As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Melhores práticas operacionais para PCI DSS 4.0 (incluindo os tipos de recurso global)
Os pacotes de conformidade fornecem um framework de conformidade de uso geral desenvolvido para permitir que você crie verificações de governança operacional, de segurança ou de otimização de custos usando regras gerenciadas ou personalizadas do AWS Config e ações de correção do AWS Config. Os pacotes de conformidade, como os modelos de amostra, não foram projetados para garantir totalmente a conformidade com um padrão específico de governança ou conformidade. Você é responsável por avaliar se o seu uso dos serviços atende aos requisitos legais e regulamentares aplicáveis.
Veja a seguir um exemplo de mapeamento entre o Padrão de segurança de dados do setor de cartão de pagamento (PCI DSS – Payment Card Industry Data Security Standard) 4.0 (exceto os tipos de recurso global) e as regras gerenciadas do AWS Config. Cada regra de AWS Config se aplica a um recurso da AWS específico e está relacionada a um ou mais controles do PCI DSS. Um controle do PCI DSS pode estar relacionado a várias regras do Config. Consulte a tabela abaixo para conferir mais detalhes e orientações relacionados a esses mapeamentos.
| ID de controle | Descrição do controle | Regra do AWS Config | Orientação |
|---|---|---|---|
| 1.2.5 | Os controles de segurança de rede (NSCs) são configurados e mantidos. (PCI-DSS-v4.0) | Garanta que as distribuições do Amazon CloudFront estejam usando uma política de segurança mínima e um conjunto de cifras de TLSv1.2 ou superior para conexões de visualizadores. Essa regra será NON_COMPLIANT com uma distribuição do CloudFront se a minimumProtocolVersion estiver abaixo de TLSv1.2_2018. | |
| 1.2.5 | Os controles de segurança de rede (NSCs) são configurados e mantidos. (PCI-DSS-v4.0) | Garanta que as distribuições do Amazon CloudFront estejam usando um certificado SSL personalizado e estejam configuradas para usar o SNI para atender solicitações HTTPS. A regra será NON_COMPLIANT se um certificado SSL personalizado estiver associado, mas o método de suporte SSL for um endereço IP dedicado. | |
| 1.2.5 | Os controles de segurança de rede (NSCs) são configurados e mantidos. (PCI-DSS-v4.0) | Garanta que um servidor criado com o AWS Transfer Family não use FTP para conexão de endpoint. A regra será NON_COMPLIANT se o protocolo do servidor para conexão do endpoint estiver habilitado para FTP. | |
| 1.2.5 | Os controles de segurança de rede (NSCs) são configurados e mantidos. (PCI-DSS-v4.0) | Garanta que as distribuições do CloudFront estejam usando protocolos SSL obsoletos para comunicação HTTPS entre locais da borda do CloudFront e origens personalizadas. Essa regra será NON_COMPLIANT para uma distribuição do CloudFront se algum "OriginSslProtocols" incluir "SSLv3". | |
| 1.2.5 | Os controles de segurança de rede (NSCs) são configurados e mantidos. (PCI-DSS-v4.0) | Garanta que as distribuições do Amazon CloudFront estejam criptografando o tráfego para origens personalizadas. A regra não será compatível se "OriginProtocolPolicy" for "http-only" ou se "OriginProtocolPolicy" for "match-viewer" e "ViewerProtocolPolicy" for "allow-all". | |
| 1.2.5 | Os controles de segurança de rede (NSCs) são configurados e mantidos. (PCI-DSS-v4.0) | Garanta que suas distribuições do Amazon CloudFront usem HTTPS (diretamente ou por um redirecionamento). A regra será NON_COMPLIANT se o valor de ViewerProtocolPolicy for definido como "allow-all" para DefaultCacheBehavior ou para CacheBehaviors. | |
| 1.2.8 | Os controles de segurança de rede (NSCs) são configurados e mantidos. (PCI-DSS-v4.0) | Garanta que as APIs do Amazon API Gateway sejam do tipo especificado no parâmetro “endpointConfigurationType” da regra. A regra retornará NON_COMPLIANT se a API REST não corresponder ao tipo de endpoint configurado no parâmetro da regra. | |
| 1.2.8 | Os controles de segurança de rede (NSCs) são configurados e mantidos. (PCI-DSS-v4.0) | Garanta que as distribuições do Amazon CloudFront estejam associadas ao firewall de aplicações web (WAF) ou às listas de controle de acesso à web (ACLs) do WAFv2. A regra será NON_COMPLIANT se uma distribuição do CloudFront não estiver associada a uma ACL da web do WAF. | |
| 1.2.8 | Os controles de segurança de rede (NSCs) são configurados e mantidos. (PCI-DSS-v4.0) | Garanta que o certificado associado a uma distribuição do Amazon CloudFront seja o certificado SSL padrão. A regra será NON_COMPLIANT se uma distribuição do CloudFront usar o certificado SSL padrão. | |
| 1.2.8 | Os controles de segurança de rede (NSCs) são configurados e mantidos. (PCI-DSS-v4.0) | Garanta que uma política do AWS Network Firewall esteja configurada com uma ação padrão sem estado definida pelo usuário para pacotes fragmentados. A regra será NON_COMPLIANT se a ação padrão sem estado para pacotes fragmentados não corresponder à ação padrão definida pelo usuário. | |
| 1.2.8 | Os controles de segurança de rede (NSCs) são configurados e mantidos. (PCI-DSS-v4.0) | Garanta que os grupos de segurança do banco de dados do Amazon Relational Database Service (Amazon RDS) sejam o grupo padrão. A regra será NON_COMPLIANT se houver algum grupo de segurança de banco de dados que não seja o grupo de segurança de banco de dados padrão. | |
| 1.2.8 | Os controles de segurança de rede (NSCs) são configurados e mantidos. (PCI-DSS-v4.0) | Garanta que os gateways de trânsito do Amazon Elastic Compute Cloud (Amazon EC2) não tenham o recurso "AutoAcceptSharedAttachments" habilitado. A regra será NON_COMPLIANT para um gateway de trânsito se "AutoAcceptSharedAttachments" estiver definido como "habilitar". | |
| 1.2.8 | Os controles de segurança de rede (NSCs) são configurados e mantidos. (PCI-DSS-v4.0) | Garanta que o endpoint do Amazon Elastic Kubernetes Service (Amazon EKS) não esteja acessível ao público. A regra será NON_COMPLIANT se o endpoint estiver acessível publicamente. | |
| 1.2.8 | Os controles de segurança de rede (NSCs) são configurados e mantidos. (PCI-DSS-v4.0) | Observação: para essa regra, o identificador da regra (INCOMING_SSH_DISABLED) e o nome da regra (restricted-ssh) são diferentes. Garanta que o tráfego de entrada SSH dos grupos de segurança seja acessível. A regra será COMPLIANT se os endereços IP do tráfego de entrada SSH nos grupos de segurança forem restritos (CIDR diferente de 0.0.0.0/0 ou ::/0). Caso contrário, NON_COMPLIANT. | |
| 1.2.8 | Os controles de segurança de rede (NSCs) são configurados e mantidos. (PCI-DSS-v4.0) | Garanta que as APIs do AWS AppSync estejam associadas às listas de controle de acesso à web (ACLs) do AWS WAFv2. A regra será NON_COMPLIANT para uma API do AWS AppSync se não estiver associada a uma ACL da web. | |
| 1.2.8 | Os controles de segurança de rede (NSCs) são configurados e mantidos. (PCI-DSS-v4.0) | Garanta que os instantâneos manuais do cluster do Amazon DocumentDB sejam públicos. A regra será NON_COMPLIANT se qualquer snapshot manual do cluster do Amazon DocumentDB for público. | |
| 1.2.8 | Os controles de segurança de rede (NSCs) são configurados e mantidos. (PCI-DSS-v4.0) | Garanta que o URL do repositório de origem do Bitbucket NÃO contenha credenciais de login ou não. A regra será NON_COMPLIANT se o URL contiver alguma informação de login e COMPLIANT se não tiver. | |
| 1.2.8 | Os controles de segurança de rede (NSCs) são configurados e mantidos. (PCI-DSS-v4.0) | Garanta que os Classic Load Balancers usem certificados SSL fornecidos pelo AWS Certificate Manager. Para usar esta regra, use um listener SSL ou HTTPS com o Classic Load Balancer. Esta regra é aplicável somente aos Classic Load Balancers. Esta regra não verifica Application Load Balancers e Network Load Balancers. | |
| 1.2.8 | Os controles de segurança de rede (NSCs) são configurados e mantidos. (PCI-DSS-v4.0) | Garanta que uma conta com o Amazon EMR tenha configurações de bloqueio de acesso público habilitadas. A regra será NON_COMPLIANT se BlockPublicSecurityGroupRules for falsa ou, se verdadeira, portas diferentes da Porta 22 estiverem listadas em PermittedPublicSecurityGroupRuleRanges. | |
| 1.2.8 | Os controles de segurança de rede (NSCs) são configurados e mantidos. (PCI-DSS-v4.0) | Garanta que as portas padrão para tráfego de entrada SSH/RDP para listas de controle de acesso à rede (NACLs) sejam restritas. A regra será NON_COMPLIANT se uma entrada NACL permitir um bloco CIDR TCP ou UDP de origem para as portas 22 ou 3389. | |
| 1.2.8 | Os controles de segurança de rede (NSCs) são configurados e mantidos. (PCI-DSS-v4.0) | Garanta que uma ACL da web do WAF Global contenha algumas regras ou grupos de regras do WAF. Essa regra será NON_COMPLIANT se uma ACL da web não contiver nenhuma regra ou grupo de regras do WAF. | |
| 1.2.8 | Os controles de segurança de rede (NSCs) são configurados e mantidos. (PCI-DSS-v4.0) | Garanta que um grupo de regras do AWS WAF Classic contenha algumas regras. A regra será NON_COMPLIANT se não houver regras presentes em um grupo de regras. | |
| 1.2.8 | Os controles de segurança de rede (NSCs) são configurados e mantidos. (PCI-DSS-v4.0) | Garanta que uma regra global do AWS WAF contenha algumas condições. A regra será NON_COMPLIANT se nenhuma condição estiver presente na regra global do WAF. | |
| 1.2.8 | Os controles de segurança de rede (NSCs) são configurados e mantidos. (PCI-DSS-v4.0) | Garanta que as regras de autorização do AWS Client VPN não autorizem o acesso à conexão para todos os clientes. A regra será NON_COMPLIANT se "AccessAll" estiver presente e definido como verdadeiro. | |
| 1.2.8 | Os controles de segurança de rede (NSCs) são configurados e mantidos. (PCI-DSS-v4.0) | Garanta que os gateways da Internet estejam conectados a uma nuvem privada virtual autorizada (Amazon VPC). A regra será NON_COMPLIANT se os gateways da Internet estiverem conectados a uma VPC não autorizada. | |
| 1.2.8 | Os controles de segurança de rede (NSCs) são configurados e mantidos. (PCI-DSS-v4.0) | Garanta que os pontos de acesso Amazon S3 tenham configurações do bloqueio do acesso público habilitadas. A regra será NON_COMPLIANT se as configurações de bloqueio de acesso público não estiverem habilitadas para pontos de acesso S3. | |
| 1.2.8 | Os controles de segurança de rede (NSCs) são configurados e mantidos. (PCI-DSS-v4.0) | Garanta que as configurações de bloco de acesso público necessárias estão configuradas no nível da conta. A regra será somente NON_COMPLIANT quando não houver a correspondência dos campos definidos abaixo com os campos correspondentes no item de configuração. | |
| 1.3.1 | O acesso à rede de e para o ambiente de dados do titular do cartão é restrito. (PCI-DSS-v4.0) | Garanta que as APIs do Amazon API Gateway sejam do tipo especificado no parâmetro “endpointConfigurationType” da regra. A regra retornará NON_COMPLIANT se a API REST não corresponder ao tipo de endpoint configurado no parâmetro da regra. | |
| 1.3.1 | O acesso à rede de e para o ambiente de dados do titular do cartão é restrito. (PCI-DSS-v4.0) | Garanta que as distribuições do Amazon CloudFront estejam associadas ao firewall de aplicações web (WAF) ou às listas de controle de acesso à web (ACLs) do WAFv2. A regra será NON_COMPLIANT se uma distribuição do CloudFront não estiver associada a uma ACL da web do WAF. | |
| 1.3.1 | O acesso à rede de e para o ambiente de dados do titular do cartão é restrito. (PCI-DSS-v4.0) | Garanta que o certificado associado a uma distribuição do Amazon CloudFront seja o certificado SSL padrão. A regra será NON_COMPLIANT se uma distribuição do CloudFront usar o certificado SSL padrão. | |
| 1.3.1 | O acesso à rede de e para o ambiente de dados do titular do cartão é restrito. (PCI-DSS-v4.0) | Garanta que uma política do AWS Network Firewall esteja configurada com uma ação padrão sem estado definida pelo usuário para pacotes fragmentados. A regra será NON_COMPLIANT se a ação padrão sem estado para pacotes fragmentados não corresponder à ação padrão definida pelo usuário. | |
| 1.3.1 | O acesso à rede de e para o ambiente de dados do titular do cartão é restrito. (PCI-DSS-v4.0) | Garanta que os grupos de segurança do banco de dados do Amazon Relational Database Service (Amazon RDS) sejam o grupo padrão. A regra será NON_COMPLIANT se houver algum grupo de segurança de banco de dados que não seja o grupo de segurança de banco de dados padrão. | |
| 1.3.1 | O acesso à rede de e para o ambiente de dados do titular do cartão é restrito. (PCI-DSS-v4.0) | Garanta que os clusters do Amazon Redshift tenham o "enhancedVpcRouting" habilitado. A regra será NON_COMPLIANT se "EnhancedVpcRouting" não estiver habilitado ou se o campo configuration.enhancedVpcRouting for "falso". | |
| 1.3.1 | O acesso à rede de e para o ambiente de dados do titular do cartão é restrito. (PCI-DSS-v4.0) | Garanta que os gateways de trânsito do Amazon Elastic Compute Cloud (Amazon EC2) não tenham o recurso "AutoAcceptSharedAttachments" habilitado. A regra será NON_COMPLIANT para um gateway de trânsito se "AutoAcceptSharedAttachments" estiver definido como "habilitar". | |
| 1.3.1 | O acesso à rede de e para o ambiente de dados do titular do cartão é restrito. (PCI-DSS-v4.0) | Garanta que o endpoint do Amazon Elastic Kubernetes Service (Amazon EKS) não esteja acessível ao público. A regra será NON_COMPLIANT se o endpoint estiver acessível publicamente. | |
| 1.3.1 | O acesso à rede de e para o ambiente de dados do titular do cartão é restrito. (PCI-DSS-v4.0) | Observação: para essa regra, o identificador da regra (INCOMING_SSH_DISABLED) e o nome da regra (restricted-ssh) são diferentes. Garanta que o tráfego de entrada SSH dos grupos de segurança seja acessível. A regra será COMPLIANT se os endereços IP do tráfego de entrada SSH nos grupos de segurança forem restritos (CIDR diferente de 0.0.0.0/0 ou ::/0). Caso contrário, NON_COMPLIANT. | |
| 1.3.1 | O acesso à rede de e para o ambiente de dados do titular do cartão é restrito. (PCI-DSS-v4.0) | Garanta que as APIs do AWS AppSync estejam associadas às listas de controle de acesso à web (ACLs) do AWS WAFv2. A regra será NON_COMPLIANT para uma API do AWS AppSync se não estiver associada a uma ACL da web. | |
| 1.3.1 | O acesso à rede de e para o ambiente de dados do titular do cartão é restrito. (PCI-DSS-v4.0) | Garanta que os instantâneos manuais do cluster do Amazon DocumentDB sejam públicos. A regra será NON_COMPLIANT se qualquer snapshot manual do cluster do Amazon DocumentDB for público. | |
| 1.3.1 | O acesso à rede de e para o ambiente de dados do titular do cartão é restrito. (PCI-DSS-v4.0) | Garanta que o URL do repositório de origem do Bitbucket NÃO contenha credenciais de login ou não. A regra será NON_COMPLIANT se o URL contiver alguma informação de login e COMPLIANT se não tiver. | |
| 1.3.1 | O acesso à rede de e para o ambiente de dados do titular do cartão é restrito. (PCI-DSS-v4.0) | Garanta que os Classic Load Balancers usem certificados SSL fornecidos pelo AWS Certificate Manager. Para usar esta regra, use um listener SSL ou HTTPS com o Classic Load Balancer. Esta regra é aplicável somente aos Classic Load Balancers. Esta regra não verifica Application Load Balancers e Network Load Balancers. | |
| 1.3.1 | O acesso à rede de e para o ambiente de dados do titular do cartão é restrito. (PCI-DSS-v4.0) | Garanta que uma conta com o Amazon EMR tenha configurações de bloqueio de acesso público habilitadas. A regra será NON_COMPLIANT se BlockPublicSecurityGroupRules for falsa ou, se verdadeira, portas diferentes da Porta 22 estiverem listadas em PermittedPublicSecurityGroupRuleRanges. | |
| 1.3.1 | O acesso à rede de e para o ambiente de dados do titular do cartão é restrito. (PCI-DSS-v4.0) | Garanta que as portas padrão para tráfego de entrada SSH/RDP para listas de controle de acesso à rede (NACLs) sejam restritas. A regra será NON_COMPLIANT se uma entrada NACL permitir um bloco CIDR TCP ou UDP de origem para as portas 22 ou 3389. | |
| 1.3.1 | O acesso à rede de e para o ambiente de dados do titular do cartão é restrito. (PCI-DSS-v4.0) | Garanta que uma ACL da web do WAF Global contenha algumas regras ou grupos de regras do WAF. Essa regra será NON_COMPLIANT se uma ACL da web não contiver nenhuma regra ou grupo de regras do WAF. | |
| 1.3.1 | O acesso à rede de e para o ambiente de dados do titular do cartão é restrito. (PCI-DSS-v4.0) | Garanta que um grupo de regras do AWS WAF Classic contenha algumas regras. A regra será NON_COMPLIANT se não houver regras presentes em um grupo de regras. | |
| 1.3.1 | O acesso à rede de e para o ambiente de dados do titular do cartão é restrito. (PCI-DSS-v4.0) | Garanta que uma regra global do AWS WAF contenha algumas condições. A regra será NON_COMPLIANT se nenhuma condição estiver presente na regra global do WAF. | |
| 1.3.1 | O acesso à rede de e para o ambiente de dados do titular do cartão é restrito. (PCI-DSS-v4.0) | Garanta que as regras de autorização do AWS Client VPN não autorizem o acesso à conexão para todos os clientes. A regra será NON_COMPLIANT se "AccessAll" estiver presente e definido como verdadeiro. | |
| 1.3.1 | O acesso à rede de e para o ambiente de dados do titular do cartão é restrito. (PCI-DSS-v4.0) | Garanta que os gateways da Internet estejam conectados a uma nuvem privada virtual autorizada (Amazon VPC). A regra será NON_COMPLIANT se os gateways da Internet estiverem conectados a uma VPC não autorizada. | |
| 1.3.1 | O acesso à rede de e para o ambiente de dados do titular do cartão é restrito. (PCI-DSS-v4.0) | Garanta que os pontos de acesso Amazon S3 tenham configurações do bloqueio do acesso público habilitadas. A regra será NON_COMPLIANT se as configurações de bloqueio de acesso público não estiverem habilitadas para pontos de acesso S3. | |
| 1.3.1 | O acesso à rede de e para o ambiente de dados do titular do cartão é restrito. (PCI-DSS-v4.0) | Garanta que as configurações de bloco de acesso público necessárias estão configuradas no nível da conta. A regra será somente NON_COMPLIANT quando não houver a correspondência dos campos definidos abaixo com os campos correspondentes no item de configuração. | |
| 1.3.2 | O acesso à rede de e para o ambiente de dados do titular do cartão é restrito. (PCI-DSS-v4.0) | Garanta que as APIs do Amazon API Gateway sejam do tipo especificado no parâmetro “endpointConfigurationType” da regra. A regra retornará NON_COMPLIANT se a API REST não corresponder ao tipo de endpoint configurado no parâmetro da regra. | |
| 1.3.2 | O acesso à rede de e para o ambiente de dados do titular do cartão é restrito. (PCI-DSS-v4.0) | Garanta que as distribuições do Amazon CloudFront estejam associadas ao firewall de aplicações web (WAF) ou às listas de controle de acesso à web (ACLs) do WAFv2. A regra será NON_COMPLIANT se uma distribuição do CloudFront não estiver associada a uma ACL da web do WAF. | |
| 1.3.2 | O acesso à rede de e para o ambiente de dados do titular do cartão é restrito. (PCI-DSS-v4.0) | Garanta que o certificado associado a uma distribuição do Amazon CloudFront seja o certificado SSL padrão. A regra será NON_COMPLIANT se uma distribuição do CloudFront usar o certificado SSL padrão. | |
| 1.3.2 | O acesso à rede de e para o ambiente de dados do titular do cartão é restrito. (PCI-DSS-v4.0) | Garanta que uma política do AWS Network Firewall esteja configurada com uma ação padrão sem estado definida pelo usuário para pacotes fragmentados. A regra será NON_COMPLIANT se a ação padrão sem estado para pacotes fragmentados não corresponder à ação padrão definida pelo usuário. | |
| 1.3.2 | O acesso à rede de e para o ambiente de dados do titular do cartão é restrito. (PCI-DSS-v4.0) | Garanta que os grupos de segurança do banco de dados do Amazon Relational Database Service (Amazon RDS) sejam o grupo padrão. A regra será NON_COMPLIANT se houver algum grupo de segurança de banco de dados que não seja o grupo de segurança de banco de dados padrão. | |
| 1.3.2 | O acesso à rede de e para o ambiente de dados do titular do cartão é restrito. (PCI-DSS-v4.0) | Garanta que os clusters do Amazon Redshift tenham o "enhancedVpcRouting" habilitado. A regra será NON_COMPLIANT se "EnhancedVpcRouting" não estiver habilitado ou se o campo configuration.enhancedVpcRouting for "falso". | |
| 1.3.2 | O acesso à rede de e para o ambiente de dados do titular do cartão é restrito. (PCI-DSS-v4.0) | Garanta que os gateways de trânsito do Amazon Elastic Compute Cloud (Amazon EC2) não tenham o recurso "AutoAcceptSharedAttachments" habilitado. A regra será NON_COMPLIANT para um gateway de trânsito se "AutoAcceptSharedAttachments" estiver definido como "habilitar". | |
| 1.3.2 | O acesso à rede de e para o ambiente de dados do titular do cartão é restrito. (PCI-DSS-v4.0) | Garanta que o endpoint do Amazon Elastic Kubernetes Service (Amazon EKS) não esteja acessível ao público. A regra será NON_COMPLIANT se o endpoint estiver acessível publicamente. | |
| 1.3.2 | O acesso à rede de e para o ambiente de dados do titular do cartão é restrito. (PCI-DSS-v4.0) | Observação: para essa regra, o identificador da regra (INCOMING_SSH_DISABLED) e o nome da regra (restricted-ssh) são diferentes. Garanta que o tráfego de entrada SSH dos grupos de segurança seja acessível. A regra será COMPLIANT se os endereços IP do tráfego de entrada SSH nos grupos de segurança forem restritos (CIDR diferente de 0.0.0.0/0 ou ::/0). Caso contrário, NON_COMPLIANT. | |
| 1.3.2 | O acesso à rede de e para o ambiente de dados do titular do cartão é restrito. (PCI-DSS-v4.0) | Garanta que as APIs do AWS AppSync estejam associadas às listas de controle de acesso à web (ACLs) do AWS WAFv2. A regra será NON_COMPLIANT para uma API do AWS AppSync se não estiver associada a uma ACL da web. | |
| 1.3.2 | O acesso à rede de e para o ambiente de dados do titular do cartão é restrito. (PCI-DSS-v4.0) | Garanta que os instantâneos manuais do cluster do Amazon DocumentDB sejam públicos. A regra será NON_COMPLIANT se qualquer snapshot manual do cluster do Amazon DocumentDB for público. | |
| 1.3.2 | O acesso à rede de e para o ambiente de dados do titular do cartão é restrito. (PCI-DSS-v4.0) | Garanta que o URL do repositório de origem do Bitbucket NÃO contenha credenciais de login ou não. A regra será NON_COMPLIANT se o URL contiver alguma informação de login e COMPLIANT se não tiver. | |
| 1.3.2 | O acesso à rede de e para o ambiente de dados do titular do cartão é restrito. (PCI-DSS-v4.0) | Garanta que os Classic Load Balancers usem certificados SSL fornecidos pelo AWS Certificate Manager. Para usar esta regra, use um listener SSL ou HTTPS com o Classic Load Balancer. Esta regra é aplicável somente aos Classic Load Balancers. Esta regra não verifica Application Load Balancers e Network Load Balancers. | |
| 1.3.2 | O acesso à rede de e para o ambiente de dados do titular do cartão é restrito. (PCI-DSS-v4.0) | Garanta que uma conta com o Amazon EMR tenha configurações de bloqueio de acesso público habilitadas. A regra será NON_COMPLIANT se BlockPublicSecurityGroupRules for falsa ou, se verdadeira, portas diferentes da Porta 22 estiverem listadas em PermittedPublicSecurityGroupRuleRanges. | |
| 1.3.2 | O acesso à rede de e para o ambiente de dados do titular do cartão é restrito. (PCI-DSS-v4.0) | Garanta que as portas padrão para tráfego de entrada SSH/RDP para listas de controle de acesso à rede (NACLs) sejam restritas. A regra será NON_COMPLIANT se uma entrada NACL permitir um bloco CIDR TCP ou UDP de origem para as portas 22 ou 3389. | |
| 1.3.2 | O acesso à rede de e para o ambiente de dados do titular do cartão é restrito. (PCI-DSS-v4.0) | Garanta que uma ACL da web do WAF Global contenha algumas regras ou grupos de regras do WAF. Essa regra será NON_COMPLIANT se uma ACL da web não contiver nenhuma regra ou grupo de regras do WAF. | |
| 1.3.2 | O acesso à rede de e para o ambiente de dados do titular do cartão é restrito. (PCI-DSS-v4.0) | Garanta que um grupo de regras do AWS WAF Classic contenha algumas regras. A regra será NON_COMPLIANT se não houver regras presentes em um grupo de regras. | |
| 1.3.2 | O acesso à rede de e para o ambiente de dados do titular do cartão é restrito. (PCI-DSS-v4.0) | Garanta que uma regra global do AWS WAF contenha algumas condições. A regra será NON_COMPLIANT se nenhuma condição estiver presente na regra global do WAF. | |
| 1.3.2 | O acesso à rede de e para o ambiente de dados do titular do cartão é restrito. (PCI-DSS-v4.0) | Garanta que as regras de autorização do AWS Client VPN não autorizem o acesso à conexão para todos os clientes. A regra será NON_COMPLIANT se "AccessAll" estiver presente e definido como verdadeiro. | |
| 1.3.2 | O acesso à rede de e para o ambiente de dados do titular do cartão é restrito. (PCI-DSS-v4.0) | Garanta que os gateways da Internet estejam conectados a uma nuvem privada virtual autorizada (Amazon VPC). A regra será NON_COMPLIANT se os gateways da Internet estiverem conectados a uma VPC não autorizada. | |
| 1.3.2 | O acesso à rede de e para o ambiente de dados do titular do cartão é restrito. (PCI-DSS-v4.0) | Garanta que os pontos de acesso Amazon S3 tenham configurações do bloqueio do acesso público habilitadas. A regra será NON_COMPLIANT se as configurações de bloqueio de acesso público não estiverem habilitadas para pontos de acesso S3. | |
| 1.3.2 | O acesso à rede de e para o ambiente de dados do titular do cartão é restrito. (PCI-DSS-v4.0) | Garanta que as configurações de bloco de acesso público necessárias estão configuradas no nível da conta. A regra será somente NON_COMPLIANT quando não houver a correspondência dos campos definidos abaixo com os campos correspondentes no item de configuração. | |
| 1.4.1 | As conexões de rede entre redes confiáveis e não confiáveis são controladas. (PCI-DSS-v4.0) | Garanta que as APIs do Amazon API Gateway sejam do tipo especificado no parâmetro “endpointConfigurationType” da regra. A regra retornará NON_COMPLIANT se a API REST não corresponder ao tipo de endpoint configurado no parâmetro da regra. | |
| 1.4.1 | As conexões de rede entre redes confiáveis e não confiáveis são controladas. (PCI-DSS-v4.0) | Garanta que os clusters do Amazon Redshift tenham o "enhancedVpcRouting" habilitado. A regra será NON_COMPLIANT se "EnhancedVpcRouting" não estiver habilitado ou se o campo configuration.enhancedVpcRouting for "falso". | |
| 1.4.1 | As conexões de rede entre redes confiáveis e não confiáveis são controladas. (PCI-DSS-v4.0) | Garanta que os gateways da Internet estejam conectados a uma nuvem privada virtual autorizada (Amazon VPC). A regra será NON_COMPLIANT se os gateways da Internet estiverem conectados a uma VPC não autorizada. | |
| 1.4.2 | As conexões de rede entre redes confiáveis e não confiáveis são controladas. (PCI-DSS-v4.0) | Garanta que as APIs do Amazon API Gateway sejam do tipo especificado no parâmetro “endpointConfigurationType” da regra. A regra retornará NON_COMPLIANT se a API REST não corresponder ao tipo de endpoint configurado no parâmetro da regra. | |
| 1.4.2 | As conexões de rede entre redes confiáveis e não confiáveis são controladas. (PCI-DSS-v4.0) | Garanta que as distribuições do Amazon CloudFront estejam associadas ao firewall de aplicações web (WAF) ou às listas de controle de acesso à web (ACLs) do WAFv2. A regra será NON_COMPLIANT se uma distribuição do CloudFront não estiver associada a uma ACL da web do WAF. | |
| 1.4.2 | As conexões de rede entre redes confiáveis e não confiáveis são controladas. (PCI-DSS-v4.0) | Garanta que o certificado associado a uma distribuição do Amazon CloudFront seja o certificado SSL padrão. A regra será NON_COMPLIANT se uma distribuição do CloudFront usar o certificado SSL padrão. | |
| 1.4.2 | As conexões de rede entre redes confiáveis e não confiáveis são controladas. (PCI-DSS-v4.0) | Garanta que uma política do AWS Network Firewall esteja configurada com uma ação padrão sem estado definida pelo usuário para pacotes fragmentados. A regra será NON_COMPLIANT se a ação padrão sem estado para pacotes fragmentados não corresponder à ação padrão definida pelo usuário. | |
| 1.4.2 | As conexões de rede entre redes confiáveis e não confiáveis são controladas. (PCI-DSS-v4.0) | Garanta que os grupos de segurança do banco de dados do Amazon Relational Database Service (Amazon RDS) sejam o grupo padrão. A regra será NON_COMPLIANT se houver algum grupo de segurança de banco de dados que não seja o grupo de segurança de banco de dados padrão. | |
| 1.4.2 | As conexões de rede entre redes confiáveis e não confiáveis são controladas. (PCI-DSS-v4.0) | Garanta que os clusters do Amazon Redshift tenham o "enhancedVpcRouting" habilitado. A regra será NON_COMPLIANT se "EnhancedVpcRouting" não estiver habilitado ou se o campo configuration.enhancedVpcRouting for "falso". | |
| 1.4.2 | As conexões de rede entre redes confiáveis e não confiáveis são controladas. (PCI-DSS-v4.0) | Garanta que os gateways de trânsito do Amazon Elastic Compute Cloud (Amazon EC2) não tenham o recurso "AutoAcceptSharedAttachments" habilitado. A regra será NON_COMPLIANT para um gateway de trânsito se "AutoAcceptSharedAttachments" estiver definido como "habilitar". | |
| 1.4.2 | As conexões de rede entre redes confiáveis e não confiáveis são controladas. (PCI-DSS-v4.0) | Garanta que o endpoint do Amazon Elastic Kubernetes Service (Amazon EKS) não esteja acessível ao público. A regra será NON_COMPLIANT se o endpoint estiver acessível publicamente. | |
| 1.4.2 | As conexões de rede entre redes confiáveis e não confiáveis são controladas. (PCI-DSS-v4.0) | Observação: para essa regra, o identificador da regra (INCOMING_SSH_DISABLED) e o nome da regra (restricted-ssh) são diferentes. Garanta que o tráfego de entrada SSH dos grupos de segurança seja acessível. A regra será COMPLIANT se os endereços IP do tráfego de entrada SSH nos grupos de segurança forem restritos (CIDR diferente de 0.0.0.0/0 ou ::/0). Caso contrário, NON_COMPLIANT. | |
| 1.4.2 | As conexões de rede entre redes confiáveis e não confiáveis são controladas. (PCI-DSS-v4.0) | Garanta que as APIs do AWS AppSync estejam associadas às listas de controle de acesso à web (ACLs) do AWS WAFv2. A regra será NON_COMPLIANT para uma API do AWS AppSync se não estiver associada a uma ACL da web. | |
| 1.4.2 | As conexões de rede entre redes confiáveis e não confiáveis são controladas. (PCI-DSS-v4.0) | Garanta que os instantâneos manuais do cluster do Amazon DocumentDB sejam públicos. A regra será NON_COMPLIANT se qualquer snapshot manual do cluster do Amazon DocumentDB for público. | |
| 1.4.2 | As conexões de rede entre redes confiáveis e não confiáveis são controladas. (PCI-DSS-v4.0) | Garanta que o URL do repositório de origem do Bitbucket NÃO contenha credenciais de login ou não. A regra será NON_COMPLIANT se o URL contiver alguma informação de login e COMPLIANT se não tiver. | |
| 1.4.2 | As conexões de rede entre redes confiáveis e não confiáveis são controladas. (PCI-DSS-v4.0) | Garanta que os Classic Load Balancers usem certificados SSL fornecidos pelo AWS Certificate Manager. Para usar esta regra, use um listener SSL ou HTTPS com o Classic Load Balancer. Esta regra é aplicável somente aos Classic Load Balancers. Esta regra não verifica Application Load Balancers e Network Load Balancers. | |
| 1.4.2 | As conexões de rede entre redes confiáveis e não confiáveis são controladas. (PCI-DSS-v4.0) | Garanta que uma conta com o Amazon EMR tenha configurações de bloqueio de acesso público habilitadas. A regra será NON_COMPLIANT se BlockPublicSecurityGroupRules for falsa ou, se verdadeira, portas diferentes da Porta 22 estiverem listadas em PermittedPublicSecurityGroupRuleRanges. | |
| 1.4.2 | As conexões de rede entre redes confiáveis e não confiáveis são controladas. (PCI-DSS-v4.0) | Garanta que as portas padrão para tráfego de entrada SSH/RDP para listas de controle de acesso à rede (NACLs) sejam restritas. A regra será NON_COMPLIANT se uma entrada NACL permitir um bloco CIDR TCP ou UDP de origem para as portas 22 ou 3389. | |
| 1.4.2 | As conexões de rede entre redes confiáveis e não confiáveis são controladas. (PCI-DSS-v4.0) | Garanta que uma ACL da web do WAF Global contenha algumas regras ou grupos de regras do WAF. Essa regra será NON_COMPLIANT se uma ACL da web não contiver nenhuma regra ou grupo de regras do WAF. | |
| 1.4.2 | As conexões de rede entre redes confiáveis e não confiáveis são controladas. (PCI-DSS-v4.0) | Garanta que um grupo de regras do AWS WAF Classic contenha algumas regras. A regra será NON_COMPLIANT se não houver regras presentes em um grupo de regras. | |
| 1.4.2 | As conexões de rede entre redes confiáveis e não confiáveis são controladas. (PCI-DSS-v4.0) | Garanta que uma regra global do AWS WAF contenha algumas condições. A regra será NON_COMPLIANT se nenhuma condição estiver presente na regra global do WAF. | |
| 1.4.2 | As conexões de rede entre redes confiáveis e não confiáveis são controladas. (PCI-DSS-v4.0) | Garanta que as regras de autorização do AWS Client VPN não autorizem o acesso à conexão para todos os clientes. A regra será NON_COMPLIANT se "AccessAll" estiver presente e definido como verdadeiro. | |
| 1.4.2 | As conexões de rede entre redes confiáveis e não confiáveis são controladas. (PCI-DSS-v4.0) | Garanta que os gateways da Internet estejam conectados a uma nuvem privada virtual autorizada (Amazon VPC). A regra será NON_COMPLIANT se os gateways da Internet estiverem conectados a uma VPC não autorizada. | |
| 1.4.2 | As conexões de rede entre redes confiáveis e não confiáveis são controladas. (PCI-DSS-v4.0) | Garanta que os pontos de acesso Amazon S3 tenham configurações do bloqueio do acesso público habilitadas. A regra será NON_COMPLIANT se as configurações de bloqueio de acesso público não estiverem habilitadas para pontos de acesso S3. | |
| 1.4.2 | As conexões de rede entre redes confiáveis e não confiáveis são controladas. (PCI-DSS-v4.0) | Garanta que as configurações de bloco de acesso público necessárias estão configuradas no nível da conta. A regra será somente NON_COMPLIANT quando não houver a correspondência dos campos definidos abaixo com os campos correspondentes no item de configuração. | |
| 1.4.3 | As conexões de rede entre redes confiáveis e não confiáveis são controladas. (PCI-DSS-v4.0) | Garanta que uma política do AWS Network Firewall esteja configurada com uma ação padrão sem estado definida pelo usuário para pacotes fragmentados. A regra será NON_COMPLIANT se a ação padrão sem estado para pacotes fragmentados não corresponder à ação padrão definida pelo usuário. | |
| 1.4.3 | As conexões de rede entre redes confiáveis e não confiáveis são controladas. (PCI-DSS-v4.0) | Garanta que uma política do AWS Network Firewall esteja configurada com uma ação padrão sem estado definida pelo usuário para pacotes fragmentados. A regra será NON_COMPLIANT se a ação padrão sem estado para pacotes fragmentados não corresponder à ação padrão definida pelo usuário. | |
| 1.4.3 | As conexões de rede entre redes confiáveis e não confiáveis são controladas. (PCI-DSS-v4.0) | Garanta que uma política do AWS Network Firewall esteja configurada com uma ação sem estado padrão definida pelo usuário para pacotes completos. Essa regra será NON_COMPLIANT se a ação sem estado padrão para pacotes completos não corresponder à ação sem estado padrão definida pelo usuário. | |
| 1.4.4 | As conexões de rede entre redes confiáveis e não confiáveis são controladas. (PCI-DSS-v4.0) | Garanta que as APIs do Amazon API Gateway sejam do tipo especificado no parâmetro “endpointConfigurationType” da regra. A regra retornará NON_COMPLIANT se a API REST não corresponder ao tipo de endpoint configurado no parâmetro da regra. | |
| 1.4.4 | As conexões de rede entre redes confiáveis e não confiáveis são controladas. (PCI-DSS-v4.0) | Garanta que os clusters do Amazon Redshift tenham o "enhancedVpcRouting" habilitado. A regra será NON_COMPLIANT se "EnhancedVpcRouting" não estiver habilitado ou se o campo configuration.enhancedVpcRouting for "falso". | |
| 1.4.4 | As conexões de rede entre redes confiáveis e não confiáveis são controladas. (PCI-DSS-v4.0) | Garanta que os gateways da Internet estejam conectados a uma nuvem privada virtual autorizada (Amazon VPC). A regra será NON_COMPLIANT se os gateways da Internet estiverem conectados a uma VPC não autorizada. | |
| 1.4.5 | As conexões de rede entre redes confiáveis e não confiáveis são controladas. (PCI-DSS-v4.0) | Garanta que ECSTaskDefinitions estejam configuradas para compartilhar o namespace de processo de um host com seus contêineres do Amazon Elastic Container Service (Amazon ECS). A regra será NON_COMPLIANT se o parâmetro pidMode estiver definido como "host". | |
| 1.4.5 | As conexões de rede entre redes confiáveis e não confiáveis são controladas. (PCI-DSS-v4.0) | Garanta que os modelos de execução do Amazon EC2 estejam configurados para atribuir endereços IP públicos às interfaces de rede. A regra será NON_COMPLIANT se a versão padrão de um modelo de execução do EC2 tiver pelo menos 1 interface de rede com "AssociatePublicIpAddress" definido como "verdadeiro". | |
| 1.5.1 | Os riscos para o CDE causados por dispositivos de computação capazes de se conectar tanto a redes não confiáveis quanto ao CDE são mitigados. (PCI-DSS-v4.0) | Garanta que as APIs do Amazon API Gateway sejam do tipo especificado no parâmetro “endpointConfigurationType” da regra. A regra retornará NON_COMPLIANT se a API REST não corresponder ao tipo de endpoint configurado no parâmetro da regra. | |
| 1.5.1 | Os riscos para o CDE causados por dispositivos de computação capazes de se conectar tanto a redes não confiáveis quanto ao CDE são mitigados. (PCI-DSS-v4.0) | Garanta que as distribuições do Amazon CloudFront estejam associadas ao firewall de aplicações web (WAF) ou às listas de controle de acesso à web (ACLs) do WAFv2. A regra será NON_COMPLIANT se uma distribuição do CloudFront não estiver associada a uma ACL da web do WAF. | |
| 1.5.1 | Os riscos para o CDE causados por dispositivos de computação capazes de se conectar tanto a redes não confiáveis quanto ao CDE são mitigados. (PCI-DSS-v4.0) | Garanta que o certificado associado a uma distribuição do Amazon CloudFront seja o certificado SSL padrão. A regra será NON_COMPLIANT se uma distribuição do CloudFront usar o certificado SSL padrão. | |
| 1.5.1 | Os riscos para o CDE causados por dispositivos de computação capazes de se conectar tanto a redes não confiáveis quanto ao CDE são mitigados. (PCI-DSS-v4.0) | Garanta que uma política do AWS Network Firewall esteja configurada com uma ação padrão sem estado definida pelo usuário para pacotes fragmentados. A regra será NON_COMPLIANT se a ação padrão sem estado para pacotes fragmentados não corresponder à ação padrão definida pelo usuário. | |
| 1.5.1 | Os riscos para o CDE causados por dispositivos de computação capazes de se conectar tanto a redes não confiáveis quanto ao CDE são mitigados. (PCI-DSS-v4.0) | Garanta que os grupos de segurança do banco de dados do Amazon Relational Database Service (Amazon RDS) sejam o grupo padrão. A regra será NON_COMPLIANT se houver algum grupo de segurança de banco de dados que não seja o grupo de segurança de banco de dados padrão. | |
| 1.5.1 | Os riscos para o CDE causados por dispositivos de computação capazes de se conectar tanto a redes não confiáveis quanto ao CDE são mitigados. (PCI-DSS-v4.0) | Garanta que os gateways de trânsito do Amazon Elastic Compute Cloud (Amazon EC2) não tenham o recurso "AutoAcceptSharedAttachments" habilitado. A regra será NON_COMPLIANT para um gateway de trânsito se "AutoAcceptSharedAttachments" estiver definido como "habilitar". | |
| 1.5.1 | Os riscos para o CDE causados por dispositivos de computação capazes de se conectar tanto a redes não confiáveis quanto ao CDE são mitigados. (PCI-DSS-v4.0) | Garanta que o endpoint do Amazon Elastic Kubernetes Service (Amazon EKS) não esteja acessível ao público. A regra será NON_COMPLIANT se o endpoint estiver acessível publicamente. | |
| 1.5.1 | Os riscos para o CDE causados por dispositivos de computação capazes de se conectar tanto a redes não confiáveis quanto ao CDE são mitigados. (PCI-DSS-v4.0) | Observação: para essa regra, o identificador da regra (INCOMING_SSH_DISABLED) e o nome da regra (restricted-ssh) são diferentes. Garanta que o tráfego de entrada SSH dos grupos de segurança seja acessível. A regra será COMPLIANT se os endereços IP do tráfego de entrada SSH nos grupos de segurança forem restritos (CIDR diferente de 0.0.0.0/0 ou ::/0). Caso contrário, NON_COMPLIANT. | |
| 1.5.1 | Os riscos para o CDE causados por dispositivos de computação capazes de se conectar tanto a redes não confiáveis quanto ao CDE são mitigados. (PCI-DSS-v4.0) | Garanta que as APIs do AWS AppSync estejam associadas às listas de controle de acesso à web (ACLs) do AWS WAFv2. A regra será NON_COMPLIANT para uma API do AWS AppSync se não estiver associada a uma ACL da web. | |
| 1.5.1 | Os riscos para o CDE causados por dispositivos de computação capazes de se conectar tanto a redes não confiáveis quanto ao CDE são mitigados. (PCI-DSS-v4.0) | Garanta que os instantâneos manuais do cluster do Amazon DocumentDB sejam públicos. A regra será NON_COMPLIANT se qualquer snapshot manual do cluster do Amazon DocumentDB for público. | |
| 1.5.1 | Os riscos para o CDE causados por dispositivos de computação capazes de se conectar tanto a redes não confiáveis quanto ao CDE são mitigados. (PCI-DSS-v4.0) | Garanta que o URL do repositório de origem do Bitbucket NÃO contenha credenciais de login ou não. A regra será NON_COMPLIANT se o URL contiver alguma informação de login e COMPLIANT se não tiver. | |
| 1.5.1 | Os riscos para o CDE causados por dispositivos de computação capazes de se conectar tanto a redes não confiáveis quanto ao CDE são mitigados. (PCI-DSS-v4.0) | Garanta que os Classic Load Balancers usem certificados SSL fornecidos pelo AWS Certificate Manager. Para usar esta regra, use um listener SSL ou HTTPS com o Classic Load Balancer. Esta regra é aplicável somente aos Classic Load Balancers. Esta regra não verifica Application Load Balancers e Network Load Balancers. | |
| 1.5.1 | Os riscos para o CDE causados por dispositivos de computação capazes de se conectar tanto a redes não confiáveis quanto ao CDE são mitigados. (PCI-DSS-v4.0) | Garanta que uma conta com o Amazon EMR tenha configurações de bloqueio de acesso público habilitadas. A regra será NON_COMPLIANT se BlockPublicSecurityGroupRules for falsa ou, se verdadeira, portas diferentes da Porta 22 estiverem listadas em PermittedPublicSecurityGroupRuleRanges. | |
| 1.5.1 | Os riscos para o CDE causados por dispositivos de computação capazes de se conectar tanto a redes não confiáveis quanto ao CDE são mitigados. (PCI-DSS-v4.0) | Garanta que as portas padrão para tráfego de entrada SSH/RDP para listas de controle de acesso à rede (NACLs) sejam restritas. A regra será NON_COMPLIANT se uma entrada NACL permitir um bloco CIDR TCP ou UDP de origem para as portas 22 ou 3389. | |
| 1.5.1 | Os riscos para o CDE causados por dispositivos de computação capazes de se conectar tanto a redes não confiáveis quanto ao CDE são mitigados. (PCI-DSS-v4.0) | Garanta que uma ACL da web do WAF Global contenha algumas regras ou grupos de regras do WAF. Essa regra será NON_COMPLIANT se uma ACL da web não contiver nenhuma regra ou grupo de regras do WAF. | |
| 1.5.1 | Os riscos para o CDE causados por dispositivos de computação capazes de se conectar tanto a redes não confiáveis quanto ao CDE são mitigados. (PCI-DSS-v4.0) | Garanta que um grupo de regras do AWS WAF Classic contenha algumas regras. A regra será NON_COMPLIANT se não houver regras presentes em um grupo de regras. | |
| 1.5.1 | Os riscos para o CDE causados por dispositivos de computação capazes de se conectar tanto a redes não confiáveis quanto ao CDE são mitigados. (PCI-DSS-v4.0) | Garanta que uma regra global do AWS WAF contenha algumas condições. A regra será NON_COMPLIANT se nenhuma condição estiver presente na regra global do WAF. | |
| 1.5.1 | Os riscos para o CDE causados por dispositivos de computação capazes de se conectar tanto a redes não confiáveis quanto ao CDE são mitigados. (PCI-DSS-v4.0) | Garanta que as regras de autorização do AWS Client VPN não autorizem o acesso à conexão para todos os clientes. A regra será NON_COMPLIANT se "AccessAll" estiver presente e definido como verdadeiro. | |
| 1.5.1 | Os riscos para o CDE causados por dispositivos de computação capazes de se conectar tanto a redes não confiáveis quanto ao CDE são mitigados. (PCI-DSS-v4.0) | Garanta que os gateways da Internet estejam conectados a uma nuvem privada virtual autorizada (Amazon VPC). A regra será NON_COMPLIANT se os gateways da Internet estiverem conectados a uma VPC não autorizada. | |
| 1.5.1 | Os riscos para o CDE causados por dispositivos de computação capazes de se conectar tanto a redes não confiáveis quanto ao CDE são mitigados. (PCI-DSS-v4.0) | Garanta que os pontos de acesso Amazon S3 tenham configurações do bloqueio do acesso público habilitadas. A regra será NON_COMPLIANT se as configurações de bloqueio de acesso público não estiverem habilitadas para pontos de acesso S3. | |
| 1.5.1 | Os riscos para o CDE causados por dispositivos de computação capazes de se conectar tanto a redes não confiáveis quanto ao CDE são mitigados. (PCI-DSS-v4.0) | Garanta que as configurações de bloco de acesso público necessárias estão configuradas no nível da conta. A regra será somente NON_COMPLIANT quando não houver a correspondência dos campos definidos abaixo com os campos correspondentes no item de configuração. | |
| 10.2.1 | Os logs de auditoria são implementados para apoiar a detecção de anomalias e atividades suspeitas e a análise forense de eventos. (PCI-DSS-v4.0) | Garanta que os estágios do Amazon API Gateway V2 tenham o registro em log de acesso habilitado. A regra será NON_COMPLIANT se "accessLogSettings" não estiver presente na configuração do Estágio. | |
| 10.2.1 | Os logs de auditoria são implementados para apoiar a detecção de anomalias e atividades suspeitas e a análise forense de eventos. (PCI-DSS-v4.0) | Garanta que o rastreamento do AWS X-Ray esteja habilitado nas APIs REST do Amazon API Gateway. A regra será COMPLIANT se o rastreamento do X-Ray estiver habilitado e, caso contrário, será NON_COMPLIANT. | |
| 10.2.1 | Os logs de auditoria são implementados para apoiar a detecção de anomalias e atividades suspeitas e a análise forense de eventos. (PCI-DSS-v4.0) | Garanta que as distribuições do Amazon CloudFront estejam configuradas para entregar logs de acesso a um bucket do Amazon S3. A regra será NON_COMPLIANT se uma distribuição do CloudFront não tiver o registro em log configurado. | |
| 10.2.1 | Os logs de auditoria são implementados para apoiar a detecção de anomalias e atividades suspeitas e a análise forense de eventos. (PCI-DSS-v4.0) | Garanta que um cluster do Amazon Neptune tenha a exportação de log do CloudWatch habilitada para logs de auditoria. A regra será NON_COMPLIANT se um cluster do Neptune não tiver a exportação de log do CloudWatch habilitada para logs de auditoria. | |
| 10.2.1 | Os logs de auditoria são implementados para apoiar a detecção de anomalias e atividades suspeitas e a análise forense de eventos. (PCI-DSS-v4.0) | Garanta que o logConfiguration esteja configurado nas definições de tarefas do ECS ativas. Essa regra será NON_COMPLIANT se uma ECSTaskDefinition ativa não tiver o recurso logConfiguration definido ou se o valor de logConfiguration for nulo em pelo menos uma definição de contêiner. | |
| 10.2.1 | Os logs de auditoria são implementados para apoiar a detecção de anomalias e atividades suspeitas e a análise forense de eventos. (PCI-DSS-v4.0) | Observação: para essa regra, o identificador da regra (CLOUD_TRAIL_ENABLED) e o nome da regra (cloudtrail-enabled) são diferentes. Garanta que uma trilha do AWS CloudTrail esteja habilitada em sua conta da AWS. A regra será NON_COMPLIANT, se uma trilha não estivar habilitada. Opcionalmente, a regra verifica um bucket específico do S3, um tópico do Amazon Simple Notification Service (Amazon SNS) e um grupo de logs do CloudWatch. | |
| 10.2.1 | Os logs de auditoria são implementados para apoiar a detecção de anomalias e atividades suspeitas e a análise forense de eventos. (PCI-DSS-v4.0) | Observação: para essa regra, o identificador da regra (MULTI_REGION_CLOUD_TRAIL_ENABLED) e o nome da regra (multi-region-cloudtrail-enabled) são diferentes. Garanta que haja pelo menos um AWS CloudTrail com várias regiões. A regra será NON_COMPLIANT se as trilhas não corresponderem aos parâmetros de entrada. A regra será NON_COMPLIANT se o campo ExcludeManagementEventSources não estiver vazio ou se o AWS CloudTrail estiver configurado para excluir eventos de gerenciamento, como eventos do AWS KMS ou eventos da API de dados do Amazon RDS. | |
| 10.2.1 | Os logs de auditoria são implementados para apoiar a detecção de anomalias e atividades suspeitas e a análise forense de eventos. (PCI-DSS-v4.0) | Garanta que a API do AWS AppSync tenha o registro em log habilitado. A regra será NON_COMPLIANT se o registro em log não estiver habilitado ou "fieldLogLevel" não for ERROR nem ALL. | |
| 10.2.1 | Os logs de auditoria são implementados para apoiar a detecção de anomalias e atividades suspeitas e a análise forense de eventos. (PCI-DSS-v4.0) | Garanta que o registro em log esteja habilitado nas listas de controle de acesso à web (ACLs da web) globais clássicas do AWS WAF. A regra será NON_COMPLIANT para uma ACL global da web se ela não tiver o registro em log habilitado. | |
| 10.2.1 | Os logs de auditoria são implementados para apoiar a detecção de anomalias e atividades suspeitas e a análise forense de eventos. (PCI-DSS-v4.0) | Garanta que os corretores do Amazon MQ tenham o registro em log de auditoria do Amazon CloudWatch habilitado. A regra será NON_COMPLIANT se um agente não tiver o registro em log de auditoria habilitado. | |
| 10.2.1 | Os logs de auditoria são implementados para apoiar a detecção de anomalias e atividades suspeitas e a análise forense de eventos. (PCI-DSS-v4.0) | Garanta que o corretor do Amazon MQ tenha o registro em log de auditoria do CloudWatch habilitado. A regra será NON_COMPLIANT se um agente não tiver o registro em log de auditoria habilitado. | |
| 10.2.1 | Os logs de auditoria são implementados para apoiar a detecção de anomalias e atividades suspeitas e a análise forense de eventos. (PCI-DSS-v4.0) | Garanta que um cluster do Amazon Elastic Kubernetes Service (Amazon EKS) está configurado com o registro em log habilitado. A regra será NON_COMPLIANT se o registro em log dos clusters do Amazon EKS não estiver habilitado para todos os tipos de log. | |
| 10.2.1 | Os logs de auditoria são implementados para apoiar a detecção de anomalias e atividades suspeitas e a análise forense de eventos. (PCI-DSS-v4.0) | Garanta que os ambientes do AWS Elastic Beanstalk estejam configurados para enviar logs para o Amazon CloudWatch Logs. A regra será NON_COMPLIANT se o valor de ‘StreamLogs’ for falso. | |
| 10.2.1 | Os logs de auditoria são implementados para apoiar a detecção de anomalias e atividades suspeitas e a análise forense de eventos. (PCI-DSS-v4.0) | Garanta que a máquina do AWS Step Functions tenha o registro em log habilitado. A regra será NON_COMPLIANT se uma máquina de estado não tiver o registro em log habilitado ou se a configuração de registro em log não estiver no nível mínimo fornecido. | |
| 10.2.1 | Os logs de auditoria são implementados para apoiar a detecção de anomalias e atividades suspeitas e a análise forense de eventos. (PCI-DSS-v4.0) | Garanta que os firewalls do AWS Network Firewall tenham o registro em log habilitado. A regra será NON_COMPLIANT se o tipo de registro em log não estiver configurado. Você pode especificar qual tipo de registro em log você deseja que a regra verifique. | |
| 10.2.1.1 | Os logs de auditoria são implementados para apoiar a detecção de anomalias e atividades suspeitas e a análise forense de eventos. (PCI-DSS-v4.0) | Garanta que os estágios do Amazon API Gateway V2 tenham o registro em log de acesso habilitado. A regra será NON_COMPLIANT se "accessLogSettings" não estiver presente na configuração do Estágio. | |
| 10.2.1.1 | Os logs de auditoria são implementados para apoiar a detecção de anomalias e atividades suspeitas e a análise forense de eventos. (PCI-DSS-v4.0) | Garanta que o rastreamento do AWS X-Ray esteja habilitado nas APIs REST do Amazon API Gateway. A regra será COMPLIANT se o rastreamento do X-Ray estiver habilitado e, caso contrário, será NON_COMPLIANT. | |
| 10.2.1.1 | Os logs de auditoria são implementados para apoiar a detecção de anomalias e atividades suspeitas e a análise forense de eventos. (PCI-DSS-v4.0) | Garanta que as distribuições do Amazon CloudFront estejam configuradas para entregar logs de acesso a um bucket do Amazon S3. A regra será NON_COMPLIANT se uma distribuição do CloudFront não tiver o registro em log configurado. | |
| 10.2.1.1 | Os logs de auditoria são implementados para apoiar a detecção de anomalias e atividades suspeitas e a análise forense de eventos. (PCI-DSS-v4.0) | Garanta que um cluster do Amazon Neptune tenha a exportação de log do CloudWatch habilitada para logs de auditoria. A regra será NON_COMPLIANT se um cluster do Neptune não tiver a exportação de log do CloudWatch habilitada para logs de auditoria. | |
| 10.2.1.1 | Os logs de auditoria são implementados para apoiar a detecção de anomalias e atividades suspeitas e a análise forense de eventos. (PCI-DSS-v4.0) | Garanta que o monitoramento detalhado esteja habilitado para instâncias do EC2. A regra será NON_COMPLIANT se o monitoramento detalhado não estiver habilitado. | |
| 10.2.1.1 | Os logs de auditoria são implementados para apoiar a detecção de anomalias e atividades suspeitas e a análise forense de eventos. (PCI-DSS-v4.0) | Garanta que o logConfiguration esteja configurado nas definições de tarefas do ECS ativas. Essa regra será NON_COMPLIANT se uma ECSTaskDefinition ativa não tiver o recurso logConfiguration definido ou se o valor de logConfiguration for nulo em pelo menos uma definição de contêiner. | |
| 10.2.1.1 | Os logs de auditoria são implementados para apoiar a detecção de anomalias e atividades suspeitas e a análise forense de eventos. (PCI-DSS-v4.0) | Garanta que os alarmes do CloudWatch tenham uma ação configurada para o estado ALARM, INSUFFICIENT_DATA ou OK. Opcionalmente, garanta que alguma ação corresponda a um ARN nomeado. A regra será NON_COMPLIANT se não houver nenhuma ação especificada para o alarme ou parâmetro opcional. | |
| 10.2.1.1 | Os logs de auditoria são implementados para apoiar a detecção de anomalias e atividades suspeitas e a análise forense de eventos. (PCI-DSS-v4.0) | Garanta que os alarmes do CloudWatch tenham uma ação configurada para o estado ALARM, INSUFFICIENT_DATA ou OK. Opcionalmente, garanta que alguma ação corresponda a um ARN nomeado. A regra será NON_COMPLIANT se não houver nenhuma ação especificada para o alarme ou parâmetro opcional. | |
| 10.2.1.1 | Os logs de auditoria são implementados para apoiar a detecção de anomalias e atividades suspeitas e a análise forense de eventos. (PCI-DSS-v4.0) | Garanta que os alarmes do CloudWatch tenham uma ação configurada para o estado ALARM, INSUFFICIENT_DATA ou OK. Opcionalmente, garanta que alguma ação corresponda a um ARN nomeado. A regra será NON_COMPLIANT se não houver nenhuma ação especificada para o alarme ou parâmetro opcional. | |
| 10.2.1.1 | Os logs de auditoria são implementados para apoiar a detecção de anomalias e atividades suspeitas e a análise forense de eventos. (PCI-DSS-v4.0) | Garanta que um tipo de recurso tenha um alarme do CloudWatch para a métrica nomeada. Para o tipo de recurso, você pode especificar volumes EBS, instâncias EC2, clusters do Amazon RDS ou buckets do S3. A regra será COMPLIANT se a métrica nomeada tiver um ID de recurso e um alarme do CloudWatch. | |
| 10.2.1.1 | Os logs de auditoria são implementados para apoiar a detecção de anomalias e atividades suspeitas e a análise forense de eventos. (PCI-DSS-v4.0) | Observação: para essa regra, o identificador da regra (CLOUD_TRAIL_ENABLED) e o nome da regra (cloudtrail-enabled) são diferentes. Garanta que uma trilha do AWS CloudTrail esteja habilitada em sua conta da AWS. A regra será NON_COMPLIANT, se uma trilha não estivar habilitada. Opcionalmente, a regra verifica um bucket específico do S3, um tópico do Amazon Simple Notification Service (Amazon SNS) e um grupo de logs do CloudWatch. | |
| 10.2.1.1 | Os logs de auditoria são implementados para apoiar a detecção de anomalias e atividades suspeitas e a análise forense de eventos. (PCI-DSS-v4.0) | Observação: para essa regra, o identificador da regra (MULTI_REGION_CLOUD_TRAIL_ENABLED) e o nome da regra (multi-region-cloudtrail-enabled) são diferentes. Garanta que haja pelo menos um AWS CloudTrail com várias regiões. A regra será NON_COMPLIANT se as trilhas não corresponderem aos parâmetros de entrada. A regra será NON_COMPLIANT se o campo ExcludeManagementEventSources não estiver vazio ou se o AWS CloudTrail estiver configurado para excluir eventos de gerenciamento, como eventos do AWS KMS ou eventos da API de dados do Amazon RDS. | |
| 10.2.1.1 | Os logs de auditoria são implementados para apoiar a detecção de anomalias e atividades suspeitas e a análise forense de eventos. (PCI-DSS-v4.0) | Garanta que a API do AWS AppSync tenha o registro em log habilitado. A regra será NON_COMPLIANT se o registro em log não estiver habilitado ou "fieldLogLevel" não for ERROR nem ALL. | |
| 10.2.1.1 | Os logs de auditoria são implementados para apoiar a detecção de anomalias e atividades suspeitas e a análise forense de eventos. (PCI-DSS-v4.0) | Garanta que o registro em log esteja habilitado nas listas de controle de acesso à web (ACLs da web) globais clássicas do AWS WAF. A regra será NON_COMPLIANT para uma ACL global da web se ela não tiver o registro em log habilitado. | |
| 10.2.1.1 | Os logs de auditoria são implementados para apoiar a detecção de anomalias e atividades suspeitas e a análise forense de eventos. (PCI-DSS-v4.0) | Garanta que os corretores do Amazon MQ tenham o registro em log de auditoria do Amazon CloudWatch habilitado. A regra será NON_COMPLIANT se um agente não tiver o registro em log de auditoria habilitado. | |
| 10.2.1.1 | Os logs de auditoria são implementados para apoiar a detecção de anomalias e atividades suspeitas e a análise forense de eventos. (PCI-DSS-v4.0) | Garanta que o corretor do Amazon MQ tenha o registro em log de auditoria do CloudWatch habilitado. A regra será NON_COMPLIANT se um agente não tiver o registro em log de auditoria habilitado. | |
| 10.2.1.1 | Os logs de auditoria são implementados para apoiar a detecção de anomalias e atividades suspeitas e a análise forense de eventos. (PCI-DSS-v4.0) | Garanta que um cluster do Amazon Elastic Kubernetes Service (Amazon EKS) está configurado com o registro em log habilitado. A regra será NON_COMPLIANT se o registro em log dos clusters do Amazon EKS não estiver habilitado para todos os tipos de log. | |
| 10.2.1.1 | Os logs de auditoria são implementados para apoiar a detecção de anomalias e atividades suspeitas e a análise forense de eventos. (PCI-DSS-v4.0) | Garanta que os ambientes do AWS Elastic Beanstalk estejam configurados para enviar logs para o Amazon CloudWatch Logs. A regra será NON_COMPLIANT se o valor de ‘StreamLogs’ for falso. | |
| 10.2.1.1 | Os logs de auditoria são implementados para apoiar a detecção de anomalias e atividades suspeitas e a análise forense de eventos. (PCI-DSS-v4.0) | Garanta que a coleta de métricas de segurança do Amazon CloudWatch nos grupos de regras do AWS WAFv2 esteja habilitada. A regra será NON_COMPLIANT se o campo "VisibilityConfig.CloudWatchMetricsEnabled" estiver definido como falso. | |
| 10.2.1.1 | Os logs de auditoria são implementados para apoiar a detecção de anomalias e atividades suspeitas e a análise forense de eventos. (PCI-DSS-v4.0) | Garanta que o registro em log do Amazon Simple Notification Service (SNS) esteja habilitado para o status de entrega das mensagens de notificação enviadas para um tópico para os endpoints. A regra será NON_COMPLIANT se a notificação do status de entrega das mensagens não estiver habilitada. | |
| 10.2.1.1 | Os logs de auditoria são implementados para apoiar a detecção de anomalias e atividades suspeitas e a análise forense de eventos. (PCI-DSS-v4.0) | Garanta que a máquina do AWS Step Functions tenha o registro em log habilitado. A regra será NON_COMPLIANT se uma máquina de estado não tiver o registro em log habilitado ou se a configuração de registro em log não estiver no nível mínimo fornecido. | |
| 10.2.1.1 | Os logs de auditoria são implementados para apoiar a detecção de anomalias e atividades suspeitas e a análise forense de eventos. (PCI-DSS-v4.0) | Garanta que os firewalls do AWS Network Firewall tenham o registro em log habilitado. A regra será NON_COMPLIANT se o tipo de registro em log não estiver configurado. Você pode especificar qual tipo de registro em log você deseja que a regra verifique. | |
| 10.2.1.2 | Os logs de auditoria são implementados para apoiar a detecção de anomalias e atividades suspeitas e a análise forense de eventos. (PCI-DSS-v4.0) | Garanta que os estágios do Amazon API Gateway V2 tenham o registro em log de acesso habilitado. A regra será NON_COMPLIANT se "accessLogSettings" não estiver presente na configuração do Estágio. | |
| 10.2.1.2 | Os logs de auditoria são implementados para apoiar a detecção de anomalias e atividades suspeitas e a análise forense de eventos. (PCI-DSS-v4.0) | Garanta que o rastreamento do AWS X-Ray esteja habilitado nas APIs REST do Amazon API Gateway. A regra será COMPLIANT se o rastreamento do X-Ray estiver habilitado e, caso contrário, será NON_COMPLIANT. | |
| 10.2.1.2 | Os logs de auditoria são implementados para apoiar a detecção de anomalias e atividades suspeitas e a análise forense de eventos. (PCI-DSS-v4.0) | Garanta que as distribuições do Amazon CloudFront estejam configuradas para entregar logs de acesso a um bucket do Amazon S3. A regra será NON_COMPLIANT se uma distribuição do CloudFront não tiver o registro em log configurado. | |
| 10.2.1.2 | Os logs de auditoria são implementados para apoiar a detecção de anomalias e atividades suspeitas e a análise forense de eventos. (PCI-DSS-v4.0) | Garanta que um cluster do Amazon Neptune tenha a exportação de log do CloudWatch habilitada para logs de auditoria. A regra será NON_COMPLIANT se um cluster do Neptune não tiver a exportação de log do CloudWatch habilitada para logs de auditoria. | |
| 10.2.1.2 | Os logs de auditoria são implementados para apoiar a detecção de anomalias e atividades suspeitas e a análise forense de eventos. (PCI-DSS-v4.0) | Garanta que o logConfiguration esteja configurado nas definições de tarefas do ECS ativas. Essa regra será NON_COMPLIANT se uma ECSTaskDefinition ativa não tiver o recurso logConfiguration definido ou se o valor de logConfiguration for nulo em pelo menos uma definição de contêiner. | |
| 10.2.1.2 | Os logs de auditoria são implementados para apoiar a detecção de anomalias e atividades suspeitas e a análise forense de eventos. (PCI-DSS-v4.0) | Observação: para essa regra, o identificador da regra (CLOUD_TRAIL_ENABLED) e o nome da regra (cloudtrail-enabled) são diferentes. Garanta que uma trilha do AWS CloudTrail esteja habilitada em sua conta da AWS. A regra será NON_COMPLIANT, se uma trilha não estivar habilitada. Opcionalmente, a regra verifica um bucket específico do S3, um tópico do Amazon Simple Notification Service (Amazon SNS) e um grupo de logs do CloudWatch. | |
| 10.2.1.2 | Os logs de auditoria são implementados para apoiar a detecção de anomalias e atividades suspeitas e a análise forense de eventos. (PCI-DSS-v4.0) | Observação: para essa regra, o identificador da regra (MULTI_REGION_CLOUD_TRAIL_ENABLED) e o nome da regra (multi-region-cloudtrail-enabled) são diferentes. Garanta que haja pelo menos um AWS CloudTrail com várias regiões. A regra será NON_COMPLIANT se as trilhas não corresponderem aos parâmetros de entrada. A regra será NON_COMPLIANT se o campo ExcludeManagementEventSources não estiver vazio ou se o AWS CloudTrail estiver configurado para excluir eventos de gerenciamento, como eventos do AWS KMS ou eventos da API de dados do Amazon RDS. | |
| 10.2.1.2 | Os logs de auditoria são implementados para apoiar a detecção de anomalias e atividades suspeitas e a análise forense de eventos. (PCI-DSS-v4.0) | Garanta que a API do AWS AppSync tenha o registro em log habilitado. A regra será NON_COMPLIANT se o registro em log não estiver habilitado ou "fieldLogLevel" não for ERROR nem ALL. | |
| 10.2.1.2 | Os logs de auditoria são implementados para apoiar a detecção de anomalias e atividades suspeitas e a análise forense de eventos. (PCI-DSS-v4.0) | Garanta que o registro em log esteja habilitado nas listas de controle de acesso à web (ACLs da web) globais clássicas do AWS WAF. A regra será NON_COMPLIANT para uma ACL global da web se ela não tiver o registro em log habilitado. | |
| 10.2.1.2 | Os logs de auditoria são implementados para apoiar a detecção de anomalias e atividades suspeitas e a análise forense de eventos. (PCI-DSS-v4.0) | Garanta que os corretores do Amazon MQ tenham o registro em log de auditoria do Amazon CloudWatch habilitado. A regra será NON_COMPLIANT se um agente não tiver o registro em log de auditoria habilitado. | |
| 10.2.1.2 | Os logs de auditoria são implementados para apoiar a detecção de anomalias e atividades suspeitas e a análise forense de eventos. (PCI-DSS-v4.0) | Garanta que o corretor do Amazon MQ tenha o registro em log de auditoria do CloudWatch habilitado. A regra será NON_COMPLIANT se um agente não tiver o registro em log de auditoria habilitado. | |
| 10.2.1.2 | Os logs de auditoria são implementados para apoiar a detecção de anomalias e atividades suspeitas e a análise forense de eventos. (PCI-DSS-v4.0) | Garanta que um cluster do Amazon Elastic Kubernetes Service (Amazon EKS) está configurado com o registro em log habilitado. A regra será NON_COMPLIANT se o registro em log dos clusters do Amazon EKS não estiver habilitado para todos os tipos de log. | |
| 10.2.1.2 | Os logs de auditoria são implementados para apoiar a detecção de anomalias e atividades suspeitas e a análise forense de eventos. (PCI-DSS-v4.0) | Garanta que os ambientes do AWS Elastic Beanstalk estejam configurados para enviar logs para o Amazon CloudWatch Logs. A regra será NON_COMPLIANT se o valor de ‘StreamLogs’ for falso. | |
| 10.2.1.2 | Os logs de auditoria são implementados para apoiar a detecção de anomalias e atividades suspeitas e a análise forense de eventos. (PCI-DSS-v4.0) | Garanta que a máquina do AWS Step Functions tenha o registro em log habilitado. A regra será NON_COMPLIANT se uma máquina de estado não tiver o registro em log habilitado ou se a configuração de registro em log não estiver no nível mínimo fornecido. | |
| 10.2.1.2 | Os logs de auditoria são implementados para apoiar a detecção de anomalias e atividades suspeitas e a análise forense de eventos. (PCI-DSS-v4.0) | Garanta que os firewalls do AWS Network Firewall tenham o registro em log habilitado. A regra será NON_COMPLIANT se o tipo de registro em log não estiver configurado. Você pode especificar qual tipo de registro em log você deseja que a regra verifique. | |
| 10.2.1.3 | Os logs de auditoria são implementados para apoiar a detecção de anomalias e atividades suspeitas e a análise forense de eventos. (PCI-DSS-v4.0) | Garanta que os estágios do Amazon API Gateway V2 tenham o registro em log de acesso habilitado. A regra será NON_COMPLIANT se "accessLogSettings" não estiver presente na configuração do Estágio. | |
| 10.2.1.3 | Os logs de auditoria são implementados para apoiar a detecção de anomalias e atividades suspeitas e a análise forense de eventos. (PCI-DSS-v4.0) | Garanta que o rastreamento do AWS X-Ray esteja habilitado nas APIs REST do Amazon API Gateway. A regra será COMPLIANT se o rastreamento do X-Ray estiver habilitado e, caso contrário, será NON_COMPLIANT. | |
| 10.2.1.3 | Os logs de auditoria são implementados para apoiar a detecção de anomalias e atividades suspeitas e a análise forense de eventos. (PCI-DSS-v4.0) | Garanta que as distribuições do Amazon CloudFront estejam configuradas para entregar logs de acesso a um bucket do Amazon S3. A regra será NON_COMPLIANT se uma distribuição do CloudFront não tiver o registro em log configurado. | |
| 10.2.1.3 | Os logs de auditoria são implementados para apoiar a detecção de anomalias e atividades suspeitas e a análise forense de eventos. (PCI-DSS-v4.0) | Garanta que um cluster do Amazon Neptune tenha a exportação de log do CloudWatch habilitada para logs de auditoria. A regra será NON_COMPLIANT se um cluster do Neptune não tiver a exportação de log do CloudWatch habilitada para logs de auditoria. | |
| 10.2.1.3 | Os logs de auditoria são implementados para apoiar a detecção de anomalias e atividades suspeitas e a análise forense de eventos. (PCI-DSS-v4.0) | Garanta que o logConfiguration esteja configurado nas definições de tarefas do ECS ativas. Essa regra será NON_COMPLIANT se uma ECSTaskDefinition ativa não tiver o recurso logConfiguration definido ou se o valor de logConfiguration for nulo em pelo menos uma definição de contêiner. | |
| 10.2.1.3 | Os logs de auditoria são implementados para apoiar a detecção de anomalias e atividades suspeitas e a análise forense de eventos. (PCI-DSS-v4.0) | Observação: para essa regra, o identificador da regra (CLOUD_TRAIL_ENABLED) e o nome da regra (cloudtrail-enabled) são diferentes. Garanta que uma trilha do AWS CloudTrail esteja habilitada em sua conta da AWS. A regra será NON_COMPLIANT, se uma trilha não estivar habilitada. Opcionalmente, a regra verifica um bucket específico do S3, um tópico do Amazon Simple Notification Service (Amazon SNS) e um grupo de logs do CloudWatch. | |
| 10.2.1.3 | Os logs de auditoria são implementados para apoiar a detecção de anomalias e atividades suspeitas e a análise forense de eventos. (PCI-DSS-v4.0) | Observação: para essa regra, o identificador da regra (MULTI_REGION_CLOUD_TRAIL_ENABLED) e o nome da regra (multi-region-cloudtrail-enabled) são diferentes. Garanta que haja pelo menos um AWS CloudTrail com várias regiões. A regra será NON_COMPLIANT se as trilhas não corresponderem aos parâmetros de entrada. A regra será NON_COMPLIANT se o campo ExcludeManagementEventSources não estiver vazio ou se o AWS CloudTrail estiver configurado para excluir eventos de gerenciamento, como eventos do AWS KMS ou eventos da API de dados do Amazon RDS. | |
| 10.2.1.3 | Os logs de auditoria são implementados para apoiar a detecção de anomalias e atividades suspeitas e a análise forense de eventos. (PCI-DSS-v4.0) | Garanta que a API do AWS AppSync tenha o registro em log habilitado. A regra será NON_COMPLIANT se o registro em log não estiver habilitado ou "fieldLogLevel" não for ERROR nem ALL. | |
| 10.2.1.3 | Os logs de auditoria são implementados para apoiar a detecção de anomalias e atividades suspeitas e a análise forense de eventos. (PCI-DSS-v4.0) | Garanta que o registro em log esteja habilitado nas listas de controle de acesso à web (ACLs da web) globais clássicas do AWS WAF. A regra será NON_COMPLIANT para uma ACL global da web se ela não tiver o registro em log habilitado. | |
| 10.2.1.3 | Os logs de auditoria são implementados para apoiar a detecção de anomalias e atividades suspeitas e a análise forense de eventos. (PCI-DSS-v4.0) | Garanta que os corretores do Amazon MQ tenham o registro em log de auditoria do Amazon CloudWatch habilitado. A regra será NON_COMPLIANT se um agente não tiver o registro em log de auditoria habilitado. | |
| 10.2.1.3 | Os logs de auditoria são implementados para apoiar a detecção de anomalias e atividades suspeitas e a análise forense de eventos. (PCI-DSS-v4.0) | Garanta que o corretor do Amazon MQ tenha o registro em log de auditoria do CloudWatch habilitado. A regra será NON_COMPLIANT se um agente não tiver o registro em log de auditoria habilitado. | |
| 10.2.1.3 | Os logs de auditoria são implementados para apoiar a detecção de anomalias e atividades suspeitas e a análise forense de eventos. (PCI-DSS-v4.0) | Garanta que um cluster do Amazon Elastic Kubernetes Service (Amazon EKS) está configurado com o registro em log habilitado. A regra será NON_COMPLIANT se o registro em log dos clusters do Amazon EKS não estiver habilitado para todos os tipos de log. | |
| 10.2.1.3 | Os logs de auditoria são implementados para apoiar a detecção de anomalias e atividades suspeitas e a análise forense de eventos. (PCI-DSS-v4.0) | Garanta que os ambientes do AWS Elastic Beanstalk estejam configurados para enviar logs para o Amazon CloudWatch Logs. A regra será NON_COMPLIANT se o valor de ‘StreamLogs’ for falso. | |
| 10.2.1.3 | Os logs de auditoria são implementados para apoiar a detecção de anomalias e atividades suspeitas e a análise forense de eventos. (PCI-DSS-v4.0) | Garanta que a máquina do AWS Step Functions tenha o registro em log habilitado. A regra será NON_COMPLIANT se uma máquina de estado não tiver o registro em log habilitado ou se a configuração de registro em log não estiver no nível mínimo fornecido. | |
| 10.2.1.3 | Os logs de auditoria são implementados para apoiar a detecção de anomalias e atividades suspeitas e a análise forense de eventos. (PCI-DSS-v4.0) | Garanta que os firewalls do AWS Network Firewall tenham o registro em log habilitado. A regra será NON_COMPLIANT se o tipo de registro em log não estiver configurado. Você pode especificar qual tipo de registro em log você deseja que a regra verifique. | |
| 10.2.1.4 | Os logs de auditoria são implementados para apoiar a detecção de anomalias e atividades suspeitas e a análise forense de eventos. (PCI-DSS-v4.0) | Garanta que os estágios do Amazon API Gateway V2 tenham o registro em log de acesso habilitado. A regra será NON_COMPLIANT se "accessLogSettings" não estiver presente na configuração do Estágio. | |
| 10.2.1.4 | Os logs de auditoria são implementados para apoiar a detecção de anomalias e atividades suspeitas e a análise forense de eventos. (PCI-DSS-v4.0) | Garanta que o rastreamento do AWS X-Ray esteja habilitado nas APIs REST do Amazon API Gateway. A regra será COMPLIANT se o rastreamento do X-Ray estiver habilitado e, caso contrário, será NON_COMPLIANT. | |
| 10.2.1.4 | Os logs de auditoria são implementados para apoiar a detecção de anomalias e atividades suspeitas e a análise forense de eventos. (PCI-DSS-v4.0) | Garanta que as distribuições do Amazon CloudFront estejam configuradas para entregar logs de acesso a um bucket do Amazon S3. A regra será NON_COMPLIANT se uma distribuição do CloudFront não tiver o registro em log configurado. | |
| 10.2.1.4 | Os logs de auditoria são implementados para apoiar a detecção de anomalias e atividades suspeitas e a análise forense de eventos. (PCI-DSS-v4.0) | Garanta que um cluster do Amazon Neptune tenha a exportação de log do CloudWatch habilitada para logs de auditoria. A regra será NON_COMPLIANT se um cluster do Neptune não tiver a exportação de log do CloudWatch habilitada para logs de auditoria. | |
| 10.2.1.4 | Os logs de auditoria são implementados para apoiar a detecção de anomalias e atividades suspeitas e a análise forense de eventos. (PCI-DSS-v4.0) | Garanta que o logConfiguration esteja configurado nas definições de tarefas do ECS ativas. Essa regra será NON_COMPLIANT se uma ECSTaskDefinition ativa não tiver o recurso logConfiguration definido ou se o valor de logConfiguration for nulo em pelo menos uma definição de contêiner. | |
| 10.2.1.4 | Os logs de auditoria são implementados para apoiar a detecção de anomalias e atividades suspeitas e a análise forense de eventos. (PCI-DSS-v4.0) | Observação: para essa regra, o identificador da regra (CLOUD_TRAIL_ENABLED) e o nome da regra (cloudtrail-enabled) são diferentes. Garanta que uma trilha do AWS CloudTrail esteja habilitada em sua conta da AWS. A regra será NON_COMPLIANT, se uma trilha não estivar habilitada. Opcionalmente, a regra verifica um bucket específico do S3, um tópico do Amazon Simple Notification Service (Amazon SNS) e um grupo de logs do CloudWatch. | |
| 10.2.1.4 | Os logs de auditoria são implementados para apoiar a detecção de anomalias e atividades suspeitas e a análise forense de eventos. (PCI-DSS-v4.0) | Observação: para essa regra, o identificador da regra (MULTI_REGION_CLOUD_TRAIL_ENABLED) e o nome da regra (multi-region-cloudtrail-enabled) são diferentes. Garanta que haja pelo menos um AWS CloudTrail com várias regiões. A regra será NON_COMPLIANT se as trilhas não corresponderem aos parâmetros de entrada. A regra será NON_COMPLIANT se o campo ExcludeManagementEventSources não estiver vazio ou se o AWS CloudTrail estiver configurado para excluir eventos de gerenciamento, como eventos do AWS KMS ou eventos da API de dados do Amazon RDS. | |
| 10.2.1.4 | Os logs de auditoria são implementados para apoiar a detecção de anomalias e atividades suspeitas e a análise forense de eventos. (PCI-DSS-v4.0) | Garanta que a API do AWS AppSync tenha o registro em log habilitado. A regra será NON_COMPLIANT se o registro em log não estiver habilitado ou "fieldLogLevel" não for ERROR nem ALL. | |
| 10.2.1.4 | Os logs de auditoria são implementados para apoiar a detecção de anomalias e atividades suspeitas e a análise forense de eventos. (PCI-DSS-v4.0) | Garanta que o registro em log esteja habilitado nas listas de controle de acesso à web (ACLs da web) globais clássicas do AWS WAF. A regra será NON_COMPLIANT para uma ACL global da web se ela não tiver o registro em log habilitado. | |
| 10.2.1.4 | Os logs de auditoria são implementados para apoiar a detecção de anomalias e atividades suspeitas e a análise forense de eventos. (PCI-DSS-v4.0) | Garanta que os corretores do Amazon MQ tenham o registro em log de auditoria do Amazon CloudWatch habilitado. A regra será NON_COMPLIANT se um agente não tiver o registro em log de auditoria habilitado. | |
| 10.2.1.4 | Os logs de auditoria são implementados para apoiar a detecção de anomalias e atividades suspeitas e a análise forense de eventos. (PCI-DSS-v4.0) | Garanta que o corretor do Amazon MQ tenha o registro em log de auditoria do CloudWatch habilitado. A regra será NON_COMPLIANT se um agente não tiver o registro em log de auditoria habilitado. | |
| 10.2.1.4 | Os logs de auditoria são implementados para apoiar a detecção de anomalias e atividades suspeitas e a análise forense de eventos. (PCI-DSS-v4.0) | Garanta que um cluster do Amazon Elastic Kubernetes Service (Amazon EKS) está configurado com o registro em log habilitado. A regra será NON_COMPLIANT se o registro em log dos clusters do Amazon EKS não estiver habilitado para todos os tipos de log. | |
| 10.2.1.4 | Os logs de auditoria são implementados para apoiar a detecção de anomalias e atividades suspeitas e a análise forense de eventos. (PCI-DSS-v4.0) | Garanta que os ambientes do AWS Elastic Beanstalk estejam configurados para enviar logs para o Amazon CloudWatch Logs. A regra será NON_COMPLIANT se o valor de ‘StreamLogs’ for falso. | |
| 10.2.1.4 | Os logs de auditoria são implementados para apoiar a detecção de anomalias e atividades suspeitas e a análise forense de eventos. (PCI-DSS-v4.0) | Garanta que a máquina do AWS Step Functions tenha o registro em log habilitado. A regra será NON_COMPLIANT se uma máquina de estado não tiver o registro em log habilitado ou se a configuração de registro em log não estiver no nível mínimo fornecido. | |
| 10.2.1.4 | Os logs de auditoria são implementados para apoiar a detecção de anomalias e atividades suspeitas e a análise forense de eventos. (PCI-DSS-v4.0) | Garanta que os firewalls do AWS Network Firewall tenham o registro em log habilitado. A regra será NON_COMPLIANT se o tipo de registro em log não estiver configurado. Você pode especificar qual tipo de registro em log você deseja que a regra verifique. | |
| 10.2.1.5 | Os logs de auditoria são implementados para apoiar a detecção de anomalias e atividades suspeitas e a análise forense de eventos. (PCI-DSS-v4.0) | Garanta que os estágios do Amazon API Gateway V2 tenham o registro em log de acesso habilitado. A regra será NON_COMPLIANT se "accessLogSettings" não estiver presente na configuração do Estágio. | |
| 10.2.1.5 | Os logs de auditoria são implementados para apoiar a detecção de anomalias e atividades suspeitas e a análise forense de eventos. (PCI-DSS-v4.0) | Garanta que o rastreamento do AWS X-Ray esteja habilitado nas APIs REST do Amazon API Gateway. A regra será COMPLIANT se o rastreamento do X-Ray estiver habilitado e, caso contrário, será NON_COMPLIANT. | |
| 10.2.1.5 | Os logs de auditoria são implementados para apoiar a detecção de anomalias e atividades suspeitas e a análise forense de eventos. (PCI-DSS-v4.0) | Garanta que as distribuições do Amazon CloudFront estejam configuradas para entregar logs de acesso a um bucket do Amazon S3. A regra será NON_COMPLIANT se uma distribuição do CloudFront não tiver o registro em log configurado. | |
| 10.2.1.5 | Os logs de auditoria são implementados para apoiar a detecção de anomalias e atividades suspeitas e a análise forense de eventos. (PCI-DSS-v4.0) | Garanta que um cluster do Amazon Neptune tenha a exportação de log do CloudWatch habilitada para logs de auditoria. A regra será NON_COMPLIANT se um cluster do Neptune não tiver a exportação de log do CloudWatch habilitada para logs de auditoria. | |
| 10.2.1.5 | Os logs de auditoria são implementados para apoiar a detecção de anomalias e atividades suspeitas e a análise forense de eventos. (PCI-DSS-v4.0) | Garanta que o logConfiguration esteja configurado nas definições de tarefas do ECS ativas. Essa regra será NON_COMPLIANT se uma ECSTaskDefinition ativa não tiver o recurso logConfiguration definido ou se o valor de logConfiguration for nulo em pelo menos uma definição de contêiner. | |
| 10.2.1.5 | Os logs de auditoria são implementados para apoiar a detecção de anomalias e atividades suspeitas e a análise forense de eventos. (PCI-DSS-v4.0) | Observação: para essa regra, o identificador da regra (CLOUD_TRAIL_ENABLED) e o nome da regra (cloudtrail-enabled) são diferentes. Garanta que uma trilha do AWS CloudTrail esteja habilitada em sua conta da AWS. A regra será NON_COMPLIANT, se uma trilha não estivar habilitada. Opcionalmente, a regra verifica um bucket específico do S3, um tópico do Amazon Simple Notification Service (Amazon SNS) e um grupo de logs do CloudWatch. | |
| 10.2.1.5 | Os logs de auditoria são implementados para apoiar a detecção de anomalias e atividades suspeitas e a análise forense de eventos. (PCI-DSS-v4.0) | Observação: para essa regra, o identificador da regra (MULTI_REGION_CLOUD_TRAIL_ENABLED) e o nome da regra (multi-region-cloudtrail-enabled) são diferentes. Garanta que haja pelo menos um AWS CloudTrail com várias regiões. A regra será NON_COMPLIANT se as trilhas não corresponderem aos parâmetros de entrada. A regra será NON_COMPLIANT se o campo ExcludeManagementEventSources não estiver vazio ou se o AWS CloudTrail estiver configurado para excluir eventos de gerenciamento, como eventos do AWS KMS ou eventos da API de dados do Amazon RDS. | |
| 10.2.1.5 | Os logs de auditoria são implementados para apoiar a detecção de anomalias e atividades suspeitas e a análise forense de eventos. (PCI-DSS-v4.0) | Garanta que a API do AWS AppSync tenha o registro em log habilitado. A regra será NON_COMPLIANT se o registro em log não estiver habilitado ou "fieldLogLevel" não for ERROR nem ALL. | |
| 10.2.1.5 | Os logs de auditoria são implementados para apoiar a detecção de anomalias e atividades suspeitas e a análise forense de eventos. (PCI-DSS-v4.0) | Garanta que o registro em log esteja habilitado nas listas de controle de acesso à web (ACLs da web) globais clássicas do AWS WAF. A regra será NON_COMPLIANT para uma ACL global da web se ela não tiver o registro em log habilitado. | |
| 10.2.1.5 | Os logs de auditoria são implementados para apoiar a detecção de anomalias e atividades suspeitas e a análise forense de eventos. (PCI-DSS-v4.0) | Garanta que os corretores do Amazon MQ tenham o registro em log de auditoria do Amazon CloudWatch habilitado. A regra será NON_COMPLIANT se um agente não tiver o registro em log de auditoria habilitado. | |
| 10.2.1.5 | Os logs de auditoria são implementados para apoiar a detecção de anomalias e atividades suspeitas e a análise forense de eventos. (PCI-DSS-v4.0) | Garanta que o corretor do Amazon MQ tenha o registro em log de auditoria do CloudWatch habilitado. A regra será NON_COMPLIANT se um agente não tiver o registro em log de auditoria habilitado. | |
| 10.2.1.5 | Os logs de auditoria são implementados para apoiar a detecção de anomalias e atividades suspeitas e a análise forense de eventos. (PCI-DSS-v4.0) | Garanta que um cluster do Amazon Elastic Kubernetes Service (Amazon EKS) está configurado com o registro em log habilitado. A regra será NON_COMPLIANT se o registro em log dos clusters do Amazon EKS não estiver habilitado para todos os tipos de log. | |
| 10.2.1.5 | Os logs de auditoria são implementados para apoiar a detecção de anomalias e atividades suspeitas e a análise forense de eventos. (PCI-DSS-v4.0) | Garanta que os ambientes do AWS Elastic Beanstalk estejam configurados para enviar logs para o Amazon CloudWatch Logs. A regra será NON_COMPLIANT se o valor de ‘StreamLogs’ for falso. | |
| 10.2.1.5 | Os logs de auditoria são implementados para apoiar a detecção de anomalias e atividades suspeitas e a análise forense de eventos. (PCI-DSS-v4.0) | Garanta que a máquina do AWS Step Functions tenha o registro em log habilitado. A regra será NON_COMPLIANT se uma máquina de estado não tiver o registro em log habilitado ou se a configuração de registro em log não estiver no nível mínimo fornecido. | |
| 10.2.1.5 | Os logs de auditoria são implementados para apoiar a detecção de anomalias e atividades suspeitas e a análise forense de eventos. (PCI-DSS-v4.0) | Garanta que os firewalls do AWS Network Firewall tenham o registro em log habilitado. A regra será NON_COMPLIANT se o tipo de registro em log não estiver configurado. Você pode especificar qual tipo de registro em log você deseja que a regra verifique. | |
| 10.2.1.6 | Os logs de auditoria são implementados para apoiar a detecção de anomalias e atividades suspeitas e a análise forense de eventos. (PCI-DSS-v4.0) | Garanta que os estágios do Amazon API Gateway V2 tenham o registro em log de acesso habilitado. A regra será NON_COMPLIANT se "accessLogSettings" não estiver presente na configuração do Estágio. | |
| 10.2.1.6 | Os logs de auditoria são implementados para apoiar a detecção de anomalias e atividades suspeitas e a análise forense de eventos. (PCI-DSS-v4.0) | Garanta que o rastreamento do AWS X-Ray esteja habilitado nas APIs REST do Amazon API Gateway. A regra será COMPLIANT se o rastreamento do X-Ray estiver habilitado e, caso contrário, será NON_COMPLIANT. | |
| 10.2.1.6 | Os logs de auditoria são implementados para apoiar a detecção de anomalias e atividades suspeitas e a análise forense de eventos. (PCI-DSS-v4.0) | Garanta que as distribuições do Amazon CloudFront estejam configuradas para entregar logs de acesso a um bucket do Amazon S3. A regra será NON_COMPLIANT se uma distribuição do CloudFront não tiver o registro em log configurado. | |
| 10.2.1.6 | Os logs de auditoria são implementados para apoiar a detecção de anomalias e atividades suspeitas e a análise forense de eventos. (PCI-DSS-v4.0) | Garanta que um cluster do Amazon Neptune tenha a exportação de log do CloudWatch habilitada para logs de auditoria. A regra será NON_COMPLIANT se um cluster do Neptune não tiver a exportação de log do CloudWatch habilitada para logs de auditoria. | |
| 10.2.1.6 | Os logs de auditoria são implementados para apoiar a detecção de anomalias e atividades suspeitas e a análise forense de eventos. (PCI-DSS-v4.0) | Garanta que o logConfiguration esteja configurado nas definições de tarefas do ECS ativas. Essa regra será NON_COMPLIANT se uma ECSTaskDefinition ativa não tiver o recurso logConfiguration definido ou se o valor de logConfiguration for nulo em pelo menos uma definição de contêiner. | |
| 10.2.1.6 | Os logs de auditoria são implementados para apoiar a detecção de anomalias e atividades suspeitas e a análise forense de eventos. (PCI-DSS-v4.0) | Observação: para essa regra, o identificador da regra (CLOUD_TRAIL_ENABLED) e o nome da regra (cloudtrail-enabled) são diferentes. Garanta que uma trilha do AWS CloudTrail esteja habilitada em sua conta da AWS. A regra será NON_COMPLIANT, se uma trilha não estivar habilitada. Opcionalmente, a regra verifica um bucket específico do S3, um tópico do Amazon Simple Notification Service (Amazon SNS) e um grupo de logs do CloudWatch. | |
| 10.2.1.6 | Os logs de auditoria são implementados para apoiar a detecção de anomalias e atividades suspeitas e a análise forense de eventos. (PCI-DSS-v4.0) | Observação: para essa regra, o identificador da regra (MULTI_REGION_CLOUD_TRAIL_ENABLED) e o nome da regra (multi-region-cloudtrail-enabled) são diferentes. Garanta que haja pelo menos um AWS CloudTrail com várias regiões. A regra será NON_COMPLIANT se as trilhas não corresponderem aos parâmetros de entrada. A regra será NON_COMPLIANT se o campo ExcludeManagementEventSources não estiver vazio ou se o AWS CloudTrail estiver configurado para excluir eventos de gerenciamento, como eventos do AWS KMS ou eventos da API de dados do Amazon RDS. | |
| 10.2.1.6 | Os logs de auditoria são implementados para apoiar a detecção de anomalias e atividades suspeitas e a análise forense de eventos. (PCI-DSS-v4.0) | Garanta que a API do AWS AppSync tenha o registro em log habilitado. A regra será NON_COMPLIANT se o registro em log não estiver habilitado ou "fieldLogLevel" não for ERROR nem ALL. | |
| 10.2.1.6 | Os logs de auditoria são implementados para apoiar a detecção de anomalias e atividades suspeitas e a análise forense de eventos. (PCI-DSS-v4.0) | Garanta que o registro em log esteja habilitado nas listas de controle de acesso à web (ACLs da web) globais clássicas do AWS WAF. A regra será NON_COMPLIANT para uma ACL global da web se ela não tiver o registro em log habilitado. | |
| 10.2.1.6 | Os logs de auditoria são implementados para apoiar a detecção de anomalias e atividades suspeitas e a análise forense de eventos. (PCI-DSS-v4.0) | Garanta que os corretores do Amazon MQ tenham o registro em log de auditoria do Amazon CloudWatch habilitado. A regra será NON_COMPLIANT se um agente não tiver o registro em log de auditoria habilitado. | |
| 10.2.1.6 | Os logs de auditoria são implementados para apoiar a detecção de anomalias e atividades suspeitas e a análise forense de eventos. (PCI-DSS-v4.0) | Garanta que o corretor do Amazon MQ tenha o registro em log de auditoria do CloudWatch habilitado. A regra será NON_COMPLIANT se um agente não tiver o registro em log de auditoria habilitado. | |
| 10.2.1.6 | Os logs de auditoria são implementados para apoiar a detecção de anomalias e atividades suspeitas e a análise forense de eventos. (PCI-DSS-v4.0) | Garanta que um cluster do Amazon Elastic Kubernetes Service (Amazon EKS) está configurado com o registro em log habilitado. A regra será NON_COMPLIANT se o registro em log dos clusters do Amazon EKS não estiver habilitado para todos os tipos de log. | |
| 10.2.1.6 | Os logs de auditoria são implementados para apoiar a detecção de anomalias e atividades suspeitas e a análise forense de eventos. (PCI-DSS-v4.0) | Garanta que os ambientes do AWS Elastic Beanstalk estejam configurados para enviar logs para o Amazon CloudWatch Logs. A regra será NON_COMPLIANT se o valor de ‘StreamLogs’ for falso. | |
| 10.2.1.6 | Os logs de auditoria são implementados para apoiar a detecção de anomalias e atividades suspeitas e a análise forense de eventos. (PCI-DSS-v4.0) | Garanta que a máquina do AWS Step Functions tenha o registro em log habilitado. A regra será NON_COMPLIANT se uma máquina de estado não tiver o registro em log habilitado ou se a configuração de registro em log não estiver no nível mínimo fornecido. | |
| 10.2.1.6 | Os logs de auditoria são implementados para apoiar a detecção de anomalias e atividades suspeitas e a análise forense de eventos. (PCI-DSS-v4.0) | Garanta que os firewalls do AWS Network Firewall tenham o registro em log habilitado. A regra será NON_COMPLIANT se o tipo de registro em log não estiver configurado. Você pode especificar qual tipo de registro em log você deseja que a regra verifique. | |
| 10.2.1.7 | Os logs de auditoria são implementados para apoiar a detecção de anomalias e atividades suspeitas e a análise forense de eventos. (PCI-DSS-v4.0) | Garanta que os estágios do Amazon API Gateway V2 tenham o registro em log de acesso habilitado. A regra será NON_COMPLIANT se "accessLogSettings" não estiver presente na configuração do Estágio. | |
| 10.2.1.7 | Os logs de auditoria são implementados para apoiar a detecção de anomalias e atividades suspeitas e a análise forense de eventos. (PCI-DSS-v4.0) | Garanta que o rastreamento do AWS X-Ray esteja habilitado nas APIs REST do Amazon API Gateway. A regra será COMPLIANT se o rastreamento do X-Ray estiver habilitado e, caso contrário, será NON_COMPLIANT. | |
| 10.2.1.7 | Os logs de auditoria são implementados para apoiar a detecção de anomalias e atividades suspeitas e a análise forense de eventos. (PCI-DSS-v4.0) | Garanta que as distribuições do Amazon CloudFront estejam configuradas para entregar logs de acesso a um bucket do Amazon S3. A regra será NON_COMPLIANT se uma distribuição do CloudFront não tiver o registro em log configurado. | |
| 10.2.1.7 | Os logs de auditoria são implementados para apoiar a detecção de anomalias e atividades suspeitas e a análise forense de eventos. (PCI-DSS-v4.0) | Garanta que um cluster do Amazon Neptune tenha a exportação de log do CloudWatch habilitada para logs de auditoria. A regra será NON_COMPLIANT se um cluster do Neptune não tiver a exportação de log do CloudWatch habilitada para logs de auditoria. | |
| 10.2.1.7 | Os logs de auditoria são implementados para apoiar a detecção de anomalias e atividades suspeitas e a análise forense de eventos. (PCI-DSS-v4.0) | Garanta que o logConfiguration esteja configurado nas definições de tarefas do ECS ativas. Essa regra será NON_COMPLIANT se uma ECSTaskDefinition ativa não tiver o recurso logConfiguration definido ou se o valor de logConfiguration for nulo em pelo menos uma definição de contêiner. | |
| 10.2.1.7 | Os logs de auditoria são implementados para apoiar a detecção de anomalias e atividades suspeitas e a análise forense de eventos. (PCI-DSS-v4.0) | Observação: para essa regra, o identificador da regra (CLOUD_TRAIL_ENABLED) e o nome da regra (cloudtrail-enabled) são diferentes. Garanta que uma trilha do AWS CloudTrail esteja habilitada em sua conta da AWS. A regra será NON_COMPLIANT, se uma trilha não estivar habilitada. Opcionalmente, a regra verifica um bucket específico do S3, um tópico do Amazon Simple Notification Service (Amazon SNS) e um grupo de logs do CloudWatch. | |
| 10.2.1.7 | Os logs de auditoria são implementados para apoiar a detecção de anomalias e atividades suspeitas e a análise forense de eventos. (PCI-DSS-v4.0) | Observação: para essa regra, o identificador da regra (MULTI_REGION_CLOUD_TRAIL_ENABLED) e o nome da regra (multi-region-cloudtrail-enabled) são diferentes. Garanta que haja pelo menos um AWS CloudTrail com várias regiões. A regra será NON_COMPLIANT se as trilhas não corresponderem aos parâmetros de entrada. A regra será NON_COMPLIANT se o campo ExcludeManagementEventSources não estiver vazio ou se o AWS CloudTrail estiver configurado para excluir eventos de gerenciamento, como eventos do AWS KMS ou eventos da API de dados do Amazon RDS. | |
| 10.2.1.7 | Os logs de auditoria são implementados para apoiar a detecção de anomalias e atividades suspeitas e a análise forense de eventos. (PCI-DSS-v4.0) | Garanta que a API do AWS AppSync tenha o registro em log habilitado. A regra será NON_COMPLIANT se o registro em log não estiver habilitado ou "fieldLogLevel" não for ERROR nem ALL. | |
| 10.2.1.7 | Os logs de auditoria são implementados para apoiar a detecção de anomalias e atividades suspeitas e a análise forense de eventos. (PCI-DSS-v4.0) | Garanta que o registro em log esteja habilitado nas listas de controle de acesso à web (ACLs da web) globais clássicas do AWS WAF. A regra será NON_COMPLIANT para uma ACL global da web se ela não tiver o registro em log habilitado. | |
| 10.2.1.7 | Os logs de auditoria são implementados para apoiar a detecção de anomalias e atividades suspeitas e a análise forense de eventos. (PCI-DSS-v4.0) | Garanta que os corretores do Amazon MQ tenham o registro em log de auditoria do Amazon CloudWatch habilitado. A regra será NON_COMPLIANT se um agente não tiver o registro em log de auditoria habilitado. | |
| 10.2.1.7 | Os logs de auditoria são implementados para apoiar a detecção de anomalias e atividades suspeitas e a análise forense de eventos. (PCI-DSS-v4.0) | Garanta que o corretor do Amazon MQ tenha o registro em log de auditoria do CloudWatch habilitado. A regra será NON_COMPLIANT se um agente não tiver o registro em log de auditoria habilitado. | |
| 10.2.1.7 | Os logs de auditoria são implementados para apoiar a detecção de anomalias e atividades suspeitas e a análise forense de eventos. (PCI-DSS-v4.0) | Garanta que um cluster do Amazon Elastic Kubernetes Service (Amazon EKS) está configurado com o registro em log habilitado. A regra será NON_COMPLIANT se o registro em log dos clusters do Amazon EKS não estiver habilitado para todos os tipos de log. | |
| 10.2.1.7 | Os logs de auditoria são implementados para apoiar a detecção de anomalias e atividades suspeitas e a análise forense de eventos. (PCI-DSS-v4.0) | Garanta que os ambientes do AWS Elastic Beanstalk estejam configurados para enviar logs para o Amazon CloudWatch Logs. A regra será NON_COMPLIANT se o valor de ‘StreamLogs’ for falso. | |
| 10.2.1.7 | Os logs de auditoria são implementados para apoiar a detecção de anomalias e atividades suspeitas e a análise forense de eventos. (PCI-DSS-v4.0) | Garanta que a máquina do AWS Step Functions tenha o registro em log habilitado. A regra será NON_COMPLIANT se uma máquina de estado não tiver o registro em log habilitado ou se a configuração de registro em log não estiver no nível mínimo fornecido. | |
| 10.2.1.7 | Os logs de auditoria são implementados para apoiar a detecção de anomalias e atividades suspeitas e a análise forense de eventos. (PCI-DSS-v4.0) | Garanta que os firewalls do AWS Network Firewall tenham o registro em log habilitado. A regra será NON_COMPLIANT se o tipo de registro em log não estiver configurado. Você pode especificar qual tipo de registro em log você deseja que a regra verifique. | |
| 10.2.2 | Os logs de auditoria são implementados para apoiar a detecção de anomalias e atividades suspeitas e a análise forense de eventos. (PCI-DSS-v4.0) | Garanta que os estágios do Amazon API Gateway V2 tenham o registro em log de acesso habilitado. A regra será NON_COMPLIANT se "accessLogSettings" não estiver presente na configuração do Estágio. | |
| 10.2.2 | Os logs de auditoria são implementados para apoiar a detecção de anomalias e atividades suspeitas e a análise forense de eventos. (PCI-DSS-v4.0) | Garanta que o rastreamento do AWS X-Ray esteja habilitado nas APIs REST do Amazon API Gateway. A regra será COMPLIANT se o rastreamento do X-Ray estiver habilitado e, caso contrário, será NON_COMPLIANT. | |
| 10.2.2 | Os logs de auditoria são implementados para apoiar a detecção de anomalias e atividades suspeitas e a análise forense de eventos. (PCI-DSS-v4.0) | Garanta que as distribuições do Amazon CloudFront estejam configuradas para entregar logs de acesso a um bucket do Amazon S3. A regra será NON_COMPLIANT se uma distribuição do CloudFront não tiver o registro em log configurado. | |
| 10.2.2 | Os logs de auditoria são implementados para apoiar a detecção de anomalias e atividades suspeitas e a análise forense de eventos. (PCI-DSS-v4.0) | Garanta que um cluster do Amazon Neptune tenha a exportação de log do CloudWatch habilitada para logs de auditoria. A regra será NON_COMPLIANT se um cluster do Neptune não tiver a exportação de log do CloudWatch habilitada para logs de auditoria. | |
| 10.2.2 | Os logs de auditoria são implementados para apoiar a detecção de anomalias e atividades suspeitas e a análise forense de eventos. (PCI-DSS-v4.0) | Garanta que o logConfiguration esteja configurado nas definições de tarefas do ECS ativas. Essa regra será NON_COMPLIANT se uma ECSTaskDefinition ativa não tiver o recurso logConfiguration definido ou se o valor de logConfiguration for nulo em pelo menos uma definição de contêiner. | |
| 10.2.2 | Os logs de auditoria são implementados para apoiar a detecção de anomalias e atividades suspeitas e a análise forense de eventos. (PCI-DSS-v4.0) | Observação: para essa regra, o identificador da regra (CLOUD_TRAIL_ENABLED) e o nome da regra (cloudtrail-enabled) são diferentes. Garanta que uma trilha do AWS CloudTrail esteja habilitada em sua conta da AWS. A regra será NON_COMPLIANT, se uma trilha não estivar habilitada. Opcionalmente, a regra verifica um bucket específico do S3, um tópico do Amazon Simple Notification Service (Amazon SNS) e um grupo de logs do CloudWatch. | |
| 10.2.2 | Os logs de auditoria são implementados para apoiar a detecção de anomalias e atividades suspeitas e a análise forense de eventos. (PCI-DSS-v4.0) | Observação: para essa regra, o identificador da regra (MULTI_REGION_CLOUD_TRAIL_ENABLED) e o nome da regra (multi-region-cloudtrail-enabled) são diferentes. Garanta que haja pelo menos um AWS CloudTrail com várias regiões. A regra será NON_COMPLIANT se as trilhas não corresponderem aos parâmetros de entrada. A regra será NON_COMPLIANT se o campo ExcludeManagementEventSources não estiver vazio ou se o AWS CloudTrail estiver configurado para excluir eventos de gerenciamento, como eventos do AWS KMS ou eventos da API de dados do Amazon RDS. | |
| 10.2.2 | Os logs de auditoria são implementados para apoiar a detecção de anomalias e atividades suspeitas e a análise forense de eventos. (PCI-DSS-v4.0) | Garanta que a API do AWS AppSync tenha o registro em log habilitado. A regra será NON_COMPLIANT se o registro em log não estiver habilitado ou "fieldLogLevel" não for ERROR nem ALL. | |
| 10.2.2 | Os logs de auditoria são implementados para apoiar a detecção de anomalias e atividades suspeitas e a análise forense de eventos. (PCI-DSS-v4.0) | Garanta que o registro em log esteja habilitado nas listas de controle de acesso à web (ACLs da web) globais clássicas do AWS WAF. A regra será NON_COMPLIANT para uma ACL global da web se ela não tiver o registro em log habilitado. | |
| 10.2.2 | Os logs de auditoria são implementados para apoiar a detecção de anomalias e atividades suspeitas e a análise forense de eventos. (PCI-DSS-v4.0) | Garanta que os corretores do Amazon MQ tenham o registro em log de auditoria do Amazon CloudWatch habilitado. A regra será NON_COMPLIANT se um agente não tiver o registro em log de auditoria habilitado. | |
| 10.2.2 | Os logs de auditoria são implementados para apoiar a detecção de anomalias e atividades suspeitas e a análise forense de eventos. (PCI-DSS-v4.0) | Garanta que o corretor do Amazon MQ tenha o registro em log de auditoria do CloudWatch habilitado. A regra será NON_COMPLIANT se um agente não tiver o registro em log de auditoria habilitado. | |
| 10.2.2 | Os logs de auditoria são implementados para apoiar a detecção de anomalias e atividades suspeitas e a análise forense de eventos. (PCI-DSS-v4.0) | Garanta que um cluster do Amazon Elastic Kubernetes Service (Amazon EKS) está configurado com o registro em log habilitado. A regra será NON_COMPLIANT se o registro em log dos clusters do Amazon EKS não estiver habilitado para todos os tipos de log. | |
| 10.2.2 | Os logs de auditoria são implementados para apoiar a detecção de anomalias e atividades suspeitas e a análise forense de eventos. (PCI-DSS-v4.0) | Garanta que os ambientes do AWS Elastic Beanstalk estejam configurados para enviar logs para o Amazon CloudWatch Logs. A regra será NON_COMPLIANT se o valor de ‘StreamLogs’ for falso. | |
| 10.2.2 | Os logs de auditoria são implementados para apoiar a detecção de anomalias e atividades suspeitas e a análise forense de eventos. (PCI-DSS-v4.0) | Garanta que a máquina do AWS Step Functions tenha o registro em log habilitado. A regra será NON_COMPLIANT se uma máquina de estado não tiver o registro em log habilitado ou se a configuração de registro em log não estiver no nível mínimo fornecido. | |
| 10.2.2 | Os logs de auditoria são implementados para apoiar a detecção de anomalias e atividades suspeitas e a análise forense de eventos. (PCI-DSS-v4.0) | Garanta que os firewalls do AWS Network Firewall tenham o registro em log habilitado. A regra será NON_COMPLIANT se o tipo de registro em log não estiver configurado. Você pode especificar qual tipo de registro em log você deseja que a regra verifique. | |
| 10.3.1 | Os logs de auditoria são protegidos contra destruição e modificações não autorizadas. (PCI-DSS-v4.0) | Garanta que os estágios do Amazon API Gateway V2 tenham o registro em log de acesso habilitado. A regra será NON_COMPLIANT se "accessLogSettings" não estiver presente na configuração do Estágio. | |
| 10.3.1 | Os logs de auditoria são protegidos contra destruição e modificações não autorizadas. (PCI-DSS-v4.0) | Garanta que o rastreamento do AWS X-Ray esteja habilitado nas APIs REST do Amazon API Gateway. A regra será COMPLIANT se o rastreamento do X-Ray estiver habilitado e, caso contrário, será NON_COMPLIANT. | |
| 10.3.1 | Os logs de auditoria são protegidos contra destruição e modificações não autorizadas. (PCI-DSS-v4.0) | Garanta que as distribuições do Amazon CloudFront estejam configuradas para entregar logs de acesso a um bucket do Amazon S3. A regra será NON_COMPLIANT se uma distribuição do CloudFront não tiver o registro em log configurado. | |
| 10.3.1 | Os logs de auditoria são protegidos contra destruição e modificações não autorizadas. (PCI-DSS-v4.0) | Garanta que um cluster do Amazon Neptune tenha a exportação de log do CloudWatch habilitada para logs de auditoria. A regra será NON_COMPLIANT se um cluster do Neptune não tiver a exportação de log do CloudWatch habilitada para logs de auditoria. | |
| 10.3.1 | Os logs de auditoria são protegidos contra destruição e modificações não autorizadas. (PCI-DSS-v4.0) | Garanta que o logConfiguration esteja configurado nas definições de tarefas do ECS ativas. Essa regra será NON_COMPLIANT se uma ECSTaskDefinition ativa não tiver o recurso logConfiguration definido ou se o valor de logConfiguration for nulo em pelo menos uma definição de contêiner. | |
| 10.3.1 | Os logs de auditoria são protegidos contra destruição e modificações não autorizadas. (PCI-DSS-v4.0) | Observação: para essa regra, o identificador da regra (CLOUD_TRAIL_ENABLED) e o nome da regra (cloudtrail-enabled) são diferentes. Garanta que uma trilha do AWS CloudTrail esteja habilitada em sua conta da AWS. A regra será NON_COMPLIANT, se uma trilha não estivar habilitada. Opcionalmente, a regra verifica um bucket específico do S3, um tópico do Amazon Simple Notification Service (Amazon SNS) e um grupo de logs do CloudWatch. | |
| 10.3.1 | Os logs de auditoria são protegidos contra destruição e modificações não autorizadas. (PCI-DSS-v4.0) | Observação: para essa regra, o identificador da regra (MULTI_REGION_CLOUD_TRAIL_ENABLED) e o nome da regra (multi-region-cloudtrail-enabled) são diferentes. Garanta que haja pelo menos um AWS CloudTrail com várias regiões. A regra será NON_COMPLIANT se as trilhas não corresponderem aos parâmetros de entrada. A regra será NON_COMPLIANT se o campo ExcludeManagementEventSources não estiver vazio ou se o AWS CloudTrail estiver configurado para excluir eventos de gerenciamento, como eventos do AWS KMS ou eventos da API de dados do Amazon RDS. | |
| 10.3.1 | Os logs de auditoria são protegidos contra destruição e modificações não autorizadas. (PCI-DSS-v4.0) | Garanta que a API do AWS AppSync tenha o registro em log habilitado. A regra será NON_COMPLIANT se o registro em log não estiver habilitado ou "fieldLogLevel" não for ERROR nem ALL. | |
| 10.3.1 | Os logs de auditoria são protegidos contra destruição e modificações não autorizadas. (PCI-DSS-v4.0) | Garanta que o registro em log esteja habilitado nas listas de controle de acesso à web (ACLs da web) globais clássicas do AWS WAF. A regra será NON_COMPLIANT para uma ACL global da web se ela não tiver o registro em log habilitado. | |
| 10.3.1 | Os logs de auditoria são protegidos contra destruição e modificações não autorizadas. (PCI-DSS-v4.0) | Garanta que os corretores do Amazon MQ tenham o registro em log de auditoria do Amazon CloudWatch habilitado. A regra será NON_COMPLIANT se um agente não tiver o registro em log de auditoria habilitado. | |
| 10.3.1 | Os logs de auditoria são protegidos contra destruição e modificações não autorizadas. (PCI-DSS-v4.0) | Garanta que o corretor do Amazon MQ tenha o registro em log de auditoria do CloudWatch habilitado. A regra será NON_COMPLIANT se um agente não tiver o registro em log de auditoria habilitado. | |
| 10.3.1 | Os logs de auditoria são protegidos contra destruição e modificações não autorizadas. (PCI-DSS-v4.0) | Garanta que um cluster do Amazon Elastic Kubernetes Service (Amazon EKS) está configurado com o registro em log habilitado. A regra será NON_COMPLIANT se o registro em log dos clusters do Amazon EKS não estiver habilitado para todos os tipos de log. | |
| 10.3.1 | Os logs de auditoria são protegidos contra destruição e modificações não autorizadas. (PCI-DSS-v4.0) | Garanta que os ambientes do AWS Elastic Beanstalk estejam configurados para enviar logs para o Amazon CloudWatch Logs. A regra será NON_COMPLIANT se o valor de ‘StreamLogs’ for falso. | |
| 10.3.1 | Os logs de auditoria são protegidos contra destruição e modificações não autorizadas. (PCI-DSS-v4.0) | Garanta que a máquina do AWS Step Functions tenha o registro em log habilitado. A regra será NON_COMPLIANT se uma máquina de estado não tiver o registro em log habilitado ou se a configuração de registro em log não estiver no nível mínimo fornecido. | |
| 10.3.1 | Os logs de auditoria são protegidos contra destruição e modificações não autorizadas. (PCI-DSS-v4.0) | Garanta que os firewalls do AWS Network Firewall tenham o registro em log habilitado. A regra será NON_COMPLIANT se o tipo de registro em log não estiver configurado. Você pode especificar qual tipo de registro em log você deseja que a regra verifique. | |
| 10.3.2 | Os logs de auditoria são protegidos contra destruição e modificações não autorizadas. (PCI-DSS-v4.0) | Garanta que haja pelo menos uma trilha do AWS CloudTrail definida com as práticas recomendadas de segurança. Essa regra será COMPLIANT se houver pelo menos uma trilha que atenda a todos os seguintes itens: | |
| 10.3.2 | Os logs de auditoria são protegidos contra destruição e modificações não autorizadas. (PCI-DSS-v4.0) | Garanta que um instantâneo manual do cluster de banco de dados do Amazon Neptune seja público. A regra será NON_COMPLIANT se qualquer snapshot de cluster do Neptune novo e existente for público. | |
| 10.3.2 | Os logs de auditoria são protegidos contra destruição e modificações não autorizadas. (PCI-DSS-v4.0) | Garanta que os instantâneos manuais do cluster do Amazon DocumentDB sejam públicos. A regra será NON_COMPLIANT se qualquer snapshot manual do cluster do Amazon DocumentDB for público. | |
| 10.3.2 | Os logs de auditoria são protegidos contra destruição e modificações não autorizadas. (PCI-DSS-v4.0) | Garanta que um cofre de backup tenha uma política baseada em recursos vinculada que impede a exclusão de pontos de recuperação. A regra será NON_COMPLIANT se o cofre de backup não tiver políticas baseadas em recursos ou tiver políticas sem uma declaração “Negar” adequada (declaração com as permissões backup:DeleteRecoveryPoint, backup:UpdateRecoveryPointLifecycle e backup:PutBackupVaultAccessPolicy). | |
| 10.3.2 | Os logs de auditoria são protegidos contra destruição e modificações não autorizadas. (PCI-DSS-v4.0) | Garanta que uma conta com o Amazon EMR tenha configurações de bloqueio de acesso público habilitadas. A regra será NON_COMPLIANT se BlockPublicSecurityGroupRules for falsa ou, se verdadeira, portas diferentes da Porta 22 estiverem listadas em PermittedPublicSecurityGroupRuleRanges. | |
| 10.3.2 | Os logs de auditoria são protegidos contra destruição e modificações não autorizadas. (PCI-DSS-v4.0) | Garanta que os pontos de acesso Amazon S3 tenham configurações do bloqueio do acesso público habilitadas. A regra será NON_COMPLIANT se as configurações de bloqueio de acesso público não estiverem habilitadas para pontos de acesso S3. | |
| 10.3.2 | Os logs de auditoria são protegidos contra destruição e modificações não autorizadas. (PCI-DSS-v4.0) | Garanta que as configurações de bloco de acesso público necessárias estão configuradas no nível da conta. A regra será somente NON_COMPLIANT quando não houver a correspondência dos campos definidos abaixo com os campos correspondentes no item de configuração. | |
| 10.3.2 | Os logs de auditoria são protegidos contra destruição e modificações não autorizadas. (PCI-DSS-v4.0) | Garanta que a Exclusão de MFA esteja habilitada na configuração do versionamento do bucket do Amazon Simple Storage Service (Amazon S3). A regra será NON_COMPLIANT se o Exclusão de MFA não estiver habilitada. | |
| 10.3.3 | Os logs de auditoria são protegidos contra destruição e modificações não autorizadas. (PCI-DSS-v4.0) | Garanta que os clusters de banco de dados do Amazon Aurora estejam protegidos por um plano de backup. A regra será NON_COMPLIANT se o cluster de banco de dados do Amazon Relational Database Service (Amazon RDS) não estiver protegido por um plano de backup. | |
| 10.3.3 | Os logs de auditoria são protegidos contra destruição e modificações não autorizadas. (PCI-DSS-v4.0) | Garanta que as instâncias de banco de dados do RDS tenham os backups habilitados. Opcionalmente, a regra verifica o período de retenção de backup e a janela de backup. | |
| 10.3.3 | Os logs de auditoria são protegidos contra destruição e modificações não autorizadas. (PCI-DSS-v4.0) | Garanta que as tabelas do Amazon DynamoDB estejam presentes nos planos AWS Backup. A regra será NON_COMPLIANT se as tabelas do Amazon DynamoDB não estiverem presentes em nenhum plano do AWS Backup. | |
| 10.3.3 | Os logs de auditoria são protegidos contra destruição e modificações não autorizadas. (PCI-DSS-v4.0) | Garanta que as tabelas do Amazon DynamoDB sejam protegidas por um plano de backup. A regra será NON_COMPLIANT se a tabela do DynamoDB não estiver coberta por um plano de backup. | |
| 10.3.3 | Os logs de auditoria são protegidos contra destruição e modificações não autorizadas. (PCI-DSS-v4.0) | Garanta que os volumes do Amazon Elastic Block Store (Amazon EBS) sejam adicionados aos planos de backup do AWS Backup. A regra será NON_COMPLIANT se os volumes do Amazon EBS não estiverem incluídos nos planos de backup. | |
| 10.3.3 | Os logs de auditoria são protegidos contra destruição e modificações não autorizadas. (PCI-DSS-v4.0) | Garanta que os volumes do Amazon Elastic Block Store (Amazon EBS) estejam protegidos por um plano de backup. A regra será NON_COMPLIANT se o volume do Amazon EBS não estiver coberto por um plano de backup. | |
| 10.3.3 | Os logs de auditoria são protegidos contra destruição e modificações não autorizadas. (PCI-DSS-v4.0) | Garanta que as instâncias do Amazon Elastic Compute Cloud (Amazon EC2) estejam protegidas por um plano de backup. A regra será NON_COMPLIANT se a instância do Amazon EC2 não estiver coberta por um plano de backup. | |
| 10.3.3 | Os logs de auditoria são protegidos contra destruição e modificações não autorizadas. (PCI-DSS-v4.0) | Garanta que os sistemas de arquivos do Amazon Elastic File System (Amazon EFS) sejam adicionados aos planos de backup do AWS Backup. A regra será NON_COMPLIANT se os sistemas de arquivos do EFS não estiverem incluídos nos planos de backup. | |
| 10.3.3 | Os logs de auditoria são protegidos contra destruição e modificações não autorizadas. (PCI-DSS-v4.0) | Garanta que os sistemas de arquivos do Amazon Elastic File System (Amazon EFS) estejam protegidos por um plano de backup. A regra será NON_COMPLIANT se o sistema de arquivos do EFS não estiver coberto por um plano de backup. | |
| 10.3.3 | Os logs de auditoria são protegidos contra destruição e modificações não autorizadas. (PCI-DSS-v4.0) | Verifique se os clusters do Redis do Amazon ElastiCache têm o backup automático habilitado. A regra será NON_COMPLIANT se o SnapshotRetentionLimit do cluster do Redis for menor do que o parâmetro SnapshotRetentionPeriod. Por exemplo: se o parâmetro for 15, a regra não será compatível se o snapshotRetentionPeriod estiver entre 0 e 15. | |
| 10.3.3 | Os logs de auditoria são protegidos contra destruição e modificações não autorizadas. (PCI-DSS-v4.0) | Garanta que os sistemas de arquivos do Amazon FSx estejam protegidos por um plano de backup. A regra será NON_COMPLIANT se o sistema de arquivos do Amazon FSx não estiver coberto por um plano de backup. | |
| 10.3.3 | Os logs de auditoria são protegidos contra destruição e modificações não autorizadas. (PCI-DSS-v4.0) | Garanta que um período de retenção do cluster de banco de dados do Amazon Neptune esteja definido para um número específico de dias. A regra será NON_COMPLIANT se o período de retenção for menor do que o valor especificado pelo parâmetro. | |
| 10.3.3 | Os logs de auditoria são protegidos contra destruição e modificações não autorizadas. (PCI-DSS-v4.0) | Garanta que os bancos de dados do Amazon Relational Database Service (Amazon RDS) estejam presentes em planos do AWS Backup. A regra será NON_COMPLIANT se os bancos de dados do Amazon RDS não estiverem incluídos em nenhum plano do AWS Backup. | |
| 10.3.3 | Os logs de auditoria são protegidos contra destruição e modificações não autorizadas. (PCI-DSS-v4.0) | Garanta que as instâncias do Amazon Relational Database Service (Amazon RDS) estejam protegidas por um plano de backup. A regra será NON_COMPLIANT se a instância do banco de dados do Amazon RDS não estiver coberta por um plano de backup. | |
| 10.3.3 | Os logs de auditoria são protegidos contra destruição e modificações não autorizadas. (PCI-DSS-v4.0) | Garanta que os instantâneos automatizados do Amazon Redshift estejam habilitados para clusters. A regra será NON_COMPLIANT se o valor automatedSnapshotRetentionPeriod for maior do que MaxRetentionPeriod ou menor do que MinRetentionPeriod ou se o valor for 0. | |
| 10.3.3 | Os logs de auditoria são protegidos contra destruição e modificações não autorizadas. (PCI-DSS-v4.0) | Garanta que os buckets do Amazon Simple Storage Service (Amazon S3) estejam protegidos por um plano de backup. A regra será NON_COMPLIANT se o bucket do Amazon S3 não estiver coberto por um plano de backup. | |
| 10.3.3 | Os logs de auditoria são protegidos contra destruição e modificações não autorizadas. (PCI-DSS-v4.0) | Garanta que haja pelo menos uma trilha do AWS CloudTrail definida com as práticas recomendadas de segurança. Essa regra será COMPLIANT se houver pelo menos uma trilha que atenda a todos os seguintes itens: | |
| 10.3.3 | Os logs de auditoria são protegidos contra destruição e modificações não autorizadas. (PCI-DSS-v4.0) | Garanta que as instâncias de banco de dados do RDS tenham os backups habilitados. Opcionalmente, a regra verifica o período de retenção de backup e a janela de backup. | |
| 10.3.3 | Os logs de auditoria são protegidos contra destruição e modificações não autorizadas. (PCI-DSS-v4.0) | Garanta que a recuperação para um ponto no tempo (PITR) esteja habilitada para as tabelas do Amazon DynamoDB. A regra será NON_COMPLIANT se PITR não estiver habilitada para tabelas do DynamoDB. | |
| 10.3.4 | Os logs de auditoria são protegidos contra destruição e modificações não autorizadas. (PCI-DSS-v4.0) | Garanta que a distribuição do CloudFront com o tipo de origem do Amazon S3 tenha a identidade do acesso de origem (OAI) configurada. A regra será NON_COMPLIANT se a distribuição do CloudFront for apoiada pelo S3 e qualquer tipo de origem não estiver configurado para OAI ou se a origem não for um bucket do S3. | |
| 10.3.4 | Os logs de auditoria são protegidos contra destruição e modificações não autorizadas. (PCI-DSS-v4.0) | Garanta que uma distribuição do Amazon CloudFront com um tipo de origem do Amazon Simple Storage Service (Amazon S3) tenha o controle de acesso à origem (OAC) habilitado. A regra é NON_COMPLIANT para distribuições do CloudFront com origens do Amazon S3 que não têm OAC habilitado. | |
| 10.3.4 | Os logs de auditoria são protegidos contra destruição e modificações não autorizadas. (PCI-DSS-v4.0) | Garanta que o bucket do S3 tenha o bloqueio habilitado, por padrão. A regra será NON_COMPLIANT se o bloqueio não estiver habilitado. | |
| 10.3.4 | Os logs de auditoria são protegidos contra destruição e modificações não autorizadas. (PCI-DSS-v4.0) | Garanta que o versionamento esteja habilitado para seus buckets do S3. Opcionalmente, a regra verifica se a exclusão MFA está habilitada para seus buckets do S3. | |
| 10.3.4 | Os logs de auditoria são protegidos contra destruição e modificações não autorizadas. (PCI-DSS-v4.0) | Garanta que haja pelo menos uma trilha do AWS CloudTrail definida com as práticas recomendadas de segurança. Essa regra será COMPLIANT se houver pelo menos uma trilha que atenda a todos os seguintes itens: | |
| 10.4.1 | Os logs de auditoria são revisados para identificar anomalias ou atividades suspeitas. (PCI-DSS-v4.0) | Garanta que o rastreamento do AWS X-Ray esteja habilitado nas APIs REST do Amazon API Gateway. A regra será COMPLIANT se o rastreamento do X-Ray estiver habilitado e, caso contrário, será NON_COMPLIANT. | |
| 10.4.1 | Os logs de auditoria são revisados para identificar anomalias ou atividades suspeitas. (PCI-DSS-v4.0) | Garanta que o monitoramento detalhado esteja habilitado para instâncias do EC2. A regra será NON_COMPLIANT se o monitoramento detalhado não estiver habilitado. | |
| 10.4.1 | Os logs de auditoria são revisados para identificar anomalias ou atividades suspeitas. (PCI-DSS-v4.0) | Garanta que os alarmes do CloudWatch tenham uma ação configurada para o estado ALARM, INSUFFICIENT_DATA ou OK. Opcionalmente, garanta que alguma ação corresponda a um ARN nomeado. A regra será NON_COMPLIANT se não houver nenhuma ação especificada para o alarme ou parâmetro opcional. | |
| 10.4.1 | Os logs de auditoria são revisados para identificar anomalias ou atividades suspeitas. (PCI-DSS-v4.0) | Garanta que os alarmes do CloudWatch tenham uma ação configurada para o estado ALARM, INSUFFICIENT_DATA ou OK. Opcionalmente, garanta que alguma ação corresponda a um ARN nomeado. A regra será NON_COMPLIANT se não houver nenhuma ação especificada para o alarme ou parâmetro opcional. | |
| 10.4.1 | Os logs de auditoria são revisados para identificar anomalias ou atividades suspeitas. (PCI-DSS-v4.0) | Garanta que os alarmes do CloudWatch tenham uma ação configurada para o estado ALARM, INSUFFICIENT_DATA ou OK. Opcionalmente, garanta que alguma ação corresponda a um ARN nomeado. A regra será NON_COMPLIANT se não houver nenhuma ação especificada para o alarme ou parâmetro opcional. | |
| 10.4.1 | Os logs de auditoria são revisados para identificar anomalias ou atividades suspeitas. (PCI-DSS-v4.0) | Garanta que um tipo de recurso tenha um alarme do CloudWatch para a métrica nomeada. Para o tipo de recurso, você pode especificar volumes EBS, instâncias EC2, clusters do Amazon RDS ou buckets do S3. A regra será COMPLIANT se a métrica nomeada tiver um ID de recurso e um alarme do CloudWatch. | |
| 10.4.1 | Os logs de auditoria são revisados para identificar anomalias ou atividades suspeitas. (PCI-DSS-v4.0) | Garanta que a coleta de métricas de segurança do Amazon CloudWatch nos grupos de regras do AWS WAFv2 esteja habilitada. A regra será NON_COMPLIANT se o campo "VisibilityConfig.CloudWatchMetricsEnabled" estiver definido como falso. | |
| 10.4.1 | Os logs de auditoria são revisados para identificar anomalias ou atividades suspeitas. (PCI-DSS-v4.0) | Garanta que o registro em log do Amazon Simple Notification Service (SNS) esteja habilitado para o status de entrega das mensagens de notificação enviadas para um tópico para os endpoints. A regra será NON_COMPLIANT se a notificação do status de entrega das mensagens não estiver habilitada. | |
| 10.4.1.1 | Os logs de auditoria são revisados para identificar anomalias ou atividades suspeitas. (PCI-DSS-v4.0) | Garanta que o rastreamento do AWS X-Ray esteja habilitado nas APIs REST do Amazon API Gateway. A regra será COMPLIANT se o rastreamento do X-Ray estiver habilitado e, caso contrário, será NON_COMPLIANT. | |
| 10.4.1.1 | Os logs de auditoria são revisados para identificar anomalias ou atividades suspeitas. (PCI-DSS-v4.0) | Garanta que o monitoramento detalhado esteja habilitado para instâncias do EC2. A regra será NON_COMPLIANT se o monitoramento detalhado não estiver habilitado. | |
| 10.4.1.1 | Os logs de auditoria são revisados para identificar anomalias ou atividades suspeitas. (PCI-DSS-v4.0) | Garanta que os alarmes do CloudWatch tenham uma ação configurada para o estado ALARM, INSUFFICIENT_DATA ou OK. Opcionalmente, garanta que alguma ação corresponda a um ARN nomeado. A regra será NON_COMPLIANT se não houver nenhuma ação especificada para o alarme ou parâmetro opcional. | |
| 10.4.1.1 | Os logs de auditoria são revisados para identificar anomalias ou atividades suspeitas. (PCI-DSS-v4.0) | Garanta que os alarmes do CloudWatch tenham uma ação configurada para o estado ALARM, INSUFFICIENT_DATA ou OK. Opcionalmente, garanta que alguma ação corresponda a um ARN nomeado. A regra será NON_COMPLIANT se não houver nenhuma ação especificada para o alarme ou parâmetro opcional. | |
| 10.4.1.1 | Os logs de auditoria são revisados para identificar anomalias ou atividades suspeitas. (PCI-DSS-v4.0) | Garanta que os alarmes do CloudWatch tenham uma ação configurada para o estado ALARM, INSUFFICIENT_DATA ou OK. Opcionalmente, garanta que alguma ação corresponda a um ARN nomeado. A regra será NON_COMPLIANT se não houver nenhuma ação especificada para o alarme ou parâmetro opcional. | |
| 10.4.1.1 | Os logs de auditoria são revisados para identificar anomalias ou atividades suspeitas. (PCI-DSS-v4.0) | Garanta que um tipo de recurso tenha um alarme do CloudWatch para a métrica nomeada. Para o tipo de recurso, você pode especificar volumes EBS, instâncias EC2, clusters do Amazon RDS ou buckets do S3. A regra será COMPLIANT se a métrica nomeada tiver um ID de recurso e um alarme do CloudWatch. | |
| 10.4.1.1 | Os logs de auditoria são revisados para identificar anomalias ou atividades suspeitas. (PCI-DSS-v4.0) | Garanta que a coleta de métricas de segurança do Amazon CloudWatch nos grupos de regras do AWS WAFv2 esteja habilitada. A regra será NON_COMPLIANT se o campo "VisibilityConfig.CloudWatchMetricsEnabled" estiver definido como falso. | |
| 10.4.1.1 | Os logs de auditoria são revisados para identificar anomalias ou atividades suspeitas. (PCI-DSS-v4.0) | Garanta que o registro em log do Amazon Simple Notification Service (SNS) esteja habilitado para o status de entrega das mensagens de notificação enviadas para um tópico para os endpoints. A regra será NON_COMPLIANT se a notificação do status de entrega das mensagens não estiver habilitada. | |
| 10.4.2 | Os logs de auditoria são revisados para identificar anomalias ou atividades suspeitas. (PCI-DSS-v4.0) | Garanta que o rastreamento do AWS X-Ray esteja habilitado nas APIs REST do Amazon API Gateway. A regra será COMPLIANT se o rastreamento do X-Ray estiver habilitado e, caso contrário, será NON_COMPLIANT. | |
| 10.4.2 | Os logs de auditoria são revisados para identificar anomalias ou atividades suspeitas. (PCI-DSS-v4.0) | Garanta que o monitoramento detalhado esteja habilitado para instâncias do EC2. A regra será NON_COMPLIANT se o monitoramento detalhado não estiver habilitado. | |
| 10.4.2 | Os logs de auditoria são revisados para identificar anomalias ou atividades suspeitas. (PCI-DSS-v4.0) | Garanta que os alarmes do CloudWatch tenham uma ação configurada para o estado ALARM, INSUFFICIENT_DATA ou OK. Opcionalmente, garanta que alguma ação corresponda a um ARN nomeado. A regra será NON_COMPLIANT se não houver nenhuma ação especificada para o alarme ou parâmetro opcional. | |
| 10.4.2 | Os logs de auditoria são revisados para identificar anomalias ou atividades suspeitas. (PCI-DSS-v4.0) | Garanta que os alarmes do CloudWatch tenham uma ação configurada para o estado ALARM, INSUFFICIENT_DATA ou OK. Opcionalmente, garanta que alguma ação corresponda a um ARN nomeado. A regra será NON_COMPLIANT se não houver nenhuma ação especificada para o alarme ou parâmetro opcional. | |
| 10.4.2 | Os logs de auditoria são revisados para identificar anomalias ou atividades suspeitas. (PCI-DSS-v4.0) | Garanta que os alarmes do CloudWatch tenham uma ação configurada para o estado ALARM, INSUFFICIENT_DATA ou OK. Opcionalmente, garanta que alguma ação corresponda a um ARN nomeado. A regra será NON_COMPLIANT se não houver nenhuma ação especificada para o alarme ou parâmetro opcional. | |
| 10.4.2 | Os logs de auditoria são revisados para identificar anomalias ou atividades suspeitas. (PCI-DSS-v4.0) | Garanta que um tipo de recurso tenha um alarme do CloudWatch para a métrica nomeada. Para o tipo de recurso, você pode especificar volumes EBS, instâncias EC2, clusters do Amazon RDS ou buckets do S3. A regra será COMPLIANT se a métrica nomeada tiver um ID de recurso e um alarme do CloudWatch. | |
| 10.4.2 | Os logs de auditoria são revisados para identificar anomalias ou atividades suspeitas. (PCI-DSS-v4.0) | Garanta que a coleta de métricas de segurança do Amazon CloudWatch nos grupos de regras do AWS WAFv2 esteja habilitada. A regra será NON_COMPLIANT se o campo "VisibilityConfig.CloudWatchMetricsEnabled" estiver definido como falso. | |
| 10.4.2 | Os logs de auditoria são revisados para identificar anomalias ou atividades suspeitas. (PCI-DSS-v4.0) | Garanta que o registro em log do Amazon Simple Notification Service (SNS) esteja habilitado para o status de entrega das mensagens de notificação enviadas para um tópico para os endpoints. A regra será NON_COMPLIANT se a notificação do status de entrega das mensagens não estiver habilitada. | |
| 10.4.3 | Os logs de auditoria são revisados para identificar anomalias ou atividades suspeitas. (PCI-DSS-v4.0) | Garanta que os alarmes do CloudWatch tenham uma ação configurada para o estado ALARM, INSUFFICIENT_DATA ou OK. Opcionalmente, garanta que alguma ação corresponda a um ARN nomeado. A regra será NON_COMPLIANT se não houver nenhuma ação especificada para o alarme ou parâmetro opcional. | |
| 10.5.1 | O histórico do log de auditoria é retido e está disponível para análise. (PCI-DSS-v4.0) | Garanta que haja pelo menos uma trilha do AWS CloudTrail definida com as práticas recomendadas de segurança. Essa regra será COMPLIANT se houver pelo menos uma trilha que atenda a todos os seguintes itens: | |
| 10.5.1 | O histórico do log de auditoria é retido e está disponível para análise. (PCI-DSS-v4.0) | Garanta que os volumes EBS estejam anexados a instâncias do EC2. Opcionalmente, garanta que os volumes EBS estejam marcados para exclusão quando uma instância for encerrada. | |
| 10.5.1 | O histórico do log de auditoria é retido e está disponível para análise. (PCI-DSS-v4.0) | Garanta que um repositório privado do Amazon Elastic Container Registry (ECR) tenha pelo menos uma política de ciclo de vida configurada. A regra será NON_COMPLIANT se nenhuma política de ciclo de vida estiver configurada para o repositório privado do ECR. | |
| 10.5.1 | O histórico do log de auditoria é retido e está disponível para análise. (PCI-DSS-v4.0) | Garanta que a recuperação para um ponto no tempo (PITR) esteja habilitada para as tabelas do Amazon DynamoDB. A regra será NON_COMPLIANT se PITR não estiver habilitada para tabelas do DynamoDB. | |
| 10.5.1 | O histórico do log de auditoria é retido e está disponível para análise. (PCI-DSS-v4.0) | Garanta que um período de retenção do LogGroup do Amazon CloudWatch esteja definido para mais de 365 dias ou então um período de retenção especificado. A regra será NON_COMPLIANT se o período de retenção for menor do que MinRetentionTime, se especificado, ou então 365 dias. | |
| 10.6.3 | Os mecanismos de sincronização de tempo oferecem suporte a configurações de tempo consistentes em todos os sistemas. (PCI-DSS-v4.0) | Garanta que os estágios do Amazon API Gateway V2 tenham o registro em log de acesso habilitado. A regra será NON_COMPLIANT se "accessLogSettings" não estiver presente na configuração do Estágio. | |
| 10.6.3 | Os mecanismos de sincronização de tempo oferecem suporte a configurações de tempo consistentes em todos os sistemas. (PCI-DSS-v4.0) | Garanta que o rastreamento do AWS X-Ray esteja habilitado nas APIs REST do Amazon API Gateway. A regra será COMPLIANT se o rastreamento do X-Ray estiver habilitado e, caso contrário, será NON_COMPLIANT. | |
| 10.6.3 | Os mecanismos de sincronização de tempo oferecem suporte a configurações de tempo consistentes em todos os sistemas. (PCI-DSS-v4.0) | Garanta que as distribuições do Amazon CloudFront estejam configuradas para entregar logs de acesso a um bucket do Amazon S3. A regra será NON_COMPLIANT se uma distribuição do CloudFront não tiver o registro em log configurado. | |
| 10.6.3 | Os mecanismos de sincronização de tempo oferecem suporte a configurações de tempo consistentes em todos os sistemas. (PCI-DSS-v4.0) | Garanta que uma política de bucket do Amazon Simple Storage Service (Amazon S3) não permita ações que estejam na lista de proibições no nível do objeto ou no nível do bucket nos recursos no bucket das entidades principais de outras contas da AWS. Por exemplo, a regra verifica se a política de bucket do Amazon S3 não permite que outra conta da AWS execute ações s3:GetBucket* e s3:DeleteObject em objetos no bucket. A regra será NON_COMPLIANT se as ações que estiverem na lista de proibições forem permitidas pela política de buckets do Amazon S3. | |
| 10.6.3 | Os mecanismos de sincronização de tempo oferecem suporte a configurações de tempo consistentes em todos os sistemas. (PCI-DSS-v4.0) | Garanta que as políticas de bucket do Amazon Simple Storage Service (S3) não autorizem outras permissões entre contas que controlem a política de bucket do Amazon S3 que você fornece. | |
| 10.6.3 | Os mecanismos de sincronização de tempo oferecem suporte a configurações de tempo consistentes em todos os sistemas. (PCI-DSS-v4.0) | Garanta que um cluster do Amazon Neptune tenha a exportação de log do CloudWatch habilitada para logs de auditoria. A regra será NON_COMPLIANT se um cluster do Neptune não tiver a exportação de log do CloudWatch habilitada para logs de auditoria. | |
| 10.6.3 | Os mecanismos de sincronização de tempo oferecem suporte a configurações de tempo consistentes em todos os sistemas. (PCI-DSS-v4.0) | Garanta que o monitoramento detalhado esteja habilitado para instâncias do EC2. A regra será NON_COMPLIANT se o monitoramento detalhado não estiver habilitado. | |
| 10.6.3 | Os mecanismos de sincronização de tempo oferecem suporte a configurações de tempo consistentes em todos os sistemas. (PCI-DSS-v4.0) | Garanta que o logConfiguration esteja configurado nas definições de tarefas do ECS ativas. Essa regra será NON_COMPLIANT se uma ECSTaskDefinition ativa não tiver o recurso logConfiguration definido ou se o valor de logConfiguration for nulo em pelo menos uma definição de contêiner. | |
| 10.6.3 | Os mecanismos de sincronização de tempo oferecem suporte a configurações de tempo consistentes em todos os sistemas. (PCI-DSS-v4.0) | Garanta que os alarmes do CloudWatch tenham uma ação configurada para o estado ALARM, INSUFFICIENT_DATA ou OK. Opcionalmente, garanta que alguma ação corresponda a um ARN nomeado. A regra será NON_COMPLIANT se não houver nenhuma ação especificada para o alarme ou parâmetro opcional. | |
| 10.6.3 | Os mecanismos de sincronização de tempo oferecem suporte a configurações de tempo consistentes em todos os sistemas. (PCI-DSS-v4.0) | Garanta que os alarmes do CloudWatch tenham uma ação configurada para o estado ALARM, INSUFFICIENT_DATA ou OK. Opcionalmente, garanta que alguma ação corresponda a um ARN nomeado. A regra será NON_COMPLIANT se não houver nenhuma ação especificada para o alarme ou parâmetro opcional. | |
| 10.6.3 | Os mecanismos de sincronização de tempo oferecem suporte a configurações de tempo consistentes em todos os sistemas. (PCI-DSS-v4.0) | Garanta que os alarmes do CloudWatch tenham uma ação configurada para o estado ALARM, INSUFFICIENT_DATA ou OK. Opcionalmente, garanta que alguma ação corresponda a um ARN nomeado. A regra será NON_COMPLIANT se não houver nenhuma ação especificada para o alarme ou parâmetro opcional. | |
| 10.6.3 | Os mecanismos de sincronização de tempo oferecem suporte a configurações de tempo consistentes em todos os sistemas. (PCI-DSS-v4.0) | Garanta que um tipo de recurso tenha um alarme do CloudWatch para a métrica nomeada. Para o tipo de recurso, você pode especificar volumes EBS, instâncias EC2, clusters do Amazon RDS ou buckets do S3. A regra será COMPLIANT se a métrica nomeada tiver um ID de recurso e um alarme do CloudWatch. | |
| 10.6.3 | Os mecanismos de sincronização de tempo oferecem suporte a configurações de tempo consistentes em todos os sistemas. (PCI-DSS-v4.0) | Observação: para essa regra, o identificador da regra (CLOUD_TRAIL_ENABLED) e o nome da regra (cloudtrail-enabled) são diferentes. Garanta que uma trilha do AWS CloudTrail esteja habilitada em sua conta da AWS. A regra será NON_COMPLIANT, se uma trilha não estivar habilitada. Opcionalmente, a regra verifica um bucket específico do S3, um tópico do Amazon Simple Notification Service (Amazon SNS) e um grupo de logs do CloudWatch. | |
| 10.6.3 | Os mecanismos de sincronização de tempo oferecem suporte a configurações de tempo consistentes em todos os sistemas. (PCI-DSS-v4.0) | Observação: para essa regra, o identificador da regra (MULTI_REGION_CLOUD_TRAIL_ENABLED) e o nome da regra (multi-region-cloudtrail-enabled) são diferentes. Garanta que haja pelo menos um AWS CloudTrail com várias regiões. A regra será NON_COMPLIANT se as trilhas não corresponderem aos parâmetros de entrada. A regra será NON_COMPLIANT se o campo ExcludeManagementEventSources não estiver vazio ou se o AWS CloudTrail estiver configurado para excluir eventos de gerenciamento, como eventos do AWS KMS ou eventos da API de dados do Amazon RDS. | |
| 10.6.3 | Os mecanismos de sincronização de tempo oferecem suporte a configurações de tempo consistentes em todos os sistemas. (PCI-DSS-v4.0) | Garanta que a API do AWS AppSync tenha o registro em log habilitado. A regra será NON_COMPLIANT se o registro em log não estiver habilitado ou "fieldLogLevel" não for ERROR nem ALL. | |
| 10.6.3 | Os mecanismos de sincronização de tempo oferecem suporte a configurações de tempo consistentes em todos os sistemas. (PCI-DSS-v4.0) | Garanta que o registro em log esteja habilitado nas listas de controle de acesso à web (ACLs da web) globais clássicas do AWS WAF. A regra será NON_COMPLIANT para uma ACL global da web se ela não tiver o registro em log habilitado. | |
| 10.6.3 | Os mecanismos de sincronização de tempo oferecem suporte a configurações de tempo consistentes em todos os sistemas. (PCI-DSS-v4.0) | Garanta que os corretores do Amazon MQ tenham o registro em log de auditoria do Amazon CloudWatch habilitado. A regra será NON_COMPLIANT se um agente não tiver o registro em log de auditoria habilitado. | |
| 10.6.3 | Os mecanismos de sincronização de tempo oferecem suporte a configurações de tempo consistentes em todos os sistemas. (PCI-DSS-v4.0) | Garanta que o corretor do Amazon MQ tenha o registro em log de auditoria do CloudWatch habilitado. A regra será NON_COMPLIANT se um agente não tiver o registro em log de auditoria habilitado. | |
| 10.6.3 | Os mecanismos de sincronização de tempo oferecem suporte a configurações de tempo consistentes em todos os sistemas. (PCI-DSS-v4.0) | Garanta que um cluster do Amazon Elastic Kubernetes Service (Amazon EKS) está configurado com o registro em log habilitado. A regra será NON_COMPLIANT se o registro em log dos clusters do Amazon EKS não estiver habilitado para todos os tipos de log. | |
| 10.6.3 | Os mecanismos de sincronização de tempo oferecem suporte a configurações de tempo consistentes em todos os sistemas. (PCI-DSS-v4.0) | Garanta que os ambientes do AWS Elastic Beanstalk estejam configurados para enviar logs para o Amazon CloudWatch Logs. A regra será NON_COMPLIANT se o valor de ‘StreamLogs’ for falso. | |
| 10.6.3 | Os mecanismos de sincronização de tempo oferecem suporte a configurações de tempo consistentes em todos os sistemas. (PCI-DSS-v4.0) | Garanta que a coleta de métricas de segurança do Amazon CloudWatch nos grupos de regras do AWS WAFv2 esteja habilitada. A regra será NON_COMPLIANT se o campo "VisibilityConfig.CloudWatchMetricsEnabled" estiver definido como falso. | |
| 10.6.3 | Os mecanismos de sincronização de tempo oferecem suporte a configurações de tempo consistentes em todos os sistemas. (PCI-DSS-v4.0) | Garanta que o registro em log do Amazon Simple Notification Service (SNS) esteja habilitado para o status de entrega das mensagens de notificação enviadas para um tópico para os endpoints. A regra será NON_COMPLIANT se a notificação do status de entrega das mensagens não estiver habilitada. | |
| 10.6.3 | Os mecanismos de sincronização de tempo oferecem suporte a configurações de tempo consistentes em todos os sistemas. (PCI-DSS-v4.0) | Garanta que a máquina do AWS Step Functions tenha o registro em log habilitado. A regra será NON_COMPLIANT se uma máquina de estado não tiver o registro em log habilitado ou se a configuração de registro em log não estiver no nível mínimo fornecido. | |
| 10.6.3 | Os mecanismos de sincronização de tempo oferecem suporte a configurações de tempo consistentes em todos os sistemas. (PCI-DSS-v4.0) | Garanta que os firewalls do AWS Network Firewall tenham o registro em log habilitado. A regra será NON_COMPLIANT se o tipo de registro em log não estiver configurado. Você pode especificar qual tipo de registro em log você deseja que a regra verifique. | |
| 10.7.1 | Falhas em sistemas críticos de controle de segurança são detectadas, relatadas e respondidas prontamente. (PCI-DSS-v4.0) | Garanta que o rastreamento do AWS X-Ray esteja habilitado nas APIs REST do Amazon API Gateway. A regra será COMPLIANT se o rastreamento do X-Ray estiver habilitado e, caso contrário, será NON_COMPLIANT. | |
| 10.7.1 | Falhas em sistemas críticos de controle de segurança são detectadas, relatadas e respondidas prontamente. (PCI-DSS-v4.0) | Garanta que suas pilhas do CloudFormation estejam enviando notificações de eventos para um tópico do Amazon SNS. Há também a opção de garantir que os tópicos do Amazon SNS estejam sendo usados. A regra será NON_COMPLIANT se as pilhas do CloudFormation não enviarem notificações. | |
| 10.7.1 | Falhas em sistemas críticos de controle de segurança são detectadas, relatadas e respondidas prontamente. (PCI-DSS-v4.0) | Garanta que o monitoramento detalhado esteja habilitado para instâncias do EC2. A regra será NON_COMPLIANT se o monitoramento detalhado não estiver habilitado. | |
| 10.7.1 | Falhas em sistemas críticos de controle de segurança são detectadas, relatadas e respondidas prontamente. (PCI-DSS-v4.0) | Garanta que os alarmes do CloudWatch tenham uma ação configurada para o estado ALARM, INSUFFICIENT_DATA ou OK. Opcionalmente, garanta que alguma ação corresponda a um ARN nomeado. A regra será NON_COMPLIANT se não houver nenhuma ação especificada para o alarme ou parâmetro opcional. | |
| 10.7.1 | Falhas em sistemas críticos de controle de segurança são detectadas, relatadas e respondidas prontamente. (PCI-DSS-v4.0) | Garanta que os alarmes do CloudWatch tenham uma ação configurada para o estado ALARM, INSUFFICIENT_DATA ou OK. Opcionalmente, garanta que alguma ação corresponda a um ARN nomeado. A regra será NON_COMPLIANT se não houver nenhuma ação especificada para o alarme ou parâmetro opcional. | |
| 10.7.1 | Falhas em sistemas críticos de controle de segurança são detectadas, relatadas e respondidas prontamente. (PCI-DSS-v4.0) | Garanta que os alarmes do CloudWatch tenham uma ação configurada para o estado ALARM, INSUFFICIENT_DATA ou OK. Opcionalmente, garanta que alguma ação corresponda a um ARN nomeado. A regra será NON_COMPLIANT se não houver nenhuma ação especificada para o alarme ou parâmetro opcional. | |
| 10.7.1 | Falhas em sistemas críticos de controle de segurança são detectadas, relatadas e respondidas prontamente. (PCI-DSS-v4.0) | Garanta que um tipo de recurso tenha um alarme do CloudWatch para a métrica nomeada. Para o tipo de recurso, você pode especificar volumes EBS, instâncias EC2, clusters do Amazon RDS ou buckets do S3. A regra será COMPLIANT se a métrica nomeada tiver um ID de recurso e um alarme do CloudWatch. | |
| 10.7.1 | Falhas em sistemas críticos de controle de segurança são detectadas, relatadas e respondidas prontamente. (PCI-DSS-v4.0) | Garanta que a coleta de métricas de segurança do Amazon CloudWatch nos grupos de regras do AWS WAFv2 esteja habilitada. A regra será NON_COMPLIANT se o campo "VisibilityConfig.CloudWatchMetricsEnabled" estiver definido como falso. | |
| 10.7.1 | Falhas em sistemas críticos de controle de segurança são detectadas, relatadas e respondidas prontamente. (PCI-DSS-v4.0) | Garanta que o registro em log do Amazon Simple Notification Service (SNS) esteja habilitado para o status de entrega das mensagens de notificação enviadas para um tópico para os endpoints. A regra será NON_COMPLIANT se a notificação do status de entrega das mensagens não estiver habilitada. | |
| 10.7.2 | Falhas em sistemas críticos de controle de segurança são detectadas, relatadas e respondidas prontamente. (PCI-DSS-v4.0) | Garanta que o rastreamento do AWS X-Ray esteja habilitado nas APIs REST do Amazon API Gateway. A regra será COMPLIANT se o rastreamento do X-Ray estiver habilitado e, caso contrário, será NON_COMPLIANT. | |
| 10.7.2 | Falhas em sistemas críticos de controle de segurança são detectadas, relatadas e respondidas prontamente. (PCI-DSS-v4.0) | Garanta que suas pilhas do CloudFormation estejam enviando notificações de eventos para um tópico do Amazon SNS. Há também a opção de garantir que os tópicos do Amazon SNS estejam sendo usados. A regra será NON_COMPLIANT se as pilhas do CloudFormation não enviarem notificações. | |
| 10.7.2 | Falhas em sistemas críticos de controle de segurança são detectadas, relatadas e respondidas prontamente. (PCI-DSS-v4.0) | Garanta que o monitoramento detalhado esteja habilitado para instâncias do EC2. A regra será NON_COMPLIANT se o monitoramento detalhado não estiver habilitado. | |
| 10.7.2 | Falhas em sistemas críticos de controle de segurança são detectadas, relatadas e respondidas prontamente. (PCI-DSS-v4.0) | Garanta que os alarmes do CloudWatch tenham uma ação configurada para o estado ALARM, INSUFFICIENT_DATA ou OK. Opcionalmente, garanta que alguma ação corresponda a um ARN nomeado. A regra será NON_COMPLIANT se não houver nenhuma ação especificada para o alarme ou parâmetro opcional. | |
| 10.7.2 | Falhas em sistemas críticos de controle de segurança são detectadas, relatadas e respondidas prontamente. (PCI-DSS-v4.0) | Garanta que os alarmes do CloudWatch tenham uma ação configurada para o estado ALARM, INSUFFICIENT_DATA ou OK. Opcionalmente, garanta que alguma ação corresponda a um ARN nomeado. A regra será NON_COMPLIANT se não houver nenhuma ação especificada para o alarme ou parâmetro opcional. | |
| 10.7.2 | Falhas em sistemas críticos de controle de segurança são detectadas, relatadas e respondidas prontamente. (PCI-DSS-v4.0) | Garanta que os alarmes do CloudWatch tenham uma ação configurada para o estado ALARM, INSUFFICIENT_DATA ou OK. Opcionalmente, garanta que alguma ação corresponda a um ARN nomeado. A regra será NON_COMPLIANT se não houver nenhuma ação especificada para o alarme ou parâmetro opcional. | |
| 10.7.2 | Falhas em sistemas críticos de controle de segurança são detectadas, relatadas e respondidas prontamente. (PCI-DSS-v4.0) | Garanta que um tipo de recurso tenha um alarme do CloudWatch para a métrica nomeada. Para o tipo de recurso, você pode especificar volumes EBS, instâncias EC2, clusters do Amazon RDS ou buckets do S3. A regra será COMPLIANT se a métrica nomeada tiver um ID de recurso e um alarme do CloudWatch. | |
| 10.7.2 | Falhas em sistemas críticos de controle de segurança são detectadas, relatadas e respondidas prontamente. (PCI-DSS-v4.0) | Garanta que a coleta de métricas de segurança do Amazon CloudWatch nos grupos de regras do AWS WAFv2 esteja habilitada. A regra será NON_COMPLIANT se o campo "VisibilityConfig.CloudWatchMetricsEnabled" estiver definido como falso. | |
| 10.7.2 | Falhas em sistemas críticos de controle de segurança são detectadas, relatadas e respondidas prontamente. (PCI-DSS-v4.0) | Garanta que o registro em log do Amazon Simple Notification Service (SNS) esteja habilitado para o status de entrega das mensagens de notificação enviadas para um tópico para os endpoints. A regra será NON_COMPLIANT se a notificação do status de entrega das mensagens não estiver habilitada. | |
| 11.5.2 | Intrusões na rede e alterações inesperadas nos arquivos são detectadas e respondidas. (PCI-DSS-v4.0) | Garanta que suas pilhas do CloudFormation estejam enviando notificações de eventos para um tópico do Amazon SNS. Há também a opção de garantir que os tópicos do Amazon SNS estejam sendo usados. A regra será NON_COMPLIANT se as pilhas do CloudFormation não enviarem notificações. | |
| 11.5.2 | Intrusões na rede e alterações inesperadas nos arquivos são detectadas e respondidas. (PCI-DSS-v4.0) | Garanta que os alarmes do CloudWatch tenham uma ação configurada para o estado ALARM, INSUFFICIENT_DATA ou OK. Opcionalmente, garanta que alguma ação corresponda a um ARN nomeado. A regra será NON_COMPLIANT se não houver nenhuma ação especificada para o alarme ou parâmetro opcional. | |
| 11.5.2 | Intrusões na rede e alterações inesperadas nos arquivos são detectadas e respondidas. (PCI-DSS-v4.0) | Garanta que os alarmes do CloudWatch tenham uma ação configurada para o estado ALARM, INSUFFICIENT_DATA ou OK. Opcionalmente, garanta que alguma ação corresponda a um ARN nomeado. A regra será NON_COMPLIANT se não houver nenhuma ação especificada para o alarme ou parâmetro opcional. | |
| 11.5.2 | Intrusões na rede e alterações inesperadas nos arquivos são detectadas e respondidas. (PCI-DSS-v4.0) | Garanta que os alarmes do CloudWatch com o nome da métrica possuam as configurações especificadas. | |
| 11.5.2 | Intrusões na rede e alterações inesperadas nos arquivos são detectadas e respondidas. (PCI-DSS-v4.0) | Garanta que o registro em log do Amazon Simple Notification Service (SNS) esteja habilitado para o status de entrega das mensagens de notificação enviadas para um tópico para os endpoints. A regra será NON_COMPLIANT se a notificação do status de entrega das mensagens não estiver habilitada. | |
| 11.6.1 | As alterações não autorizadas nas páginas de pagamento são detectadas e respondidas. (PCI-DSS-v4.0) | Garanta que suas pilhas do CloudFormation estejam enviando notificações de eventos para um tópico do Amazon SNS. Há também a opção de garantir que os tópicos do Amazon SNS estejam sendo usados. A regra será NON_COMPLIANT se as pilhas do CloudFormation não enviarem notificações. | |
| 11.6.1 | As alterações não autorizadas nas páginas de pagamento são detectadas e respondidas. (PCI-DSS-v4.0) | Garanta que os alarmes do CloudWatch tenham uma ação configurada para o estado ALARM, INSUFFICIENT_DATA ou OK. Opcionalmente, garanta que alguma ação corresponda a um ARN nomeado. A regra será NON_COMPLIANT se não houver nenhuma ação especificada para o alarme ou parâmetro opcional. | |
| 11.6.1 | As alterações não autorizadas nas páginas de pagamento são detectadas e respondidas. (PCI-DSS-v4.0) | Garanta que os alarmes do CloudWatch tenham uma ação configurada para o estado ALARM, INSUFFICIENT_DATA ou OK. Opcionalmente, garanta que alguma ação corresponda a um ARN nomeado. A regra será NON_COMPLIANT se não houver nenhuma ação especificada para o alarme ou parâmetro opcional. | |
| 11.6.1 | As alterações não autorizadas nas páginas de pagamento são detectadas e respondidas. (PCI-DSS-v4.0) | Garanta que os alarmes do CloudWatch com o nome da métrica possuam as configurações especificadas. | |
| 11.6.1 | As alterações não autorizadas nas páginas de pagamento são detectadas e respondidas. (PCI-DSS-v4.0) | Garanta que o registro em log do Amazon Simple Notification Service (SNS) esteja habilitado para o status de entrega das mensagens de notificação enviadas para um tópico para os endpoints. A regra será NON_COMPLIANT se a notificação do status de entrega das mensagens não estiver habilitada. | |
| 12.10.5 | Os incidentes de segurança suspeitos e confirmados que possam afetar o CDE são respondidos imediatamente. (PCI-DSS-v4.0) | Garanta que suas pilhas do CloudFormation estejam enviando notificações de eventos para um tópico do Amazon SNS. Há também a opção de garantir que os tópicos do Amazon SNS estejam sendo usados. A regra será NON_COMPLIANT se as pilhas do CloudFormation não enviarem notificações. | |
| 12.10.5 | Os incidentes de segurança suspeitos e confirmados que possam afetar o CDE são respondidos imediatamente. (PCI-DSS-v4.0) | Garanta que os alarmes do CloudWatch tenham uma ação configurada para o estado ALARM, INSUFFICIENT_DATA ou OK. Opcionalmente, garanta que alguma ação corresponda a um ARN nomeado. A regra será NON_COMPLIANT se não houver nenhuma ação especificada para o alarme ou parâmetro opcional. | |
| 12.10.5 | Os incidentes de segurança suspeitos e confirmados que possam afetar o CDE são respondidos imediatamente. (PCI-DSS-v4.0) | Garanta que os alarmes do CloudWatch tenham uma ação configurada para o estado ALARM, INSUFFICIENT_DATA ou OK. Opcionalmente, garanta que alguma ação corresponda a um ARN nomeado. A regra será NON_COMPLIANT se não houver nenhuma ação especificada para o alarme ou parâmetro opcional. | |
| 12.10.5 | Os incidentes de segurança suspeitos e confirmados que possam afetar o CDE são respondidos imediatamente. (PCI-DSS-v4.0) | Garanta que os alarmes do CloudWatch com o nome da métrica possuam as configurações especificadas. | |
| 12.10.5 | Os incidentes de segurança suspeitos e confirmados que possam afetar o CDE são respondidos imediatamente. (PCI-DSS-v4.0) | Garanta que o registro em log do Amazon Simple Notification Service (SNS) esteja habilitado para o status de entrega das mensagens de notificação enviadas para um tópico para os endpoints. A regra será NON_COMPLIANT se a notificação do status de entrega das mensagens não estiver habilitada. | |
| 12.4.2.1 | A conformidade do PCI DSS é gerenciada. (PCI-DSS-v4.0) | Garanta que o AWS Service Catalog compartilhe portfólios com uma organização (um conjunto de contas da AWS tratadas como uma única unidade) quando a integração estiver habilitada com o AWS Organizations. A regra será NON_COMPLIANT se o valor de "Tipo" de uma ação for "ACCOUNT". | |
| 2.2.5 | Os componentes do sistema são configurados e gerenciados com segurança. (PCI-DSS-v4.0) | Garanta que as distribuições do Amazon CloudFront estejam usando uma política de segurança mínima e um conjunto de cifras de TLSv1.2 ou superior para conexões de visualizadores. Essa regra será NON_COMPLIANT com uma distribuição do CloudFront se a minimumProtocolVersion estiver abaixo de TLSv1.2_2018. | |
| 2.2.5 | Os componentes do sistema são configurados e gerenciados com segurança. (PCI-DSS-v4.0) | Garanta que as distribuições do Amazon CloudFront estejam usando um certificado SSL personalizado e estejam configuradas para usar o SNI para atender solicitações HTTPS. A regra será NON_COMPLIANT se um certificado SSL personalizado estiver associado, mas o método de suporte SSL for um endereço IP dedicado. | |
| 2.2.5 | Os componentes do sistema são configurados e gerenciados com segurança. (PCI-DSS-v4.0) | Garanta que um servidor criado com o AWS Transfer Family não use FTP para conexão de endpoint. A regra será NON_COMPLIANT se o protocolo do servidor para conexão do endpoint estiver habilitado para FTP. | |
| 2.2.5 | Os componentes do sistema são configurados e gerenciados com segurança. (PCI-DSS-v4.0) | Garanta que as distribuições do CloudFront estejam usando protocolos SSL obsoletos para comunicação HTTPS entre locais da borda do CloudFront e origens personalizadas. Essa regra será NON_COMPLIANT para uma distribuição do CloudFront se algum "OriginSslProtocols" incluir "SSLv3". | |
| 2.2.5 | Os componentes do sistema são configurados e gerenciados com segurança. (PCI-DSS-v4.0) | Garanta que as distribuições do Amazon CloudFront estejam criptografando o tráfego para origens personalizadas. A regra não será compatível se "OriginProtocolPolicy" for "http-only" ou se "OriginProtocolPolicy" for "match-viewer" e "ViewerProtocolPolicy" for "allow-all". | |
| 2.2.5 | Os componentes do sistema são configurados e gerenciados com segurança. (PCI-DSS-v4.0) | Garanta que suas distribuições do Amazon CloudFront usem HTTPS (diretamente ou por um redirecionamento). A regra será NON_COMPLIANT se o valor de ViewerProtocolPolicy for definido como "allow-all" para DefaultCacheBehavior ou para CacheBehaviors. | |
| 2.2.7 | Os componentes do sistema são configurados e gerenciados com segurança. (PCI-DSS-v4.0) | Garanta que os endpoints do AWS Database Migration Service (AWS DMS) para armazenamentos de dados do Redis estejam habilitados para criptografia TLS/SSL dos dados comunicados com outros endpoints. A regra será NON_COMPLIANT se a criptografia TLS/SSL não estiver habilitada. | |
| 2.2.7 | Os componentes do sistema são configurados e gerenciados com segurança. (PCI-DSS-v4.0) | Garanta que as distribuições do CloudFront estejam usando protocolos SSL obsoletos para comunicação HTTPS entre locais da borda do CloudFront e origens personalizadas. Essa regra será NON_COMPLIANT para uma distribuição do CloudFront se algum "OriginSslProtocols" incluir "SSLv3". | |
| 2.2.7 | Os componentes do sistema são configurados e gerenciados com segurança. (PCI-DSS-v4.0) | Garanta que as distribuições do Amazon CloudFront estejam criptografando o tráfego para origens personalizadas. A regra não será compatível se "OriginProtocolPolicy" for "http-only" ou se "OriginProtocolPolicy" for "match-viewer" e "ViewerProtocolPolicy" for "allow-all". | |
| 2.2.7 | Os componentes do sistema são configurados e gerenciados com segurança. (PCI-DSS-v4.0) | Garanta que suas distribuições do Amazon CloudFront usem HTTPS (diretamente ou por um redirecionamento). A regra será NON_COMPLIANT se o valor de ViewerProtocolPolicy for definido como "allow-all" para DefaultCacheBehavior ou para CacheBehaviors. | |
| 2.2.7 | Os componentes do sistema são configurados e gerenciados com segurança. (PCI-DSS-v4.0) | Garanta que os Classic Load Balancers usem certificados SSL fornecidos pelo AWS Certificate Manager. Para usar esta regra, use um listener SSL ou HTTPS com o Classic Load Balancer. Esta regra é aplicável somente aos Classic Load Balancers. Esta regra não verifica Application Load Balancers e Network Load Balancers. | |
| 2.2.7 | Os componentes do sistema são configurados e gerenciados com segurança. (PCI-DSS-v4.0) | Garanta que o cluster do Amazon DynamoDB Accelerator (DAX) tenha o ClusterEndpointEncryptionType definido como TLS. A regra será NON_COMPLIANT se o cluster do DAX não estiver criptografado pela Transport Layer Security (TLS). | |
| 2.2.7 | Os componentes do sistema são configurados e gerenciados com segurança. (PCI-DSS-v4.0) | Garanta que um cluster do Amazon MSK imponha criptografia em trânsito usando HTTPS (TLS) com os nós de agente do cluster. A regra será NON_COMPLIANT se a comunicação de texto sem formatação estiver habilitada para conexões de nós do broker no cluster. | |
| 2.2.7 | Os componentes do sistema são configurados e gerenciados com segurança. (PCI-DSS-v4.0) | Garanta que os endpoints do AWS Database Migration Service (AWS DMS) estejam configurados com uma conexão SSL. A regra será NON_COMPLIANT se o AWS DMS não tiver uma conexão SSL configurada. | |
| 3.2.1 | O armazenamento dos dados da conta é mantido no mínimo. (PCI-DSS-v4.0) | Garanta que os volumes EBS estejam anexados a instâncias do EC2. Opcionalmente, garanta que os volumes EBS estejam marcados para exclusão quando uma instância for encerrada. | |
| 3.2.1 | O armazenamento dos dados da conta é mantido no mínimo. (PCI-DSS-v4.0) | Garanta que um repositório privado do Amazon Elastic Container Registry (ECR) tenha pelo menos uma política de ciclo de vida configurada. A regra será NON_COMPLIANT se nenhuma política de ciclo de vida estiver configurada para o repositório privado do ECR. | |
| 3.2.1 | O armazenamento dos dados da conta é mantido no mínimo. (PCI-DSS-v4.0) | Garanta que a recuperação para um ponto no tempo (PITR) esteja habilitada para as tabelas do Amazon DynamoDB. A regra será NON_COMPLIANT se PITR não estiver habilitada para tabelas do DynamoDB. | |
| 3.2.1 | O armazenamento dos dados da conta é mantido no mínimo. (PCI-DSS-v4.0) | Garanta que um período de retenção do LogGroup do Amazon CloudWatch esteja definido para mais de 365 dias ou então um período de retenção especificado. A regra será NON_COMPLIANT se o período de retenção for menor do que MinRetentionTime, se especificado, ou então 365 dias. | |
| 3.3.1.1 | Os dados confidenciais de autenticação (SAD) não são armazenados após a autorização. (PCI-DSS-v4.0) | Garanta que os volumes EBS estejam anexados a instâncias do EC2. Opcionalmente, garanta que os volumes EBS estejam marcados para exclusão quando uma instância for encerrada. | |
| 3.3.1.1 | Os dados confidenciais de autenticação (SAD) não são armazenados após a autorização. (PCI-DSS-v4.0) | Garanta que um repositório privado do Amazon Elastic Container Registry (ECR) tenha pelo menos uma política de ciclo de vida configurada. A regra será NON_COMPLIANT se nenhuma política de ciclo de vida estiver configurada para o repositório privado do ECR. | |
| 3.3.1.1 | Os dados confidenciais de autenticação (SAD) não são armazenados após a autorização. (PCI-DSS-v4.0) | Garanta que a recuperação para um ponto no tempo (PITR) esteja habilitada para as tabelas do Amazon DynamoDB. A regra será NON_COMPLIANT se PITR não estiver habilitada para tabelas do DynamoDB. | |
| 3.3.1.1 | Os dados confidenciais de autenticação (SAD) não são armazenados após a autorização. (PCI-DSS-v4.0) | Garanta que um período de retenção do LogGroup do Amazon CloudWatch esteja definido para mais de 365 dias ou então um período de retenção especificado. A regra será NON_COMPLIANT se o período de retenção for menor do que MinRetentionTime, se especificado, ou então 365 dias. | |
| 3.3.1.3 | Os dados confidenciais de autenticação (SAD) não são armazenados após a autorização. (PCI-DSS-v4.0) | Garanta que os volumes EBS estejam anexados a instâncias do EC2. Opcionalmente, garanta que os volumes EBS estejam marcados para exclusão quando uma instância for encerrada. | |
| 3.3.1.3 | Os dados confidenciais de autenticação (SAD) não são armazenados após a autorização. (PCI-DSS-v4.0) | Garanta que um repositório privado do Amazon Elastic Container Registry (ECR) tenha pelo menos uma política de ciclo de vida configurada. A regra será NON_COMPLIANT se nenhuma política de ciclo de vida estiver configurada para o repositório privado do ECR. | |
| 3.3.1.3 | Os dados confidenciais de autenticação (SAD) não são armazenados após a autorização. (PCI-DSS-v4.0) | Garanta que a recuperação para um ponto no tempo (PITR) esteja habilitada para as tabelas do Amazon DynamoDB. A regra será NON_COMPLIANT se PITR não estiver habilitada para tabelas do DynamoDB. | |
| 3.3.1.3 | Os dados confidenciais de autenticação (SAD) não são armazenados após a autorização. (PCI-DSS-v4.0) | Garanta que um período de retenção do LogGroup do Amazon CloudWatch esteja definido para mais de 365 dias ou então um período de retenção especificado. A regra será NON_COMPLIANT se o período de retenção for menor do que MinRetentionTime, se especificado, ou então 365 dias. | |
| 3.3.2 | Os dados confidenciais de autenticação (SAD) não são armazenados após a autorização. (PCI-DSS-v4.0) | Garanta que os volumes EBS estejam anexados a instâncias do EC2. Opcionalmente, garanta que os volumes EBS estejam marcados para exclusão quando uma instância for encerrada. | |
| 3.3.2 | Os dados confidenciais de autenticação (SAD) não são armazenados após a autorização. (PCI-DSS-v4.0) | Garanta que um repositório privado do Amazon Elastic Container Registry (ECR) tenha pelo menos uma política de ciclo de vida configurada. A regra será NON_COMPLIANT se nenhuma política de ciclo de vida estiver configurada para o repositório privado do ECR. | |
| 3.3.2 | Os dados confidenciais de autenticação (SAD) não são armazenados após a autorização. (PCI-DSS-v4.0) | Garanta que a recuperação para um ponto no tempo (PITR) esteja habilitada para as tabelas do Amazon DynamoDB. A regra será NON_COMPLIANT se PITR não estiver habilitada para tabelas do DynamoDB. | |
| 3.3.2 | Os dados confidenciais de autenticação (SAD) não são armazenados após a autorização. (PCI-DSS-v4.0) | Garanta que um período de retenção do LogGroup do Amazon CloudWatch esteja definido para mais de 365 dias ou então um período de retenção especificado. A regra será NON_COMPLIANT se o período de retenção for menor do que MinRetentionTime, se especificado, ou então 365 dias. | |
| 3.3.3 | Os dados confidenciais de autenticação (SAD) não são armazenados após a autorização. (PCI-DSS-v4.0) | Garanta que os volumes EBS estejam anexados a instâncias do EC2. Opcionalmente, garanta que os volumes EBS estejam marcados para exclusão quando uma instância for encerrada. | |
| 3.3.3 | Os dados confidenciais de autenticação (SAD) não são armazenados após a autorização. (PCI-DSS-v4.0) | Garanta que um repositório privado do Amazon Elastic Container Registry (ECR) tenha pelo menos uma política de ciclo de vida configurada. A regra será NON_COMPLIANT se nenhuma política de ciclo de vida estiver configurada para o repositório privado do ECR. | |
| 3.3.3 | Os dados confidenciais de autenticação (SAD) não são armazenados após a autorização. (PCI-DSS-v4.0) | Garanta que a recuperação para um ponto no tempo (PITR) esteja habilitada para as tabelas do Amazon DynamoDB. A regra será NON_COMPLIANT se PITR não estiver habilitada para tabelas do DynamoDB. | |
| 3.3.3 | Os dados confidenciais de autenticação (SAD) não são armazenados após a autorização. (PCI-DSS-v4.0) | Garanta que um período de retenção do LogGroup do Amazon CloudWatch esteja definido para mais de 365 dias ou então um período de retenção especificado. A regra será NON_COMPLIANT se o período de retenção for menor do que MinRetentionTime, se especificado, ou então 365 dias. | |
| 3.5.1 | O número da conta primária (PAN) é protegido onde quer que esteja armazenado. (PCI-DSS-v4.0) | Garanta que um grupo de trabalho do Amazon Athena esteja criptografado em repouso. A regra será NON_COMPLIANT se a criptografia de dados em repouso não estiver habilitada para um grupo de trabalho do Athena. | |
| 3.5.1 | O número da conta primária (PAN) é protegido onde quer que esteja armazenado. (PCI-DSS-v4.0) | Garanta que um cluster de banco de dados do Amazon Neptune tenha instantâneos criptografados. A regra será NON_COMPLIANT se um cluster do Neptune não tiver instantâneos criptografados. | |
| 3.5.1 | O número da conta primária (PAN) é protegido onde quer que esteja armazenado. (PCI-DSS-v4.0) | Garanta que os clusters do Amazon Redshift estejam usando uma chave AWS Key Management Service (AWS KMS) especificada para criptografia. A regra será COMPLIANT se a criptografia estiver habilitada e o cluster for criptografado com a chave fornecida no parâmetro kmsKeyArn. A regra será NON_COMPLIANT se o cluster não estiver criptografado ou foi criptografado com outra chave. | |
| 3.5.1 | O número da conta primária (PAN) é protegido onde quer que esteja armazenado. (PCI-DSS-v4.0) | Garanta que um projeto do AWS CodeBuild tenha criptografia habilitada para todos os seus artefatos. A regra será NON_COMPLIANT se "encryptionDisabled" for definido como "true" para qualquer configuração de artefato primário ou secundário (se houver). | |
| 3.5.1 | O número da conta primária (PAN) é protegido onde quer que esteja armazenado. (PCI-DSS-v4.0) | Garanta que um projeto do AWS CodeBuild configurado com o logs do Amazon S3 tenha criptografia habilitada para seus logs. A regra será NON_COMPLIANT se "encryptionDisabled" for definido como "verdadeiro" em um S3LogsConfig de um projeto CodeBuild. | |
| 3.5.1 | O número da conta primária (PAN) é protegido onde quer que esteja armazenado. (PCI-DSS-v4.0) | Garanta que os clusters do Amazon DynamoDB Accelerator (DAX) estejam criptografados. A regra será NON_COMPLIANT se o cluster do DAX não estiver criptografado. | |
| 3.5.1 | O número da conta primária (PAN) é protegido onde quer que esteja armazenado. (PCI-DSS-v4.0) | Garanta que os clusters do Amazon Elastic Kubernetes Service estejam configurados para ter segredos do Kubernetes criptografados usando as chaves do AWS Key Management Service (KMS). | |
| 3.5.1 | O número da conta primária (PAN) é protegido onde quer que esteja armazenado. (PCI-DSS-v4.0) | Garanta que todos os métodos nos estágios do Amazon API Gateway tenham o cache habilitado e o cache criptografado. A regra será NON_COMPLIANT se qualquer método em um estágio do Amazon API Gateway não estiver configurado para armazenamento em cache ou se o cache não estiver criptografado. | |
| 3.5.1 | O número da conta primária (PAN) é protegido onde quer que esteja armazenado. (PCI-DSS-v4.0) | Garanta que a criptografia de armazenamento esteja habilitada para seus clusters do Amazon DocumentDB (compatível com MongoDB). A regra será NON_COMPLIANT se a criptografia de armazenamento não estiver habilitada. | |
| 3.5.1 | O número da conta primária (PAN) é protegido onde quer que esteja armazenado. (PCI-DSS-v4.0) | Garanta que a tabela do Amazon DynamoDB esteja criptografada com o AWS Key Management Service (KMS). A regra será NON_COMPLIANT se a tabela do Amazon DynamoDB não estiver criptografada com o AWS KMS. A regra também será NON_COMPLIANT se a chave criptografada do AWS KMS não estiver presente no parâmetro de entrada do kmsKeyArns. | |
| 3.5.1 | O número da conta primária (PAN) é protegido onde quer que esteja armazenado. (PCI-DSS-v4.0) | Garanta que as tabelas do Amazon DynamoDB sejam criptografadas e verifica seu status. A regra será COMPLIANT se o status for habilitado ou em habilitação. | |
| 3.5.1 | O número da conta primária (PAN) é protegido onde quer que esteja armazenado. (PCI-DSS-v4.0) | Garanta que o projeto contenha variáveis de ambiente AWS_ACCESS_KEY_ID e AWS_SECRET_ACCESS_KEY. A regra será NON_COMPLIANT quando as variáveis de ambiente do projeto contiverem credenciais em texto simples. | |
| 3.5.1 | O número da conta primária (PAN) é protegido onde quer que esteja armazenado. (PCI-DSS-v4.0) | Garanta que os clusters do Amazon EKS não estejam configurados para ter segredos do Kubernetes criptografados usando o AWS KMS. A regra será NON_COMPLIANT se um cluster do EKS não tiver um encryptionConfig ou se encryptionConfig não tiver segredos como um recurso. | |
| 3.5.1 | O número da conta primária (PAN) é protegido onde quer que esteja armazenado. (PCI-DSS-v4.0) | Garanta que os fluxos do Amazon Kinesis sejam criptografados em repouso com a criptografia do lado do servidor. A regra será NON_COMPLIANT, para um fluxo do Kinesis se "StreamEncryption" não estiver presente. | |
| 3.5.1 | O número da conta primária (PAN) é protegido onde quer que esteja armazenado. (PCI-DSS-v4.0) | Garanta que a criptografia de armazenamento esteja habilitada para seus clusters de banco de dados do Amazon Neptune. A regra será NON_COMPLIANT se a criptografia de armazenamento não estiver habilitada. | |
| 3.5.1.1 | O número da conta primária (PAN) é protegido onde quer que esteja armazenado. (PCI-DSS-v4.0) | Garanta que o AWS Private Certificate Authority (AWS Private CA) tenha uma CA raiz que esteja desabilitada. A regra será NON_COMPLIANT para CAs raiz com status diferente de DISABLED. | |
| 3.5.1.1 | O número da conta primária (PAN) é protegido onde quer que esteja armazenado. (PCI-DSS-v4.0) | Garanta que o certificado associado a uma distribuição do Amazon CloudFront seja o certificado SSL padrão. A regra será NON_COMPLIANT se uma distribuição do CloudFront usar o certificado SSL padrão. | |
| 3.5.1.1 | O número da conta primária (PAN) é protegido onde quer que esteja armazenado. (PCI-DSS-v4.0) | Garanta que os Classic Load Balancers usem certificados SSL fornecidos pelo AWS Certificate Manager. Para usar esta regra, use um listener SSL ou HTTPS com o Classic Load Balancer. Esta regra é aplicável somente aos Classic Load Balancers. Esta regra não verifica Application Load Balancers e Network Load Balancers. | |
| 3.5.1.3 | O número da conta primária (PAN) é protegido onde quer que esteja armazenado. (PCI-DSS-v4.0) | Garanta que o AWS Private Certificate Authority (AWS Private CA) tenha uma CA raiz que esteja desabilitada. A regra será NON_COMPLIANT para CAs raiz com status diferente de DISABLED. | |
| 3.5.1.3 | O número da conta primária (PAN) é protegido onde quer que esteja armazenado. (PCI-DSS-v4.0) | Garanta que o certificado associado a uma distribuição do Amazon CloudFront seja o certificado SSL padrão. A regra será NON_COMPLIANT se uma distribuição do CloudFront usar o certificado SSL padrão. | |
| 3.5.1.3 | O número da conta primária (PAN) é protegido onde quer que esteja armazenado. (PCI-DSS-v4.0) | Garanta que um instantâneo manual do cluster de banco de dados do Amazon Neptune seja público. A regra será NON_COMPLIANT se qualquer snapshot de cluster do Neptune novo e existente for público. | |
| 3.5.1.3 | O número da conta primária (PAN) é protegido onde quer que esteja armazenado. (PCI-DSS-v4.0) | Garanta que os instantâneos manuais do cluster do Amazon DocumentDB sejam públicos. A regra será NON_COMPLIANT se qualquer snapshot manual do cluster do Amazon DocumentDB for público. | |
| 3.5.1.3 | O número da conta primária (PAN) é protegido onde quer que esteja armazenado. (PCI-DSS-v4.0) | Garanta que um cofre de backup tenha uma política baseada em recursos vinculada que impede a exclusão de pontos de recuperação. A regra será NON_COMPLIANT se o cofre de backup não tiver políticas baseadas em recursos ou tiver políticas sem uma declaração “Negar” adequada (declaração com as permissões backup:DeleteRecoveryPoint, backup:UpdateRecoveryPointLifecycle e backup:PutBackupVaultAccessPolicy). | |
| 3.5.1.3 | O número da conta primária (PAN) é protegido onde quer que esteja armazenado. (PCI-DSS-v4.0) | Garanta que os Classic Load Balancers usem certificados SSL fornecidos pelo AWS Certificate Manager. Para usar esta regra, use um listener SSL ou HTTPS com o Classic Load Balancer. Esta regra é aplicável somente aos Classic Load Balancers. Esta regra não verifica Application Load Balancers e Network Load Balancers. | |
| 3.5.1.3 | O número da conta primária (PAN) é protegido onde quer que esteja armazenado. (PCI-DSS-v4.0) | Garanta que uma conta com o Amazon EMR tenha configurações de bloqueio de acesso público habilitadas. A regra será NON_COMPLIANT se BlockPublicSecurityGroupRules for falsa ou, se verdadeira, portas diferentes da Porta 22 estiverem listadas em PermittedPublicSecurityGroupRuleRanges. | |
| 3.5.1.3 | O número da conta primária (PAN) é protegido onde quer que esteja armazenado. (PCI-DSS-v4.0) | Garanta que os pontos de acesso Amazon S3 tenham configurações do bloqueio do acesso público habilitadas. A regra será NON_COMPLIANT se as configurações de bloqueio de acesso público não estiverem habilitadas para pontos de acesso S3. | |
| 3.5.1.3 | O número da conta primária (PAN) é protegido onde quer que esteja armazenado. (PCI-DSS-v4.0) | Garanta que as configurações de bloco de acesso público necessárias estão configuradas no nível da conta. A regra será somente NON_COMPLIANT quando não houver a correspondência dos campos definidos abaixo com os campos correspondentes no item de configuração. | |
| 3.5.1.3 | O número da conta primária (PAN) é protegido onde quer que esteja armazenado. (PCI-DSS-v4.0) | Garanta que a Exclusão de MFA esteja habilitada na configuração do versionamento do bucket do Amazon Simple Storage Service (Amazon S3). A regra será NON_COMPLIANT se o Exclusão de MFA não estiver habilitada. | |
| 3.6.1 | As chaves criptográficas usadas para proteger os dados armazenados da conta são protegidas. (PCI-DSS-v4.0) | Garanta que o AWS Private Certificate Authority (AWS Private CA) tenha uma CA raiz que esteja desabilitada. A regra será NON_COMPLIANT para CAs raiz com status diferente de DISABLED. | |
| 3.6.1 | As chaves criptográficas usadas para proteger os dados armazenados da conta são protegidas. (PCI-DSS-v4.0) | Garanta que o certificado associado a uma distribuição do Amazon CloudFront seja o certificado SSL padrão. A regra será NON_COMPLIANT se uma distribuição do CloudFront usar o certificado SSL padrão. | |
| 3.6.1 | As chaves criptográficas usadas para proteger os dados armazenados da conta são protegidas. (PCI-DSS-v4.0) | Garanta que os Classic Load Balancers usem certificados SSL fornecidos pelo AWS Certificate Manager. Para usar esta regra, use um listener SSL ou HTTPS com o Classic Load Balancer. Esta regra é aplicável somente aos Classic Load Balancers. Esta regra não verifica Application Load Balancers e Network Load Balancers. | |
| 3.6.1.2 | As chaves criptográficas usadas para proteger os dados armazenados da conta são protegidas. (PCI-DSS-v4.0) | Garanta que o AWS Private Certificate Authority (AWS Private CA) tenha uma CA raiz que esteja desabilitada. A regra será NON_COMPLIANT para CAs raiz com status diferente de DISABLED. | |
| 3.6.1.2 | As chaves criptográficas usadas para proteger os dados armazenados da conta são protegidas. (PCI-DSS-v4.0) | Garanta que o certificado associado a uma distribuição do Amazon CloudFront seja o certificado SSL padrão. A regra será NON_COMPLIANT se uma distribuição do CloudFront usar o certificado SSL padrão. | |
| 3.6.1.2 | As chaves criptográficas usadas para proteger os dados armazenados da conta são protegidas. (PCI-DSS-v4.0) | Garanta que os Classic Load Balancers usem certificados SSL fornecidos pelo AWS Certificate Manager. Para usar esta regra, use um listener SSL ou HTTPS com o Classic Load Balancer. Esta regra é aplicável somente aos Classic Load Balancers. Esta regra não verifica Application Load Balancers e Network Load Balancers. | |
| 3.6.1.3 | As chaves criptográficas usadas para proteger os dados armazenados da conta são protegidas. (PCI-DSS-v4.0) | Garanta que o AWS Private Certificate Authority (AWS Private CA) tenha uma CA raiz que esteja desabilitada. A regra será NON_COMPLIANT para CAs raiz com status diferente de DISABLED. | |
| 3.6.1.3 | As chaves criptográficas usadas para proteger os dados armazenados da conta são protegidas. (PCI-DSS-v4.0) | Garanta que o certificado associado a uma distribuição do Amazon CloudFront seja o certificado SSL padrão. A regra será NON_COMPLIANT se uma distribuição do CloudFront usar o certificado SSL padrão. | |
| 3.6.1.3 | As chaves criptográficas usadas para proteger os dados armazenados da conta são protegidas. (PCI-DSS-v4.0) | Garanta que os Classic Load Balancers usem certificados SSL fornecidos pelo AWS Certificate Manager. Para usar esta regra, use um listener SSL ou HTTPS com o Classic Load Balancer. Esta regra é aplicável somente aos Classic Load Balancers. Esta regra não verifica Application Load Balancers e Network Load Balancers. | |
| 3.6.1.4 | As chaves criptográficas usadas para proteger os dados armazenados da conta são protegidas. (PCI-DSS-v4.0) | Garanta que o AWS Private Certificate Authority (AWS Private CA) tenha uma CA raiz que esteja desabilitada. A regra será NON_COMPLIANT para CAs raiz com status diferente de DISABLED. | |
| 3.6.1.4 | As chaves criptográficas usadas para proteger os dados armazenados da conta são protegidas. (PCI-DSS-v4.0) | Garanta que o certificado associado a uma distribuição do Amazon CloudFront seja o certificado SSL padrão. A regra será NON_COMPLIANT se uma distribuição do CloudFront usar o certificado SSL padrão. | |
| 3.6.1.4 | As chaves criptográficas usadas para proteger os dados armazenados da conta são protegidas. (PCI-DSS-v4.0) | Garanta que os Classic Load Balancers usem certificados SSL fornecidos pelo AWS Certificate Manager. Para usar esta regra, use um listener SSL ou HTTPS com o Classic Load Balancer. Esta regra é aplicável somente aos Classic Load Balancers. Esta regra não verifica Application Load Balancers e Network Load Balancers. | |
| 3.7.1 | Quando a criptografia é usada para proteger os dados armazenados da conta, os processos e procedimentos de gerenciamento de chaves que abrangem todos os aspectos do ciclo de vida da chave são definidos e implementados. (PCI-DSS-v4.0) | Garanta que os certificados RSA gerenciados pelo AWS Certificate Manager (ACM) tenham um tamanho de chave de pelo menos "2048" bits. A regra não é NON_COMPLIANT se o tamanho mínimo da chave for menor do que 2048 bits. | |
| 3.7.1 | Quando a criptografia é usada para proteger os dados armazenados da conta, os processos e procedimentos de gerenciamento de chaves que abrangem todos os aspectos do ciclo de vida da chave são definidos e implementados. (PCI-DSS-v4.0) | Garanta que o AWS Private Certificate Authority (AWS Private CA) tenha uma CA raiz que esteja desabilitada. A regra será NON_COMPLIANT para CAs raiz com status diferente de DISABLED. | |
| 3.7.1 | Quando a criptografia é usada para proteger os dados armazenados da conta, os processos e procedimentos de gerenciamento de chaves que abrangem todos os aspectos do ciclo de vida da chave são definidos e implementados. (PCI-DSS-v4.0) | Garanta que o certificado associado a uma distribuição do Amazon CloudFront seja o certificado SSL padrão. A regra será NON_COMPLIANT se uma distribuição do CloudFront usar o certificado SSL padrão. | |
| 3.7.1 | Quando a criptografia é usada para proteger os dados armazenados da conta, os processos e procedimentos de gerenciamento de chaves que abrangem todos os aspectos do ciclo de vida da chave são definidos e implementados. (PCI-DSS-v4.0) | Garanta que os Classic Load Balancers usem certificados SSL fornecidos pelo AWS Certificate Manager. Para usar esta regra, use um listener SSL ou HTTPS com o Classic Load Balancer. Esta regra é aplicável somente aos Classic Load Balancers. Esta regra não verifica Application Load Balancers e Network Load Balancers. | |
| 3.7.2 | Quando a criptografia é usada para proteger os dados armazenados da conta, os processos e procedimentos de gerenciamento de chaves que abrangem todos os aspectos do ciclo de vida da chave são definidos e implementados. (PCI-DSS-v4.0) | Garanta que o AWS Private Certificate Authority (AWS Private CA) tenha uma CA raiz que esteja desabilitada. A regra será NON_COMPLIANT para CAs raiz com status diferente de DISABLED. | |
| 3.7.2 | Quando a criptografia é usada para proteger os dados armazenados da conta, os processos e procedimentos de gerenciamento de chaves que abrangem todos os aspectos do ciclo de vida da chave são definidos e implementados. (PCI-DSS-v4.0) | Garanta que o certificado associado a uma distribuição do Amazon CloudFront seja o certificado SSL padrão. A regra será NON_COMPLIANT se uma distribuição do CloudFront usar o certificado SSL padrão. | |
| 3.7.2 | Quando a criptografia é usada para proteger os dados armazenados da conta, os processos e procedimentos de gerenciamento de chaves que abrangem todos os aspectos do ciclo de vida da chave são definidos e implementados. (PCI-DSS-v4.0) | Garanta que os Classic Load Balancers usem certificados SSL fornecidos pelo AWS Certificate Manager. Para usar esta regra, use um listener SSL ou HTTPS com o Classic Load Balancer. Esta regra é aplicável somente aos Classic Load Balancers. Esta regra não verifica Application Load Balancers e Network Load Balancers. | |
| 3.7.4 | Quando a criptografia é usada para proteger os dados armazenados da conta, os processos e procedimentos de gerenciamento de chaves que abrangem todos os aspectos do ciclo de vida da chave são definidos e implementados. (PCI-DSS-v4.0) | Garanta que o AWS Private Certificate Authority (AWS Private CA) tenha uma CA raiz que esteja desabilitada. A regra será NON_COMPLIANT para CAs raiz com status diferente de DISABLED. | |
| 3.7.4 | Quando a criptografia é usada para proteger os dados armazenados da conta, os processos e procedimentos de gerenciamento de chaves que abrangem todos os aspectos do ciclo de vida da chave são definidos e implementados. (PCI-DSS-v4.0) | Garanta que o certificado associado a uma distribuição do Amazon CloudFront seja o certificado SSL padrão. A regra será NON_COMPLIANT se uma distribuição do CloudFront usar o certificado SSL padrão. | |
| 3.7.4 | Quando a criptografia é usada para proteger os dados armazenados da conta, os processos e procedimentos de gerenciamento de chaves que abrangem todos os aspectos do ciclo de vida da chave são definidos e implementados. (PCI-DSS-v4.0) | Garanta que os Classic Load Balancers usem certificados SSL fornecidos pelo AWS Certificate Manager. Para usar esta regra, use um listener SSL ou HTTPS com o Classic Load Balancer. Esta regra é aplicável somente aos Classic Load Balancers. Esta regra não verifica Application Load Balancers e Network Load Balancers. | |
| 3.7.6 | Quando a criptografia é usada para proteger os dados armazenados da conta, os processos e procedimentos de gerenciamento de chaves que abrangem todos os aspectos do ciclo de vida da chave são definidos e implementados. (PCI-DSS-v4.0) | Garanta que o AWS Private Certificate Authority (AWS Private CA) tenha uma CA raiz que esteja desabilitada. A regra será NON_COMPLIANT para CAs raiz com status diferente de DISABLED. | |
| 3.7.6 | Quando a criptografia é usada para proteger os dados armazenados da conta, os processos e procedimentos de gerenciamento de chaves que abrangem todos os aspectos do ciclo de vida da chave são definidos e implementados. (PCI-DSS-v4.0) | Garanta que o certificado associado a uma distribuição do Amazon CloudFront seja o certificado SSL padrão. A regra será NON_COMPLIANT se uma distribuição do CloudFront usar o certificado SSL padrão. | |
| 3.7.6 | Quando a criptografia é usada para proteger os dados armazenados da conta, os processos e procedimentos de gerenciamento de chaves que abrangem todos os aspectos do ciclo de vida da chave são definidos e implementados. (PCI-DSS-v4.0) | Garanta que os Classic Load Balancers usem certificados SSL fornecidos pelo AWS Certificate Manager. Para usar esta regra, use um listener SSL ou HTTPS com o Classic Load Balancer. Esta regra é aplicável somente aos Classic Load Balancers. Esta regra não verifica Application Load Balancers e Network Load Balancers. | |
| 3.7.7 | Quando a criptografia é usada para proteger os dados armazenados da conta, os processos e procedimentos de gerenciamento de chaves que abrangem todos os aspectos do ciclo de vida da chave são definidos e implementados. (PCI-DSS-v4.0) | Garanta que o AWS Private Certificate Authority (AWS Private CA) tenha uma CA raiz que esteja desabilitada. A regra será NON_COMPLIANT para CAs raiz com status diferente de DISABLED. | |
| 3.7.7 | Quando a criptografia é usada para proteger os dados armazenados da conta, os processos e procedimentos de gerenciamento de chaves que abrangem todos os aspectos do ciclo de vida da chave são definidos e implementados. (PCI-DSS-v4.0) | Garanta que o certificado associado a uma distribuição do Amazon CloudFront seja o certificado SSL padrão. A regra será NON_COMPLIANT se uma distribuição do CloudFront usar o certificado SSL padrão. | |
| 3.7.7 | Quando a criptografia é usada para proteger os dados armazenados da conta, os processos e procedimentos de gerenciamento de chaves que abrangem todos os aspectos do ciclo de vida da chave são definidos e implementados. (PCI-DSS-v4.0) | Garanta que os Classic Load Balancers usem certificados SSL fornecidos pelo AWS Certificate Manager. Para usar esta regra, use um listener SSL ou HTTPS com o Classic Load Balancer. Esta regra é aplicável somente aos Classic Load Balancers. Esta regra não verifica Application Load Balancers e Network Load Balancers. | |
| 4.2.1 | O PAN é protegido com criptografia forte durante a transmissão. (PCI-DSS-v4.0) | Garanta que os endpoints do AWS Database Migration Service (AWS DMS) para armazenamentos de dados do Redis estejam habilitados para criptografia TLS/SSL dos dados comunicados com outros endpoints. A regra será NON_COMPLIANT se a criptografia TLS/SSL não estiver habilitada. | |
| 4.2.1 | O PAN é protegido com criptografia forte durante a transmissão. (PCI-DSS-v4.0) | Garanta que as distribuições do CloudFront estejam usando protocolos SSL obsoletos para comunicação HTTPS entre locais da borda do CloudFront e origens personalizadas. Essa regra será NON_COMPLIANT para uma distribuição do CloudFront se algum "OriginSslProtocols" incluir "SSLv3". | |
| 4.2.1 | O PAN é protegido com criptografia forte durante a transmissão. (PCI-DSS-v4.0) | Garanta que as distribuições do Amazon CloudFront estejam criptografando o tráfego para origens personalizadas. A regra não será compatível se "OriginProtocolPolicy" for "http-only" ou se "OriginProtocolPolicy" for "match-viewer" e "ViewerProtocolPolicy" for "allow-all". | |
| 4.2.1 | O PAN é protegido com criptografia forte durante a transmissão. (PCI-DSS-v4.0) | Garanta que suas distribuições do Amazon CloudFront usem HTTPS (diretamente ou por um redirecionamento). A regra será NON_COMPLIANT se o valor de ViewerProtocolPolicy for definido como "allow-all" para DefaultCacheBehavior ou para CacheBehaviors. | |
| 4.2.1 | O PAN é protegido com criptografia forte durante a transmissão. (PCI-DSS-v4.0) | Garanta que os Classic Load Balancers usem certificados SSL fornecidos pelo AWS Certificate Manager. Para usar esta regra, use um listener SSL ou HTTPS com o Classic Load Balancer. Esta regra é aplicável somente aos Classic Load Balancers. Esta regra não verifica Application Load Balancers e Network Load Balancers. | |
| 4.2.1 | O PAN é protegido com criptografia forte durante a transmissão. (PCI-DSS-v4.0) | Garanta que o cluster do Amazon DynamoDB Accelerator (DAX) tenha o ClusterEndpointEncryptionType definido como TLS. A regra será NON_COMPLIANT se o cluster do DAX não estiver criptografado pela Transport Layer Security (TLS). | |
| 4.2.1 | O PAN é protegido com criptografia forte durante a transmissão. (PCI-DSS-v4.0) | Garanta que um cluster do Amazon MSK imponha criptografia em trânsito usando HTTPS (TLS) com os nós de agente do cluster. A regra será NON_COMPLIANT se a comunicação de texto sem formatação estiver habilitada para conexões de nós do broker no cluster. | |
| 4.2.1 | O PAN é protegido com criptografia forte durante a transmissão. (PCI-DSS-v4.0) | Garanta que os endpoints do AWS Database Migration Service (AWS DMS) estejam configurados com uma conexão SSL. A regra será NON_COMPLIANT se o AWS DMS não tiver uma conexão SSL configurada. | |
| 4.2.1.1 | O PAN é protegido com criptografia forte durante a transmissão. (PCI-DSS-v4.0) | Garanta que o AWS Private Certificate Authority (AWS Private CA) tenha uma CA raiz que esteja desabilitada. A regra será NON_COMPLIANT para CAs raiz com status diferente de DISABLED. | |
| 4.2.1.1 | O PAN é protegido com criptografia forte durante a transmissão. (PCI-DSS-v4.0) | Garanta que o certificado associado a uma distribuição do Amazon CloudFront seja o certificado SSL padrão. A regra será NON_COMPLIANT se uma distribuição do CloudFront usar o certificado SSL padrão. | |
| 4.2.1.1 | O PAN é protegido com criptografia forte durante a transmissão. (PCI-DSS-v4.0) | Garanta que os endpoints do AWS Database Migration Service (AWS DMS) para armazenamentos de dados do Redis estejam habilitados para criptografia TLS/SSL dos dados comunicados com outros endpoints. A regra será NON_COMPLIANT se a criptografia TLS/SSL não estiver habilitada. | |
| 4.2.1.1 | O PAN é protegido com criptografia forte durante a transmissão. (PCI-DSS-v4.0) | Garanta que as distribuições do CloudFront estejam usando protocolos SSL obsoletos para comunicação HTTPS entre locais da borda do CloudFront e origens personalizadas. Essa regra será NON_COMPLIANT para uma distribuição do CloudFront se algum "OriginSslProtocols" incluir "SSLv3". | |
| 4.2.1.1 | O PAN é protegido com criptografia forte durante a transmissão. (PCI-DSS-v4.0) | Garanta que as distribuições do Amazon CloudFront estejam criptografando o tráfego para origens personalizadas. A regra não será compatível se "OriginProtocolPolicy" for "http-only" ou se "OriginProtocolPolicy" for "match-viewer" e "ViewerProtocolPolicy" for "allow-all". | |
| 4.2.1.1 | O PAN é protegido com criptografia forte durante a transmissão. (PCI-DSS-v4.0) | Garanta que suas distribuições do Amazon CloudFront usem HTTPS (diretamente ou por um redirecionamento). A regra será NON_COMPLIANT se o valor de ViewerProtocolPolicy for definido como "allow-all" para DefaultCacheBehavior ou para CacheBehaviors. | |
| 4.2.1.1 | O PAN é protegido com criptografia forte durante a transmissão. (PCI-DSS-v4.0) | Garanta que os Classic Load Balancers usem certificados SSL fornecidos pelo AWS Certificate Manager. Para usar esta regra, use um listener SSL ou HTTPS com o Classic Load Balancer. Esta regra é aplicável somente aos Classic Load Balancers. Esta regra não verifica Application Load Balancers e Network Load Balancers. | |
| 4.2.1.1 | O PAN é protegido com criptografia forte durante a transmissão. (PCI-DSS-v4.0) | Garanta que o cluster do Amazon DynamoDB Accelerator (DAX) tenha o ClusterEndpointEncryptionType definido como TLS. A regra será NON_COMPLIANT se o cluster do DAX não estiver criptografado pela Transport Layer Security (TLS). | |
| 4.2.1.1 | O PAN é protegido com criptografia forte durante a transmissão. (PCI-DSS-v4.0) | Garanta que um cluster do Amazon MSK imponha criptografia em trânsito usando HTTPS (TLS) com os nós de agente do cluster. A regra será NON_COMPLIANT se a comunicação de texto sem formatação estiver habilitada para conexões de nós do broker no cluster. | |
| 4.2.1.1 | O PAN é protegido com criptografia forte durante a transmissão. (PCI-DSS-v4.0) | Garanta que os endpoints do AWS Database Migration Service (AWS DMS) estejam configurados com uma conexão SSL. A regra será NON_COMPLIANT se o AWS DMS não tiver uma conexão SSL configurada. | |
| 5.3.4 | Os mecanismos e processos antimalware são ativos, mantidos e monitorados. (PCI-DSS-v4.0) | Garanta que os estágios do Amazon API Gateway V2 tenham o registro em log de acesso habilitado. A regra será NON_COMPLIANT se "accessLogSettings" não estiver presente na configuração do Estágio. | |
| 5.3.4 | Os mecanismos e processos antimalware são ativos, mantidos e monitorados. (PCI-DSS-v4.0) | Garanta que o rastreamento do AWS X-Ray esteja habilitado nas APIs REST do Amazon API Gateway. A regra será COMPLIANT se o rastreamento do X-Ray estiver habilitado e, caso contrário, será NON_COMPLIANT. | |
| 5.3.4 | Os mecanismos e processos antimalware são ativos, mantidos e monitorados. (PCI-DSS-v4.0) | Garanta que as distribuições do Amazon CloudFront estejam configuradas para entregar logs de acesso a um bucket do Amazon S3. A regra será NON_COMPLIANT se uma distribuição do CloudFront não tiver o registro em log configurado. | |
| 5.3.4 | Os mecanismos e processos antimalware são ativos, mantidos e monitorados. (PCI-DSS-v4.0) | Garanta que haja pelo menos uma trilha do AWS CloudTrail definida com as práticas recomendadas de segurança. Essa regra será COMPLIANT se houver pelo menos uma trilha que atenda a todos os seguintes itens: | |
| 5.3.4 | Os mecanismos e processos antimalware são ativos, mantidos e monitorados. (PCI-DSS-v4.0) | Garanta que um cluster do Amazon Neptune tenha a exportação de log do CloudWatch habilitada para logs de auditoria. A regra será NON_COMPLIANT se um cluster do Neptune não tiver a exportação de log do CloudWatch habilitada para logs de auditoria. | |
| 5.3.4 | Os mecanismos e processos antimalware são ativos, mantidos e monitorados. (PCI-DSS-v4.0) | Garanta que o logConfiguration esteja configurado nas definições de tarefas do ECS ativas. Essa regra será NON_COMPLIANT se uma ECSTaskDefinition ativa não tiver o recurso logConfiguration definido ou se o valor de logConfiguration for nulo em pelo menos uma definição de contêiner. | |
| 5.3.4 | Os mecanismos e processos antimalware são ativos, mantidos e monitorados. (PCI-DSS-v4.0) | Observação: para essa regra, o identificador da regra (CLOUD_TRAIL_ENABLED) e o nome da regra (cloudtrail-enabled) são diferentes. Garanta que uma trilha do AWS CloudTrail esteja habilitada em sua conta da AWS. A regra será NON_COMPLIANT, se uma trilha não estivar habilitada. Opcionalmente, a regra verifica um bucket específico do S3, um tópico do Amazon Simple Notification Service (Amazon SNS) e um grupo de logs do CloudWatch. | |
| 5.3.4 | Os mecanismos e processos antimalware são ativos, mantidos e monitorados. (PCI-DSS-v4.0) | Observação: para essa regra, o identificador da regra (MULTI_REGION_CLOUD_TRAIL_ENABLED) e o nome da regra (multi-region-cloudtrail-enabled) são diferentes. Garanta que haja pelo menos um AWS CloudTrail com várias regiões. A regra será NON_COMPLIANT se as trilhas não corresponderem aos parâmetros de entrada. A regra será NON_COMPLIANT se o campo ExcludeManagementEventSources não estiver vazio ou se o AWS CloudTrail estiver configurado para excluir eventos de gerenciamento, como eventos do AWS KMS ou eventos da API de dados do Amazon RDS. | |
| 5.3.4 | Os mecanismos e processos antimalware são ativos, mantidos e monitorados. (PCI-DSS-v4.0) | Garanta que a API do AWS AppSync tenha o registro em log habilitado. A regra será NON_COMPLIANT se o registro em log não estiver habilitado ou "fieldLogLevel" não for ERROR nem ALL. | |
| 5.3.4 | Os mecanismos e processos antimalware são ativos, mantidos e monitorados. (PCI-DSS-v4.0) | Garanta que o registro em log esteja habilitado nas listas de controle de acesso à web (ACLs da web) globais clássicas do AWS WAF. A regra será NON_COMPLIANT para uma ACL global da web se ela não tiver o registro em log habilitado. | |
| 5.3.4 | Os mecanismos e processos antimalware são ativos, mantidos e monitorados. (PCI-DSS-v4.0) | Garanta que os corretores do Amazon MQ tenham o registro em log de auditoria do Amazon CloudWatch habilitado. A regra será NON_COMPLIANT se um agente não tiver o registro em log de auditoria habilitado. | |
| 5.3.4 | Os mecanismos e processos antimalware são ativos, mantidos e monitorados. (PCI-DSS-v4.0) | Garanta que o corretor do Amazon MQ tenha o registro em log de auditoria do CloudWatch habilitado. A regra será NON_COMPLIANT se um agente não tiver o registro em log de auditoria habilitado. | |
| 5.3.4 | Os mecanismos e processos antimalware são ativos, mantidos e monitorados. (PCI-DSS-v4.0) | Garanta que um cluster do Amazon Elastic Kubernetes Service (Amazon EKS) está configurado com o registro em log habilitado. A regra será NON_COMPLIANT se o registro em log dos clusters do Amazon EKS não estiver habilitado para todos os tipos de log. | |
| 5.3.4 | Os mecanismos e processos antimalware são ativos, mantidos e monitorados. (PCI-DSS-v4.0) | Garanta que os ambientes do AWS Elastic Beanstalk estejam configurados para enviar logs para o Amazon CloudWatch Logs. A regra será NON_COMPLIANT se o valor de ‘StreamLogs’ for falso. | |
| 5.3.4 | Os mecanismos e processos antimalware são ativos, mantidos e monitorados. (PCI-DSS-v4.0) | Garanta que a máquina do AWS Step Functions tenha o registro em log habilitado. A regra será NON_COMPLIANT se uma máquina de estado não tiver o registro em log habilitado ou se a configuração de registro em log não estiver no nível mínimo fornecido. | |
| 5.3.4 | Os mecanismos e processos antimalware são ativos, mantidos e monitorados. (PCI-DSS-v4.0) | Garanta que os firewalls do AWS Network Firewall tenham o registro em log habilitado. A regra será NON_COMPLIANT se o tipo de registro em log não estiver configurado. Você pode especificar qual tipo de registro em log você deseja que a regra verifique. | |
| 5.3.4 | Os mecanismos e processos antimalware são ativos, mantidos e monitorados. (PCI-DSS-v4.0) | Garanta que um período de retenção do LogGroup do Amazon CloudWatch esteja definido para mais de 365 dias ou então um período de retenção especificado. A regra será NON_COMPLIANT se o período de retenção for menor do que MinRetentionTime, se especificado, ou então 365 dias. | |
| 6.3.3 | As vulnerabilidades de segurança são identificadas e solucionadas. (PCI-DSS-v4.0) | Garanta que as configurações da função do AWS Lambda para runtime, função, tempo limite e tamanho da memória correspondam aos valores esperados. A regra ignora funções com o tipo de pacote “Imagem” e funções com runtime definido como “Runtime somente no sistema operacional”. A regra será NON_COMPLIANT se as configurações da função do Lambda não corresponderem aos valores esperados. | |
| 6.3.3 | As vulnerabilidades de segurança são identificadas e solucionadas. (PCI-DSS-v4.0) | Garanta que um cluster do Amazon Elastic Kubernetes Service (EKS) esteja executando a versão mais antiga compatível. A regra será NON_COMPLIANT se um cluster do EKS estiver executando a versão mais antiga compatível (igual ao parâmetro "oldestVersionSupported"). | |
| 6.4.1 | Os aplicativos da Web voltados para o público são protegidos contra ataques. (PCI-DSS-v4.0) | Garanta que as distribuições do Amazon CloudFront estejam associadas ao firewall de aplicações web (WAF) ou às listas de controle de acesso à web (ACLs) do WAFv2. A regra será NON_COMPLIANT se uma distribuição do CloudFront não estiver associada a uma ACL da web do WAF. | |
| 6.4.1 | Os aplicativos da Web voltados para o público são protegidos contra ataques. (PCI-DSS-v4.0) | Garanta que as APIs do AWS AppSync estejam associadas às listas de controle de acesso à web (ACLs) do AWS WAFv2. A regra será NON_COMPLIANT para uma API do AWS AppSync se não estiver associada a uma ACL da web. | |
| 6.4.1 | Os aplicativos da Web voltados para o público são protegidos contra ataques. (PCI-DSS-v4.0) | Garanta que uma ACL da Web do WAFv2 contenha alguma regra do WAF ou grupos de regras do WAF. Essa regra será NON_COMPLIANT se uma ACL da web não contiver nenhuma regra WAF ou grupos de regras do WAF. | |
| 6.4.1 | Os aplicativos da Web voltados para o público são protegidos contra ataques. (PCI-DSS-v4.0) | Garanta que os grupos de regras do WAFv2 contenham regras. A regra será NON_COMPLIANT se não houver regras em um grupo de regras do WAFv2. | |
| 6.4.1 | Os aplicativos da Web voltados para o público são protegidos contra ataques. (PCI-DSS-v4.0) | Garanta que uma ACL da web do WAF Global contenha algumas regras ou grupos de regras do WAF. Essa regra será NON_COMPLIANT se uma ACL da web não contiver nenhuma regra ou grupo de regras do WAF. | |
| 6.4.1 | Os aplicativos da Web voltados para o público são protegidos contra ataques. (PCI-DSS-v4.0) | Garanta que um grupo de regras do AWS WAF Classic contenha algumas regras. A regra será NON_COMPLIANT se não houver regras presentes em um grupo de regras. | |
| 6.4.1 | Os aplicativos da Web voltados para o público são protegidos contra ataques. (PCI-DSS-v4.0) | Garanta que um grupo de regras do AWS WAF Classic contenha algumas regras. A regra será NON_COMPLIANT se não houver regras presentes em um grupo de regras. | |
| 6.4.1 | Os aplicativos da Web voltados para o público são protegidos contra ataques. (PCI-DSS-v4.0) | Garanta que uma regra global do AWS WAF contenha algumas condições. A regra será NON_COMPLIANT se nenhuma condição estiver presente na regra global do WAF. | |
| 6.4.2 | Os aplicativos da Web voltados para o público são protegidos contra ataques. (PCI-DSS-v4.0) | Garanta que as distribuições do Amazon CloudFront estejam associadas ao firewall de aplicações web (WAF) ou às listas de controle de acesso à web (ACLs) do WAFv2. A regra será NON_COMPLIANT se uma distribuição do CloudFront não estiver associada a uma ACL da web do WAF. | |
| 6.4.2 | Os aplicativos da Web voltados para o público são protegidos contra ataques. (PCI-DSS-v4.0) | Garanta que as APIs do AWS AppSync estejam associadas às listas de controle de acesso à web (ACLs) do AWS WAFv2. A regra será NON_COMPLIANT para uma API do AWS AppSync se não estiver associada a uma ACL da web. | |
| 6.4.2 | Os aplicativos da Web voltados para o público são protegidos contra ataques. (PCI-DSS-v4.0) | Garanta que uma ACL da Web do WAFv2 contenha alguma regra do WAF ou grupos de regras do WAF. Essa regra será NON_COMPLIANT se uma ACL da web não contiver nenhuma regra WAF ou grupos de regras do WAF. | |
| 6.4.2 | Os aplicativos da Web voltados para o público são protegidos contra ataques. (PCI-DSS-v4.0) | Garanta que os grupos de regras do WAFv2 contenham regras. A regra será NON_COMPLIANT se não houver regras em um grupo de regras do WAFv2. | |
| 6.4.2 | Os aplicativos da Web voltados para o público são protegidos contra ataques. (PCI-DSS-v4.0) | Garanta que uma ACL da web do WAF Global contenha algumas regras ou grupos de regras do WAF. Essa regra será NON_COMPLIANT se uma ACL da web não contiver nenhuma regra ou grupo de regras do WAF. | |
| 6.4.2 | Os aplicativos da Web voltados para o público são protegidos contra ataques. (PCI-DSS-v4.0) | Garanta que um grupo de regras do AWS WAF Classic contenha algumas regras. A regra será NON_COMPLIANT se não houver regras presentes em um grupo de regras. | |
| 6.4.2 | Os aplicativos da Web voltados para o público são protegidos contra ataques. (PCI-DSS-v4.0) | Garanta que um grupo de regras do AWS WAF Classic contenha algumas regras. A regra será NON_COMPLIANT se não houver regras presentes em um grupo de regras. | |
| 6.4.2 | Os aplicativos da Web voltados para o público são protegidos contra ataques. (PCI-DSS-v4.0) | Garanta que uma regra global do AWS WAF contenha algumas condições. A regra será NON_COMPLIANT se nenhuma condição estiver presente na regra global do WAF. | |
| 6.5.5 | As alterações em todos os componentes do sistema são gerenciadas com segurança. (PCI-DSS-v4.0) | Garanta que o grupo de implantação da Lambda Compute Platform não esteja usando a configuração de implantação padrão. A regra será NON_COMPLIANT se o grupo de implantação estiver usando a configuração de implantação "CodeDeployDefault.LambdaAllAtOnce". | |
| 6.5.5 | As alterações em todos os componentes do sistema são gerenciadas com segurança. (PCI-DSS-v4.0) | Garanta que o primeiro estágio da implantação do AWS CodePipeline execute mais de uma implantação. Isso serve para monitorar a atividade contínua de implantação, garantindo atualizações regulares e identificando pipelines inativos ou subutilizados, que podem sinalizar problemas no processo de desenvolvimento ou implantação. Garanta opcionalmente que cada um dos estágios subsequentes restantes implantem mais do que o número especificado de implantações (deploymentLimit). | |
| 6.5.6 | As alterações em todos os componentes do sistema são gerenciadas com segurança. (PCI-DSS-v4.0) | Garanta que o grupo de implantação da Lambda Compute Platform não esteja usando a configuração de implantação padrão. A regra será NON_COMPLIANT se o grupo de implantação estiver usando a configuração de implantação "CodeDeployDefault.LambdaAllAtOnce". | |
| 6.5.6 | As alterações em todos os componentes do sistema são gerenciadas com segurança. (PCI-DSS-v4.0) | Garanta que o primeiro estágio da implantação do AWS CodePipeline execute mais de uma implantação. Isso serve para monitorar a atividade contínua de implantação, garantindo atualizações regulares e identificando pipelines inativos ou subutilizados, que podem sinalizar problemas no processo de desenvolvimento ou implantação. Garanta opcionalmente que cada um dos estágios subsequentes restantes implantem mais do que o número especificado de implantações (deploymentLimit). | |
| 7.2.1 | O acesso aos componentes e dados do sistema é definido e atribuído adequadamente. (PCI-DSS-v4.0) | Garanta que uma política de bucket do Amazon Simple Storage Service (Amazon S3) não permita ações que estejam na lista de proibições no nível do objeto ou no nível do bucket nos recursos no bucket das entidades principais de outras contas da AWS. Por exemplo, a regra verifica se a política de bucket do Amazon S3 não permite que outra conta da AWS execute ações s3:GetBucket* e s3:DeleteObject em objetos no bucket. A regra será NON_COMPLIANT se as ações que estiverem na lista de proibições forem permitidas pela política de buckets do Amazon S3. | |
| 7.2.1 | O acesso aos componentes e dados do sistema é definido e atribuído adequadamente. (PCI-DSS-v4.0) | Garanta que as políticas de bucket do Amazon Simple Storage Service (S3) não autorizem outras permissões entre contas que controlem a política de bucket do Amazon S3 que você fornece. | |
| 7.2.1 | O acesso aos componentes e dados do sistema é definido e atribuído adequadamente. (PCI-DSS-v4.0) | Garanta que o Shield Response Team (SRT) possa acessar sua conta da AWS. A regra será NON_COMPLIANT se o AWS Shield Avançado estiver habilitado, mas a função para o acesso da SRT não estiver configurada. | |
| 7.2.1 | O acesso aos componentes e dados do sistema é definido e atribuído adequadamente. (PCI-DSS-v4.0) | Garanta que o ARN da política do IAM esteja vinculado a um usuário do IAM ou a um grupo com um ou mais usuários do IAM, ou um perfil do IAM com uma ou mais entidades confiáveis. | |
| 7.2.1 | O acesso aos componentes e dados do sistema é definido e atribuído adequadamente. (PCI-DSS-v4.0) | Garanta que um cluster do Amazon Neptune tenha a autenticação de banco de dados do AWS Identity and Access Management (IAM) habilitada. A regra será NON_COMPLIANT se um cluster do Amazon Neptune não tiver a autenticação de banco de dados do IAM habilitada. | |
| 7.2.1 | O acesso aos componentes e dados do sistema é definido e atribuído adequadamente. (PCI-DSS-v4.0) | Garanta que um cluster do Amazon Relational Database Service (Amazon RDS) tenha a autenticação do AWS Identity and Access Management (IAM) habilitada. A regra será NON_COMPLIANT se um cluster do Amazon RDS não tiver a autenticação do IAM habilitada. | |
| 7.2.1 | O acesso aos componentes e dados do sistema é definido e atribuído adequadamente. (PCI-DSS-v4.0) | Garanta que uma instância do EC2 tenha um perfil do AWS Identity and Access Management (IAM) anexado a ela. A regra será NON_COMPLIANT se nenhum perfil do IAM estiver vinculado à instância do EC2. | |
| 7.2.1 | O acesso aos componentes e dados do sistema é definido e atribuído adequadamente. (PCI-DSS-v4.0) | Garanta que um cofre de backup tenha uma política baseada em recursos vinculada que impede a exclusão de pontos de recuperação. A regra será NON_COMPLIANT se o cofre de backup não tiver políticas baseadas em recursos ou tiver políticas sem uma declaração “Negar” adequada (declaração com as permissões backup:DeleteRecoveryPoint, backup:UpdateRecoveryPointLifecycle e backup:PutBackupVaultAccessPolicy). | |
| 7.2.1 | O acesso aos componentes e dados do sistema é definido e atribuído adequadamente. (PCI-DSS-v4.0) | Garanta que uma instância do Amazon Relational Database Service (Amazon RDS) tenha a autenticação do AWS Identity and Access Management (IAM) habilitada. A regra será NON_COMPLIANT se uma instância do Amazon RDS não tiver a autenticação do IAM habilitada. | |
| 7.2.2 | O acesso aos componentes e dados do sistema é definido e atribuído adequadamente. (PCI-DSS-v4.0) | Garanta que uma política de bucket do Amazon Simple Storage Service (Amazon S3) não permita ações que estejam na lista de proibições no nível do objeto ou no nível do bucket nos recursos no bucket das entidades principais de outras contas da AWS. Por exemplo, a regra verifica se a política de bucket do Amazon S3 não permite que outra conta da AWS execute ações s3:GetBucket* e s3:DeleteObject em objetos no bucket. A regra será NON_COMPLIANT se as ações que estiverem na lista de proibições forem permitidas pela política de buckets do Amazon S3. | |
| 7.2.2 | O acesso aos componentes e dados do sistema é definido e atribuído adequadamente. (PCI-DSS-v4.0) | Garanta que as políticas de bucket do Amazon Simple Storage Service (S3) não autorizem outras permissões entre contas que controlem a política de bucket do Amazon S3 que você fornece. | |
| 7.2.2 | O acesso aos componentes e dados do sistema é definido e atribuído adequadamente. (PCI-DSS-v4.0) | Garanta que o Shield Response Team (SRT) possa acessar sua conta da AWS. A regra será NON_COMPLIANT se o AWS Shield Avançado estiver habilitado, mas a função para o acesso da SRT não estiver configurada. | |
| 7.2.2 | O acesso aos componentes e dados do sistema é definido e atribuído adequadamente. (PCI-DSS-v4.0) | Garanta que o ARN da política do IAM esteja vinculado a um usuário do IAM ou a um grupo com um ou mais usuários do IAM, ou um perfil do IAM com uma ou mais entidades confiáveis. | |
| 7.2.2 | O acesso aos componentes e dados do sistema é definido e atribuído adequadamente. (PCI-DSS-v4.0) | Garanta que um cluster do Amazon Neptune tenha a autenticação de banco de dados do AWS Identity and Access Management (IAM) habilitada. A regra será NON_COMPLIANT se um cluster do Amazon Neptune não tiver a autenticação de banco de dados do IAM habilitada. | |
| 7.2.2 | O acesso aos componentes e dados do sistema é definido e atribuído adequadamente. (PCI-DSS-v4.0) | Garanta que um cluster do Amazon Relational Database Service (Amazon RDS) tenha a autenticação do AWS Identity and Access Management (IAM) habilitada. A regra será NON_COMPLIANT se um cluster do Amazon RDS não tiver a autenticação do IAM habilitada. | |
| 7.2.2 | O acesso aos componentes e dados do sistema é definido e atribuído adequadamente. (PCI-DSS-v4.0) | Garanta que uma instância do EC2 tenha um perfil do AWS Identity and Access Management (IAM) anexado a ela. A regra será NON_COMPLIANT se nenhum perfil do IAM estiver vinculado à instância do EC2. | |
| 7.2.2 | O acesso aos componentes e dados do sistema é definido e atribuído adequadamente. (PCI-DSS-v4.0) | Garanta que um cofre de backup tenha uma política baseada em recursos vinculada que impede a exclusão de pontos de recuperação. A regra será NON_COMPLIANT se o cofre de backup não tiver políticas baseadas em recursos ou tiver políticas sem uma declaração “Negar” adequada (declaração com as permissões backup:DeleteRecoveryPoint, backup:UpdateRecoveryPointLifecycle e backup:PutBackupVaultAccessPolicy). | |
| 7.2.2 | O acesso aos componentes e dados do sistema é definido e atribuído adequadamente. (PCI-DSS-v4.0) | Garanta que uma instância do Amazon Relational Database Service (Amazon RDS) tenha a autenticação do AWS Identity and Access Management (IAM) habilitada. A regra será NON_COMPLIANT se uma instância do Amazon RDS não tiver a autenticação do IAM habilitada. | |
| 7.2.4 | O acesso aos componentes e dados do sistema é definido e atribuído adequadamente. (PCI-DSS-v4.0) | Garanta que o AWS Secrets Manager tenha acessado segredos em um determinado número de dias. A regra será NON_COMPLIANT se um segredo não tiver sido acessado no número de dias "unusedForDays". O valor padrão é 90 dias. | |
| 7.2.5 | O acesso aos componentes e dados do sistema é definido e atribuído adequadamente. (PCI-DSS-v4.0) | Garanta que uma política de bucket do Amazon Simple Storage Service (Amazon S3) não permita ações que estejam na lista de proibições no nível do objeto ou no nível do bucket nos recursos no bucket das entidades principais de outras contas da AWS. Por exemplo, a regra verifica se a política de bucket do Amazon S3 não permite que outra conta da AWS execute ações s3:GetBucket* e s3:DeleteObject em objetos no bucket. A regra será NON_COMPLIANT se as ações que estiverem na lista de proibições forem permitidas pela política de buckets do Amazon S3. | |
| 7.2.5 | O acesso aos componentes e dados do sistema é definido e atribuído adequadamente. (PCI-DSS-v4.0) | Garanta que as políticas de bucket do Amazon Simple Storage Service (S3) não autorizem outras permissões entre contas que controlem a política de bucket do Amazon S3 que você fornece. | |
| 7.2.5 | O acesso aos componentes e dados do sistema é definido e atribuído adequadamente. (PCI-DSS-v4.0) | Garanta que o Shield Response Team (SRT) possa acessar sua conta da AWS. A regra será NON_COMPLIANT se o AWS Shield Avançado estiver habilitado, mas a função para o acesso da SRT não estiver configurada. | |
| 7.2.5 | O acesso aos componentes e dados do sistema é definido e atribuído adequadamente. (PCI-DSS-v4.0) | Garanta que o ARN da política do IAM esteja vinculado a um usuário do IAM ou a um grupo com um ou mais usuários do IAM, ou um perfil do IAM com uma ou mais entidades confiáveis. | |
| 7.2.5 | O acesso aos componentes e dados do sistema é definido e atribuído adequadamente. (PCI-DSS-v4.0) | Garanta que um cluster do Amazon Neptune tenha a autenticação de banco de dados do AWS Identity and Access Management (IAM) habilitada. A regra será NON_COMPLIANT se um cluster do Amazon Neptune não tiver a autenticação de banco de dados do IAM habilitada. | |
| 7.2.5 | O acesso aos componentes e dados do sistema é definido e atribuído adequadamente. (PCI-DSS-v4.0) | Garanta que um cluster do Amazon Relational Database Service (Amazon RDS) tenha a autenticação do AWS Identity and Access Management (IAM) habilitada. A regra será NON_COMPLIANT se um cluster do Amazon RDS não tiver a autenticação do IAM habilitada. | |
| 7.2.5 | O acesso aos componentes e dados do sistema é definido e atribuído adequadamente. (PCI-DSS-v4.0) | Garanta que uma instância do EC2 tenha um perfil do AWS Identity and Access Management (IAM) anexado a ela. A regra será NON_COMPLIANT se nenhum perfil do IAM estiver vinculado à instância do EC2. | |
| 7.2.5 | O acesso aos componentes e dados do sistema é definido e atribuído adequadamente. (PCI-DSS-v4.0) | Garanta que um cofre de backup tenha uma política baseada em recursos vinculada que impede a exclusão de pontos de recuperação. A regra será NON_COMPLIANT se o cofre de backup não tiver políticas baseadas em recursos ou tiver políticas sem uma declaração “Negar” adequada (declaração com as permissões backup:DeleteRecoveryPoint, backup:UpdateRecoveryPointLifecycle e backup:PutBackupVaultAccessPolicy). | |
| 7.2.5 | O acesso aos componentes e dados do sistema é definido e atribuído adequadamente. (PCI-DSS-v4.0) | Garanta que uma instância do Amazon Relational Database Service (Amazon RDS) tenha a autenticação do AWS Identity and Access Management (IAM) habilitada. A regra será NON_COMPLIANT se uma instância do Amazon RDS não tiver a autenticação do IAM habilitada. | |
| 7.2.5.1 | O acesso aos componentes e dados do sistema é definido e atribuído adequadamente. (PCI-DSS-v4.0) | Garanta que o AWS Secrets Manager tenha acessado segredos em um determinado número de dias. A regra será NON_COMPLIANT se um segredo não tiver sido acessado no número de dias "unusedForDays". O valor padrão é 90 dias. | |
| 7.2.6 | O acesso aos componentes e dados do sistema é definido e atribuído adequadamente. (PCI-DSS-v4.0) | Garanta que uma política de bucket do Amazon Simple Storage Service (Amazon S3) não permita ações que estejam na lista de proibições no nível do objeto ou no nível do bucket nos recursos no bucket das entidades principais de outras contas da AWS. Por exemplo, a regra verifica se a política de bucket do Amazon S3 não permite que outra conta da AWS execute ações s3:GetBucket* e s3:DeleteObject em objetos no bucket. A regra será NON_COMPLIANT se as ações que estiverem na lista de proibições forem permitidas pela política de buckets do Amazon S3. | |
| 7.2.6 | O acesso aos componentes e dados do sistema é definido e atribuído adequadamente. (PCI-DSS-v4.0) | Garanta que as políticas de bucket do Amazon Simple Storage Service (S3) não autorizem outras permissões entre contas que controlem a política de bucket do Amazon S3 que você fornece. | |
| 7.3.1 | O acesso aos componentes e dados do sistema é gerenciado por meio de sistema(s) de controle de acesso. (PCI-DSS-v4.0) | Garanta que uma política de bucket do Amazon Simple Storage Service (Amazon S3) não permita ações que estejam na lista de proibições no nível do objeto ou no nível do bucket nos recursos no bucket das entidades principais de outras contas da AWS. Por exemplo, a regra verifica se a política de bucket do Amazon S3 não permite que outra conta da AWS execute ações s3:GetBucket* e s3:DeleteObject em objetos no bucket. A regra será NON_COMPLIANT se as ações que estiverem na lista de proibições forem permitidas pela política de buckets do Amazon S3. | |
| 7.3.1 | O acesso aos componentes e dados do sistema é gerenciado por meio de sistema(s) de controle de acesso. (PCI-DSS-v4.0) | Garanta que as políticas de bucket do Amazon Simple Storage Service (S3) não autorizem outras permissões entre contas que controlem a política de bucket do Amazon S3 que você fornece. | |
| 7.3.1 | O acesso aos componentes e dados do sistema é gerenciado por meio de sistema(s) de controle de acesso. (PCI-DSS-v4.0) | Garanta que o Shield Response Team (SRT) possa acessar sua conta da AWS. A regra será NON_COMPLIANT se o AWS Shield Avançado estiver habilitado, mas a função para o acesso da SRT não estiver configurada. | |
| 7.3.1 | O acesso aos componentes e dados do sistema é gerenciado por meio de sistema(s) de controle de acesso. (PCI-DSS-v4.0) | Garanta que o ARN da política do IAM esteja vinculado a um usuário do IAM ou a um grupo com um ou mais usuários do IAM, ou um perfil do IAM com uma ou mais entidades confiáveis. | |
| 7.3.1 | O acesso aos componentes e dados do sistema é gerenciado por meio de sistema(s) de controle de acesso. (PCI-DSS-v4.0) | Garanta que um cluster do Amazon Neptune tenha a autenticação de banco de dados do AWS Identity and Access Management (IAM) habilitada. A regra será NON_COMPLIANT se um cluster do Amazon Neptune não tiver a autenticação de banco de dados do IAM habilitada. | |
| 7.3.1 | O acesso aos componentes e dados do sistema é gerenciado por meio de sistema(s) de controle de acesso. (PCI-DSS-v4.0) | Garanta que um cluster do Amazon Relational Database Service (Amazon RDS) tenha a autenticação do AWS Identity and Access Management (IAM) habilitada. A regra será NON_COMPLIANT se um cluster do Amazon RDS não tiver a autenticação do IAM habilitada. | |
| 7.3.1 | O acesso aos componentes e dados do sistema é gerenciado por meio de sistema(s) de controle de acesso. (PCI-DSS-v4.0) | Garanta que uma instância do EC2 tenha um perfil do AWS Identity and Access Management (IAM) anexado a ela. A regra será NON_COMPLIANT se nenhum perfil do IAM estiver vinculado à instância do EC2. | |
| 7.3.1 | O acesso aos componentes e dados do sistema é gerenciado por meio de sistema(s) de controle de acesso. (PCI-DSS-v4.0) | Garanta que um cofre de backup tenha uma política baseada em recursos vinculada que impede a exclusão de pontos de recuperação. A regra será NON_COMPLIANT se o cofre de backup não tiver políticas baseadas em recursos ou tiver políticas sem uma declaração “Negar” adequada (declaração com as permissões backup:DeleteRecoveryPoint, backup:UpdateRecoveryPointLifecycle e backup:PutBackupVaultAccessPolicy). | |
| 7.3.1 | O acesso aos componentes e dados do sistema é gerenciado por meio de sistema(s) de controle de acesso. (PCI-DSS-v4.0) | Garanta que uma instância do Amazon Relational Database Service (Amazon RDS) tenha a autenticação do AWS Identity and Access Management (IAM) habilitada. A regra será NON_COMPLIANT se uma instância do Amazon RDS não tiver a autenticação do IAM habilitada. | |
| 7.3.2 | O acesso aos componentes e dados do sistema é gerenciado por meio de sistema(s) de controle de acesso. (PCI-DSS-v4.0) | Garanta que uma política de bucket do Amazon Simple Storage Service (Amazon S3) não permita ações que estejam na lista de proibições no nível do objeto ou no nível do bucket nos recursos no bucket das entidades principais de outras contas da AWS. Por exemplo, a regra verifica se a política de bucket do Amazon S3 não permite que outra conta da AWS execute ações s3:GetBucket* e s3:DeleteObject em objetos no bucket. A regra será NON_COMPLIANT se as ações que estiverem na lista de proibições forem permitidas pela política de buckets do Amazon S3. | |
| 7.3.2 | O acesso aos componentes e dados do sistema é gerenciado por meio de sistema(s) de controle de acesso. (PCI-DSS-v4.0) | Garanta que as políticas de bucket do Amazon Simple Storage Service (S3) não autorizem outras permissões entre contas que controlem a política de bucket do Amazon S3 que você fornece. | |
| 7.3.2 | O acesso aos componentes e dados do sistema é gerenciado por meio de sistema(s) de controle de acesso. (PCI-DSS-v4.0) | Garanta que o Shield Response Team (SRT) possa acessar sua conta da AWS. A regra será NON_COMPLIANT se o AWS Shield Avançado estiver habilitado, mas a função para o acesso da SRT não estiver configurada. | |
| 7.3.2 | O acesso aos componentes e dados do sistema é gerenciado por meio de sistema(s) de controle de acesso. (PCI-DSS-v4.0) | Garanta que o ARN da política do IAM esteja vinculado a um usuário do IAM ou a um grupo com um ou mais usuários do IAM, ou um perfil do IAM com uma ou mais entidades confiáveis. | |
| 7.3.2 | O acesso aos componentes e dados do sistema é gerenciado por meio de sistema(s) de controle de acesso. (PCI-DSS-v4.0) | Garanta que um cluster do Amazon Neptune tenha a autenticação de banco de dados do AWS Identity and Access Management (IAM) habilitada. A regra será NON_COMPLIANT se um cluster do Amazon Neptune não tiver a autenticação de banco de dados do IAM habilitada. | |
| 7.3.2 | O acesso aos componentes e dados do sistema é gerenciado por meio de sistema(s) de controle de acesso. (PCI-DSS-v4.0) | Garanta que um cluster do Amazon Relational Database Service (Amazon RDS) tenha a autenticação do AWS Identity and Access Management (IAM) habilitada. A regra será NON_COMPLIANT se um cluster do Amazon RDS não tiver a autenticação do IAM habilitada. | |
| 7.3.2 | O acesso aos componentes e dados do sistema é gerenciado por meio de sistema(s) de controle de acesso. (PCI-DSS-v4.0) | Garanta que uma instância do EC2 tenha um perfil do AWS Identity and Access Management (IAM) anexado a ela. A regra será NON_COMPLIANT se nenhum perfil do IAM estiver vinculado à instância do EC2. | |
| 7.3.2 | O acesso aos componentes e dados do sistema é gerenciado por meio de sistema(s) de controle de acesso. (PCI-DSS-v4.0) | Garanta que um cofre de backup tenha uma política baseada em recursos vinculada que impede a exclusão de pontos de recuperação. A regra será NON_COMPLIANT se o cofre de backup não tiver políticas baseadas em recursos ou tiver políticas sem uma declaração “Negar” adequada (declaração com as permissões backup:DeleteRecoveryPoint, backup:UpdateRecoveryPointLifecycle e backup:PutBackupVaultAccessPolicy). | |
| 7.3.2 | O acesso aos componentes e dados do sistema é gerenciado por meio de sistema(s) de controle de acesso. (PCI-DSS-v4.0) | Garanta que uma instância do Amazon Relational Database Service (Amazon RDS) tenha a autenticação do AWS Identity and Access Management (IAM) habilitada. A regra será NON_COMPLIANT se uma instância do Amazon RDS não tiver a autenticação do IAM habilitada. | |
| 7.3.3 | O acesso aos componentes e dados do sistema é gerenciado por meio de sistema(s) de controle de acesso. (PCI-DSS-v4.0) | Garanta que uma política de bucket do Amazon Simple Storage Service (Amazon S3) não permita ações que estejam na lista de proibições no nível do objeto ou no nível do bucket nos recursos no bucket das entidades principais de outras contas da AWS. Por exemplo, a regra verifica se a política de bucket do Amazon S3 não permite que outra conta da AWS execute ações s3:GetBucket* e s3:DeleteObject em objetos no bucket. A regra será NON_COMPLIANT se as ações que estiverem na lista de proibições forem permitidas pela política de buckets do Amazon S3. | |
| 7.3.3 | O acesso aos componentes e dados do sistema é gerenciado por meio de sistema(s) de controle de acesso. (PCI-DSS-v4.0) | Garanta que as políticas de bucket do Amazon Simple Storage Service (S3) não autorizem outras permissões entre contas que controlem a política de bucket do Amazon S3 que você fornece. | |
| 7.3.3 | O acesso aos componentes e dados do sistema é gerenciado por meio de sistema(s) de controle de acesso. (PCI-DSS-v4.0) | Garanta que o Shield Response Team (SRT) possa acessar sua conta da AWS. A regra será NON_COMPLIANT se o AWS Shield Avançado estiver habilitado, mas a função para o acesso da SRT não estiver configurada. | |
| 7.3.3 | O acesso aos componentes e dados do sistema é gerenciado por meio de sistema(s) de controle de acesso. (PCI-DSS-v4.0) | Garanta que o ARN da política do IAM esteja vinculado a um usuário do IAM ou a um grupo com um ou mais usuários do IAM, ou um perfil do IAM com uma ou mais entidades confiáveis. | |
| 7.3.3 | O acesso aos componentes e dados do sistema é gerenciado por meio de sistema(s) de controle de acesso. (PCI-DSS-v4.0) | Garanta que um cluster do Amazon Neptune tenha a autenticação de banco de dados do AWS Identity and Access Management (IAM) habilitada. A regra será NON_COMPLIANT se um cluster do Amazon Neptune não tiver a autenticação de banco de dados do IAM habilitada. | |
| 7.3.3 | O acesso aos componentes e dados do sistema é gerenciado por meio de sistema(s) de controle de acesso. (PCI-DSS-v4.0) | Garanta que um cluster do Amazon Relational Database Service (Amazon RDS) tenha a autenticação do AWS Identity and Access Management (IAM) habilitada. A regra será NON_COMPLIANT se um cluster do Amazon RDS não tiver a autenticação do IAM habilitada. | |
| 7.3.3 | O acesso aos componentes e dados do sistema é gerenciado por meio de sistema(s) de controle de acesso. (PCI-DSS-v4.0) | Garanta que uma instância do EC2 tenha um perfil do AWS Identity and Access Management (IAM) anexado a ela. A regra será NON_COMPLIANT se nenhum perfil do IAM estiver vinculado à instância do EC2. | |
| 7.3.3 | O acesso aos componentes e dados do sistema é gerenciado por meio de sistema(s) de controle de acesso. (PCI-DSS-v4.0) | Garanta que um cofre de backup tenha uma política baseada em recursos vinculada que impede a exclusão de pontos de recuperação. A regra será NON_COMPLIANT se o cofre de backup não tiver políticas baseadas em recursos ou tiver políticas sem uma declaração “Negar” adequada (declaração com as permissões backup:DeleteRecoveryPoint, backup:UpdateRecoveryPointLifecycle e backup:PutBackupVaultAccessPolicy). | |
| 7.3.3 | O acesso aos componentes e dados do sistema é gerenciado por meio de sistema(s) de controle de acesso. (PCI-DSS-v4.0) | Garanta que uma instância do Amazon Relational Database Service (Amazon RDS) tenha a autenticação do AWS Identity and Access Management (IAM) habilitada. A regra será NON_COMPLIANT se uma instância do Amazon RDS não tiver a autenticação do IAM habilitada. | |
| 8.2.1 | A identificação do usuário e as contas relacionadas para usuários e administradores são estritamente gerenciadas durante todo o ciclo de vida das contas. (PCI-DSS-v4.0) | Garanta que o ARN da política do IAM esteja vinculado a um usuário do IAM ou a um grupo com um ou mais usuários do IAM, ou um perfil do IAM com uma ou mais entidades confiáveis. | |
| 8.2.1 | A identificação do usuário e as contas relacionadas para usuários e administradores são estritamente gerenciadas durante todo o ciclo de vida das contas. (PCI-DSS-v4.0) | Garanta que as instâncias do Amazon Elastic Compute Cloud (EC2) não tenham sido iniciadas por pares de chaves do Amazon. A regra será NON_COMPLIANT se uma instância do EC2 em execução for iniciada com um par de chaves. | |
| 8.2.2 | A identificação do usuário e as contas relacionadas para usuários e administradores são estritamente gerenciadas durante todo o ciclo de vida das contas. (PCI-DSS-v4.0) | Garanta que o ARN da política do IAM esteja vinculado a um usuário do IAM ou a um grupo com um ou mais usuários do IAM, ou um perfil do IAM com uma ou mais entidades confiáveis. | |
| 8.2.2 | A identificação do usuário e as contas relacionadas para usuários e administradores são estritamente gerenciadas durante todo o ciclo de vida das contas. (PCI-DSS-v4.0) | Garanta que as instâncias do Amazon Elastic Compute Cloud (EC2) não tenham sido iniciadas por pares de chaves do Amazon. A regra será NON_COMPLIANT se uma instância do EC2 em execução for iniciada com um par de chaves. | |
| 8.2.2 | A identificação do usuário e as contas relacionadas para usuários e administradores são estritamente gerenciadas durante todo o ciclo de vida das contas. (PCI-DSS-v4.0) | Garanta que o projeto contenha variáveis de ambiente AWS_ACCESS_KEY_ID e AWS_SECRET_ACCESS_KEY. A regra será NON_COMPLIANT quando as variáveis de ambiente do projeto contiverem credenciais em texto simples. | |
| 8.2.2 | A identificação do usuário e as contas relacionadas para usuários e administradores são estritamente gerenciadas durante todo o ciclo de vida das contas. (PCI-DSS-v4.0) | Garanta que os segredos do AWS Secrets Manager sejam alternados com sucesso de acordo com a programação de alternância. O Secrets Manager calcula a data em que a alternância deve acontecer. A regra será NON_COMPLIANT se a data passar e o segredo não for alternado. | |
| 8.2.2 | A identificação do usuário e as contas relacionadas para usuários e administradores são estritamente gerenciadas durante todo o ciclo de vida das contas. (PCI-DSS-v4.0) | Garanta que os segredos do AWS Secrets Manager tenham sido alternados nos últimos dias especificados. A regra será NON_COMPLIANT se um segredo não tiver sido alternado por mais do que o número de dias de maxDaysSinceRotation. O valor padrão é 90 dias. | |
| 8.2.2 | A identificação do usuário e as contas relacionadas para usuários e administradores são estritamente gerenciadas durante todo o ciclo de vida das contas. (PCI-DSS-v4.0) | Garanta que o AWS Secrets Manager tenha acessado segredos em um determinado número de dias. A regra será NON_COMPLIANT se um segredo não tiver sido acessado no número de dias "unusedForDays". O valor padrão é 90 dias. | |
| 8.2.4 | A identificação do usuário e as contas relacionadas para usuários e administradores são estritamente gerenciadas durante todo o ciclo de vida das contas. (PCI-DSS-v4.0) | Garanta que o ARN da política do IAM esteja vinculado a um usuário do IAM ou a um grupo com um ou mais usuários do IAM, ou um perfil do IAM com uma ou mais entidades confiáveis. | |
| 8.2.4 | A identificação do usuário e as contas relacionadas para usuários e administradores são estritamente gerenciadas durante todo o ciclo de vida das contas. (PCI-DSS-v4.0) | Garanta que as instâncias do Amazon Elastic Compute Cloud (EC2) não tenham sido iniciadas por pares de chaves do Amazon. A regra será NON_COMPLIANT se uma instância do EC2 em execução for iniciada com um par de chaves. | |
| 8.2.5 | A identificação do usuário e as contas relacionadas para usuários e administradores são estritamente gerenciadas durante todo o ciclo de vida das contas. (PCI-DSS-v4.0) | Garanta que o ARN da política do IAM esteja vinculado a um usuário do IAM ou a um grupo com um ou mais usuários do IAM, ou um perfil do IAM com uma ou mais entidades confiáveis. | |
| 8.2.5 | A identificação do usuário e as contas relacionadas para usuários e administradores são estritamente gerenciadas durante todo o ciclo de vida das contas. (PCI-DSS-v4.0) | Garanta que as instâncias do Amazon Elastic Compute Cloud (EC2) não tenham sido iniciadas por pares de chaves do Amazon. A regra será NON_COMPLIANT se uma instância do EC2 em execução for iniciada com um par de chaves. | |
| 8.2.6 | A identificação do usuário e as contas relacionadas para usuários e administradores são estritamente gerenciadas durante todo o ciclo de vida das contas. (PCI-DSS-v4.0) | Garanta que o AWS Secrets Manager tenha acessado segredos em um determinado número de dias. A regra será NON_COMPLIANT se um segredo não tiver sido acessado no número de dias "unusedForDays". O valor padrão é 90 dias. | |
| 8.2.7 | A identificação do usuário e as contas relacionadas para usuários e administradores são estritamente gerenciadas durante todo o ciclo de vida das contas. (PCI-DSS-v4.0) | Garanta que uma política de bucket do Amazon Simple Storage Service (Amazon S3) não permita ações que estejam na lista de proibições no nível do objeto ou no nível do bucket nos recursos no bucket das entidades principais de outras contas da AWS. Por exemplo, a regra verifica se a política de bucket do Amazon S3 não permite que outra conta da AWS execute ações s3:GetBucket* e s3:DeleteObject em objetos no bucket. A regra será NON_COMPLIANT se as ações que estiverem na lista de proibições forem permitidas pela política de buckets do Amazon S3. | |
| 8.2.7 | A identificação do usuário e as contas relacionadas para usuários e administradores são estritamente gerenciadas durante todo o ciclo de vida das contas. (PCI-DSS-v4.0) | Garanta que as políticas de bucket do Amazon Simple Storage Service (S3) não autorizem outras permissões entre contas que controlem a política de bucket do Amazon S3 que você fornece. | |
| 8.2.7 | A identificação do usuário e as contas relacionadas para usuários e administradores são estritamente gerenciadas durante todo o ciclo de vida das contas. (PCI-DSS-v4.0) | Garanta que o Shield Response Team (SRT) possa acessar sua conta da AWS. A regra será NON_COMPLIANT se o AWS Shield Avançado estiver habilitado, mas a função para o acesso da SRT não estiver configurada. | |
| 8.2.7 | A identificação do usuário e as contas relacionadas para usuários e administradores são estritamente gerenciadas durante todo o ciclo de vida das contas. (PCI-DSS-v4.0) | Garanta que o ARN da política do IAM esteja vinculado a um usuário do IAM ou a um grupo com um ou mais usuários do IAM, ou um perfil do IAM com uma ou mais entidades confiáveis. | |
| 8.2.7 | A identificação do usuário e as contas relacionadas para usuários e administradores são estritamente gerenciadas durante todo o ciclo de vida das contas. (PCI-DSS-v4.0) | Garanta que um cluster do Amazon Neptune tenha a autenticação de banco de dados do AWS Identity and Access Management (IAM) habilitada. A regra será NON_COMPLIANT se um cluster do Amazon Neptune não tiver a autenticação de banco de dados do IAM habilitada. | |
| 8.2.7 | A identificação do usuário e as contas relacionadas para usuários e administradores são estritamente gerenciadas durante todo o ciclo de vida das contas. (PCI-DSS-v4.0) | Garanta que um cluster do Amazon Relational Database Service (Amazon RDS) tenha a autenticação do AWS Identity and Access Management (IAM) habilitada. A regra será NON_COMPLIANT se um cluster do Amazon RDS não tiver a autenticação do IAM habilitada. | |
| 8.2.7 | A identificação do usuário e as contas relacionadas para usuários e administradores são estritamente gerenciadas durante todo o ciclo de vida das contas. (PCI-DSS-v4.0) | Garanta que uma instância do EC2 tenha um perfil do AWS Identity and Access Management (IAM) anexado a ela. A regra será NON_COMPLIANT se nenhum perfil do IAM estiver vinculado à instância do EC2. | |
| 8.2.7 | A identificação do usuário e as contas relacionadas para usuários e administradores são estritamente gerenciadas durante todo o ciclo de vida das contas. (PCI-DSS-v4.0) | Garanta que um cofre de backup tenha uma política baseada em recursos vinculada que impede a exclusão de pontos de recuperação. A regra será NON_COMPLIANT se o cofre de backup não tiver políticas baseadas em recursos ou tiver políticas sem uma declaração “Negar” adequada (declaração com as permissões backup:DeleteRecoveryPoint, backup:UpdateRecoveryPointLifecycle e backup:PutBackupVaultAccessPolicy). | |
| 8.2.7 | A identificação do usuário e as contas relacionadas para usuários e administradores são estritamente gerenciadas durante todo o ciclo de vida das contas. (PCI-DSS-v4.0) | Garanta que uma instância do Amazon Relational Database Service (Amazon RDS) tenha a autenticação do AWS Identity and Access Management (IAM) habilitada. A regra será NON_COMPLIANT se uma instância do Amazon RDS não tiver a autenticação do IAM habilitada. | |
| 8.2.8 | A identificação do usuário e as contas relacionadas para usuários e administradores são estritamente gerenciadas durante todo o ciclo de vida das contas. (PCI-DSS-v4.0) | Garanta que uma política de bucket do Amazon Simple Storage Service (Amazon S3) não permita ações que estejam na lista de proibições no nível do objeto ou no nível do bucket nos recursos no bucket das entidades principais de outras contas da AWS. Por exemplo, a regra verifica se a política de bucket do Amazon S3 não permite que outra conta da AWS execute ações s3:GetBucket* e s3:DeleteObject em objetos no bucket. A regra será NON_COMPLIANT se as ações que estiverem na lista de proibições forem permitidas pela política de buckets do Amazon S3. | |
| 8.2.8 | A identificação do usuário e as contas relacionadas para usuários e administradores são estritamente gerenciadas durante todo o ciclo de vida das contas. (PCI-DSS-v4.0) | Garanta que as políticas de bucket do Amazon Simple Storage Service (S3) não autorizem outras permissões entre contas que controlem a política de bucket do Amazon S3 que você fornece. | |
| 8.2.8 | A identificação do usuário e as contas relacionadas para usuários e administradores são estritamente gerenciadas durante todo o ciclo de vida das contas. (PCI-DSS-v4.0) | Garanta que o Shield Response Team (SRT) possa acessar sua conta da AWS. A regra será NON_COMPLIANT se o AWS Shield Avançado estiver habilitado, mas a função para o acesso da SRT não estiver configurada. | |
| 8.2.8 | A identificação do usuário e as contas relacionadas para usuários e administradores são estritamente gerenciadas durante todo o ciclo de vida das contas. (PCI-DSS-v4.0) | Garanta que o ARN da política do IAM esteja vinculado a um usuário do IAM ou a um grupo com um ou mais usuários do IAM, ou um perfil do IAM com uma ou mais entidades confiáveis. | |
| 8.2.8 | A identificação do usuário e as contas relacionadas para usuários e administradores são estritamente gerenciadas durante todo o ciclo de vida das contas. (PCI-DSS-v4.0) | Garanta que um cluster do Amazon Neptune tenha a autenticação de banco de dados do AWS Identity and Access Management (IAM) habilitada. A regra será NON_COMPLIANT se um cluster do Amazon Neptune não tiver a autenticação de banco de dados do IAM habilitada. | |
| 8.2.8 | A identificação do usuário e as contas relacionadas para usuários e administradores são estritamente gerenciadas durante todo o ciclo de vida das contas. (PCI-DSS-v4.0) | Garanta que um cluster do Amazon Relational Database Service (Amazon RDS) tenha a autenticação do AWS Identity and Access Management (IAM) habilitada. A regra será NON_COMPLIANT se um cluster do Amazon RDS não tiver a autenticação do IAM habilitada. | |
| 8.2.8 | A identificação do usuário e as contas relacionadas para usuários e administradores são estritamente gerenciadas durante todo o ciclo de vida das contas. (PCI-DSS-v4.0) | Garanta que a versão de metadados de sua instância do Amazon Elastic Compute Cloud (Amazon EC2) esteja configurada com o serviço de metadados de instância versão 2 (IMDSv2). A regra será NON_COMPLIANT se os HttpTokens estiverem definidos como opcionais. | |
| 8.2.8 | A identificação do usuário e as contas relacionadas para usuários e administradores são estritamente gerenciadas durante todo o ciclo de vida das contas. (PCI-DSS-v4.0) | Garanta que uma instância do EC2 tenha um perfil do AWS Identity and Access Management (IAM) anexado a ela. A regra será NON_COMPLIANT se nenhum perfil do IAM estiver vinculado à instância do EC2. | |
| 8.2.8 | A identificação do usuário e as contas relacionadas para usuários e administradores são estritamente gerenciadas durante todo o ciclo de vida das contas. (PCI-DSS-v4.0) | Garanta que somente o IMDSv2 esteja habilitado. Essa regra será NON_COMPLIANT se a versão de metadados não estiver incluída na configuração de execução ou se os metadados V1 e V2 estiverem habilitados. | |
| 8.2.8 | A identificação do usuário e as contas relacionadas para usuários e administradores são estritamente gerenciadas durante todo o ciclo de vida das contas. (PCI-DSS-v4.0) | Garanta que um cofre de backup tenha uma política baseada em recursos vinculada que impede a exclusão de pontos de recuperação. A regra será NON_COMPLIANT se o cofre de backup não tiver políticas baseadas em recursos ou tiver políticas sem uma declaração “Negar” adequada (declaração com as permissões backup:DeleteRecoveryPoint, backup:UpdateRecoveryPointLifecycle e backup:PutBackupVaultAccessPolicy). | |
| 8.2.8 | A identificação do usuário e as contas relacionadas para usuários e administradores são estritamente gerenciadas durante todo o ciclo de vida das contas. (PCI-DSS-v4.0) | Garanta que uma instância do Amazon Relational Database Service (Amazon RDS) tenha a autenticação do AWS Identity and Access Management (IAM) habilitada. A regra será NON_COMPLIANT se uma instância do Amazon RDS não tiver a autenticação do IAM habilitada. | |
| 8.3.10.1 | Uma autenticação forte para usuários e administradores é estabelecida e gerenciada. (PCI-DSS-v4.0) | Garanta que as chaves de acesso ativas sejam alternadas (alteradas) dentro do número de dias especificado em maxAccessKeyAge. A regra será NON_COMPLIANT se as chaves de acesso não forem alternadas dentro do período especificado. O valor padrão é 90 dias. | |
| 8.3.10.1 | Uma autenticação forte para usuários e administradores é estabelecida e gerenciada. (PCI-DSS-v4.0) | Garanta que os segredos do AWS Secrets Manager sejam alternados com sucesso de acordo com a programação de alternância. O Secrets Manager calcula a data em que a alternância deve acontecer. A regra será NON_COMPLIANT se a data passar e o segredo não for alternado. | |
| 8.3.10.1 | Uma autenticação forte para usuários e administradores é estabelecida e gerenciada. (PCI-DSS-v4.0) | Garanta que os segredos do AWS Secrets Manager tenham sido alternados nos últimos dias especificados. A regra será NON_COMPLIANT se um segredo não tiver sido alternado por mais do que o número de dias de maxDaysSinceRotation. O valor padrão é 90 dias. | |
| 8.3.11 | Uma autenticação forte para usuários e administradores é estabelecida e gerenciada. (PCI-DSS-v4.0) | Garanta que o ARN da política do IAM esteja vinculado a um usuário do IAM ou a um grupo com um ou mais usuários do IAM, ou um perfil do IAM com uma ou mais entidades confiáveis. | |
| 8.3.11 | Uma autenticação forte para usuários e administradores é estabelecida e gerenciada. (PCI-DSS-v4.0) | Garanta que as instâncias do Amazon Elastic Compute Cloud (EC2) não tenham sido iniciadas por pares de chaves do Amazon. A regra será NON_COMPLIANT se uma instância do EC2 em execução for iniciada com um par de chaves. | |
| 8.3.2 | Uma autenticação forte para usuários e administradores é estabelecida e gerenciada. (PCI-DSS-v4.0) | Garanta que um grupo de trabalho do Amazon Athena esteja criptografado em repouso. A regra será NON_COMPLIANT se a criptografia de dados em repouso não estiver habilitada para um grupo de trabalho do Athena. | |
| 8.3.2 | Uma autenticação forte para usuários e administradores é estabelecida e gerenciada. (PCI-DSS-v4.0) | Garanta que um cluster de banco de dados do Amazon Neptune tenha instantâneos criptografados. A regra será NON_COMPLIANT se um cluster do Neptune não tiver instantâneos criptografados. | |
| 8.3.2 | Uma autenticação forte para usuários e administradores é estabelecida e gerenciada. (PCI-DSS-v4.0) | Garanta que os clusters do Amazon Redshift estejam usando uma chave AWS Key Management Service (AWS KMS) especificada para criptografia. A regra será COMPLIANT se a criptografia estiver habilitada e o cluster for criptografado com a chave fornecida no parâmetro kmsKeyArn. A regra será NON_COMPLIANT se o cluster não estiver criptografado ou foi criptografado com outra chave. | |
| 8.3.2 | Uma autenticação forte para usuários e administradores é estabelecida e gerenciada. (PCI-DSS-v4.0) | Garanta que um projeto do AWS CodeBuild tenha criptografia habilitada para todos os seus artefatos. A regra será NON_COMPLIANT se "encryptionDisabled" for definido como "true" para qualquer configuração de artefato primário ou secundário (se houver). | |
| 8.3.2 | Uma autenticação forte para usuários e administradores é estabelecida e gerenciada. (PCI-DSS-v4.0) | Garanta que um projeto do AWS CodeBuild configurado com o logs do Amazon S3 tenha criptografia habilitada para seus logs. A regra será NON_COMPLIANT se "encryptionDisabled" for definido como "verdadeiro" em um S3LogsConfig de um projeto CodeBuild. | |
| 8.3.2 | Uma autenticação forte para usuários e administradores é estabelecida e gerenciada. (PCI-DSS-v4.0) | Garanta que os clusters do Amazon DynamoDB Accelerator (DAX) estejam criptografados. A regra será NON_COMPLIANT se o cluster do DAX não estiver criptografado. | |
| 8.3.2 | Uma autenticação forte para usuários e administradores é estabelecida e gerenciada. (PCI-DSS-v4.0) | Garanta que os endpoints do AWS Database Migration Service (AWS DMS) para armazenamentos de dados do Redis estejam habilitados para criptografia TLS/SSL dos dados comunicados com outros endpoints. A regra será NON_COMPLIANT se a criptografia TLS/SSL não estiver habilitada. | |
| 8.3.2 | Uma autenticação forte para usuários e administradores é estabelecida e gerenciada. (PCI-DSS-v4.0) | Garanta que os clusters do Amazon Elastic Kubernetes Service estejam configurados para ter segredos do Kubernetes criptografados usando as chaves do AWS Key Management Service (KMS). | |
| 8.3.2 | Uma autenticação forte para usuários e administradores é estabelecida e gerenciada. (PCI-DSS-v4.0) | Garanta que todos os métodos nos estágios do Amazon API Gateway tenham o cache habilitado e o cache criptografado. A regra será NON_COMPLIANT se qualquer método em um estágio do Amazon API Gateway não estiver configurado para armazenamento em cache ou se o cache não estiver criptografado. | |
| 8.3.2 | Uma autenticação forte para usuários e administradores é estabelecida e gerenciada. (PCI-DSS-v4.0) | Garanta que a criptografia de armazenamento esteja habilitada para seus clusters do Amazon DocumentDB (compatível com MongoDB). A regra será NON_COMPLIANT se a criptografia de armazenamento não estiver habilitada. | |
| 8.3.2 | Uma autenticação forte para usuários e administradores é estabelecida e gerenciada. (PCI-DSS-v4.0) | Garanta que a tabela do Amazon DynamoDB esteja criptografada com o AWS Key Management Service (KMS). A regra será NON_COMPLIANT se a tabela do Amazon DynamoDB não estiver criptografada com o AWS KMS. A regra também será NON_COMPLIANT se a chave criptografada do AWS KMS não estiver presente no parâmetro de entrada do kmsKeyArns. | |
| 8.3.2 | Uma autenticação forte para usuários e administradores é estabelecida e gerenciada. (PCI-DSS-v4.0) | Garanta que as tabelas do Amazon DynamoDB sejam criptografadas e verifica seu status. A regra será COMPLIANT se o status for habilitado ou em habilitação. | |
| 8.3.2 | Uma autenticação forte para usuários e administradores é estabelecida e gerenciada. (PCI-DSS-v4.0) | Garanta que as distribuições do CloudFront estejam usando protocolos SSL obsoletos para comunicação HTTPS entre locais da borda do CloudFront e origens personalizadas. Essa regra será NON_COMPLIANT para uma distribuição do CloudFront se algum "OriginSslProtocols" incluir "SSLv3". | |
| 8.3.2 | Uma autenticação forte para usuários e administradores é estabelecida e gerenciada. (PCI-DSS-v4.0) | Garanta que as distribuições do Amazon CloudFront estejam criptografando o tráfego para origens personalizadas. A regra não será compatível se "OriginProtocolPolicy" for "http-only" ou se "OriginProtocolPolicy" for "match-viewer" e "ViewerProtocolPolicy" for "allow-all". | |
| 8.3.2 | Uma autenticação forte para usuários e administradores é estabelecida e gerenciada. (PCI-DSS-v4.0) | Garanta que suas distribuições do Amazon CloudFront usem HTTPS (diretamente ou por um redirecionamento). A regra será NON_COMPLIANT se o valor de ViewerProtocolPolicy for definido como "allow-all" para DefaultCacheBehavior ou para CacheBehaviors. | |
| 8.3.2 | Uma autenticação forte para usuários e administradores é estabelecida e gerenciada. (PCI-DSS-v4.0) | Garanta que o projeto contenha variáveis de ambiente AWS_ACCESS_KEY_ID e AWS_SECRET_ACCESS_KEY. A regra será NON_COMPLIANT quando as variáveis de ambiente do projeto contiverem credenciais em texto simples. | |
| 8.3.2 | Uma autenticação forte para usuários e administradores é estabelecida e gerenciada. (PCI-DSS-v4.0) | Garanta que os Classic Load Balancers usem certificados SSL fornecidos pelo AWS Certificate Manager. Para usar esta regra, use um listener SSL ou HTTPS com o Classic Load Balancer. Esta regra é aplicável somente aos Classic Load Balancers. Esta regra não verifica Application Load Balancers e Network Load Balancers. | |
| 8.3.2 | Uma autenticação forte para usuários e administradores é estabelecida e gerenciada. (PCI-DSS-v4.0) | Garanta que o cluster do Amazon DynamoDB Accelerator (DAX) tenha o ClusterEndpointEncryptionType definido como TLS. A regra será NON_COMPLIANT se o cluster do DAX não estiver criptografado pela Transport Layer Security (TLS). | |
| 8.3.2 | Uma autenticação forte para usuários e administradores é estabelecida e gerenciada. (PCI-DSS-v4.0) | Garanta que os clusters do Amazon EKS não estejam configurados para ter segredos do Kubernetes criptografados usando o AWS KMS. A regra será NON_COMPLIANT se um cluster do EKS não tiver um encryptionConfig ou se encryptionConfig não tiver segredos como um recurso. | |
| 8.3.2 | Uma autenticação forte para usuários e administradores é estabelecida e gerenciada. (PCI-DSS-v4.0) | Garanta que os fluxos do Amazon Kinesis sejam criptografados em repouso com a criptografia do lado do servidor. A regra será NON_COMPLIANT, para um fluxo do Kinesis se "StreamEncryption" não estiver presente. | |
| 8.3.2 | Uma autenticação forte para usuários e administradores é estabelecida e gerenciada. (PCI-DSS-v4.0) | Garanta que um cluster do Amazon MSK imponha criptografia em trânsito usando HTTPS (TLS) com os nós de agente do cluster. A regra será NON_COMPLIANT se a comunicação de texto sem formatação estiver habilitada para conexões de nós do broker no cluster. | |
| 8.3.2 | Uma autenticação forte para usuários e administradores é estabelecida e gerenciada. (PCI-DSS-v4.0) | Garanta que a criptografia de armazenamento esteja habilitada para seus clusters de banco de dados do Amazon Neptune. A regra será NON_COMPLIANT se a criptografia de armazenamento não estiver habilitada. | |
| 8.3.2 | Uma autenticação forte para usuários e administradores é estabelecida e gerenciada. (PCI-DSS-v4.0) | Garanta que os endpoints do AWS Database Migration Service (AWS DMS) estejam configurados com uma conexão SSL. A regra será NON_COMPLIANT se o AWS DMS não tiver uma conexão SSL configurada. | |
| 8.3.4 | Uma autenticação forte para usuários e administradores é estabelecida e gerenciada. (PCI-DSS-v4.0) | Garanta que uma política de bucket do Amazon Simple Storage Service (Amazon S3) não permita ações que estejam na lista de proibições no nível do objeto ou no nível do bucket nos recursos no bucket das entidades principais de outras contas da AWS. Por exemplo, a regra verifica se a política de bucket do Amazon S3 não permite que outra conta da AWS execute ações s3:GetBucket* e s3:DeleteObject em objetos no bucket. A regra será NON_COMPLIANT se as ações que estiverem na lista de proibições forem permitidas pela política de buckets do Amazon S3. | |
| 8.3.4 | Uma autenticação forte para usuários e administradores é estabelecida e gerenciada. (PCI-DSS-v4.0) | Garanta que as políticas de bucket do Amazon Simple Storage Service (S3) não autorizem outras permissões entre contas que controlem a política de bucket do Amazon S3 que você fornece. | |
| 8.3.4 | Uma autenticação forte para usuários e administradores é estabelecida e gerenciada. (PCI-DSS-v4.0) | Garanta que o Shield Response Team (SRT) possa acessar sua conta da AWS. A regra será NON_COMPLIANT se o AWS Shield Avançado estiver habilitado, mas a função para o acesso da SRT não estiver configurada. | |
| 8.3.4 | Uma autenticação forte para usuários e administradores é estabelecida e gerenciada. (PCI-DSS-v4.0) | Garanta que o ARN da política do IAM esteja vinculado a um usuário do IAM ou a um grupo com um ou mais usuários do IAM, ou um perfil do IAM com uma ou mais entidades confiáveis. | |
| 8.3.4 | Uma autenticação forte para usuários e administradores é estabelecida e gerenciada. (PCI-DSS-v4.0) | Garanta que um cluster do Amazon Neptune tenha a autenticação de banco de dados do AWS Identity and Access Management (IAM) habilitada. A regra será NON_COMPLIANT se um cluster do Amazon Neptune não tiver a autenticação de banco de dados do IAM habilitada. | |
| 8.3.4 | Uma autenticação forte para usuários e administradores é estabelecida e gerenciada. (PCI-DSS-v4.0) | Garanta que um cluster do Amazon Relational Database Service (Amazon RDS) tenha a autenticação do AWS Identity and Access Management (IAM) habilitada. A regra será NON_COMPLIANT se um cluster do Amazon RDS não tiver a autenticação do IAM habilitada. | |
| 8.3.4 | Uma autenticação forte para usuários e administradores é estabelecida e gerenciada. (PCI-DSS-v4.0) | Garanta que uma instância do EC2 tenha um perfil do AWS Identity and Access Management (IAM) anexado a ela. A regra será NON_COMPLIANT se nenhum perfil do IAM estiver vinculado à instância do EC2. | |
| 8.3.4 | Uma autenticação forte para usuários e administradores é estabelecida e gerenciada. (PCI-DSS-v4.0) | Garanta que um cofre de backup tenha uma política baseada em recursos vinculada que impede a exclusão de pontos de recuperação. A regra será NON_COMPLIANT se o cofre de backup não tiver políticas baseadas em recursos ou tiver políticas sem uma declaração “Negar” adequada (declaração com as permissões backup:DeleteRecoveryPoint, backup:UpdateRecoveryPointLifecycle e backup:PutBackupVaultAccessPolicy). | |
| 8.3.4 | Uma autenticação forte para usuários e administradores é estabelecida e gerenciada. (PCI-DSS-v4.0) | Garanta que uma instância do Amazon Relational Database Service (Amazon RDS) tenha a autenticação do AWS Identity and Access Management (IAM) habilitada. A regra será NON_COMPLIANT se uma instância do Amazon RDS não tiver a autenticação do IAM habilitada. | |
| 8.3.5 | Uma autenticação forte para usuários e administradores é estabelecida e gerenciada. (PCI-DSS-v4.0) | Garanta que as chaves de acesso ativas sejam alternadas (alteradas) dentro do número de dias especificado em maxAccessKeyAge. A regra será NON_COMPLIANT se as chaves de acesso não forem alternadas dentro do período especificado. O valor padrão é 90 dias. | |
| 8.3.5 | Uma autenticação forte para usuários e administradores é estabelecida e gerenciada. (PCI-DSS-v4.0) | Garanta que os segredos do AWS Secrets Manager sejam alternados com sucesso de acordo com a programação de alternância. O Secrets Manager calcula a data em que a alternância deve acontecer. A regra será NON_COMPLIANT se a data passar e o segredo não for alternado. | |
| 8.3.5 | Uma autenticação forte para usuários e administradores é estabelecida e gerenciada. (PCI-DSS-v4.0) | Garanta que os segredos do AWS Secrets Manager tenham sido alternados nos últimos dias especificados. A regra será NON_COMPLIANT se um segredo não tiver sido alternado por mais do que o número de dias de maxDaysSinceRotation. O valor padrão é 90 dias. | |
| 8.3.7 | Uma autenticação forte para usuários e administradores é estabelecida e gerenciada. (PCI-DSS-v4.0) | Garanta que as chaves de acesso ativas sejam alternadas (alteradas) dentro do número de dias especificado em maxAccessKeyAge. A regra será NON_COMPLIANT se as chaves de acesso não forem alternadas dentro do período especificado. O valor padrão é 90 dias. | |
| 8.3.7 | Uma autenticação forte para usuários e administradores é estabelecida e gerenciada. (PCI-DSS-v4.0) | Garanta que os segredos do AWS Secrets Manager sejam alternados com sucesso de acordo com a programação de alternância. O Secrets Manager calcula a data em que a alternância deve acontecer. A regra será NON_COMPLIANT se a data passar e o segredo não for alternado. | |
| 8.3.7 | Uma autenticação forte para usuários e administradores é estabelecida e gerenciada. (PCI-DSS-v4.0) | Garanta que os segredos do AWS Secrets Manager tenham sido alternados nos últimos dias especificados. A regra será NON_COMPLIANT se um segredo não tiver sido alternado por mais do que o número de dias de maxDaysSinceRotation. O valor padrão é 90 dias. | |
| 8.3.9 | Uma autenticação forte para usuários e administradores é estabelecida e gerenciada. (PCI-DSS-v4.0) | Garanta que as chaves de acesso ativas sejam alternadas (alteradas) dentro do número de dias especificado em maxAccessKeyAge. A regra será NON_COMPLIANT se as chaves de acesso não forem alternadas dentro do período especificado. O valor padrão é 90 dias. | |
| 8.3.9 | Uma autenticação forte para usuários e administradores é estabelecida e gerenciada. (PCI-DSS-v4.0) | Garanta que os segredos do AWS Secrets Manager sejam alternados com sucesso de acordo com a programação de alternância. O Secrets Manager calcula a data em que a alternância deve acontecer. A regra será NON_COMPLIANT se a data passar e o segredo não for alternado. | |
| 8.3.9 | Uma autenticação forte para usuários e administradores é estabelecida e gerenciada. (PCI-DSS-v4.0) | Garanta que os segredos do AWS Secrets Manager tenham sido alternados nos últimos dias especificados. A regra será NON_COMPLIANT se um segredo não tiver sido alternado por mais do que o número de dias de maxDaysSinceRotation. O valor padrão é 90 dias. | |
| 8.4.1 | A autenticação multifator (MFA) é implementada para proteger o acesso ao CDE. (PCI-DSS-v4.0) | Garanta que a Exclusão de MFA esteja habilitada na configuração do versionamento do bucket do Amazon Simple Storage Service (Amazon S3). A regra será NON_COMPLIANT se o Exclusão de MFA não estiver habilitada. | |
| 8.4.2 | A autenticação multifator (MFA) é implementada para proteger o acesso ao CDE. (PCI-DSS-v4.0) | Garanta que a Exclusão de MFA esteja habilitada na configuração do versionamento do bucket do Amazon Simple Storage Service (Amazon S3). A regra será NON_COMPLIANT se o Exclusão de MFA não estiver habilitada. | |
| 8.4.3 | A autenticação multifator (MFA) é implementada para proteger o acesso ao CDE. (PCI-DSS-v4.0) | Garanta que a Exclusão de MFA esteja habilitada na configuração do versionamento do bucket do Amazon Simple Storage Service (Amazon S3). A regra será NON_COMPLIANT se o Exclusão de MFA não estiver habilitada. | |
| 8.6.3 | O uso de contas de aplicativos e do sistema e dos fatores de autenticação associados é estritamente gerenciado. (PCI-DSS-v4.0) | Garanta que as chaves de acesso ativas sejam alternadas (alteradas) dentro do número de dias especificado em maxAccessKeyAge. A regra será NON_COMPLIANT se as chaves de acesso não forem alternadas dentro do período especificado. O valor padrão é 90 dias. | |
| 8.6.3 | O uso de contas de aplicativos e do sistema e dos fatores de autenticação associados é estritamente gerenciado. (PCI-DSS-v4.0) | Garanta que os segredos do AWS Secrets Manager sejam alternados com sucesso de acordo com a programação de alternância. O Secrets Manager calcula a data em que a alternância deve acontecer. A regra será NON_COMPLIANT se a data passar e o segredo não for alternado. | |
| 8.6.3 | O uso de contas de aplicativos e do sistema e dos fatores de autenticação associados é estritamente gerenciado. (PCI-DSS-v4.0) | Garanta que os segredos do AWS Secrets Manager tenham sido alternados nos últimos dias especificados. A regra será NON_COMPLIANT se um segredo não tiver sido alternado por mais do que o número de dias de maxDaysSinceRotation. O valor padrão é 90 dias. | |
| A1.1.2 | Os provedores de serviços multilocatários protegem e separam todos os ambientes e dados do cliente. (PCI-DSS-v4.0) | Garanta que um instantâneo manual do cluster de banco de dados do Amazon Neptune seja público. A regra será NON_COMPLIANT se qualquer snapshot de cluster do Neptune novo e existente for público. | |
| A1.1.2 | Os provedores de serviços multilocatários protegem e separam todos os ambientes e dados do cliente. (PCI-DSS-v4.0) | Garanta que os instantâneos manuais do cluster do Amazon DocumentDB sejam públicos. A regra será NON_COMPLIANT se qualquer snapshot manual do cluster do Amazon DocumentDB for público. | |
| A1.1.2 | Os provedores de serviços multilocatários protegem e separam todos os ambientes e dados do cliente. (PCI-DSS-v4.0) | Garanta que um cofre de backup tenha uma política baseada em recursos vinculada que impede a exclusão de pontos de recuperação. A regra será NON_COMPLIANT se o cofre de backup não tiver políticas baseadas em recursos ou tiver políticas sem uma declaração “Negar” adequada (declaração com as permissões backup:DeleteRecoveryPoint, backup:UpdateRecoveryPointLifecycle e backup:PutBackupVaultAccessPolicy). | |
| A1.1.2 | Os provedores de serviços multilocatários protegem e separam todos os ambientes e dados do cliente. (PCI-DSS-v4.0) | Garanta que uma conta com o Amazon EMR tenha configurações de bloqueio de acesso público habilitadas. A regra será NON_COMPLIANT se BlockPublicSecurityGroupRules for falsa ou, se verdadeira, portas diferentes da Porta 22 estiverem listadas em PermittedPublicSecurityGroupRuleRanges. | |
| A1.1.2 | Os provedores de serviços multilocatários protegem e separam todos os ambientes e dados do cliente. (PCI-DSS-v4.0) | Garanta que os pontos de acesso Amazon S3 tenham configurações do bloqueio do acesso público habilitadas. A regra será NON_COMPLIANT se as configurações de bloqueio de acesso público não estiverem habilitadas para pontos de acesso S3. | |
| A1.1.2 | Os provedores de serviços multilocatários protegem e separam todos os ambientes e dados do cliente. (PCI-DSS-v4.0) | Garanta que as configurações de bloco de acesso público necessárias estão configuradas no nível da conta. A regra será somente NON_COMPLIANT quando não houver a correspondência dos campos definidos abaixo com os campos correspondentes no item de configuração. | |
| A1.1.2 | Os provedores de serviços multilocatários protegem e separam todos os ambientes e dados do cliente. (PCI-DSS-v4.0) | Garanta que a Exclusão de MFA esteja habilitada na configuração do versionamento do bucket do Amazon Simple Storage Service (Amazon S3). A regra será NON_COMPLIANT se o Exclusão de MFA não estiver habilitada. | |
| A1.1.3 | Os provedores de serviços multilocatários protegem e separam todos os ambientes e dados do cliente. (PCI-DSS-v4.0) | Garanta que as APIs do Amazon API Gateway sejam do tipo especificado no parâmetro “endpointConfigurationType” da regra. A regra retornará NON_COMPLIANT se a API REST não corresponder ao tipo de endpoint configurado no parâmetro da regra. | |
| A1.1.3 | Os provedores de serviços multilocatários protegem e separam todos os ambientes e dados do cliente. (PCI-DSS-v4.0) | Garanta que as distribuições do Amazon CloudFront estejam associadas ao firewall de aplicações web (WAF) ou às listas de controle de acesso à web (ACLs) do WAFv2. A regra será NON_COMPLIANT se uma distribuição do CloudFront não estiver associada a uma ACL da web do WAF. | |
| A1.1.3 | Os provedores de serviços multilocatários protegem e separam todos os ambientes e dados do cliente. (PCI-DSS-v4.0) | Garanta que o certificado associado a uma distribuição do Amazon CloudFront seja o certificado SSL padrão. A regra será NON_COMPLIANT se uma distribuição do CloudFront usar o certificado SSL padrão. | |
| A1.1.3 | Os provedores de serviços multilocatários protegem e separam todos os ambientes e dados do cliente. (PCI-DSS-v4.0) | Garanta que uma política do AWS Network Firewall esteja configurada com uma ação padrão sem estado definida pelo usuário para pacotes fragmentados. A regra será NON_COMPLIANT se a ação padrão sem estado para pacotes fragmentados não corresponder à ação padrão definida pelo usuário. | |
| A1.1.3 | Os provedores de serviços multilocatários protegem e separam todos os ambientes e dados do cliente. (PCI-DSS-v4.0) | Garanta que os grupos de segurança do banco de dados do Amazon Relational Database Service (Amazon RDS) sejam o grupo padrão. A regra será NON_COMPLIANT se houver algum grupo de segurança de banco de dados que não seja o grupo de segurança de banco de dados padrão. | |
| A1.1.3 | Os provedores de serviços multilocatários protegem e separam todos os ambientes e dados do cliente. (PCI-DSS-v4.0) | Garanta que os gateways de trânsito do Amazon Elastic Compute Cloud (Amazon EC2) não tenham o recurso "AutoAcceptSharedAttachments" habilitado. A regra será NON_COMPLIANT para um gateway de trânsito se "AutoAcceptSharedAttachments" estiver definido como "habilitar". | |
| A1.1.3 | Os provedores de serviços multilocatários protegem e separam todos os ambientes e dados do cliente. (PCI-DSS-v4.0) | Garanta que o endpoint do Amazon Elastic Kubernetes Service (Amazon EKS) não esteja acessível ao público. A regra será NON_COMPLIANT se o endpoint estiver acessível publicamente. | |
| A1.1.3 | Os provedores de serviços multilocatários protegem e separam todos os ambientes e dados do cliente. (PCI-DSS-v4.0) | Observação: para essa regra, o identificador da regra (INCOMING_SSH_DISABLED) e o nome da regra (restricted-ssh) são diferentes. Garanta que o tráfego de entrada SSH dos grupos de segurança seja acessível. A regra será COMPLIANT se os endereços IP do tráfego de entrada SSH nos grupos de segurança forem restritos (CIDR diferente de 0.0.0.0/0 ou ::/0). Caso contrário, NON_COMPLIANT. | |
| A1.1.3 | Os provedores de serviços multilocatários protegem e separam todos os ambientes e dados do cliente. (PCI-DSS-v4.0) | Garanta que as APIs do AWS AppSync estejam associadas às listas de controle de acesso à web (ACLs) do AWS WAFv2. A regra será NON_COMPLIANT para uma API do AWS AppSync se não estiver associada a uma ACL da web. | |
| A1.1.3 | Os provedores de serviços multilocatários protegem e separam todos os ambientes e dados do cliente. (PCI-DSS-v4.0) | Garanta que os instantâneos manuais do cluster do Amazon DocumentDB sejam públicos. A regra será NON_COMPLIANT se qualquer snapshot manual do cluster do Amazon DocumentDB for público. | |
| A1.1.3 | Os provedores de serviços multilocatários protegem e separam todos os ambientes e dados do cliente. (PCI-DSS-v4.0) | Garanta que o URL do repositório de origem do Bitbucket NÃO contenha credenciais de login ou não. A regra será NON_COMPLIANT se o URL contiver alguma informação de login e COMPLIANT se não tiver. | |
| A1.1.3 | Os provedores de serviços multilocatários protegem e separam todos os ambientes e dados do cliente. (PCI-DSS-v4.0) | Garanta que os Classic Load Balancers usem certificados SSL fornecidos pelo AWS Certificate Manager. Para usar esta regra, use um listener SSL ou HTTPS com o Classic Load Balancer. Esta regra é aplicável somente aos Classic Load Balancers. Esta regra não verifica Application Load Balancers e Network Load Balancers. | |
| A1.1.3 | Os provedores de serviços multilocatários protegem e separam todos os ambientes e dados do cliente. (PCI-DSS-v4.0) | Garanta que uma conta com o Amazon EMR tenha configurações de bloqueio de acesso público habilitadas. A regra será NON_COMPLIANT se BlockPublicSecurityGroupRules for falsa ou, se verdadeira, portas diferentes da Porta 22 estiverem listadas em PermittedPublicSecurityGroupRuleRanges. | |
| A1.1.3 | Os provedores de serviços multilocatários protegem e separam todos os ambientes e dados do cliente. (PCI-DSS-v4.0) | Garanta que as portas padrão para tráfego de entrada SSH/RDP para listas de controle de acesso à rede (NACLs) sejam restritas. A regra será NON_COMPLIANT se uma entrada NACL permitir um bloco CIDR TCP ou UDP de origem para as portas 22 ou 3389. | |
| A1.1.3 | Os provedores de serviços multilocatários protegem e separam todos os ambientes e dados do cliente. (PCI-DSS-v4.0) | Garanta que uma ACL da web do WAF Global contenha algumas regras ou grupos de regras do WAF. Essa regra será NON_COMPLIANT se uma ACL da web não contiver nenhuma regra ou grupo de regras do WAF. | |
| A1.1.3 | Os provedores de serviços multilocatários protegem e separam todos os ambientes e dados do cliente. (PCI-DSS-v4.0) | Garanta que um grupo de regras do AWS WAF Classic contenha algumas regras. A regra será NON_COMPLIANT se não houver regras presentes em um grupo de regras. | |
| A1.1.3 | Os provedores de serviços multilocatários protegem e separam todos os ambientes e dados do cliente. (PCI-DSS-v4.0) | Garanta que uma regra global do AWS WAF contenha algumas condições. A regra será NON_COMPLIANT se nenhuma condição estiver presente na regra global do WAF. | |
| A1.1.3 | Os provedores de serviços multilocatários protegem e separam todos os ambientes e dados do cliente. (PCI-DSS-v4.0) | Garanta que as regras de autorização do AWS Client VPN não autorizem o acesso à conexão para todos os clientes. A regra será NON_COMPLIANT se "AccessAll" estiver presente e definido como verdadeiro. | |
| A1.1.3 | Os provedores de serviços multilocatários protegem e separam todos os ambientes e dados do cliente. (PCI-DSS-v4.0) | Garanta que os gateways da Internet estejam conectados a uma nuvem privada virtual autorizada (Amazon VPC). A regra será NON_COMPLIANT se os gateways da Internet estiverem conectados a uma VPC não autorizada. | |
| A1.1.3 | Os provedores de serviços multilocatários protegem e separam todos os ambientes e dados do cliente. (PCI-DSS-v4.0) | Garanta que os pontos de acesso Amazon S3 tenham configurações do bloqueio do acesso público habilitadas. A regra será NON_COMPLIANT se as configurações de bloqueio de acesso público não estiverem habilitadas para pontos de acesso S3. | |
| A1.1.3 | Os provedores de serviços multilocatários protegem e separam todos os ambientes e dados do cliente. (PCI-DSS-v4.0) | Garanta que as configurações de bloco de acesso público necessárias estão configuradas no nível da conta. A regra será somente NON_COMPLIANT quando não houver a correspondência dos campos definidos abaixo com os campos correspondentes no item de configuração. | |
| A1.2.1 | Os provedores de serviços multilocatários facilitam o registro e a resposta a incidentes para todos os clientes. (PCI-DSS-v4.0) | Garanta que os estágios do Amazon API Gateway V2 tenham o registro em log de acesso habilitado. A regra será NON_COMPLIANT se "accessLogSettings" não estiver presente na configuração do Estágio. | |
| A1.2.1 | Os provedores de serviços multilocatários facilitam o registro e a resposta a incidentes para todos os clientes. (PCI-DSS-v4.0) | Garanta que o rastreamento do AWS X-Ray esteja habilitado nas APIs REST do Amazon API Gateway. A regra será COMPLIANT se o rastreamento do X-Ray estiver habilitado e, caso contrário, será NON_COMPLIANT. | |
| A1.2.1 | Os provedores de serviços multilocatários facilitam o registro e a resposta a incidentes para todos os clientes. (PCI-DSS-v4.0) | Garanta que as distribuições do Amazon CloudFront estejam configuradas para entregar logs de acesso a um bucket do Amazon S3. A regra será NON_COMPLIANT se uma distribuição do CloudFront não tiver o registro em log configurado. | |
| A1.2.1 | Os provedores de serviços multilocatários facilitam o registro e a resposta a incidentes para todos os clientes. (PCI-DSS-v4.0) | Garanta que haja pelo menos uma trilha do AWS CloudTrail definida com as práticas recomendadas de segurança. Essa regra será COMPLIANT se houver pelo menos uma trilha que atenda a todos os seguintes itens: | |
| A1.2.1 | Os provedores de serviços multilocatários facilitam o registro e a resposta a incidentes para todos os clientes. (PCI-DSS-v4.0) | Garanta que um cluster do Amazon Neptune tenha a exportação de log do CloudWatch habilitada para logs de auditoria. A regra será NON_COMPLIANT se um cluster do Neptune não tiver a exportação de log do CloudWatch habilitada para logs de auditoria. | |
| A1.2.1 | Os provedores de serviços multilocatários facilitam o registro e a resposta a incidentes para todos os clientes. (PCI-DSS-v4.0) | Garanta que o logConfiguration esteja configurado nas definições de tarefas do ECS ativas. Essa regra será NON_COMPLIANT se uma ECSTaskDefinition ativa não tiver o recurso logConfiguration definido ou se o valor de logConfiguration for nulo em pelo menos uma definição de contêiner. | |
| A1.2.1 | Os provedores de serviços multilocatários facilitam o registro e a resposta a incidentes para todos os clientes. (PCI-DSS-v4.0) | Observação: para essa regra, o identificador da regra (CLOUD_TRAIL_ENABLED) e o nome da regra (cloudtrail-enabled) são diferentes. Garanta que uma trilha do AWS CloudTrail esteja habilitada em sua conta da AWS. A regra será NON_COMPLIANT, se uma trilha não estivar habilitada. Opcionalmente, a regra verifica um bucket específico do S3, um tópico do Amazon Simple Notification Service (Amazon SNS) e um grupo de logs do CloudWatch. | |
| A1.2.1 | Os provedores de serviços multilocatários facilitam o registro e a resposta a incidentes para todos os clientes. (PCI-DSS-v4.0) | Observação: para essa regra, o identificador da regra (MULTI_REGION_CLOUD_TRAIL_ENABLED) e o nome da regra (multi-region-cloudtrail-enabled) são diferentes. Garanta que haja pelo menos um AWS CloudTrail com várias regiões. A regra será NON_COMPLIANT se as trilhas não corresponderem aos parâmetros de entrada. A regra será NON_COMPLIANT se o campo ExcludeManagementEventSources não estiver vazio ou se o AWS CloudTrail estiver configurado para excluir eventos de gerenciamento, como eventos do AWS KMS ou eventos da API de dados do Amazon RDS. | |
| A1.2.1 | Os provedores de serviços multilocatários facilitam o registro e a resposta a incidentes para todos os clientes. (PCI-DSS-v4.0) | Garanta que a API do AWS AppSync tenha o registro em log habilitado. A regra será NON_COMPLIANT se o registro em log não estiver habilitado ou "fieldLogLevel" não for ERROR nem ALL. | |
| A1.2.1 | Os provedores de serviços multilocatários facilitam o registro e a resposta a incidentes para todos os clientes. (PCI-DSS-v4.0) | Garanta que o registro em log esteja habilitado nas listas de controle de acesso à web (ACLs da web) globais clássicas do AWS WAF. A regra será NON_COMPLIANT para uma ACL global da web se ela não tiver o registro em log habilitado. | |
| A1.2.1 | Os provedores de serviços multilocatários facilitam o registro e a resposta a incidentes para todos os clientes. (PCI-DSS-v4.0) | Garanta que os corretores do Amazon MQ tenham o registro em log de auditoria do Amazon CloudWatch habilitado. A regra será NON_COMPLIANT se um agente não tiver o registro em log de auditoria habilitado. | |
| A1.2.1 | Os provedores de serviços multilocatários facilitam o registro e a resposta a incidentes para todos os clientes. (PCI-DSS-v4.0) | Garanta que o corretor do Amazon MQ tenha o registro em log de auditoria do CloudWatch habilitado. A regra será NON_COMPLIANT se um agente não tiver o registro em log de auditoria habilitado. | |
| A1.2.1 | Os provedores de serviços multilocatários facilitam o registro e a resposta a incidentes para todos os clientes. (PCI-DSS-v4.0) | Garanta que um cluster do Amazon Elastic Kubernetes Service (Amazon EKS) está configurado com o registro em log habilitado. A regra será NON_COMPLIANT se o registro em log dos clusters do Amazon EKS não estiver habilitado para todos os tipos de log. | |
| A1.2.1 | Os provedores de serviços multilocatários facilitam o registro e a resposta a incidentes para todos os clientes. (PCI-DSS-v4.0) | Garanta que os ambientes do AWS Elastic Beanstalk estejam configurados para enviar logs para o Amazon CloudWatch Logs. A regra será NON_COMPLIANT se o valor de ‘StreamLogs’ for falso. | |
| A1.2.1 | Os provedores de serviços multilocatários facilitam o registro e a resposta a incidentes para todos os clientes. (PCI-DSS-v4.0) | Garanta que a máquina do AWS Step Functions tenha o registro em log habilitado. A regra será NON_COMPLIANT se uma máquina de estado não tiver o registro em log habilitado ou se a configuração de registro em log não estiver no nível mínimo fornecido. | |
| A1.2.1 | Os provedores de serviços multilocatários facilitam o registro e a resposta a incidentes para todos os clientes. (PCI-DSS-v4.0) | Garanta que os firewalls do AWS Network Firewall tenham o registro em log habilitado. A regra será NON_COMPLIANT se o tipo de registro em log não estiver configurado. Você pode especificar qual tipo de registro em log você deseja que a regra verifique. | |
| A1.2.3 | Os provedores de serviços multilocatários facilitam o registro e a resposta a incidentes para todos os clientes. (PCI-DSS-v4.0) | Garanta que você tenha fornecido informações de contato de segurança para os contatos da conta da AWS. A regra será NON_COMPLIANT se as informações de contato de segurança na conta não forem fornecidas. | |
| A3.2.5.1 | O escopo do PCI DSS está documentado e validado. (PCI-DSS-v4.0) | Garanta que a descoberta automatizada de dados confidenciais esteja habilitada para o Amazon Macie. A regra será NON_COMPLIANT se a descoberta automatizada de dados confidenciais estiver desabilitada. A regra é APPLICABLE para contas de administrador e NOT_APPLICABLE para contas de membros. | |
| A3.2.5.1 | O escopo do PCI DSS está documentado e validado. (PCI-DSS-v4.0) | Garanta que o Amazon Macie esteja habilitado em sua conta por região. A regra será NON_COMPLIANT se o atributo "status" não estiver definido como "ENABLED". | |
| A3.2.5.2 | O escopo do PCI DSS está documentado e validado. (PCI-DSS-v4.0) | Garanta que a descoberta automatizada de dados confidenciais esteja habilitada para o Amazon Macie. A regra será NON_COMPLIANT se a descoberta automatizada de dados confidenciais estiver desabilitada. A regra é APPLICABLE para contas de administrador e NOT_APPLICABLE para contas de membros. | |
| A3.2.5.2 | O escopo do PCI DSS está documentado e validado. (PCI-DSS-v4.0) | Garanta que o Amazon Macie esteja habilitado em sua conta por região. A regra será NON_COMPLIANT se o atributo "status" não estiver definido como "ENABLED". | |
| A3.3.1 | O PCI DSS é incorporado às atividades de business as usual (BAU). (PCI-DSS-v4.0) | Garanta que o rastreamento do AWS X-Ray esteja habilitado nas APIs REST do Amazon API Gateway. A regra será COMPLIANT se o rastreamento do X-Ray estiver habilitado e, caso contrário, será NON_COMPLIANT. | |
| A3.3.1 | O PCI DSS é incorporado às atividades de business as usual (BAU). (PCI-DSS-v4.0) | Garanta que suas pilhas do CloudFormation estejam enviando notificações de eventos para um tópico do Amazon SNS. Há também a opção de garantir que os tópicos do Amazon SNS estejam sendo usados. A regra será NON_COMPLIANT se as pilhas do CloudFormation não enviarem notificações. | |
| A3.3.1 | O PCI DSS é incorporado às atividades de business as usual (BAU). (PCI-DSS-v4.0) | Garanta que o monitoramento detalhado esteja habilitado para instâncias do EC2. A regra será NON_COMPLIANT se o monitoramento detalhado não estiver habilitado. | |
| A3.3.1 | O PCI DSS é incorporado às atividades de business as usual (BAU). (PCI-DSS-v4.0) | Garanta que os alarmes do CloudWatch tenham uma ação configurada para o estado ALARM, INSUFFICIENT_DATA ou OK. Opcionalmente, garanta que alguma ação corresponda a um ARN nomeado. A regra será NON_COMPLIANT se não houver nenhuma ação especificada para o alarme ou parâmetro opcional. | |
| A3.3.1 | O PCI DSS é incorporado às atividades de business as usual (BAU). (PCI-DSS-v4.0) | Garanta que os alarmes do CloudWatch tenham uma ação configurada para o estado ALARM, INSUFFICIENT_DATA ou OK. Opcionalmente, garanta que alguma ação corresponda a um ARN nomeado. A regra será NON_COMPLIANT se não houver nenhuma ação especificada para o alarme ou parâmetro opcional. | |
| A3.3.1 | O PCI DSS é incorporado às atividades de business as usual (BAU). (PCI-DSS-v4.0) | Garanta que os alarmes do CloudWatch tenham uma ação configurada para o estado ALARM, INSUFFICIENT_DATA ou OK. Opcionalmente, garanta que alguma ação corresponda a um ARN nomeado. A regra será NON_COMPLIANT se não houver nenhuma ação especificada para o alarme ou parâmetro opcional. | |
| A3.3.1 | O PCI DSS é incorporado às atividades de business as usual (BAU). (PCI-DSS-v4.0) | Garanta que os alarmes do CloudWatch tenham uma ação configurada para o estado ALARM, INSUFFICIENT_DATA ou OK. Opcionalmente, garanta que alguma ação corresponda a um ARN nomeado. A regra será NON_COMPLIANT se não houver nenhuma ação especificada para o alarme ou parâmetro opcional. | |
| A3.3.1 | O PCI DSS é incorporado às atividades de business as usual (BAU). (PCI-DSS-v4.0) | Garanta que um tipo de recurso tenha um alarme do CloudWatch para a métrica nomeada. Para o tipo de recurso, você pode especificar volumes EBS, instâncias EC2, clusters do Amazon RDS ou buckets do S3. A regra será COMPLIANT se a métrica nomeada tiver um ID de recurso e um alarme do CloudWatch. | |
| A3.3.1 | O PCI DSS é incorporado às atividades de business as usual (BAU). (PCI-DSS-v4.0) | Garanta que os alarmes do CloudWatch com o nome da métrica possuam as configurações especificadas. | |
| A3.3.1 | O PCI DSS é incorporado às atividades de business as usual (BAU). (PCI-DSS-v4.0) | Garanta que a coleta de métricas de segurança do Amazon CloudWatch nos grupos de regras do AWS WAFv2 esteja habilitada. A regra será NON_COMPLIANT se o campo "VisibilityConfig.CloudWatchMetricsEnabled" estiver definido como falso. | |
| A3.3.1 | O PCI DSS é incorporado às atividades de business as usual (BAU). (PCI-DSS-v4.0) | Garanta que o registro em log do Amazon Simple Notification Service (SNS) esteja habilitado para o status de entrega das mensagens de notificação enviadas para um tópico para os endpoints. A regra será NON_COMPLIANT se a notificação do status de entrega das mensagens não estiver habilitada. | |
| A3.4.1 | O acesso lógico ao ambiente de dados do titular do cartão é controlado e gerenciado. (PCI-DSS-v4.0) | Garanta que um instantâneo manual do cluster de banco de dados do Amazon Neptune seja público. A regra será NON_COMPLIANT se qualquer snapshot de cluster do Neptune novo e existente for público. | |
| A3.4.1 | O acesso lógico ao ambiente de dados do titular do cartão é controlado e gerenciado. (PCI-DSS-v4.0) | Garanta que os instantâneos manuais do cluster do Amazon DocumentDB sejam públicos. A regra será NON_COMPLIANT se qualquer snapshot manual do cluster do Amazon DocumentDB for público. | |
| A3.4.1 | O acesso lógico ao ambiente de dados do titular do cartão é controlado e gerenciado. (PCI-DSS-v4.0) | Garanta que um cofre de backup tenha uma política baseada em recursos vinculada que impede a exclusão de pontos de recuperação. A regra será NON_COMPLIANT se o cofre de backup não tiver políticas baseadas em recursos ou tiver políticas sem uma declaração “Negar” adequada (declaração com as permissões backup:DeleteRecoveryPoint, backup:UpdateRecoveryPointLifecycle e backup:PutBackupVaultAccessPolicy). | |
| A3.4.1 | O acesso lógico ao ambiente de dados do titular do cartão é controlado e gerenciado. (PCI-DSS-v4.0) | Garanta que uma conta com o Amazon EMR tenha configurações de bloqueio de acesso público habilitadas. A regra será NON_COMPLIANT se BlockPublicSecurityGroupRules for falsa ou, se verdadeira, portas diferentes da Porta 22 estiverem listadas em PermittedPublicSecurityGroupRuleRanges. | |
| A3.4.1 | O acesso lógico ao ambiente de dados do titular do cartão é controlado e gerenciado. (PCI-DSS-v4.0) | Garanta que o AWS Secrets Manager tenha acessado segredos em um determinado número de dias. A regra será NON_COMPLIANT se um segredo não tiver sido acessado no número de dias "unusedForDays". O valor padrão é 90 dias. | |
| A3.4.1 | O acesso lógico ao ambiente de dados do titular do cartão é controlado e gerenciado. (PCI-DSS-v4.0) | Garanta que os pontos de acesso Amazon S3 tenham configurações do bloqueio do acesso público habilitadas. A regra será NON_COMPLIANT se as configurações de bloqueio de acesso público não estiverem habilitadas para pontos de acesso S3. | |
| A3.4.1 | O acesso lógico ao ambiente de dados do titular do cartão é controlado e gerenciado. (PCI-DSS-v4.0) | Garanta que as configurações de bloco de acesso público necessárias estão configuradas no nível da conta. A regra será somente NON_COMPLIANT quando não houver a correspondência dos campos definidos abaixo com os campos correspondentes no item de configuração. | |
| A3.4.1 | O acesso lógico ao ambiente de dados do titular do cartão é controlado e gerenciado. (PCI-DSS-v4.0) | Garanta que a Exclusão de MFA esteja habilitada na configuração do versionamento do bucket do Amazon Simple Storage Service (Amazon S3). A regra será NON_COMPLIANT se o Exclusão de MFA não estiver habilitada. | |
| A3.5.1 | Eventos suspeitos são identificados e respondidos. (PCI-DSS-v4.0) | Garanta que o rastreamento do AWS X-Ray esteja habilitado nas APIs REST do Amazon API Gateway. A regra será COMPLIANT se o rastreamento do X-Ray estiver habilitado e, caso contrário, será NON_COMPLIANT. | |
| A3.5.1 | Eventos suspeitos são identificados e respondidos. (PCI-DSS-v4.0) | Garanta que suas pilhas do CloudFormation estejam enviando notificações de eventos para um tópico do Amazon SNS. Há também a opção de garantir que os tópicos do Amazon SNS estejam sendo usados. A regra será NON_COMPLIANT se as pilhas do CloudFormation não enviarem notificações. | |
| A3.5.1 | Eventos suspeitos são identificados e respondidos. (PCI-DSS-v4.0) | Garanta que o monitoramento detalhado esteja habilitado para instâncias do EC2. A regra será NON_COMPLIANT se o monitoramento detalhado não estiver habilitado. | |
| A3.5.1 | Eventos suspeitos são identificados e respondidos. (PCI-DSS-v4.0) | Garanta que os alarmes do CloudWatch tenham uma ação configurada para o estado ALARM, INSUFFICIENT_DATA ou OK. Opcionalmente, garanta que alguma ação corresponda a um ARN nomeado. A regra será NON_COMPLIANT se não houver nenhuma ação especificada para o alarme ou parâmetro opcional. | |
| A3.5.1 | Eventos suspeitos são identificados e respondidos. (PCI-DSS-v4.0) | Garanta que os alarmes do CloudWatch tenham uma ação configurada para o estado ALARM, INSUFFICIENT_DATA ou OK. Opcionalmente, garanta que alguma ação corresponda a um ARN nomeado. A regra será NON_COMPLIANT se não houver nenhuma ação especificada para o alarme ou parâmetro opcional. | |
| A3.5.1 | Eventos suspeitos são identificados e respondidos. (PCI-DSS-v4.0) | Garanta que os alarmes do CloudWatch tenham uma ação configurada para o estado ALARM, INSUFFICIENT_DATA ou OK. Opcionalmente, garanta que alguma ação corresponda a um ARN nomeado. A regra será NON_COMPLIANT se não houver nenhuma ação especificada para o alarme ou parâmetro opcional. | |
| A3.5.1 | Eventos suspeitos são identificados e respondidos. (PCI-DSS-v4.0) | Garanta que os alarmes do CloudWatch tenham uma ação configurada para o estado ALARM, INSUFFICIENT_DATA ou OK. Opcionalmente, garanta que alguma ação corresponda a um ARN nomeado. A regra será NON_COMPLIANT se não houver nenhuma ação especificada para o alarme ou parâmetro opcional. | |
| A3.5.1 | Eventos suspeitos são identificados e respondidos. (PCI-DSS-v4.0) | Garanta que um tipo de recurso tenha um alarme do CloudWatch para a métrica nomeada. Para o tipo de recurso, você pode especificar volumes EBS, instâncias EC2, clusters do Amazon RDS ou buckets do S3. A regra será COMPLIANT se a métrica nomeada tiver um ID de recurso e um alarme do CloudWatch. | |
| A3.5.1 | Eventos suspeitos são identificados e respondidos. (PCI-DSS-v4.0) | Garanta que os alarmes do CloudWatch com o nome da métrica possuam as configurações especificadas. | |
| A3.5.1 | Eventos suspeitos são identificados e respondidos. (PCI-DSS-v4.0) | Garanta que a coleta de métricas de segurança do Amazon CloudWatch nos grupos de regras do AWS WAFv2 esteja habilitada. A regra será NON_COMPLIANT se o campo "VisibilityConfig.CloudWatchMetricsEnabled" estiver definido como falso. | |
| A3.5.1 | Eventos suspeitos são identificados e respondidos. (PCI-DSS-v4.0) | Garanta que o registro em log do Amazon Simple Notification Service (SNS) esteja habilitado para o status de entrega das mensagens de notificação enviadas para um tópico para os endpoints. A regra será NON_COMPLIANT se a notificação do status de entrega das mensagens não estiver habilitada. |
Modelo
O modelo está disponível no GitHub: Melhores práticas operacionais para PCI DSS 4.0 (incluindo tipos de recurso global)
