Controles que se aplicam ao PCI DSS v3.2.1 Controles que se aplicam ao PCI DSS v4.0.1

PCI DSS no Security Hub CSPM

O Padrão de Segurança de Dados do Setor de Cartões de Pagamento (PCI DSS) é uma estrutura de conformidade terceirizada que fornece um conjunto de regras e diretrizes para lidar com segurança com informações de cartões de crédito e débito. O PCI Security Standards Council (SSC) cria e atualiza essa estrutura.

AWS O Security Hub Cloud Security Posture Management (CSPM) fornece um padrão PCI DSS que pode ajudar você a manter a conformidade com essa estrutura de terceiros. Você pode usar esse padrão para descobrir vulnerabilidades de segurança em AWS recursos que lidam com dados de titulares de cartões. Recomendamos habilitar esse padrão para Contas da AWS que haja recursos que armazenem, processem ou transmitam dados do titular do cartão ou dados confidenciais de autenticação. As avaliações do PCI SSC validaram esse padrão.

O Security Hub CSPM oferece suporte para PCI DSS v3.2.1 e PCI DSS v4.0.1. Recomendamos usar a versão 4.0.1 para se manter atualizado com as melhores práticas de segurança. Você pode ter as duas versões do padrão ativadas ao mesmo tempo. Para obter informações sobre a habilitação de padrões, consulteHabilitar um padrão de segurança. Se você usa atualmente a v3.2.1, mas deseja usar somente a v4.0.1, habilite a versão mais recente antes de desativar a versão mais antiga. Isso evita falhas em suas verificações de segurança. Se você usa a integração CSPM do Security Hub com AWS Organizations e deseja habilitar em lote a v4.0.1 em várias contas, recomendamos usar a configuração central para fazer isso.

As seções a seguir especificam quais controles se aplicam ao PCI DSS v3.2.1 e ao PCI DSS v4.0.1.

Controles que se aplicam ao PCI DSS v3.2.1

A lista a seguir especifica quais controles do AWS Security Hub Cloud Security Posture Management (CSPM) se aplicam ao PCI DSS v3.2.1. Para revisar os detalhes de um controle, escolha o controle.

[AutoScaling.1] Grupos de Auto Scaling associados a um balanceador de carga devem usar verificações de integridade do ELB

[CloudTrail.2] CloudTrail deve ter a criptografia em repouso habilitada

[CloudTrail.3] Pelo menos uma CloudTrail trilha deve estar habilitada

[CloudTrail.4] a validação do arquivo de CloudTrail log deve estar habilitada

[CloudTrail.5] CloudTrail trilhas devem ser integradas ao Amazon CloudWatch Logs

CloudWatchUm filtro de métrica de log e um alarme devem existir para o uso do usuário “raiz”

[CodeBuild.1] O repositório CodeBuild de origem do Bitbucket não URLs deve conter credenciais confidenciais

[CodeBuild.2] as variáveis de ambiente CodeBuild do projeto não devem conter credenciais de texto não criptografado

[Config.1] AWS Config deve estar habilitado e usar a função vinculada ao serviço para gravação de recursos

[DMS.1] As instâncias de replicação do Database Migration Service não devem ser públicas

[EC2.1] Os snapshots do Amazon EBS não devem ser restauráveis publicamente

[EC22] Os grupos de segurança padrão da VPC não devem permitir o tráfego de entrada e saída

[EC2.6] O registro em log do fluxo de VPC deve ser ativado em todos VPCs

[EC2.12] A Amazon não utilizada EC2 EIPs deve ser removida

[EC2.13] Os grupos de segurança não devem permitir a entrada de 0.0.0/0 ou: :/0 na porta 22

[ELBv2.1] O Application Load Balancer deve ser configurado para redirecionar todas as solicitações HTTP para HTTPS

[ES.1] Os domínios do Elasticsearch devem ter a criptografia em repouso habilitada.

[ES.2] Os domínios do Elasticsearch não devem ser publicamente acessíveis

[GuardDuty.1] GuardDuty deve ser ativado

[IAM.1] As políticas do IAM não devem permitir privilégios administrativos completos "*"

[IAM.2] Os usuários do IAM não devem ter políticas do IAM anexadas

[IAM.4] A chave de acesso do usuário raiz do IAM não deve existir

[IAM.6] A MFA de hardware deve estar habilitada para o usuário raiz

[IAM.8] As credenciais de usuário do IAM não utilizadas devem ser removidas

[IAM.9] A MFA deve estar habilitada para o usuário raiz

[IAM.7] Políticas de senha para usuários do IAM que devem ter configurações fortes

[IAM.19] A MFA deve estar habilitada para todos os usuários do IAM

A rotação de AWS KMS teclas [KMS.4] deve estar ativada

[Lambda.1] As funções do Lambda.1 devem proibir o acesso público

[Lambda.3] As funções do Lambda devem estar em uma VPC

Os OpenSearch domínios [Opensearch.1] devem ter a criptografia em repouso ativada

Os OpenSearch domínios [Opensearch.2] não devem ser acessíveis ao público

[RDS.1] Os instantâneos do RDS devem ser privados

[RDS.2] As instâncias de banco de dados do RDS devem proibir o acesso público, conforme determinado pela configuração PubliclyAccessible

[PCI.Redshift.1] Os clusters do Amazon Redshift devem proibir o acesso público

[S3.1] Os buckets de uso geral do S3 devem ter as configurações de bloqueio de acesso público habilitadas

[S3.2] Os buckets de uso geral do S3 devem bloquear o acesso público para leitura

[S3.3] Os buckets de uso geral do S3 devem bloquear o acesso público para gravação

[S3.5] Os buckets de uso geral do S3 devem exigir que as solicitações usem SSL

[S3.7] Os buckets de uso geral do S3 devem usar a replicação entre regiões

[SageMaker.1] As instâncias de SageMaker notebooks da Amazon não devem ter acesso direto à Internet

PCI.SSM.3 As EC2 instâncias da Amazon devem ser gerenciadas pelo AWS Systems Manager

[PCI.SSM.1] EC2 As instâncias da Amazon gerenciadas pelo devem ter um status de conformidade de patch de COMPLIANT (Em conformidade) após a instalação do patch

[PCI.SSM.3] EC2 As instâncias da Amazon gerenciadas pelo devem ter um status de conformidade de associação de COMPATÍVEL

Controles que se aplicam ao PCI DSS v4.0.1

A lista a seguir especifica quais controles do AWS Security Hub Cloud Security Posture Management (CSPM) se aplicam ao PCI DSS v4.0.1. Para revisar os detalhes de um controle, escolha o controle.

[ACM.1] Os certificados importados e emitidos pelo ACM devem ser renovados após um período de tempo especificado

[ACM.2] Os certificados RSA gerenciados pelo ACM devem usar um comprimento de chave de pelo menos 2.048 bits

[APIGateway.9] O registro de acesso deve ser configurado para os estágios V2 do API Gateway

[AppSync.2] AWS AppSync deve ter o registro em nível de campo ativado

[AutoScaling.3] As configurações de lançamento em grupo do Auto Scaling devem EC2 configurar as instâncias para exigir o Instance Metadata Service versão 2 () IMDSv2

[Autoscaling.5] As instâncias da EC2 Amazon lançadas usando as configurações de execução em grupo do Auto Scaling não devem ter endereços IP públicos

[CloudFront.1] CloudFront As distribuições devem ter um objeto raiz padrão configurado

[CloudFront.10] CloudFront As distribuições não devem usar protocolos SSL obsoletos entre pontos de presença e origens personalizadas

[CloudFront.12] CloudFront As distribuições não devem apontar para origens inexistentes do S3

[CloudFront.3] CloudFront As distribuições devem exigir criptografia em trânsito

[CloudFront.5] CloudFront As distribuições devem ter o registro de log ativado

[CloudFront.6] as CloudFront distribuições devem ter a WAF ativada