource": "*"
        }
    ]
}

Lampiran

Untuk mengakses konten tambahan yang terkait dengan dokumen ini, unzip file berikut: attachment.zip

Awas Javascript dinonaktifkan atau tidak tersedia di browser Anda.

Untuk menggunakan Dokumentasi AWS, Javascript harus diaktifkan. Lihat halaman Bantuan browser Anda untuk petunjuk.

Konvensi Dokumen

Gunakan Terraform untuk mengaktifkan secara otomatis GuardDuty

Lebih banyak pola