Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Prácticas operativas recomendadas para el PCI DSS 4.0 (excluye los tipos de recursos globales)
Los paquetes de conformidad proporcionan un marco de cumplimiento de uso general diseñado para permitirle crear controles de seguridad, operativos o de optimización de costos mediante reglas administradas o personalizadas y acciones correctivas. AWS Config AWS Config Los paquetes de conformidad, como plantillas de ejemplo, no están diseñados para garantizar plenamente el cumplimiento de una norma de gobernanza o de conformidad específicas. Usted debe evaluar si su uso de los servicios cumple con los requisitos legales y normativos aplicables.
A continuación, se proporciona un ejemplo de mapeo entre el Estándar de seguridad de datos de la industria de tarjetas de pago (PCI DSS) 4.0 (excluidos los tipos de recursos globales) y las reglas de AWS Config administradas. Cada AWS Config regla se aplica a un AWS recurso específico y se refiere a uno o más controles de PCI DSS. Un control del PCI DSS puede estar relacionado con varias reglas de Config. Consulte la siguiente tabla para obtener más detalles y orientación relacionados con estas asignaciones.
| ID de control | Descripción del control | AWS Regla de configuración | Directrices |
|---|---|---|---|
| 1.2.5 | Los controles de seguridad de la red (NSCs) están configurados y mantenidos. (PCI-DSS-v4.0) | Asegúrese de que un servidor creado con AWS Transfer Family no utilice FTP para la conexión de punto final. La regla es NON_COMPLIANT si el protocolo del servidor para la conexión del punto de conexión está habilitado para FTP. | |
| 1.2.8 | Los controles de seguridad de la red (NSCs) están configurados y mantenidos. (PCI-DSS-v4.0) | Asegúrese de que Amazon API Gateway APIs sea del tipo especificado en el parámetro de regla 'endpointConfigurationType'. La regla devuelve NON_COMPLIANT si la API REST no coincide con el tipo de punto de enlace configurado en el parámetro de regla. | |
| 1.2.8 | Los controles de seguridad de la red (NSCs) están configurados y mantenidos. (PCI-DSS-v4.0) | Asegúrese de que la política AWS de Network Firewall esté configurada con una acción predeterminada sin estado definida por el usuario para los paquetes fragmentados. La regla es NON_COMPLIANT si la acción predeterminada sin estado para los paquetes fragmentados no coincide con la acción predeterminada definida por el usuario. | |
| 1.2.8 | Los controles de seguridad de la red (NSCs) están configurados y mantenidos. (PCI-DSS-v4.0) | Compruebe que el punto de conexión de Amazon Elastic Kubernetes Service (Amazon EKS) no sea de acceso público. La regla es NON_COMPLIANT si el punto de conexión es de acceso público. | |
| 1.2.8 | Los controles de seguridad de la red (NSCs) están configurados y se mantienen. (PCI-DSS-v4.0) | Nota: Para esta regla, el identificador de la regla (INCOMING_SSH_DISABLED) y el nombre de la regla (restricted-ssh) son diferentes. Compruebe que el tráfico SSH entrante de los grupos de seguridad sea accesible. La regla es COMPLIANT si las direcciones IP del tráfico SSH entrante en los grupos de seguridad están restringidas (un CIDR distinto de 0.0.0.0/0 o ::/0). De lo contrario, es NON_COMPLIANT. | |
| 1.2.8 | Los controles de seguridad de la red (NSCs) están configurados y se mantienen. (PCI-DSS-v4.0) | Asegúrese de que AWS AppSync APIs estén asociados a las listas de control de acceso AWS WAFv2 web (ACLs). La regla no es compatible con una AWS AppSync API si no está asociada a una ACL web. | |
| 1.2.8 | Los controles de seguridad de la red (NSCs) están configurados y mantenidos. (PCI-DSS-v4.0) | Compruebe que la URL del repositorio fuente de Bitbucket NO contenga credenciales de inicio de sesión. La regla es NON_COMPLIANT si la URL contiene información de inicio de sesión y COMPLIANT si no la contiene. | |
| 1.2.8 | Los controles de seguridad de la red (NSCs) están configurados y se mantienen. (PCI-DSS-v4.0) | Asegúrese de que los balanceadores de carga clásicos usen certificados SSL proporcionados por AWS Certificate Manager. Para usar esta regla, utilice un agente de escucha SSL o HTTPS con su Classic Load Balancer. Nota: Esta regla solo se aplica a los equilibradores de carga clásicos. Esta regla no comprueba los Application Load Balancers ni los Network Load Balancers. | |
| 1.2.8 | Los controles de seguridad de la red (NSCs) están configurados y mantenidos. (PCI-DSS-v4.0) | Compruebe que haya una cuenta de Amazon EMR con la configuración de bloqueo de acceso público habilitada. La regla no cumple con los requisitos si BlockPublicSecurityGroupRules es falsa o, si es verdadera, aparecen los puertos distintos del puerto 22. PermittedPublicSecurityGroupRuleRanges | |
| 1.2.8 | Los controles de seguridad de la red (NSCs) están configurados y mantenidos. (PCI-DSS-v4.0) | Asegúrese de que los puertos predeterminados para el tráfico de entrada SSH/RDP de las listas de control de acceso a la red () estén restringidos. NACLs La regla es NON_COMPLIANT si una entrada entrante de la NACL permite un bloque CIDR TCP o UDP de origen para los puertos 22 o 3389. | |
| 1.2.8 | Los controles de seguridad de la red (NSCs) están configurados y mantenidos. (PCI-DSS-v4.0) | Asegúrese de que las reglas de autorización de AWS Client VPN no autoricen el acceso a la conexión para todos los clientes. La regla es NON_COMPLIANT si 'AccessAll' está presente y se establece en true. | |
| 1.2.8 | Los controles de seguridad de la red (NSCs) están configurados y mantenidos. (PCI-DSS-v4.0) | Compruebe que las puertas de enlace de Internet estén asociadas a una nube privada virtual autorizada (Amazon VPC). La regla es NON_COMPLIANT si las puertas de enlace de Internet están conectadas a una VPC no autorizada. | |
| 1.2.8 | Los controles de seguridad de la red (NSCs) están configurados y se mantienen. (PCI-DSS-v4.0) | Compruebe que los puntos de acceso de Amazon S3 tengan habilitada la configuración de bloqueo del acceso público. La regla NON_COMPLIANT si la configuración de bloqueo de acceso público no está habilitada para los puntos de acceso de S3. | |
| 1.2.8 | Los controles de seguridad de la red (NSCs) están configurados y se mantienen. (PCI-DSS-v4.0) | Compruebe que la configuración requerida del bloqueo de acceso público se haya configurado desde el nivel de cuenta. La regla sólo es NON_COMPLIANT cuando los campos establecidos a continuación no coinciden con los campos correspondientes en el elemento de configuración. | |
| 1.3.1 | El acceso a la red desde el entorno de datos del titular de la tarjeta, y hacia este, está restringido. (PCI-DSS-v4.0) | Asegúrese de que Amazon API Gateway APIs sea del tipo especificado en el parámetro de regla 'endpointConfigurationType'. La regla devuelve NON_COMPLIANT si la API REST no coincide con el tipo de punto de enlace configurado en el parámetro de regla. | |
| 1.3.1 | El acceso a la red desde el entorno de datos del titular de la tarjeta, y hacia este, está restringido. (PCI-DSS-v4.0) | Asegúrese de que la política AWS de Network Firewall esté configurada con una acción predeterminada sin estado definida por el usuario para los paquetes fragmentados. La regla es NON_COMPLIANT si la acción predeterminada sin estado para los paquetes fragmentados no coincide con la acción predeterminada definida por el usuario. | |
| 1.3.1 | El acceso a la red desde el entorno de datos del titular de la tarjeta, y hacia este, está restringido. (PCI-DSS-v4.0) | Asegúrese de que los clústeres de Amazon Redshift tengan 'enhancedVpcRouting' activado. La regla no cumple con las normas si 'enhancedVpcRouting' no está habilitada o si la configuración no está habilitada. enhancedVpcRouting el campo es «falso». | |
| 1.3.1 | El acceso a la red desde el entorno de datos del titular de la tarjeta, y hacia este, está restringido. (PCI-DSS-v4.0) | Compruebe que el punto de conexión de Amazon Elastic Kubernetes Service (Amazon EKS) no sea de acceso público. La regla es NON_COMPLIANT si el punto de conexión es de acceso público. | |
| 1.3.1 | El acceso a la red desde el entorno de datos del titular de la tarjeta, y hacia este, está restringido. (PCI-DSS-v4.0) | Nota: Para esta regla, el identificador de la regla (INCOMING_SSH_DISABLED) y el nombre de la regla (restricted-ssh) son diferentes. Compruebe que el tráfico SSH entrante de los grupos de seguridad sea accesible. La regla es COMPLIANT si las direcciones IP del tráfico SSH entrante en los grupos de seguridad están restringidas (un CIDR distinto de 0.0.0.0/0 o ::/0). De lo contrario, es NON_COMPLIANT. | |
| 1.3.1 | El acceso a la red desde el entorno de datos del titular de la tarjeta, y hacia este, está restringido. (PCI-DSS-v4.0) | Asegúrese de que AWS AppSync APIs estén asociados a las listas de control de acceso a la AWS WAFv2 web ()ACLs. La regla no es compatible con una AWS AppSync API si no está asociada a una ACL web. | |
| 1.3.1 | El acceso a la red desde el entorno de datos del titular de la tarjeta, y hacia este, está restringido. (PCI-DSS-v4.0) | Compruebe que la URL del repositorio fuente de Bitbucket NO contenga credenciales de inicio de sesión. La regla es NON_COMPLIANT si la URL contiene información de inicio de sesión y COMPLIANT si no la contiene. | |
| 1.3.1 | El acceso a la red desde el entorno de datos del titular de la tarjeta, y hacia este, está restringido. (PCI-DSS-v4.0) | Asegúrese de que los balanceadores de carga clásicos usen certificados SSL proporcionados por AWS Certificate Manager. Para usar esta regla, utilice un agente de escucha SSL o HTTPS con su Classic Load Balancer. Nota: Esta regla solo se aplica a los equilibradores de carga clásicos. Esta regla no comprueba los Application Load Balancers ni los Network Load Balancers. | |
| 1.3.1 | El acceso a la red desde el entorno de datos del titular de la tarjeta, y hacia este, está restringido. (PCI-DSS-v4.0) | Compruebe que haya una cuenta de Amazon EMR con la configuración de bloqueo de acceso público habilitada. La regla no es compatible si BlockPublicSecurityGroupRules es falsa o, si es verdadera, aparecen puertos distintos del puerto 22. PermittedPublicSecurityGroupRuleRanges | |
| 1.3.1 | El acceso a la red desde el entorno de datos del titular de la tarjeta, y hacia este, está restringido. (PCI-DSS-v4.0) | Asegúrese de que los puertos predeterminados para el tráfico de entrada SSH/RDP de las listas de control de acceso a la red () estén restringidos. NACLs La regla es NON_COMPLIANT si una entrada entrante de la NACL permite un bloque CIDR TCP o UDP de origen para los puertos 22 o 3389. | |
| 1.3.1 | El acceso a la red desde el entorno de datos del titular de la tarjeta, y hacia este, está restringido. (PCI-DSS-v4.0) | Asegúrese de que las reglas de autorización de AWS Client VPN no autoricen el acceso a la conexión para todos los clientes. La regla es NON_COMPLIANT si 'AccessAll' está presente y se establece en true. | |
| 1.3.1 | El acceso a la red desde el entorno de datos del titular de la tarjeta, y hacia este, está restringido. (PCI-DSS-v4.0) | Compruebe que las puertas de enlace de Internet estén asociadas a una nube privada virtual autorizada (Amazon VPC). La regla es NON_COMPLIANT si las puertas de enlace de Internet están conectadas a una VPC no autorizada. | |
| 1.3.1 | El acceso a la red desde el entorno de datos del titular de la tarjeta, y hacia este, está restringido. (PCI-DSS-v4.0) | Compruebe que los puntos de acceso de Amazon S3 tengan habilitada la configuración de bloqueo del acceso público. La regla NON_COMPLIANT si la configuración de bloqueo de acceso público no está habilitada para los puntos de acceso de S3. | |
| 1.3.1 | El acceso a la red desde el entorno de datos del titular de la tarjeta, y hacia este, está restringido. (PCI-DSS-v4.0) | Compruebe que la configuración requerida del bloqueo de acceso público se haya configurado desde el nivel de cuenta. La regla sólo es NON_COMPLIANT cuando los campos establecidos a continuación no coinciden con los campos correspondientes en el elemento de configuración. | |
| 1.3.2 | El acceso a la red desde el entorno de datos del titular de la tarjeta, y hacia este, está restringido. (PCI-DSS-v4.0) | Asegúrese de que Amazon API Gateway APIs sea del tipo especificado en el parámetro de regla 'endpointConfigurationType'. La regla devuelve NON_COMPLIANT si la API REST no coincide con el tipo de punto de enlace configurado en el parámetro de regla. | |
| 1.3.2 | El acceso a la red desde el entorno de datos del titular de la tarjeta, y hacia este, está restringido. (PCI-DSS-v4.0) | Asegúrese de que la política AWS de Network Firewall esté configurada con una acción predeterminada sin estado definida por el usuario para los paquetes fragmentados. La regla es NON_COMPLIANT si la acción predeterminada sin estado para los paquetes fragmentados no coincide con la acción predeterminada definida por el usuario. | |
| 1.3.2 | El acceso a la red desde el entorno de datos del titular de la tarjeta, y hacia este, está restringido. (PCI-DSS-v4.0) | Asegúrese de que los clústeres de Amazon Redshift tengan 'enhancedVpcRouting' activado. La regla no cumple con las normas si 'enhancedVpcRouting' no está habilitada o si la configuración no está habilitada. enhancedVpcRouting el campo es «falso». | |
| 1.3.2 | El acceso a la red desde el entorno de datos del titular de la tarjeta, y hacia este, está restringido. (PCI-DSS-v4.0) | Compruebe que el punto de conexión de Amazon Elastic Kubernetes Service (Amazon EKS) no sea de acceso público. La regla es NON_COMPLIANT si el punto de conexión es de acceso público. | |
| 1.3.2 | El acceso a la red desde el entorno de datos del titular de la tarjeta, y hacia este, está restringido. (PCI-DSS-v4.0) | Nota: Para esta regla, el identificador de la regla (INCOMING_SSH_DISABLED) y el nombre de la regla (restricted-ssh) son diferentes. Compruebe que el tráfico SSH entrante de los grupos de seguridad sea accesible. La regla es COMPLIANT si las direcciones IP del tráfico SSH entrante en los grupos de seguridad están restringidas (un CIDR distinto de 0.0.0.0/0 o ::/0). De lo contrario, es NON_COMPLIANT. | |
| 1.3.2 | El acceso a la red desde el entorno de datos del titular de la tarjeta, y hacia este, está restringido. (PCI-DSS-v4.0) | Asegúrese de que AWS AppSync APIs estén asociados a las listas de control de acceso a la AWS WAFv2 web ()ACLs. La regla no es compatible con una AWS AppSync API si no está asociada a una ACL web. | |
| 1.3.2 | El acceso a la red desde el entorno de datos del titular de la tarjeta, y hacia este, está restringido. (PCI-DSS-v4.0) | Compruebe que la URL del repositorio fuente de Bitbucket NO contenga credenciales de inicio de sesión. La regla es NON_COMPLIANT si la URL contiene información de inicio de sesión y COMPLIANT si no la contiene. | |
| 1.3.2 | El acceso a la red desde el entorno de datos del titular de la tarjeta, y hacia este, está restringido. (PCI-DSS-v4.0) | Asegúrese de que los balanceadores de carga clásicos usen certificados SSL proporcionados por AWS Certificate Manager. Para usar esta regla, utilice un agente de escucha SSL o HTTPS con su Classic Load Balancer. Nota: Esta regla solo se aplica a los equilibradores de carga clásicos. Esta regla no comprueba los Application Load Balancers ni los Network Load Balancers. | |
| 1.3.2 | El acceso a la red desde el entorno de datos del titular de la tarjeta, y hacia este, está restringido. (PCI-DSS-v4.0) | Compruebe que haya una cuenta de Amazon EMR con la configuración de bloqueo de acceso público habilitada. La regla no es compatible si BlockPublicSecurityGroupRules es falsa o, si es verdadera, aparecen puertos distintos del puerto 22. PermittedPublicSecurityGroupRuleRanges | |
| 1.3.2 | El acceso a la red desde el entorno de datos del titular de la tarjeta, y hacia este, está restringido. (PCI-DSS-v4.0) | Asegúrese de que los puertos predeterminados para el tráfico de entrada SSH/RDP de las listas de control de acceso a la red () estén restringidos. NACLs La regla es NON_COMPLIANT si una entrada entrante de la NACL permite un bloque CIDR TCP o UDP de origen para los puertos 22 o 3389. | |
| 1.3.2 | El acceso a la red desde el entorno de datos del titular de la tarjeta, y hacia este, está restringido. (PCI-DSS-v4.0) | Asegúrese de que las reglas de autorización de AWS Client VPN no autoricen el acceso a la conexión para todos los clientes. La regla es NON_COMPLIANT si 'AccessAll' está presente y se establece en true. | |
| 1.3.2 | El acceso a la red desde el entorno de datos del titular de la tarjeta, y hacia este, está restringido. (PCI-DSS-v4.0) | Compruebe que las puertas de enlace de Internet estén asociadas a una nube privada virtual autorizada (Amazon VPC). La regla es NON_COMPLIANT si las puertas de enlace de Internet están conectadas a una VPC no autorizada. | |
| 1.3.2 | El acceso a la red desde el entorno de datos del titular de la tarjeta, y hacia este, está restringido. (PCI-DSS-v4.0) | Compruebe que los puntos de acceso de Amazon S3 tengan habilitada la configuración de bloqueo del acceso público. La regla NON_COMPLIANT si la configuración de bloqueo de acceso público no está habilitada para los puntos de acceso de S3. | |
| 1.3.2 | El acceso a la red desde el entorno de datos del titular de la tarjeta, y hacia este, está restringido. (PCI-DSS-v4.0) | Compruebe que la configuración requerida del bloqueo de acceso público se haya configurado desde el nivel de cuenta. La regla sólo es NON_COMPLIANT cuando los campos establecidos a continuación no coinciden con los campos correspondientes en el elemento de configuración. | |
| 1.4.1 | Las conexiones de red entre redes confiables y no confiables están controladas. (PCI-DSS-v4.0) | Asegúrese de que Amazon API Gateway APIs sea del tipo especificado en el parámetro de regla 'endpointConfigurationType'. La regla devuelve NON_COMPLIANT si la API REST no coincide con el tipo de punto de enlace configurado en el parámetro de regla. | |
| 1.4.1 | Las conexiones de red entre redes confiables y no confiables están controladas. (PCI-DSS-v4.0) | Asegúrese de que los clústeres de Amazon Redshift tengan 'enhancedVpcRouting' activado. La regla no cumple con las normas si 'enhancedVpcRouting' no está habilitada o si la configuración no está habilitada. enhancedVpcRouting el campo es «falso». | |
| 1.4.1 | Las conexiones de red entre redes confiables y no confiables están controladas. (PCI-DSS-v4.0) | Compruebe que las puertas de enlace de Internet estén asociadas a una nube privada virtual autorizada (Amazon VPC). La regla es NON_COMPLIANT si las puertas de enlace de Internet están conectadas a una VPC no autorizada. | |
| 1.4.2 | Las conexiones de red entre redes confiables y no confiables están controladas. (PCI-DSS-v4.0) | Asegúrese de que Amazon API Gateway APIs sea del tipo especificado en el parámetro de regla 'endpointConfigurationType'. La regla devuelve NON_COMPLIANT si la API REST no coincide con el tipo de punto de enlace configurado en el parámetro de regla. | |
| 1.4.2 | Las conexiones de red entre redes confiables y no confiables están controladas. (PCI-DSS-v4.0) | Asegúrese de que el certificado asociado a una CloudFront distribución de Amazon no sea el certificado SSL predeterminado. La regla no es conforme si una CloudFront distribución utiliza el certificado SSL predeterminado. | |
| 1.4.2 | Las conexiones de red entre redes confiables y no confiables están controladas. (PCI-DSS-v4.0) | Asegúrese de que la política AWS de Network Firewall esté configurada con una acción predeterminada sin estado definida por el usuario para los paquetes fragmentados. La regla es NON_COMPLIANT si la acción predeterminada sin estado para los paquetes fragmentados no coincide con la acción predeterminada definida por el usuario. | |
| 1.4.2 | Las conexiones de red entre redes confiables y no confiables están controladas. (PCI-DSS-v4.0) | Asegúrese de que los clústeres de Amazon Redshift tengan 'enhancedVpcRouting' activado. La regla no cumple con las normas si 'enhancedVpcRouting' no está habilitada o si la configuración no está habilitada. enhancedVpcRouting el campo es «falso». | |
| 1.4.2 | Las conexiones de red entre redes confiables y no confiables están controladas. (PCI-DSS-v4.0) | Compruebe que el punto de conexión de Amazon Elastic Kubernetes Service (Amazon EKS) no sea de acceso público. La regla es NON_COMPLIANT si el punto de conexión es de acceso público. | |
| 1.4.2 | Las conexiones de red entre redes confiables y no confiables están controladas. (PCI-DSS-v4.0) | Nota: Para esta regla, el identificador de la regla (INCOMING_SSH_DISABLED) y el nombre de la regla (restricted-ssh) son diferentes. Compruebe que el tráfico SSH entrante de los grupos de seguridad sea accesible. La regla es COMPLIANT si las direcciones IP del tráfico SSH entrante en los grupos de seguridad están restringidas (un CIDR distinto de 0.0.0.0/0 o ::/0). De lo contrario, es NON_COMPLIANT. | |
| 1.4.2 | Las conexiones de red entre redes confiables y no confiables están controladas. (PCI-DSS-v4.0) | Asegúrese de que AWS AppSync APIs estén asociados a las listas de control de acceso a la AWS WAFv2 web ()ACLs. La regla no es compatible con una AWS AppSync API si no está asociada a una ACL web. | |
| 1.4.2 | Las conexiones de red entre redes confiables y no confiables están controladas. (PCI-DSS-v4.0) | Compruebe que la URL del repositorio fuente de Bitbucket NO contenga credenciales de inicio de sesión. La regla es NON_COMPLIANT si la URL contiene información de inicio de sesión y COMPLIANT si no la contiene. | |
| 1.4.2 | Las conexiones de red entre redes confiables y no confiables están controladas. (PCI-DSS-v4.0) | Asegúrese de que los balanceadores de carga clásicos usen certificados SSL proporcionados por AWS Certificate Manager. Para usar esta regla, utilice un agente de escucha SSL o HTTPS con su Classic Load Balancer. Nota: Esta regla solo se aplica a los equilibradores de carga clásicos. Esta regla no comprueba los Application Load Balancers ni los Network Load Balancers. | |
| 1.4.2 | Las conexiones de red entre redes confiables y no confiables están controladas. (PCI-DSS-v4.0) | Compruebe que haya una cuenta de Amazon EMR con la configuración de bloqueo de acceso público habilitada. La regla no es compatible si BlockPublicSecurityGroupRules es falsa o, si es verdadera, aparecen puertos distintos del puerto 22. PermittedPublicSecurityGroupRuleRanges | |
| 1.4.2 | Las conexiones de red entre redes confiables y no confiables están controladas. (PCI-DSS-v4.0) | Asegúrese de que los puertos predeterminados para el tráfico de entrada SSH/RDP de las listas de control de acceso a la red () estén restringidos. NACLs La regla es NON_COMPLIANT si una entrada entrante de la NACL permite un bloque CIDR TCP o UDP de origen para los puertos 22 o 3389. | |
| 1.4.2 | Las conexiones de red entre redes confiables y no confiables están controladas. (PCI-DSS-v4.0) | Asegúrese de que las reglas de autorización de AWS Client VPN no autoricen el acceso a la conexión para todos los clientes. La regla es NON_COMPLIANT si 'AccessAll' está presente y se establece en true. | |
| 1.4.2 | Las conexiones de red entre redes confiables y no confiables están controladas. (PCI-DSS-v4.0) | Compruebe que las puertas de enlace de Internet estén asociadas a una nube privada virtual autorizada (Amazon VPC). La regla es NON_COMPLIANT si las puertas de enlace de Internet están conectadas a una VPC no autorizada. | |
| 1.4.2 | Las conexiones de red entre redes confiables y no confiables están controladas. (PCI-DSS-v4.0) | Compruebe que los puntos de acceso de Amazon S3 tengan habilitada la configuración de bloqueo del acceso público. La regla NON_COMPLIANT si la configuración de bloqueo de acceso público no está habilitada para los puntos de acceso de S3. | |
| 1.4.2 | Las conexiones de red entre redes confiables y no confiables están controladas. (PCI-DSS-v4.0) | Compruebe que la configuración requerida del bloqueo de acceso público se haya configurado desde el nivel de cuenta. La regla sólo es NON_COMPLIANT cuando los campos establecidos a continuación no coinciden con los campos correspondientes en el elemento de configuración. | |
| 1.4.3 | Las conexiones de red entre redes confiables y no confiables están controladas. (PCI-DSS-v4.0) | Asegúrese de que la política AWS de Network Firewall esté configurada con una acción predeterminada sin estado definida por el usuario para los paquetes fragmentados. La regla es NON_COMPLIANT si la acción predeterminada sin estado para los paquetes fragmentados no coincide con la acción predeterminada definida por el usuario. | |
| 1.4.3 | Las conexiones de red entre redes confiables y no confiables están controladas. (PCI-DSS-v4.0) | Asegúrese de que la política AWS de Network Firewall esté configurada con una acción predeterminada sin estado definida por el usuario para los paquetes fragmentados. La regla es NON_COMPLIANT si la acción predeterminada sin estado para los paquetes fragmentados no coincide con la acción predeterminada definida por el usuario. | |
| 1.4.3 | Las conexiones de red entre redes confiables y no confiables están controladas. (PCI-DSS-v4.0) | Asegúrese de que la política de AWS Network Firewall esté configurada con una acción sin estado predeterminada definida por el usuario para los paquetes completos. La regla es NON_COMPLIANT si la acción predeterminada sin estado para los paquetes completos no coincide con la acción predeterminada sin estado definida por el usuario. | |
| 1.4.4 | Las conexiones de red entre redes confiables y no confiables están controladas. (PCI-DSS-v4.0) | Asegúrese de que Amazon API Gateway APIs sea del tipo especificado en el parámetro de regla 'endpointConfigurationType'. La regla devuelve NON_COMPLIANT si la API REST no coincide con el tipo de punto de enlace configurado en el parámetro de regla. | |
| 1.4.4 | Las conexiones de red entre redes confiables y no confiables están controladas. (PCI-DSS-v4.0) | Asegúrese de que los clústeres de Amazon Redshift tengan 'enhancedVpcRouting' activado. La regla no cumple con las normas si 'enhancedVpcRouting' no está habilitada o si la configuración no está habilitada. enhancedVpcRouting el campo es «falso». | |
| 1.4.4 | Las conexiones de red entre redes confiables y no confiables están controladas. (PCI-DSS-v4.0) | Compruebe que las puertas de enlace de Internet estén asociadas a una nube privada virtual autorizada (Amazon VPC). La regla es NON_COMPLIANT si las puertas de enlace de Internet están conectadas a una VPC no autorizada. | |
| 1.4.5 | Las conexiones de red entre redes confiables y no confiables están controladas. (PCI-DSS-v4.0) | Asegúrese de que ECSTask las definiciones estén configuradas para compartir el espacio de nombres de procesos de un host con sus contenedores de Amazon Elastic Container Service (Amazon ECS). La regla es NON_COMPLIANT si el parámetro pidMode está establecido en “host”. | |
| 1.4.5 | Las conexiones de red entre redes confiables y no confiables están controladas. (PCI-DSS-v4.0) | Asegúrese de que las plantillas de EC2 lanzamiento de Amazon no estén configuradas para asignar direcciones IP públicas a las interfaces de red. La regla no cumple con los requisitos si la versión predeterminada de una plantilla de EC2 lanzamiento tiene al menos una interfaz de red con el valor «AssociatePublicIpAddressverdadero». | |
| 1.5.1 | Se han mitigado los riesgos para el CDE desde dispositivos de computación con capacidad de conexión al CDE y a redes no confiables. (PCI-DSS-v4.0) | Asegúrese de que Amazon API Gateway APIs sea del tipo especificado en el parámetro de regla 'endpointConfigurationType'. La regla devuelve NON_COMPLIANT si la API REST no coincide con el tipo de punto de enlace configurado en el parámetro de regla. | |
| 1.5.1 | Se han mitigado los riesgos para el CDE desde dispositivos de computación con capacidad de conexión al CDE y a redes no confiables. (PCI-DSS-v4.0) | Asegúrese de que la política AWS de Network Firewall esté configurada con una acción predeterminada sin estado definida por el usuario para los paquetes fragmentados. La regla es NON_COMPLIANT si la acción predeterminada sin estado para los paquetes fragmentados no coincide con la acción predeterminada definida por el usuario. | |
| 1.5.1 | Se han mitigado los riesgos para el CDE desde dispositivos de computación con capacidad de conexión al CDE y a redes no confiables. (PCI-DSS-v4.0) | Compruebe que el punto de conexión de Amazon Elastic Kubernetes Service (Amazon EKS) no sea de acceso público. La regla es NON_COMPLIANT si el punto de conexión es de acceso público. | |
| 1.5.1 | Se han mitigado los riesgos para el CDE desde dispositivos de computación con capacidad de conexión al CDE y a redes no confiables. (PCI-DSS-v4.0) | Nota: Para esta regla, el identificador de la regla (INCOMING_SSH_DISABLED) y el nombre de la regla (restricted-ssh) son diferentes. Compruebe que el tráfico SSH entrante de los grupos de seguridad sea accesible. La regla es COMPLIANT si las direcciones IP del tráfico SSH entrante en los grupos de seguridad están restringidas (un CIDR distinto de 0.0.0.0/0 o ::/0). De lo contrario, es NON_COMPLIANT. | |
| 1.5.1 | Se han mitigado los riesgos para el CDE desde dispositivos de computación con capacidad de conexión al CDE y a redes no confiables. (PCI-DSS-v4.0) | Asegúrese de que AWS AppSync APIs estén asociadas a las listas de control de acceso AWS WAFv2 web ()ACLs. La regla no es compatible con una AWS AppSync API si no está asociada a una ACL web. | |
| 1.5.1 | Se han mitigado los riesgos para el CDE desde dispositivos de computación con capacidad de conexión al CDE y a redes no confiables. (PCI-DSS-v4.0) | Compruebe que la URL del repositorio fuente de Bitbucket NO contenga credenciales de inicio de sesión. La regla es NON_COMPLIANT si la URL contiene información de inicio de sesión y COMPLIANT si no la contiene. | |
| 1.5.1 | Se han mitigado los riesgos para el CDE desde dispositivos de computación con capacidad de conexión al CDE y a redes no confiables. (PCI-DSS-v4.0) | Asegúrese de que los balanceadores de carga clásicos usen certificados SSL proporcionados por AWS Certificate Manager. Para usar esta regla, utilice un agente de escucha SSL o HTTPS con su Classic Load Balancer. Nota: Esta regla solo se aplica a los equilibradores de carga clásicos. Esta regla no comprueba los Application Load Balancers ni los Network Load Balancers. | |
| 1.5.1 | Se han mitigado los riesgos para el CDE desde dispositivos de computación con capacidad de conexión al CDE y a redes no confiables. (PCI-DSS-v4.0) | Compruebe que haya una cuenta de Amazon EMR con la configuración de bloqueo de acceso público habilitada. La regla no es compatible si BlockPublicSecurityGroupRules es falsa o, si es verdadera, aparecen puertos distintos del puerto 22. PermittedPublicSecurityGroupRuleRanges | |
| 1.5.1 | Se han mitigado los riesgos para el CDE desde dispositivos de computación con capacidad de conexión al CDE y a redes no confiables. (PCI-DSS-v4.0) | Asegúrese de que los puertos predeterminados para el tráfico de entrada SSH/RDP de las listas de control de acceso a la red () estén restringidos. NACLs La regla es NON_COMPLIANT si una entrada entrante de la NACL permite un bloque CIDR TCP o UDP de origen para los puertos 22 o 3389. | |
| 1.5.1 | Se han mitigado los riesgos para el CDE desde dispositivos de computación con capacidad de conexión al CDE y a redes no confiables. (PCI-DSS-v4.0) | Asegúrese de que las reglas de autorización de AWS Client VPN no autoricen el acceso a la conexión para todos los clientes. La regla es NON_COMPLIANT si 'AccessAll' está presente y se establece en true. | |
| 1.5.1 | Se han mitigado los riesgos para el CDE desde dispositivos de computación con capacidad de conexión al CDE y a redes no confiables. (PCI-DSS-v4.0) | Compruebe que las puertas de enlace de Internet estén asociadas a una nube privada virtual autorizada (Amazon VPC). La regla es NON_COMPLIANT si las puertas de enlace de Internet están conectadas a una VPC no autorizada. | |
| 1.5.1 | Se han mitigado los riesgos para el CDE desde dispositivos de computación con capacidad de conexión al CDE y a redes no confiables. (PCI-DSS-v4.0) | Compruebe que los puntos de acceso de Amazon S3 tengan habilitada la configuración de bloqueo del acceso público. La regla NON_COMPLIANT si la configuración de bloqueo de acceso público no está habilitada para los puntos de acceso de S3. | |
| 1.5.1 | Se han mitigado los riesgos para el CDE desde dispositivos de computación con capacidad de conexión al CDE y a redes no confiables. (PCI-DSS-v4.0) | Compruebe que la configuración requerida del bloqueo de acceso público se haya configurado desde el nivel de cuenta. La regla sólo es NON_COMPLIANT cuando los campos establecidos a continuación no coinciden con los campos correspondientes en el elemento de configuración. | |
| 10.2.1 | Se han implementado registros de auditoría como apoyo para la detección de anomalías y actividades sospechosas, así como para el análisis forense de los eventos. (PCI-DSS-v4.0) | Compruebe que las etapas de Amazon API Gateway V2 tengan habilitado el registro de acceso. La regla no es compatible si 'accessLogSettings' no está presente en la configuración de Stage. | |
| 10.2.1 | Se han implementado registros de auditoría como apoyo para la detección de anomalías y actividades sospechosas, así como para el análisis forense de los eventos. (PCI-DSS-v4.0) | Asegúrese de que el rastreo de AWS X-Ray esté habilitado en Amazon API Gateway APIs REST. La regla es COMPLIANT si el rastreo de X-Ray está habilitado y NON_COMPLIANT cuando no lo está. | |
| 10.2.1 | Se han implementado registros de auditoría como apoyo para la detección de anomalías y actividades sospechosas, así como para el análisis forense de los eventos. (PCI-DSS-v4.0) | Asegúrese de que un clúster de Amazon Neptune tenga habilitada la exportación de CloudWatch registros para los registros de auditoría. La regla no es compatible si un clúster de Neptune no tiene habilitada la exportación de registros para los CloudWatch registros de auditoría. | |
| 10.2.1 | Se han implementado registros de auditoría como apoyo para la detección de anomalías y actividades sospechosas, así como para el análisis forense de los eventos. (PCI-DSS-v4.0) | Compruebe que logConfiguration esté configurado como activo en las definiciones de tareas de Amazon ECS. Esta regla no es compatible si una ECSTask definición activa no tiene definido el recurso LogConfiguration o si el valor de LogConfiguration es nulo en al menos una definición de contenedor. | |
| 10.2.1 | Se han implementado registros de auditoría como apoyo para la detección de anomalías y actividades sospechosas, así como para el análisis forense de los eventos. (PCI-DSS-v4.0) | Nota: Para esta regla, el identificador de la regla (CLOUD_TRAIL_ENABLED) y el nombre de la regla (cloudtrail-enabled) son diferentes. Asegúrese de que haya una AWS CloudTrail ruta habilitada en su AWS cuenta. La regla es NON_COMPLIANT si no hay ningún registro de seguimiento habilitado. De forma opcional, la regla comprueba un bucket de S3, un tema de Amazon Simple Notification Service (Amazon SNS) y un grupo de registros específicos. CloudWatch | |
| 10.2.1 | Se han implementado registros de auditoría como apoyo para la detección de anomalías y actividades sospechosas, así como para el análisis forense de los eventos. (PCI-DSS-v4.0) | Nota: para esta regla, el identificador de la regla (MULTI_REGION_CLOUD_TRAIL_ENABLED) y el nombre de la regla () son diferentes. multi-region-cloudtrail-enabled Asegúrese de que haya al menos una región múltiple. AWS CloudTrail La regla es NON_COMPLIANT si los registros de seguimiento no coinciden con los parámetros de entrada. La regla es NON_COMPLIANT si el ExcludeManagementEventSources campo no está vacío o si AWS CloudTrail está configurado para excluir eventos de administración, como eventos de AWS KMS o eventos de Amazon RDS Data API. | |
| 10.2.1 | Se han implementado registros de auditoría como apoyo para la detección de anomalías y actividades sospechosas, así como para el análisis forense de los eventos. (PCI-DSS-v4.0) | Asegúrese de que la AWS AppSync API tenga habilitado el registro. La regla NO ES COMPATIBLE si el registro no está habilitado o «fieldLogLevel» no es ERROR ni ALL. | |
| 10.2.1 | Se han implementado registros de auditoría como apoyo para la detección de anomalías y actividades sospechosas, así como para el análisis forense de los eventos. (PCI-DSS-v4.0) | Asegúrese de que los agentes de Amazon MQ tengan activado el registro de CloudWatch auditoría de Amazon. La regla es NON_COMPLIANT si un agente no tiene activado el registro de auditoría. | |
| 10.2.1 | Se han implementado registros de auditoría como apoyo para la detección de anomalías y actividades sospechosas, así como para el análisis forense de los eventos. (PCI-DSS-v4.0) | Asegúrese de que un agente de Amazon MQ tenga activado el registro CloudWatch de auditoría. La regla es NON_COMPLIANT si el agente no tiene habilitado el registro de auditoría. | |
| 10.2.1 | Se han implementado registros de auditoría como apoyo para la detección de anomalías y actividades sospechosas, así como para el análisis forense de los eventos. (PCI-DSS-v4.0) | Compruebe que haya un clúster de Amazon Elastic Kubernetes Service (Amazon EKS) configurado y con el registro habilitado. La regla es NON_COMPLIANT si el registro de los clústeres de Amazon EKS no está habilitado para todos los tipos de registro. | |
| 10.2.1 | Se han implementado registros de auditoría como apoyo para la detección de anomalías y actividades sospechosas, así como para el análisis forense de los eventos. (PCI-DSS-v4.0) | Asegúrese de que los entornos de AWS Elastic Beanstalk estén configurados para enviar registros a Amazon Logs. CloudWatch La regla no es conforme si el valor de `` es falso. StreamLogs | |
| 10.2.1 | Se han implementado registros de auditoría como apoyo para la detección de anomalías y actividades sospechosas, así como para el análisis forense de los eventos. (PCI-DSS-v4.0) | Asegúrese de que la máquina AWS Step Functions tenga activado el registro. La regla es NON_COMPLIANT si una máquina de estado no tiene el registro activado o si la configuración de registro no se encuentra en el nivel mínimo indicado. | |
| 10.2.1 | Se han implementado registros de auditoría como apoyo para la detección de anomalías y actividades sospechosas, así como para el análisis forense de los eventos. (PCI-DSS-v4.0) | Asegúrese de que los firewalls de AWS Network Firewall tengan habilitado el registro. La regla es NON_COMPLIANT si el tipo de registro no está configurado. Puede especificar qué tipo de registro desea que compruebe la regla. | |
| 10.2.1.1 | Se han implementado registros de auditoría como apoyo para la detección de anomalías y actividades sospechosas, así como para el análisis forense de los eventos. (PCI-DSS-v4.0) | Compruebe que las etapas de Amazon API Gateway V2 tengan habilitado el registro de acceso. La regla no es compatible si 'accessLogSettings' no está presente en la configuración del escenario. | |
| 10.2.1.1 | Se han implementado registros de auditoría como apoyo para la detección de anomalías y actividades sospechosas, así como para el análisis forense de los eventos. (PCI-DSS-v4.0) | Asegúrese de que el rastreo de AWS X-Ray esté habilitado en Amazon API Gateway APIs REST. La regla es COMPLIANT si el rastreo de X-Ray está habilitado y NON_COMPLIANT cuando no lo está. | |
| 10.2.1.1 | Se han implementado registros de auditoría como apoyo para la detección de anomalías y actividades sospechosas, así como para el análisis forense de los eventos. (PCI-DSS-v4.0) | Asegúrese de que un clúster de Amazon Neptune tenga habilitada la exportación de CloudWatch registros para los registros de auditoría. La regla no es compatible si un clúster de Neptune no tiene habilitada la exportación de registros para los CloudWatch registros de auditoría. | |
| 10.2.1.1 | Se han implementado registros de auditoría como apoyo para la detección de anomalías y actividades sospechosas, así como para el análisis forense de los eventos. (PCI-DSS-v4.0) | Asegúrese de que la supervisión detallada esté habilitada para EC2 las instancias. La regla es NON_COMPLIANT si la supervisión detallada no está habilitada. | |
| 10.2.1.1 | Se han implementado registros de auditoría como apoyo para la detección de anomalías y actividades sospechosas, así como para el análisis forense de los eventos. (PCI-DSS-v4.0) | Compruebe que logConfiguration esté configurado como activo en las definiciones de tareas de Amazon ECS. Esta regla no es compatible si una ECSTask definición activa no tiene definido el recurso LogConfiguration o si el valor de LogConfiguration es nulo en al menos una definición de contenedor. | |
| 10.2.1.1 | Se han implementado registros de auditoría como apoyo para la detección de anomalías y actividades sospechosas, así como para el análisis forense de los eventos. (PCI-DSS-v4.0) | Asegúrese de que CloudWatch las alarmas tengan una acción configurada para los estados ALARM, INSUFFICIENT_DATA o OK. Como factor opcional, compruebe que haya acciones que coincidan con un ARN indicado. La regla es NON_COMPLIANT si no se ha especificado ninguna acción para la alarma o el parámetro opcional. | |
| 10.2.1.1 | Se han implementado registros de auditoría como apoyo para la detección de anomalías y actividades sospechosas, así como para el análisis forense de los eventos. (PCI-DSS-v4.0) | Asegúrese de que CloudWatch las alarmas tengan una acción configurada para los estados ALARM, INSUFFICIENT_DATA o OK. Como factor opcional, compruebe que haya acciones que coincidan con un ARN indicado. La regla es NON_COMPLIANT si no se ha especificado ninguna acción para la alarma o el parámetro opcional. | |
| 10.2.1.1 | Se han implementado registros de auditoría como apoyo para la detección de anomalías y actividades sospechosas, así como para el análisis forense de los eventos. (PCI-DSS-v4.0) | Asegúrese de que CloudWatch las alarmas tengan una acción configurada para los estados ALARM, INSUFFICIENT_DATA o OK. Como factor opcional, compruebe que haya acciones que coincidan con un ARN indicado. La regla es NON_COMPLIANT si no se ha especificado ninguna acción para la alarma o el parámetro opcional. | |
| 10.2.1.1 | Se han implementado registros de auditoría como apoyo para la detección de anomalías y actividades sospechosas, así como para el análisis forense de los eventos. (PCI-DSS-v4.0) | Asegúrese de que un tipo de recurso tenga una CloudWatch alarma para la métrica indicada. Para el tipo de recurso, puede especificar volúmenes, EC2 instancias, clústeres de Amazon RDS o buckets S3 de EBS. La regla cumple con los requisitos si la métrica indicada tiene un identificador de recurso y una alarma. CloudWatch | |
| 10.2.1.1 | Se han implementado registros de auditoría como apoyo para la detección de anomalías y actividades sospechosas, así como para el análisis forense de los eventos. (PCI-DSS-v4.0) | Nota: Para esta regla, el identificador de la regla (CLOUD_TRAIL_ENABLED) y el nombre de la regla (cloudtrail-enabled) son diferentes. Asegúrese de que haya una AWS CloudTrail ruta habilitada en su cuenta. AWS La regla es NON_COMPLIANT si no hay ningún registro de seguimiento habilitado. De forma opcional, la regla comprueba un bucket de S3, un tema de Amazon Simple Notification Service (Amazon SNS) y un grupo de registros específicos. CloudWatch | |
| 10.2.1.1 | Se han implementado registros de auditoría como apoyo para la detección de anomalías y actividades sospechosas, así como para el análisis forense de los eventos. (PCI-DSS-v4.0) | Nota: para esta regla, el identificador de la regla (MULTI_REGION_CLOUD_TRAIL_ENABLED) y el nombre de la regla () son diferentes. multi-region-cloudtrail-enabled Asegúrese de que haya al menos una región múltiple. AWS CloudTrail La regla es NON_COMPLIANT si los registros de seguimiento no coinciden con los parámetros de entrada. La regla es NON_COMPLIANT si el ExcludeManagementEventSources campo no está vacío o si AWS CloudTrail está configurado para excluir eventos de administración, como eventos de AWS KMS o eventos de Amazon RDS Data API. | |
| 10.2.1.1 | Se han implementado registros de auditoría como apoyo para la detección de anomalías y actividades sospechosas, así como para el análisis forense de los eventos. (PCI-DSS-v4.0) | Asegúrese de que la AWS AppSync API tenga habilitado el registro. La regla NO ES COMPATIBLE si el registro no está habilitado o «fieldLogLevel» no es ERROR ni ALL. | |
| 10.2.1.1 | Se han implementado registros de auditoría como apoyo para la detección de anomalías y actividades sospechosas, así como para el análisis forense de los eventos. (PCI-DSS-v4.0) | Asegúrese de que los agentes de Amazon MQ tengan activado el registro de CloudWatch auditoría de Amazon. La regla es NON_COMPLIANT si un agente no tiene activado el registro de auditoría. | |
| 10.2.1.1 | Se han implementado registros de auditoría como apoyo para la detección de anomalías y actividades sospechosas, así como para el análisis forense de los eventos. (PCI-DSS-v4.0) | Asegúrese de que un agente de Amazon MQ tenga activado el registro CloudWatch de auditoría. La regla es NON_COMPLIANT si el agente no tiene habilitado el registro de auditoría. | |
| 10.2.1.1 | Se han implementado registros de auditoría como apoyo para la detección de anomalías y actividades sospechosas, así como para el análisis forense de los eventos. (PCI-DSS-v4.0) | Compruebe que haya un clúster de Amazon Elastic Kubernetes Service (Amazon EKS) configurado y con el registro habilitado. La regla es NON_COMPLIANT si el registro de los clústeres de Amazon EKS no está habilitado para todos los tipos de registro. | |
| 102.1.1 | Se han implementado registros de auditoría como apoyo para la detección de anomalías y actividades sospechosas, así como para el análisis forense de los eventos. (PCI-DSS-v4.0) | Asegúrese de que los entornos de AWS Elastic Beanstalk estén configurados para enviar registros a Amazon Logs. CloudWatch La regla no es conforme si el valor de `` es falso. StreamLogs | |
| 10.2.1.1 | Se han implementado registros de auditoría como apoyo para la detección de anomalías y actividades sospechosas, así como para el análisis forense de los eventos. (PCI-DSS-v4.0) | Asegúrese de que la recopilación CloudWatch de métricas de seguridad de Amazon en los grupos de AWS WAFv2 reglas esté habilitada. La regla no cumple con los requisitos si el signo '. VisibilityConfig CloudWatchMetricsEnabledel campo 'está establecido en falso. | |
| 10.2.1.1 | Se han implementado registros de auditoría como apoyo para la detección de anomalías y actividades sospechosas, así como para el análisis forense de los eventos. (PCI-DSS-v4.0) | Compruebe que el registro de Amazon Simple Notification Service (SNS) esté habilitado para el estado de entrega de los mensajes de notificación enviados a un tema para los puntos de conexión. La regla es NON_COMPLIANT si la notificación del estado de entrega de los mensajes no está habilitada. | |
| 102.1.1 | Se han implementado registros de auditoría como apoyo para la detección de anomalías y actividades sospechosas, así como para el análisis forense de los eventos. (PCI-DSS-v4.0) | Asegúrese de que la máquina AWS Step Functions tenga activado el registro. La regla es NON_COMPLIANT si una máquina de estado no tiene el registro activado o si la configuración de registro no se encuentra en el nivel mínimo indicado. | |
| 10.2.1.1 | Se han implementado registros de auditoría como apoyo para la detección de anomalías y actividades sospechosas, así como para el análisis forense de los eventos. (PCI-DSS-v4.0) | Asegúrese de que los firewalls de AWS Network Firewall tengan habilitado el registro. La regla es NON_COMPLIANT si el tipo de registro no está configurado. Puede especificar qué tipo de registro desea que compruebe la regla. | |
| 10.2.1.2 | Se han implementado registros de auditoría como apoyo para la detección de anomalías y actividades sospechosas, así como para el análisis forense de los eventos. (PCI-DSS-v4.0) | Compruebe que las etapas de Amazon API Gateway V2 tengan habilitado el registro de acceso. La regla no es compatible si 'accessLogSettings' no está presente en la configuración del escenario. | |
| 10.2.1.2 | Se han implementado registros de auditoría como apoyo para la detección de anomalías y actividades sospechosas, así como para el análisis forense de los eventos. (PCI-DSS-v4.0) | Asegúrese de que el rastreo de AWS X-Ray esté habilitado en Amazon API Gateway APIs REST. La regla es COMPLIANT si el rastreo de X-Ray está habilitado y NON_COMPLIANT cuando no lo está. | |
| 10.2.1.2 | Se han implementado registros de auditoría como apoyo para la detección de anomalías y actividades sospechosas, así como para el análisis forense de los eventos. (PCI-DSS-v4.0) | Asegúrese de que un clúster de Amazon Neptune tenga habilitada la exportación de CloudWatch registros para los registros de auditoría. La regla no es compatible si un clúster de Neptune no tiene habilitada la exportación de registros para los CloudWatch registros de auditoría. | |
| 10.2.1.2 | Se han implementado registros de auditoría como apoyo para la detección de anomalías y actividades sospechosas, así como para el análisis forense de los eventos. (PCI-DSS-v4.0) | Compruebe que logConfiguration esté configurado como activo en las definiciones de tareas de Amazon ECS. Esta regla no es compatible si una ECSTask definición activa no tiene definido el recurso LogConfiguration o si el valor de LogConfiguration es nulo en al menos una definición de contenedor. | |
| 10.2.1.2 | Se han implementado registros de auditoría como apoyo para la detección de anomalías y actividades sospechosas, así como para el análisis forense de los eventos. (PCI-DSS-v4.0) | Nota: Para esta regla, el identificador de la regla (CLOUD_TRAIL_ENABLED) y el nombre de la regla (cloudtrail-enabled) son diferentes. Asegúrese de que haya una AWS CloudTrail ruta habilitada en su cuenta. AWS La regla es NON_COMPLIANT si no hay ningún registro de seguimiento habilitado. De forma opcional, la regla comprueba un bucket de S3, un tema de Amazon Simple Notification Service (Amazon SNS) y un grupo de registros específicos. CloudWatch | |
| 10.2.1.2 | Se han implementado registros de auditoría como apoyo para la detección de anomalías y actividades sospechosas, así como para el análisis forense de los eventos. (PCI-DSS-v4.0) | Nota: para esta regla, el identificador de la regla (MULTI_REGION_CLOUD_TRAIL_ENABLED) y el nombre de la regla () son diferentes. multi-region-cloudtrail-enabled Asegúrese de que haya al menos una región múltiple. AWS CloudTrail La regla es NON_COMPLIANT si los registros de seguimiento no coinciden con los parámetros de entrada. La regla es NON_COMPLIANT si el ExcludeManagementEventSources campo no está vacío o si AWS CloudTrail está configurado para excluir eventos de administración, como eventos de AWS KMS o eventos de Amazon RDS Data API. | |
| 10.2.1.2 | Se han implementado registros de auditoría como apoyo para la detección de anomalías y actividades sospechosas, así como para el análisis forense de los eventos. (PCI-DSS-v4.0) | Asegúrese de que la AWS AppSync API tenga habilitado el registro. La regla NO ES COMPATIBLE si el registro no está habilitado o «fieldLogLevel» no es ERROR ni ALL. | |
| 10.2.1.2 | Se han implementado registros de auditoría como apoyo para la detección de anomalías y actividades sospechosas, así como para el análisis forense de los eventos. (PCI-DSS-v4.0) | Asegúrese de que los agentes de Amazon MQ tengan activado el registro de CloudWatch auditoría de Amazon. La regla es NON_COMPLIANT si un agente no tiene activado el registro de auditoría. | |
| 10.2.1.2 | Se han implementado registros de auditoría como apoyo para la detección de anomalías y actividades sospechosas, así como para el análisis forense de los eventos. (PCI-DSS-v4.0) | Asegúrese de que un agente de Amazon MQ tenga activado el registro CloudWatch de auditoría. La regla es NON_COMPLIANT si el agente no tiene habilitado el registro de auditoría. | |
| 10.2.1.2 | Se han implementado registros de auditoría como apoyo para la detección de anomalías y actividades sospechosas, así como para el análisis forense de los eventos. (PCI-DSS-v4.0) | Compruebe que haya un clúster de Amazon Elastic Kubernetes Service (Amazon EKS) configurado y con el registro habilitado. La regla es NON_COMPLIANT si el registro de los clústeres de Amazon EKS no está habilitado para todos los tipos de registro. | |
| 10.2.1.2 | Se han implementado registros de auditoría como apoyo para la detección de anomalías y actividades sospechosas, así como para el análisis forense de los eventos. (PCI-DSS-v4.0) | Asegúrese de que los entornos de AWS Elastic Beanstalk estén configurados para enviar registros a Amazon Logs. CloudWatch La regla no es conforme si el valor de `` es falso. StreamLogs | |
| 10.2.1.2 | Se han implementado registros de auditoría como apoyo para la detección de anomalías y actividades sospechosas, así como para el análisis forense de los eventos. (PCI-DSS-v4.0) | Asegúrese de que la máquina AWS Step Functions tenga activado el registro. La regla es NON_COMPLIANT si una máquina de estado no tiene el registro activado o si la configuración de registro no se encuentra en el nivel mínimo indicado. | |
| 10.2.1.2 | Se han implementado registros de auditoría como apoyo para la detección de anomalías y actividades sospechosas, así como para el análisis forense de los eventos. (PCI-DSS-v4.0) | Asegúrese de que los firewalls de AWS Network Firewall tengan habilitado el registro. La regla es NON_COMPLIANT si el tipo de registro no está configurado. Puede especificar qué tipo de registro desea que compruebe la regla. | |
| 10.2.1.3 | Se han implementado registros de auditoría como apoyo para la detección de anomalías y actividades sospechosas, así como para el análisis forense de los eventos. (PCI-DSS-v4.0) | Compruebe que las etapas de Amazon API Gateway V2 tengan habilitado el registro de acceso. La regla no es compatible si 'accessLogSettings' no está presente en la configuración del escenario. | |
| 10.2.1.3 | Se han implementado registros de auditoría como apoyo para la detección de anomalías y actividades sospechosas, así como para el análisis forense de los eventos. (PCI-DSS-v4.0) | Asegúrese de que el rastreo de AWS X-Ray esté habilitado en Amazon API Gateway APIs REST. La regla es COMPLIANT si el rastreo de X-Ray está habilitado y NON_COMPLIANT cuando no lo está. | |
| 10.2.1.3 | Se han implementado registros de auditoría como apoyo para la detección de anomalías y actividades sospechosas, así como para el análisis forense de los eventos. (PCI-DSS-v4.0) | Asegúrese de que un clúster de Amazon Neptune tenga habilitada la exportación de CloudWatch registros para los registros de auditoría. La regla no es compatible si un clúster de Neptune no tiene habilitada la exportación de registros para los CloudWatch registros de auditoría. | |
| 10.2.1.3 | Se han implementado registros de auditoría como apoyo para la detección de anomalías y actividades sospechosas, así como para el análisis forense de los eventos. (PCI-DSS-v4.0) | Compruebe que logConfiguration esté configurado como activo en las definiciones de tareas de Amazon ECS. Esta regla no es compatible si una ECSTask definición activa no tiene definido el recurso LogConfiguration o si el valor de LogConfiguration es nulo en al menos una definición de contenedor. | |
| 10.2.1.3 | Se han implementado registros de auditoría como apoyo para la detección de anomalías y actividades sospechosas, así como para el análisis forense de los eventos. (PCI-DSS-v4.0) | Nota: Para esta regla, el identificador de la regla (CLOUD_TRAIL_ENABLED) y el nombre de la regla (cloudtrail-enabled) son diferentes. Asegúrese de que haya una AWS CloudTrail ruta habilitada en su cuenta. AWS La regla es NON_COMPLIANT si no hay ningún registro de seguimiento habilitado. De forma opcional, la regla comprueba un bucket de S3, un tema de Amazon Simple Notification Service (Amazon SNS) y un grupo de registros específicos. CloudWatch | |
| 10.2.1.3 | Se han implementado registros de auditoría como apoyo para la detección de anomalías y actividades sospechosas, así como para el análisis forense de los eventos. (PCI-DSS-v4.0) | Nota: para esta regla, el identificador de la regla (MULTI_REGION_CLOUD_TRAIL_ENABLED) y el nombre de la regla () son diferentes. multi-region-cloudtrail-enabled Asegúrese de que haya al menos una región múltiple. AWS CloudTrail La regla es NON_COMPLIANT si los registros de seguimiento no coinciden con los parámetros de entrada. La regla es NON_COMPLIANT si el ExcludeManagementEventSources campo no está vacío o si AWS CloudTrail está configurado para excluir eventos de administración, como eventos de AWS KMS o eventos de Amazon RDS Data API. | |
| 10.2.1.3 | Se han implementado registros de auditoría como apoyo para la detección de anomalías y actividades sospechosas, así como para el análisis forense de los eventos. (PCI-DSS-v4.0) | Asegúrese de que la AWS AppSync API tenga habilitado el registro. La regla NO ES COMPATIBLE si el registro no está habilitado o «fieldLogLevel» no es ERROR ni ALL. | |
| 10.2.1.3 | Se han implementado registros de auditoría como apoyo para la detección de anomalías y actividades sospechosas, así como para el análisis forense de los eventos. (PCI-DSS-v4.0) | Asegúrese de que los agentes de Amazon MQ tengan activado el registro de CloudWatch auditoría de Amazon. La regla es NON_COMPLIANT si un agente no tiene activado el registro de auditoría. | |
| 10.2.1.3 | Se han implementado registros de auditoría como apoyo para la detección de anomalías y actividades sospechosas, así como para el análisis forense de los eventos. (PCI-DSS-v4.0) | Asegúrese de que un agente de Amazon MQ tenga activado el registro CloudWatch de auditoría. La regla es NON_COMPLIANT si el agente no tiene habilitado el registro de auditoría. | |
| 10.2.1.3 | Se han implementado registros de auditoría como apoyo para la detección de anomalías y actividades sospechosas, así como para el análisis forense de los eventos. (PCI-DSS-v4.0) | Compruebe que haya un clúster de Amazon Elastic Kubernetes Service (Amazon EKS) configurado y con el registro habilitado. La regla es NON_COMPLIANT si el registro de los clústeres de Amazon EKS no está habilitado para todos los tipos de registro. | |
| 10.2.1.3 | Se han implementado registros de auditoría como apoyo para la detección de anomalías y actividades sospechosas, así como para el análisis forense de los eventos. (PCI-DSS-v4.0) | Asegúrese de que los entornos de AWS Elastic Beanstalk estén configurados para enviar registros a Amazon Logs. CloudWatch La regla no es conforme si el valor de `` es falso. StreamLogs | |
| 10.2.1.3 | Se han implementado registros de auditoría como apoyo para la detección de anomalías y actividades sospechosas, así como para el análisis forense de los eventos. (PCI-DSS-v4.0) | Asegúrese de que la máquina AWS Step Functions tenga activado el registro. La regla es NON_COMPLIANT si una máquina de estado no tiene el registro activado o si la configuración de registro no se encuentra en el nivel mínimo indicado. | |
| 10.2.1.3 | Se han implementado registros de auditoría como apoyo para la detección de anomalías y actividades sospechosas, así como para el análisis forense de los eventos. (PCI-DSS-v4.0) | Asegúrese de que los firewalls de AWS Network Firewall tengan habilitado el registro. La regla es NON_COMPLIANT si el tipo de registro no está configurado. Puede especificar qué tipo de registro desea que compruebe la regla. | |
| 10.2.1.4 | Se han implementado registros de auditoría como apoyo para la detección de anomalías y actividades sospechosas, así como para el análisis forense de los eventos. (PCI-DSS-v4.0) | Compruebe que las etapas de Amazon API Gateway V2 tengan habilitado el registro de acceso. La regla no es compatible si 'accessLogSettings' no está presente en la configuración del escenario. | |
| 10.2.1.4 | Se han implementado registros de auditoría como apoyo para la detección de anomalías y actividades sospechosas, así como para el análisis forense de los eventos. (PCI-DSS-v4.0) | Asegúrese de que el rastreo de AWS X-Ray esté habilitado en Amazon API Gateway APIs REST. La regla es COMPLIANT si el rastreo de X-Ray está habilitado y NON_COMPLIANT cuando no lo está. | |
| 10.2.1.4 | Se han implementado registros de auditoría como apoyo para la detección de anomalías y actividades sospechosas, así como para el análisis forense de los eventos. (PCI-DSS-v4.0) | Asegúrese de que un clúster de Amazon Neptune tenga habilitada la exportación de CloudWatch registros para los registros de auditoría. La regla no es compatible si un clúster de Neptune no tiene habilitada la exportación de registros para los CloudWatch registros de auditoría. | |
| 10.2.1.4 | Se han implementado registros de auditoría como apoyo para la detección de anomalías y actividades sospechosas, así como para el análisis forense de los eventos. (PCI-DSS-v4.0) | Compruebe que logConfiguration esté configurado como activo en las definiciones de tareas de Amazon ECS. Esta regla no es compatible si una ECSTask definición activa no tiene definido el recurso LogConfiguration o si el valor de LogConfiguration es nulo en al menos una definición de contenedor. | |
| 10.2.1.4 | Se han implementado registros de auditoría como apoyo para la detección de anomalías y actividades sospechosas, así como para el análisis forense de los eventos. (PCI-DSS-v4.0) | Nota: Para esta regla, el identificador de la regla (CLOUD_TRAIL_ENABLED) y el nombre de la regla (cloudtrail-enabled) son diferentes. Asegúrese de que haya una AWS CloudTrail ruta habilitada en su cuenta. AWS La regla es NON_COMPLIANT si no hay ningún registro de seguimiento habilitado. De forma opcional, la regla comprueba un bucket de S3, un tema de Amazon Simple Notification Service (Amazon SNS) y un grupo de registros específicos. CloudWatch | |
| 10.2.1.4 | Se han implementado registros de auditoría como apoyo para la detección de anomalías y actividades sospechosas, así como para el análisis forense de los eventos. (PCI-DSS-v4.0) | Nota: para esta regla, el identificador de la regla (MULTI_REGION_CLOUD_TRAIL_ENABLED) y el nombre de la regla () son diferentes. multi-region-cloudtrail-enabled Asegúrese de que haya al menos una región múltiple. AWS CloudTrail La regla es NON_COMPLIANT si los registros de seguimiento no coinciden con los parámetros de entrada. La regla es NON_COMPLIANT si el ExcludeManagementEventSources campo no está vacío o si AWS CloudTrail está configurado para excluir eventos de administración, como eventos de AWS KMS o eventos de Amazon RDS Data API. | |
| 10.2.1.4 | Se han implementado registros de auditoría como apoyo para la detección de anomalías y actividades sospechosas, así como para el análisis forense de los eventos. (PCI-DSS-v4.0) | Asegúrese de que la AWS AppSync API tenga habilitado el registro. La regla NO ES COMPATIBLE si el registro no está habilitado o «fieldLogLevel» no es ERROR ni ALL. | |
| 10.2.1.4 | Se han implementado registros de auditoría como apoyo para la detección de anomalías y actividades sospechosas, así como para el análisis forense de los eventos. (PCI-DSS-v4.0) | Asegúrese de que los agentes de Amazon MQ tengan activado el registro de CloudWatch auditoría de Amazon. La regla es NON_COMPLIANT si un agente no tiene activado el registro de auditoría. | |
| 10.2.1.4 | Se han implementado registros de auditoría como apoyo para la detección de anomalías y actividades sospechosas, así como para el análisis forense de los eventos. (PCI-DSS-v4.0) | Asegúrese de que un agente de Amazon MQ tenga activado el registro CloudWatch de auditoría. La regla es NON_COMPLIANT si el agente no tiene habilitado el registro de auditoría. | |
| 10.2.1.4 | Se han implementado registros de auditoría como apoyo para la detección de anomalías y actividades sospechosas, así como para el análisis forense de los eventos. (PCI-DSS-v4.0) | Compruebe que haya un clúster de Amazon Elastic Kubernetes Service (Amazon EKS) configurado y con el registro habilitado. La regla es NON_COMPLIANT si el registro de los clústeres de Amazon EKS no está habilitado para todos los tipos de registro. | |
| 10.2.1.4 | Se han implementado registros de auditoría como apoyo para la detección de anomalías y actividades sospechosas, así como para el análisis forense de los eventos. (PCI-DSS-v4.0) | Asegúrese de que los entornos de AWS Elastic Beanstalk estén configurados para enviar registros a Amazon Logs. CloudWatch La regla no es conforme si el valor de `` es falso. StreamLogs | |
| 10.2.1.4 | Se han implementado registros de auditoría como apoyo para la detección de anomalías y actividades sospechosas, así como para el análisis forense de los eventos. (PCI-DSS-v4.0) | Asegúrese de que la máquina AWS Step Functions tenga activado el registro. La regla es NON_COMPLIANT si una máquina de estado no tiene el registro activado o si la configuración de registro no se encuentra en el nivel mínimo indicado. | |
| 10.2.1.4 | Se han implementado registros de auditoría como apoyo para la detección de anomalías y actividades sospechosas, así como para el análisis forense de los eventos. (PCI-DSS-v4.0) | Asegúrese de que los firewalls de AWS Network Firewall tengan habilitado el registro. La regla es NON_COMPLIANT si el tipo de registro no está configurado. Puede especificar qué tipo de registro desea que compruebe la regla. | |
| 10.2.1.5 | Se han implementado registros de auditoría como apoyo para la detección de anomalías y actividades sospechosas, así como para el análisis forense de los eventos. (PCI-DSS-v4.0) | Compruebe que las etapas de Amazon API Gateway V2 tengan habilitado el registro de acceso. La regla no es compatible si 'accessLogSettings' no está presente en la configuración del escenario. | |
| 10.2.1.5 | Se han implementado registros de auditoría como apoyo para la detección de anomalías y actividades sospechosas, así como para el análisis forense de los eventos. (PCI-DSS-v4.0) | Asegúrese de que el rastreo de AWS X-Ray esté habilitado en Amazon API Gateway APIs REST. La regla es COMPLIANT si el rastreo de X-Ray está habilitado y NON_COMPLIANT cuando no lo está. | |
| 10.2.1.5 | Se han implementado registros de auditoría como apoyo para la detección de anomalías y actividades sospechosas, así como para el análisis forense de los eventos. (PCI-DSS-v4.0) | Asegúrese de que un clúster de Amazon Neptune tenga habilitada la exportación de CloudWatch registros para los registros de auditoría. La regla no es compatible si un clúster de Neptune no tiene habilitada la exportación de registros para los CloudWatch registros de auditoría. | |
| 10.2.1.5 | Se han implementado registros de auditoría como apoyo para la detección de anomalías y actividades sospechosas, así como para el análisis forense de los eventos. (PCI-DSS-v4.0) | Compruebe que logConfiguration esté configurado como activo en las definiciones de tareas de Amazon ECS. Esta regla no es compatible si una ECSTask definición activa no tiene definido el recurso LogConfiguration o si el valor de LogConfiguration es nulo en al menos una definición de contenedor. | |
| 10.2.1.5 | Se han implementado registros de auditoría como apoyo para la detección de anomalías y actividades sospechosas, así como para el análisis forense de los eventos. (PCI-DSS-v4.0) | Nota: Para esta regla, el identificador de la regla (CLOUD_TRAIL_ENABLED) y el nombre de la regla (cloudtrail-enabled) son diferentes. Asegúrese de que haya una AWS CloudTrail ruta habilitada en su cuenta. AWS La regla es NON_COMPLIANT si no hay ningún registro de seguimiento habilitado. De forma opcional, la regla comprueba un bucket de S3, un tema de Amazon Simple Notification Service (Amazon SNS) y un grupo de registros específicos. CloudWatch | |
| 10.2.1.5 | Se han implementado registros de auditoría como apoyo para la detección de anomalías y actividades sospechosas, así como para el análisis forense de los eventos. (PCI-DSS-v4.0) | Nota: para esta regla, el identificador de la regla (MULTI_REGION_CLOUD_TRAIL_ENABLED) y el nombre de la regla () son diferentes. multi-region-cloudtrail-enabled Asegúrese de que haya al menos una región múltiple. AWS CloudTrail La regla es NON_COMPLIANT si los registros de seguimiento no coinciden con los parámetros de entrada. La regla es NON_COMPLIANT si el ExcludeManagementEventSources campo no está vacío o si AWS CloudTrail está configurado para excluir eventos de administración, como eventos de AWS KMS o eventos de Amazon RDS Data API. | |
| 10.2.1.5 | Se han implementado registros de auditoría como apoyo para la detección de anomalías y actividades sospechosas, así como para el análisis forense de los eventos. (PCI-DSS-v4.0) | Asegúrese de que la AWS AppSync API tenga habilitado el registro. La regla NO ES COMPATIBLE si el registro no está habilitado o «fieldLogLevel» no es ERROR ni ALL. | |
| 10.2.1.5 | Se han implementado registros de auditoría como apoyo para la detección de anomalías y actividades sospechosas, así como para el análisis forense de los eventos. (PCI-DSS-v4.0) | Asegúrese de que los agentes de Amazon MQ tengan activado el registro de CloudWatch auditoría de Amazon. La regla es NON_COMPLIANT si un agente no tiene activado el registro de auditoría. | |
| 10.2.1.5 | Se han implementado registros de auditoría como apoyo para la detección de anomalías y actividades sospechosas, así como para el análisis forense de los eventos. (PCI-DSS-v4.0) | Asegúrese de que un agente de Amazon MQ tenga activado el registro CloudWatch de auditoría. La regla es NON_COMPLIANT si el agente no tiene habilitado el registro de auditoría. | |
| 10.2.1.5 | Se han implementado registros de auditoría como apoyo para la detección de anomalías y actividades sospechosas, así como para el análisis forense de los eventos. (PCI-DSS-v4.0) | Compruebe que haya un clúster de Amazon Elastic Kubernetes Service (Amazon EKS) configurado y con el registro habilitado. La regla es NON_COMPLIANT si el registro de los clústeres de Amazon EKS no está habilitado para todos los tipos de registro. | |
| 10.2.1.5 | Se han implementado registros de auditoría como apoyo para la detección de anomalías y actividades sospechosas, así como para el análisis forense de los eventos. (PCI-DSS-v4.0) | Asegúrese de que los entornos de AWS Elastic Beanstalk estén configurados para enviar registros a Amazon Logs. CloudWatch La regla no es conforme si el valor de `` es falso. StreamLogs | |
| 10.2.1.5 | Se han implementado registros de auditoría como apoyo para la detección de anomalías y actividades sospechosas, así como para el análisis forense de los eventos. (PCI-DSS-v4.0) | Asegúrese de que la máquina AWS Step Functions tenga activado el registro. La regla es NON_COMPLIANT si una máquina de estado no tiene el registro activado o si la configuración de registro no se encuentra en el nivel mínimo indicado. | |
| 10.2.1.5 | Se han implementado registros de auditoría como apoyo para la detección de anomalías y actividades sospechosas, así como para el análisis forense de los eventos. (PCI-DSS-v4.0) | Asegúrese de que los firewalls de AWS Network Firewall tengan habilitado el registro. La regla es NON_COMPLIANT si el tipo de registro no está configurado. Puede especificar qué tipo de registro desea que compruebe la regla. | |
| 10.2.1.6 | Se han implementado registros de auditoría como apoyo para la detección de anomalías y actividades sospechosas, así como para el análisis forense de los eventos. (PCI-DSS-v4.0) | Compruebe que las etapas de Amazon API Gateway V2 tengan habilitado el registro de acceso. La regla no es compatible si 'accessLogSettings' no está presente en la configuración del escenario. | |
| 10.2.1.6 | Se han implementado registros de auditoría como apoyo para la detección de anomalías y actividades sospechosas, así como para el análisis forense de los eventos. (PCI-DSS-v4.0) | Asegúrese de que el rastreo de AWS X-Ray esté habilitado en Amazon API Gateway APIs REST. La regla es COMPLIANT si el rastreo de X-Ray está habilitado y NON_COMPLIANT cuando no lo está. | |
| 10.2.1.6 | Se han implementado registros de auditoría como apoyo para la detección de anomalías y actividades sospechosas, así como para el análisis forense de los eventos. (PCI-DSS-v4.0) | Asegúrese de que un clúster de Amazon Neptune tenga habilitada la exportación de CloudWatch registros para los registros de auditoría. La regla no es compatible si un clúster de Neptune no tiene habilitada la exportación de registros para los CloudWatch registros de auditoría. | |
| 10.2.1.6 | Se han implementado registros de auditoría como apoyo para la detección de anomalías y actividades sospechosas, así como para el análisis forense de los eventos. (PCI-DSS-v4.0) | Compruebe que logConfiguration esté configurado como activo en las definiciones de tareas de Amazon ECS. Esta regla no es compatible si una ECSTask definición activa no tiene definido el recurso LogConfiguration o si el valor de LogConfiguration es nulo en al menos una definición de contenedor. | |
| 10.2.1.6 | Se han implementado registros de auditoría como apoyo para la detección de anomalías y actividades sospechosas, así como para el análisis forense de los eventos. (PCI-DSS-v4.0) | Nota: Para esta regla, el identificador de la regla (CLOUD_TRAIL_ENABLED) y el nombre de la regla (cloudtrail-enabled) son diferentes. Asegúrese de que haya una AWS CloudTrail ruta habilitada en su cuenta. AWS La regla es NON_COMPLIANT si no hay ningún registro de seguimiento habilitado. De forma opcional, la regla comprueba un bucket de S3, un tema de Amazon Simple Notification Service (Amazon SNS) y un grupo de registros específicos. CloudWatch | |
| 10.2.1.6 | Se han implementado registros de auditoría como apoyo para la detección de anomalías y actividades sospechosas, así como para el análisis forense de los eventos. (PCI-DSS-v4.0) | Nota: para esta regla, el identificador de la regla (MULTI_REGION_CLOUD_TRAIL_ENABLED) y el nombre de la regla () son diferentes. multi-region-cloudtrail-enabled Asegúrese de que haya al menos una región múltiple. AWS CloudTrail La regla es NON_COMPLIANT si los registros de seguimiento no coinciden con los parámetros de entrada. La regla es NON_COMPLIANT si el ExcludeManagementEventSources campo no está vacío o si AWS CloudTrail está configurado para excluir eventos de administración, como eventos de AWS KMS o eventos de Amazon RDS Data API. | |
| 10.2.1.6 | Se han implementado registros de auditoría como apoyo para la detección de anomalías y actividades sospechosas, así como para el análisis forense de los eventos. (PCI-DSS-v4.0) | Asegúrese de que la AWS AppSync API tenga habilitado el registro. La regla NO ES COMPATIBLE si el registro no está habilitado o «fieldLogLevel» no es ERROR ni ALL. | |
| 10.2.1.6 | Se han implementado registros de auditoría como apoyo para la detección de anomalías y actividades sospechosas, así como para el análisis forense de los eventos. (PCI-DSS-v4.0) | Asegúrese de que los agentes de Amazon MQ tengan activado el registro de CloudWatch auditoría de Amazon. La regla es NON_COMPLIANT si un agente no tiene activado el registro de auditoría. | |
| 10.2.1.6 | Se han implementado registros de auditoría como apoyo para la detección de anomalías y actividades sospechosas, así como para el análisis forense de los eventos. (PCI-DSS-v4.0) | Asegúrese de que un agente de Amazon MQ tenga activado el registro CloudWatch de auditoría. La regla es NON_COMPLIANT si el agente no tiene habilitado el registro de auditoría. | |
| 10.2.1.6 | Se han implementado registros de auditoría como apoyo para la detección de anomalías y actividades sospechosas, así como para el análisis forense de los eventos. (PCI-DSS-v4.0) | Compruebe que haya un clúster de Amazon Elastic Kubernetes Service (Amazon EKS) configurado y con el registro habilitado. La regla es NON_COMPLIANT si el registro de los clústeres de Amazon EKS no está habilitado para todos los tipos de registro. | |
| 102.1.6 | Se han implementado registros de auditoría como apoyo para la detección de anomalías y actividades sospechosas, así como para el análisis forense de los eventos. (PCI-DSS-v4.0) | Asegúrese de que los entornos de AWS Elastic Beanstalk estén configurados para enviar registros a Amazon Logs. CloudWatch La regla no es conforme si el valor de `` es falso. StreamLogs | |
| 10.2.1.6 | Se han implementado registros de auditoría como apoyo para la detección de anomalías y actividades sospechosas, así como para el análisis forense de los eventos. (PCI-DSS-v4.0) | Asegúrese de que la máquina AWS Step Functions tenga activado el registro. La regla es NON_COMPLIANT si una máquina de estado no tiene el registro activado o si la configuración de registro no se encuentra en el nivel mínimo indicado. | |
| 10.2.1.6 | Se han implementado registros de auditoría como apoyo para la detección de anomalías y actividades sospechosas, así como para el análisis forense de los eventos. (PCI-DSS-v4.0) | Asegúrese de que los firewalls de AWS Network Firewall tengan habilitado el registro. La regla es NON_COMPLIANT si el tipo de registro no está configurado. Puede especificar qué tipo de registro desea que compruebe la regla. | |
| 10.2.1.7 | Se han implementado registros de auditoría como apoyo para la detección de anomalías y actividades sospechosas, así como para el análisis forense de los eventos. (PCI-DSS-v4.0) | Compruebe que las etapas de Amazon API Gateway V2 tengan habilitado el registro de acceso. La regla no es compatible si 'accessLogSettings' no está presente en la configuración del escenario. | |
| 10.2.1.7 | Se han implementado registros de auditoría como apoyo para la detección de anomalías y actividades sospechosas, así como para el análisis forense de los eventos. (PCI-DSS-v4.0) | Asegúrese de que el rastreo de AWS X-Ray esté habilitado en Amazon API Gateway APIs REST. La regla es COMPLIANT si el rastreo de X-Ray está habilitado y NON_COMPLIANT cuando no lo está. | |
| 10.2.1.7 | Se han implementado registros de auditoría como apoyo para la detección de anomalías y actividades sospechosas, así como para el análisis forense de los eventos. (PCI-DSS-v4.0) | Asegúrese de que un clúster de Amazon Neptune tenga habilitada la exportación de CloudWatch registros para los registros de auditoría. La regla no es compatible si un clúster de Neptune no tiene habilitada la exportación de registros para los CloudWatch registros de auditoría. | |
| 10.2.1.7 | Se han implementado registros de auditoría como apoyo para la detección de anomalías y actividades sospechosas, así como para el análisis forense de los eventos. (PCI-DSS-v4.0) | Compruebe que logConfiguration esté configurado como activo en las definiciones de tareas de Amazon ECS. Esta regla no es compatible si una ECSTask definición activa no tiene definido el recurso LogConfiguration o si el valor de LogConfiguration es nulo en al menos una definición de contenedor. | |
| 10.2.1.7 | Se han implementado registros de auditoría como apoyo para la detección de anomalías y actividades sospechosas, así como para el análisis forense de los eventos. (PCI-DSS-v4.0) | Nota: Para esta regla, el identificador de la regla (CLOUD_TRAIL_ENABLED) y el nombre de la regla (cloudtrail-enabled) son diferentes. Asegúrese de que haya una AWS CloudTrail ruta habilitada en su cuenta. AWS La regla es NON_COMPLIANT si no hay ningún registro de seguimiento habilitado. De forma opcional, la regla comprueba un bucket de S3, un tema de Amazon Simple Notification Service (Amazon SNS) y un grupo de registros específicos. CloudWatch | |
| 10.2.1.7 | Se han implementado registros de auditoría como apoyo para la detección de anomalías y actividades sospechosas, así como para el análisis forense de los eventos. (PCI-DSS-v4.0) | Nota: para esta regla, el identificador de la regla (MULTI_REGION_CLOUD_TRAIL_ENABLED) y el nombre de la regla () son diferentes. multi-region-cloudtrail-enabled Asegúrese de que haya al menos una región múltiple. AWS CloudTrail La regla es NON_COMPLIANT si los registros de seguimiento no coinciden con los parámetros de entrada. La regla es NON_COMPLIANT si el ExcludeManagementEventSources campo no está vacío o si AWS CloudTrail está configurado para excluir eventos de administración, como eventos de AWS KMS o eventos de Amazon RDS Data API. | |
| 10.2.1.7 | Se han implementado registros de auditoría como apoyo para la detección de anomalías y actividades sospechosas, así como para el análisis forense de los eventos. (PCI-DSS-v4.0) | Asegúrese de que la AWS AppSync API tenga habilitado el registro. La regla NO ES COMPATIBLE si el registro no está habilitado o «fieldLogLevel» no es ERROR ni ALL. | |
| 10.2.1.7 | Se han implementado registros de auditoría como apoyo para la detección de anomalías y actividades sospechosas, así como para el análisis forense de los eventos. (PCI-DSS-v4.0) | Asegúrese de que los agentes de Amazon MQ tengan activado el registro de CloudWatch auditoría de Amazon. La regla es NON_COMPLIANT si un agente no tiene activado el registro de auditoría. | |
| 10.2.1.7 | Se han implementado registros de auditoría como apoyo para la detección de anomalías y actividades sospechosas, así como para el análisis forense de los eventos. (PCI-DSS-v4.0) | Asegúrese de que un agente de Amazon MQ tenga activado el registro CloudWatch de auditoría. La regla es NON_COMPLIANT si el agente no tiene habilitado el registro de auditoría. | |
| 10.2.1.7 | Se han implementado registros de auditoría como apoyo para la detección de anomalías y actividades sospechosas, así como para el análisis forense de los eventos. (PCI-DSS-v4.0) | Compruebe que haya un clúster de Amazon Elastic Kubernetes Service (Amazon EKS) configurado y con el registro habilitado. La regla es NON_COMPLIANT si el registro de los clústeres de Amazon EKS no está habilitado para todos los tipos de registro. | |
| 102.1.7 | Se han implementado registros de auditoría como apoyo para la detección de anomalías y actividades sospechosas, así como para el análisis forense de los eventos. (PCI-DSS-v4.0) | Asegúrese de que los entornos de AWS Elastic Beanstalk estén configurados para enviar registros a Amazon Logs. CloudWatch La regla no es conforme si el valor de `` es falso. StreamLogs | |
| 10.2.1.7 | Se han implementado registros de auditoría como apoyo para la detección de anomalías y actividades sospechosas, así como para el análisis forense de los eventos. (PCI-DSS-v4.0) | Asegúrese de que la máquina AWS Step Functions tenga activado el registro. La regla es NON_COMPLIANT si una máquina de estado no tiene el registro activado o si la configuración de registro no se encuentra en el nivel mínimo indicado. | |
| 10.2.1.7 | Se han implementado registros de auditoría como apoyo para la detección de anomalías y actividades sospechosas, así como para el análisis forense de los eventos. (PCI-DSS-v4.0) | Asegúrese de que los firewalls de AWS Network Firewall tengan habilitado el registro. La regla es NON_COMPLIANT si el tipo de registro no está configurado. Puede especificar qué tipo de registro desea que compruebe la regla. | |
| 10.2.2 | Se han implementado registros de auditoría como apoyo para la detección de anomalías y actividades sospechosas, así como para el análisis forense de los eventos. (PCI-DSS-v4.0) | Compruebe que las etapas de Amazon API Gateway V2 tengan habilitado el registro de acceso. La regla no es compatible si 'accessLogSettings' no está presente en la configuración del escenario. | |
| 10.2.2 | Se han implementado registros de auditoría como apoyo para la detección de anomalías y actividades sospechosas, así como para el análisis forense de los eventos. (PCI-DSS-v4.0) | Asegúrese de que el rastreo de AWS X-Ray esté habilitado en Amazon API Gateway APIs REST. La regla es COMPLIANT si el rastreo de X-Ray está habilitado y NON_COMPLIANT cuando no lo está. | |
| 10.2.2 | Se han implementado registros de auditoría como apoyo para la detección de anomalías y actividades sospechosas, así como para el análisis forense de los eventos. (PCI-DSS-v4.0) | Asegúrese de que un clúster de Amazon Neptune tenga habilitada la exportación de CloudWatch registros para los registros de auditoría. La regla no es compatible si un clúster de Neptune no tiene habilitada la exportación de registros para los CloudWatch registros de auditoría. | |
| 10.2.2 | Se han implementado registros de auditoría como apoyo para la detección de anomalías y actividades sospechosas, así como para el análisis forense de los eventos. (PCI-DSS-v4.0) | Compruebe que logConfiguration esté configurado como activo en las definiciones de tareas de Amazon ECS. Esta regla no es compatible si una ECSTask definición activa no tiene definido el recurso LogConfiguration o si el valor de LogConfiguration es nulo en al menos una definición de contenedor. | |
| 10.2.2 | Se han implementado registros de auditoría como apoyo para la detección de anomalías y actividades sospechosas, así como para el análisis forense de los eventos. (PCI-DSS-v4.0) | Nota: Para esta regla, el identificador de la regla (CLOUD_TRAIL_ENABLED) y el nombre de la regla (cloudtrail-enabled) son diferentes. Asegúrese de que haya una AWS CloudTrail ruta habilitada en su AWS cuenta. La regla es NON_COMPLIANT si no hay ningún registro de seguimiento habilitado. De forma opcional, la regla comprueba un bucket de S3, un tema de Amazon Simple Notification Service (Amazon SNS) y un grupo de registros específicos. CloudWatch | |
| 10.2.2 | Se han implementado registros de auditoría como apoyo para la detección de anomalías y actividades sospechosas, así como para el análisis forense de los eventos. (PCI-DSS-v4.0) | Nota: para esta regla, el identificador de la regla (MULTI_REGION_CLOUD_TRAIL_ENABLED) y el nombre de la regla () son diferentes. multi-region-cloudtrail-enabled Asegúrese de que haya al menos una región múltiple. AWS CloudTrail La regla es NON_COMPLIANT si los registros de seguimiento no coinciden con los parámetros de entrada. La regla es NON_COMPLIANT si el ExcludeManagementEventSources campo no está vacío o si AWS CloudTrail está configurado para excluir eventos de administración, como eventos de AWS KMS o eventos de Amazon RDS Data API. | |
| 10.2.2 | Se han implementado registros de auditoría como apoyo para la detección de anomalías y actividades sospechosas, así como para el análisis forense de los eventos. (PCI-DSS-v4.0) | Asegúrese de que la AWS AppSync API tenga habilitado el registro. La regla NO ES COMPATIBLE si el registro no está habilitado o «fieldLogLevel» no es ERROR ni ALL. | |
| 10.2.2 | Se han implementado registros de auditoría como apoyo para la detección de anomalías y actividades sospechosas, así como para el análisis forense de los eventos. (PCI-DSS-v4.0) | Asegúrese de que los agentes de Amazon MQ tengan activado el registro de CloudWatch auditoría de Amazon. La regla es NON_COMPLIANT si un agente no tiene activado el registro de auditoría. | |
| 10.2.2 | Se han implementado registros de auditoría como apoyo para la detección de anomalías y actividades sospechosas, así como para el análisis forense de los eventos. (PCI-DSS-v4.0) | Asegúrese de que un agente de Amazon MQ tenga activado el registro CloudWatch de auditoría. La regla es NON_COMPLIANT si el agente no tiene habilitado el registro de auditoría. | |
| 10.2.2 | Se han implementado registros de auditoría como apoyo para la detección de anomalías y actividades sospechosas, así como para el análisis forense de los eventos. (PCI-DSS-v4.0) | Compruebe que haya un clúster de Amazon Elastic Kubernetes Service (Amazon EKS) configurado y con el registro habilitado. La regla es NON_COMPLIANT si el registro de los clústeres de Amazon EKS no está habilitado para todos los tipos de registro. | |
| 10.2.2 | Se han implementado registros de auditoría como apoyo para la detección de anomalías y actividades sospechosas, así como para el análisis forense de los eventos. (PCI-DSS-v4.0) | Asegúrese de que los entornos de AWS Elastic Beanstalk estén configurados para enviar registros a Amazon Logs. CloudWatch La regla no es conforme si el valor de `` es falso. StreamLogs | |
| 10.2.2 | Se han implementado registros de auditoría como apoyo para la detección de anomalías y actividades sospechosas, así como para el análisis forense de los eventos. (PCI-DSS-v4.0) | Asegúrese de que la máquina AWS Step Functions tenga activado el registro. La regla es NON_COMPLIANT si una máquina de estado no tiene el registro activado o si la configuración de registro no se encuentra en el nivel mínimo indicado. | |
| 10.2.2 | Se han implementado registros de auditoría como apoyo para la detección de anomalías y actividades sospechosas, así como para el análisis forense de los eventos. (PCI-DSS-v4.0) | Asegúrese de que los firewalls de AWS Network Firewall tengan habilitado el registro. La regla es NON_COMPLIANT si el tipo de registro no está configurado. Puede especificar qué tipo de registro desea que compruebe la regla. | |
| 10.3.1 | Los registros de auditoría están protegidos frente a la destrucción y las modificaciones no autorizadas. (PCI-DSS-v4.0) | Compruebe que las etapas de Amazon API Gateway V2 tengan habilitado el registro de acceso. La regla no es compatible si 'accessLogSettings' no está presente en la configuración de Stage. | |
| 10.3.1 | Los registros de auditoría están protegidos frente a la destrucción y las modificaciones no autorizadas. (PCI-DSS-v4.0) | Asegúrese de que el rastreo de AWS X-Ray esté habilitado en Amazon API Gateway APIs REST. La regla es COMPLIANT si el rastreo de X-Ray está habilitado y NON_COMPLIANT cuando no lo está. | |
| 10.3.1 | Los registros de auditoría están protegidos frente a la destrucción y las modificaciones no autorizadas. (PCI-DSS-v4.0) | Asegúrese de que un clúster de Amazon Neptune tenga habilitada la exportación de CloudWatch registros para los registros de auditoría. La regla no es compatible si un clúster de Neptune no tiene habilitada la exportación de registros para los CloudWatch registros de auditoría. | |
| 10.3.1 | Los registros de auditoría están protegidos frente a la destrucción y las modificaciones no autorizadas. (PCI-DSS-v4.0) | Compruebe que logConfiguration esté configurado como activo en las definiciones de tareas de Amazon ECS. Esta regla no es compatible si una ECSTask definición activa no tiene definido el recurso LogConfiguration o si el valor de LogConfiguration es nulo en al menos una definición de contenedor. | |
| 10.3.1 | Los registros de auditoría están protegidos frente a la destrucción y las modificaciones no autorizadas. (PCI-DSS-v4.0) | Nota: Para esta regla, el identificador de la regla (CLOUD_TRAIL_ENABLED) y el nombre de la regla (cloudtrail-enabled) son diferentes. Asegúrese de que haya una AWS CloudTrail ruta habilitada en su AWS cuenta. La regla es NON_COMPLIANT si no hay ningún registro de seguimiento habilitado. De forma opcional, la regla comprueba un bucket de S3, un tema de Amazon Simple Notification Service (Amazon SNS) y un grupo de registros específicos. CloudWatch | |
| 10.3.1 | Los registros de auditoría están protegidos frente a la destrucción y las modificaciones no autorizadas. (PCI-DSS-v4.0) | Nota: para esta regla, el identificador de la regla (MULTI_REGION_CLOUD_TRAIL_ENABLED) y el nombre de la regla () son diferentes. multi-region-cloudtrail-enabled Asegúrese de que haya al menos una región múltiple. AWS CloudTrail La regla es NON_COMPLIANT si los registros de seguimiento no coinciden con los parámetros de entrada. La regla es NON_COMPLIANT si el ExcludeManagementEventSources campo no está vacío o si AWS CloudTrail está configurado para excluir eventos de administración, como eventos de AWS KMS o eventos de Amazon RDS Data API. | |
| 10.3.1 | Los registros de auditoría están protegidos frente a la destrucción y las modificaciones no autorizadas. (PCI-DSS-v4.0) | Asegúrese de que la AWS AppSync API tenga habilitado el registro. La regla NO ES COMPATIBLE si el registro no está habilitado o «fieldLogLevel» no es ERROR ni ALL. | |
| 10.3.1 | Los registros de auditoría están protegidos frente a la destrucción y las modificaciones no autorizadas. (PCI-DSS-v4.0) | Asegúrese de que los agentes de Amazon MQ tengan activado el registro de CloudWatch auditoría de Amazon. La regla es NON_COMPLIANT si un agente no tiene activado el registro de auditoría. | |
| 10.3.1 | Los registros de auditoría están protegidos frente a la destrucción y las modificaciones no autorizadas. (PCI-DSS-v4.0) | Asegúrese de que un agente de Amazon MQ tenga activado el registro CloudWatch de auditoría. La regla es NON_COMPLIANT si el agente no tiene habilitado el registro de auditoría. | |
| 10.3.1 | Los registros de auditoría están protegidos frente a la destrucción y las modificaciones no autorizadas. (PCI-DSS-v4.0) | Compruebe que haya un clúster de Amazon Elastic Kubernetes Service (Amazon EKS) configurado y con el registro habilitado. La regla es NON_COMPLIANT si el registro de los clústeres de Amazon EKS no está habilitado para todos los tipos de registro. | |
| 10.3.1 | Los registros de auditoría están protegidos frente a la destrucción y las modificaciones no autorizadas. (PCI-DSS-v4.0) | Asegúrese de que los entornos de AWS Elastic Beanstalk estén configurados para enviar registros a Amazon Logs. CloudWatch La regla no es conforme si el valor de `` es falso. StreamLogs | |
| 10.3.1 | Los registros de auditoría están protegidos frente a la destrucción y las modificaciones no autorizadas. (PCI-DSS-v4.0) | Asegúrese de que la máquina AWS Step Functions tenga activado el registro. La regla es NON_COMPLIANT si una máquina de estado no tiene el registro activado o si la configuración de registro no se encuentra en el nivel mínimo indicado. | |
| 10.3.1 | Los registros de auditoría están protegidos frente a la destrucción y las modificaciones no autorizadas. (PCI-DSS-v4.0) | Asegúrese de que los firewalls de AWS Network Firewall tengan habilitado el registro. La regla es NON_COMPLIANT si el tipo de registro no está configurado. Puede especificar qué tipo de registro desea que compruebe la regla. | |
| 10.3.2 | Los registros de auditoría están protegidos frente a la destrucción y las modificaciones no autorizadas. (PCI-DSS-v4.0) | Asegúrese de que haya al menos un AWS CloudTrail sendero definido con las mejores prácticas de seguridad. Esta regla es COMPLIANT si hay al menos un registro de seguimiento que cumpla todos los requisitos siguientes: | |
| 10.3.2 | Los registros de auditoría están protegidos frente a la destrucción y las modificaciones no autorizadas. (PCI-DSS-v4.0) | Compruebe que haya una instantánea manual de un clúster de base de datos de Amazon Neptune que no sea pública. La regla es NON_COMPLIANT si las instantáneas de clústeres nuevas y existentes de Neptune son públicas. | |
| 10.3.2 | Los registros de auditoría están protegidos frente a la destrucción y las modificaciones no autorizadas. (PCI-DSS-v4.0) | Compruebe que haya un almacén de copia de seguridad con una política basada en recursos asociada que impida la eliminación de los puntos de recuperación. La regla no es compatible si Backup Vault no tiene políticas basadas en recursos o tiene políticas sin una declaración de «Denegar» adecuada (declaración con permisos de backup:DeleteRecoveryPoint, backup: y backup:UpdateRecoveryPointLifecycle). PutBackupVaultAccessPolicy | |
| 10.3.2 | Los registros de auditoría están protegidos frente a la destrucción y las modificaciones no autorizadas. (PCI-DSS-v4.0) | Compruebe que haya una cuenta de Amazon EMR con la configuración de bloqueo de acceso público habilitada. La regla es NON_COMPLIANT si BlockPublicSecurityGroupRules es falsa o, si es verdadera, aparecen los puertos distintos del puerto 22. PermittedPublicSecurityGroupRuleRanges | |
| 10.3.2 | Los registros de auditoría están protegidos frente a la destrucción y las modificaciones no autorizadas. (PCI-DSS-v4.0) | Compruebe que los puntos de acceso de Amazon S3 tengan habilitada la configuración de bloqueo del acceso público. La regla NON_COMPLIANT si la configuración de bloqueo de acceso público no está habilitada para los puntos de acceso de S3. | |
| 10.3.2 | Los registros de auditoría están protegidos frente a la destrucción y las modificaciones no autorizadas. (PCI-DSS-v4.0) | Compruebe que la configuración requerida del bloqueo de acceso público se haya configurado desde el nivel de cuenta. La regla sólo es NON_COMPLIANT cuando los campos establecidos a continuación no coinciden con los campos correspondientes en el elemento de configuración. | |
| 10.3.2 | Los registros de auditoría están protegidos frente a la destrucción y las modificaciones no autorizadas. (PCI-DSS-v4.0) | Compruebe que la eliminación de la MFA esté habilitada en la configuración del control de versiones de buckets de Amazon Simple Storage Service (Amazon S3). La regla es NON_COMPLIANT si la eliminación de MFA no está habilitada. | |
| 10.3.3 | Los registros de auditoría están protegidos frente a la destrucción y las modificaciones no autorizadas. (PCI-DSS-v4.0) | Compruebe que los clústeres de bases de datos de Amazon Aurora estén protegidos por un plan de copia de seguridad. La regla es NON_COMPLIANT si el clúster de bases de datos de Amazon Relational Database Service (Amazon RDS) no está protegido por un plan de copia de seguridad. | |
| 10.3.3 | Los registros de auditoría están protegidos frente a la destrucción y las modificaciones no autorizadas. (PCI-DSS-v4.0) | Compruebe que las instancias de base de datos de RDS tengan habilitada la copia de seguridad. Opcionalmente, la regla comprueba el periodo de retención de copia de seguridad y el periodo de tiempo de la copia de seguridad. | |
| 10.3.3 | Los registros de auditoría están protegidos frente a la destrucción y las modificaciones no autorizadas. (PCI-DSS-v4.0) | Asegúrese de que las tablas de Amazon DynamoDB estén presentes en AWS los planes de Backup. La regla no es conforme si las tablas de Amazon DynamoDB no están presentes en ningún plan de Backup. AWS | |
| 10.3.3 | Los registros de auditoría están protegidos frente a la destrucción y las modificaciones no autorizadas. (PCI-DSS-v4.0) | Compruebe que las tablas de Amazon DynamoDB estén protegidas por un plan de copia de seguridad. La regla es NON_COMPLIANT si la tabla de DynamoDB no está cubierta por un plan de copia de seguridad. | |
| 10.3.3 | Los registros de auditoría están protegidos frente a la destrucción y las modificaciones no autorizadas. (PCI-DSS-v4.0) | Asegúrese de añadir los volúmenes de Amazon Elastic Block Store (Amazon EBS) a los planes de backup de Backup. AWS La regla es NON_COMPLIANT si los volúmenes de Amazon EBS no están incluidos en los planes de copia de seguridad. | |
| 10.3.3 | Los registros de auditoría están protegidos frente a la destrucción y las modificaciones no autorizadas. (PCI-DSS-v4.0) | Compruebe que los volúmenes de Amazon Elastic Block Store (Amazon EBS) estén protegidos por un plan de copia de seguridad. La regla es NON_COMPLIANT si el volumen de Amazon EBS no está cubierto por un plan de copia de seguridad. | |
| 10.3.3 | Los registros de auditoría están protegidos frente a la destrucción y las modificaciones no autorizadas. (PCI-DSS-v4.0) | Asegúrese de que las instancias de Amazon Elastic Compute Cloud (Amazon EC2) estén protegidas por un plan de respaldo. La regla es NON_COMPLIANT si la EC2 instancia de Amazon no está cubierta por un plan de respaldo. | |
| 10.3.3 | Los registros de auditoría están protegidos frente a la destrucción y las modificaciones no autorizadas. (PCI-DSS-v4.0) | Compruebe que los sistemas de archivos de Amazon Elastic File System (Amazon EFS) estén protegidos por un plan de copia de seguridad. La regla es NON_COMPLIANT si el sistema de archivos de EFS no está cubierto por un plan de copia de seguridad. | |
| 10.3.3 | Los registros de auditoría están protegidos frente a la destrucción y las modificaciones no autorizadas. (PCI-DSS-v4.0) | elasticache-redis-cluster-automatic-verificación de respaldo |
Compruebe si los clústeres de Amazon ElastiCache Redis tienen activada la copia de seguridad automática. La regla no es compatible si el clúster SnapshotRetentionLimit de Redis es inferior al parámetro. SnapshotRetentionPeriod Por ejemplo: si el parámetro es 15, la regla no es compatible si está entre 0 y 15. snapshotRetentionPeriod |
| 10.3.3 | Los registros de auditoría están protegidos frente a la destrucción y las modificaciones no autorizadas. (PCI-DSS-v4.0) | Asegúrese de que Amazon FSx File Systems esté protegido por un plan de respaldo. La regla no cumple con los requisitos si el sistema de FSx archivos de Amazon no está cubierto por un plan de respaldo. | |
| 10.3.3 | Los registros de auditoría están protegidos frente a la destrucción y las modificaciones no autorizadas. (PCI-DSS-v4.0) | Compruebe que el período de retención de un clúster de base de datos de Amazon Neptune se haya configurado a un número específico de días. La regla es NON_COMPLIANT si el período de retención es inferior al valor especificado por el parámetro. | |
| 10.3.3 | Los registros de auditoría están protegidos frente a la destrucción y las modificaciones no autorizadas. (PCI-DSS-v4.0) | Asegúrese de que las bases de datos de Amazon Relational Database Service (Amazon RDS) estén presentes en los planes de AWS Backup. La regla no es conforme si las bases de datos de Amazon RDS no están incluidas en ningún plan de Backup AWS . | |
| 10.3.3 | Los registros de auditoría están protegidos frente a la destrucción y las modificaciones no autorizadas. (PCI-DSS-v4.0) | Compruebe que las instantáneas automatizadas de Amazon Redshift estén habilitadas para clústeres. La regla no es compatible si el valor del automatedSnapshotRetention período es mayor MaxRetentionPeriod o menor que MinRetentionPeriod o el valor es 0. | |
| 10.3.3 | Los registros de auditoría están protegidos frente a la destrucción y las modificaciones no autorizadas. (PCI-DSS-v4.0) | Compruebe que los buckets de Amazon Simple Storage Service (Amazon S3) estén protegidos por un plan de copia de seguridad. La regla es NON_COMPLIANT si el bucket de Amazon S3 no está cubierto por un plan de copia de seguridad. | |
| 10.3.3 | Los registros de auditoría están protegidos frente a la destrucción y las modificaciones no autorizadas. (PCI-DSS-v4.0) | Asegúrese de que haya al menos un AWS CloudTrail sendero definido con las mejores prácticas de seguridad. Esta regla es COMPLIANT si hay al menos un registro de seguimiento que cumpla todos los requisitos siguientes: | |
| 10.3.3 | Los registros de auditoría están protegidos frente a la destrucción y las modificaciones no autorizadas. (PCI-DSS-v4.0) | Compruebe que las instancias de base de datos de RDS tengan habilitada la copia de seguridad. Opcionalmente, la regla comprueba el periodo de retención de copia de seguridad y el periodo de tiempo de la copia de seguridad. | |
| 10.3.3 | Los registros de auditoría están protegidos frente a la destrucción y las modificaciones no autorizadas. (PCI-DSS-v4.0) | Asegúrese de que point-in-time la recuperación (PITR) esté habilitada para las tablas de Amazon DynamoDB. La regla es NON_COMPLIANT si PITR no está habilitado para las tablas de DynamoDB. | |
| 10.3.4 | Los registros de auditoría están protegidos frente a la destrucción y las modificaciones no autorizadas. (PCI-DSS-v4.0) | Compruebe que el bucket de S3 tenga habilitado el bloqueo de forma predeterminada. La regla es NON_COMPLIANT si el bloqueo no está habilitado. | |
| 10.3.4 | Los registros de auditoría están protegidos frente a la destrucción y las modificaciones no autorizadas. (PCI-DSS-v4.0) | Compruebe que se haya habilitado el control de versiones para los buckets de S3. Opcionalmente, la regla comprueba si la eliminación de MFA está habilitada para los buckets de S3. | |
| 10.3.4 | Los registros de auditoría están protegidos frente a la destrucción y las modificaciones no autorizadas. (PCI-DSS-v4.0) | Asegúrese de que haya al menos un AWS CloudTrail sendero definido con las mejores prácticas de seguridad. Esta regla es COMPLIANT si hay al menos un registro de seguimiento que cumpla todos los requisitos siguientes: | |
| 10.4.1 | Se revisan los registros de auditoría para identificar anomalías o actividades sospechosas. (PCI-DSS-v4.0) | Asegúrese de que el rastreo de AWS X-Ray esté habilitado en Amazon API Gateway APIs REST. La regla es COMPLIANT si el rastreo de X-Ray está habilitado y NON_COMPLIANT cuando no lo está. | |
| 10.4.1 | Se revisan los registros de auditoría para identificar anomalías o actividades sospechosas. (PCI-DSS-v4.0) | Asegúrese de que la supervisión detallada esté habilitada para las EC2 instancias. La regla es NON_COMPLIANT si la supervisión detallada no está habilitada. | |
| 10.4.1 | Se revisan los registros de auditoría para identificar anomalías o actividades sospechosas. (PCI-DSS-v4.0) | Asegúrese de que CloudWatch las alarmas tengan una acción configurada para los estados ALARM, INSUFFICIENT_DATA o OK. Como factor opcional, compruebe que haya acciones que coincidan con un ARN indicado. La regla es NON_COMPLIANT si no se ha especificado ninguna acción para la alarma o el parámetro opcional. | |
| 10.4.1 | Se revisan los registros de auditoría para identificar anomalías o actividades sospechosas. (PCI-DSS-v4.0) | Asegúrese de que CloudWatch las alarmas tengan una acción configurada para los estados ALARM, INSUFFICIENT_DATA o OK. Como factor opcional, compruebe que haya acciones que coincidan con un ARN indicado. La regla es NON_COMPLIANT si no se ha especificado ninguna acción para la alarma o el parámetro opcional. | |
| 10.4.1 | Se revisan los registros de auditoría para identificar anomalías o actividades sospechosas. (PCI-DSS-v4.0) | Asegúrese de que CloudWatch las alarmas tengan una acción configurada para los estados ALARM, INSUFFICIENT_DATA o OK. Como factor opcional, compruebe que haya acciones que coincidan con un ARN indicado. La regla es NON_COMPLIANT si no se ha especificado ninguna acción para la alarma o el parámetro opcional. | |
| 10.4.1 | Se revisan los registros de auditoría para identificar anomalías o actividades sospechosas. (PCI-DSS-v4.0) | Asegúrese de que un tipo de recurso tenga una CloudWatch alarma para la métrica indicada. Para el tipo de recurso, puede especificar volúmenes, EC2 instancias, clústeres de Amazon RDS o buckets S3 de EBS. La regla cumple con los requisitos si la métrica indicada tiene un identificador de recurso y una alarma. CloudWatch | |
| 10.4.1 | Se revisan los registros de auditoría para identificar anomalías o actividades sospechosas. (PCI-DSS-v4.0) | Asegúrese de que la recopilación CloudWatch de métricas de seguridad de Amazon en los grupos de AWS WAFv2 reglas esté habilitada. La regla no cumple con los requisitos si el signo '. VisibilityConfig CloudWatchMetricsEnabledel campo 'está establecido en falso. | |
| 10.4.1 | Se revisan los registros de auditoría para identificar anomalías o actividades sospechosas. (PCI-DSS-v4.0) | Compruebe que el registro de Amazon Simple Notification Service (SNS) esté habilitado para el estado de entrega de los mensajes de notificación enviados a un tema para los puntos de conexión. La regla es NON_COMPLIANT si la notificación del estado de entrega de los mensajes no está habilitada. | |
| 10.4.1.1 | Se revisan los registros de auditoría para identificar anomalías o actividades sospechosas. (PCI-DSS-v4.0) | Asegúrese de que el rastreo de AWS X-Ray esté habilitado en Amazon API Gateway APIs REST. La regla es COMPLIANT si el rastreo de X-Ray está habilitado y NON_COMPLIANT cuando no lo está. | |
| 10.4.1.1 | Se revisan los registros de auditoría para identificar anomalías o actividades sospechosas. (PCI-DSS-v4.0) | Asegúrese de que la supervisión detallada esté habilitada para EC2 las instancias. La regla es NON_COMPLIANT si la supervisión detallada no está habilitada. | |
| 10.4.1.1 | Se revisan los registros de auditoría para identificar anomalías o actividades sospechosas. (PCI-DSS-v4.0) | Asegúrese de que CloudWatch las alarmas tengan una acción configurada para los estados ALARM, INSUFFICIENT_DATA o OK. Como factor opcional, compruebe que haya acciones que coincidan con un ARN indicado. La regla es NON_COMPLIANT si no se ha especificado ninguna acción para la alarma o el parámetro opcional. | |
| 10.4.1.1 | Se revisan los registros de auditoría para identificar anomalías o actividades sospechosas. (PCI-DSS-v4.0) | Asegúrese de que CloudWatch las alarmas tengan una acción configurada para los estados ALARM, INSUFFICIENT_DATA o OK. Como factor opcional, compruebe que haya acciones que coincidan con un ARN indicado. La regla es NON_COMPLIANT si no se ha especificado ninguna acción para la alarma o el parámetro opcional. | |
| 10.4.1.1 | Se revisan los registros de auditoría para identificar anomalías o actividades sospechosas. (PCI-DSS-v4.0) | Asegúrese de que CloudWatch las alarmas tengan una acción configurada para los estados ALARM, INSUFFICIENT_DATA o OK. Como factor opcional, compruebe que haya acciones que coincidan con un ARN indicado. La regla es NON_COMPLIANT si no se ha especificado ninguna acción para la alarma o el parámetro opcional. | |
| 10.4.1.1 | Se revisan los registros de auditoría para identificar anomalías o actividades sospechosas. (PCI-DSS-v4.0) | Asegúrese de que un tipo de recurso tenga una CloudWatch alarma para la métrica indicada. Para el tipo de recurso, puede especificar volúmenes, EC2 instancias, clústeres de Amazon RDS o buckets S3 de EBS. La regla cumple con los requisitos si la métrica indicada tiene un identificador de recurso y una alarma. CloudWatch | |
| 10.4.1.1 | Se revisan los registros de auditoría para identificar anomalías o actividades sospechosas. (PCI-DSS-v4.0) | Asegúrese de que la recopilación CloudWatch de métricas de seguridad de Amazon en los grupos de AWS WAFv2 reglas esté habilitada. La regla no cumple con los requisitos si el signo '. VisibilityConfig CloudWatchMetricsEnabledel campo 'está establecido en falso. | |
| 10.4.1.1 | Se revisan los registros de auditoría para identificar anomalías o actividades sospechosas. (PCI-DSS-v4.0) | Compruebe que el registro de Amazon Simple Notification Service (SNS) esté habilitado para el estado de entrega de los mensajes de notificación enviados a un tema para los puntos de conexión. La regla es NON_COMPLIANT si la notificación del estado de entrega de los mensajes no está habilitada. | |
| 10.4.2 | Se revisan los registros de auditoría para identificar anomalías o actividades sospechosas. (PCI-DSS-v4.0) | Asegúrese de que el rastreo de AWS X-Ray esté habilitado en Amazon API Gateway APIs REST. La regla es COMPLIANT si el rastreo de X-Ray está habilitado y NON_COMPLIANT cuando no lo está. | |
| 10.4.2 | Se revisan los registros de auditoría para identificar anomalías o actividades sospechosas. (PCI-DSS-v4.0) | Asegúrese de que la supervisión detallada esté habilitada para las EC2 instancias. La regla es NON_COMPLIANT si la supervisión detallada no está habilitada. | |
| 10.4.2 | Se revisan los registros de auditoría para identificar anomalías o actividades sospechosas. (PCI-DSS-v4.0) | Asegúrese de que CloudWatch las alarmas tengan una acción configurada para los estados ALARM, INSUFFICIENT_DATA o OK. Como factor opcional, compruebe que haya acciones que coincidan con un ARN indicado. La regla es NON_COMPLIANT si no se ha especificado ninguna acción para la alarma o el parámetro opcional. | |
| 10.4.2 | Se revisan los registros de auditoría para identificar anomalías o actividades sospechosas. (PCI-DSS-v4.0) | Asegúrese de que CloudWatch las alarmas tengan una acción configurada para los estados ALARM, INSUFFICIENT_DATA o OK. Como factor opcional, compruebe que haya acciones que coincidan con un ARN indicado. La regla es NON_COMPLIANT si no se ha especificado ninguna acción para la alarma o el parámetro opcional. | |
| 10.4.2 | Se revisan los registros de auditoría para identificar anomalías o actividades sospechosas. (PCI-DSS-v4.0) | Asegúrese de que CloudWatch las alarmas tengan una acción configurada para los estados ALARM, INSUFFICIENT_DATA o OK. Como factor opcional, compruebe que haya acciones que coincidan con un ARN indicado. La regla es NON_COMPLIANT si no se ha especificado ninguna acción para la alarma o el parámetro opcional. | |
| 10.4.2 | Se revisan los registros de auditoría para identificar anomalías o actividades sospechosas. (PCI-DSS-v4.0) | Asegúrese de que un tipo de recurso tenga una CloudWatch alarma para la métrica indicada. Para el tipo de recurso, puede especificar volúmenes, EC2 instancias, clústeres de Amazon RDS o buckets S3 de EBS. La regla cumple con los requisitos si la métrica indicada tiene un identificador de recurso y una alarma. CloudWatch | |
| 10.4.2 | Se revisan los registros de auditoría para identificar anomalías o actividades sospechosas. (PCI-DSS-v4.0) | Asegúrese de que la recopilación CloudWatch de métricas de seguridad de Amazon en los grupos de AWS WAFv2 reglas esté habilitada. La regla no cumple con los requisitos si el signo '. VisibilityConfig CloudWatchMetricsEnabledel campo 'está establecido en falso. | |
| 10.4.2 | Se revisan los registros de auditoría para identificar anomalías o actividades sospechosas. (PCI-DSS-v4.0) | Compruebe que el registro de Amazon Simple Notification Service (SNS) esté habilitado para el estado de entrega de los mensajes de notificación enviados a un tema para los puntos de conexión. La regla es NON_COMPLIANT si la notificación del estado de entrega de los mensajes no está habilitada. | |
| 10.4.3 | Se revisan los registros de auditoría para identificar anomalías o actividades sospechosas. (PCI-DSS-v4.0) | Asegúrese de que CloudWatch las alarmas tengan una acción configurada para los estados ALARM, INSUFFICIENT_DATA o OK. Como factor opcional, compruebe que haya acciones que coincidan con un ARN indicado. La regla es NON_COMPLIANT si no se ha especificado ninguna acción para la alarma o el parámetro opcional. | |
| 10.5.1 | Se conserva un historial del registro de auditoría y está disponible para el análisis. (PCI-DSS-v4.0) | Asegúrese de que haya al menos un AWS CloudTrail sendero definido con las mejores prácticas de seguridad. Esta regla es COMPLIANT si hay al menos un registro de seguimiento que cumpla todos los requisitos siguientes: | |
| 10.5.1 | Se conserva un historial del registro de auditoría y está disponible para el análisis. (PCI-DSS-v4.0) | Asegúrese de que los volúmenes de EBS estén conectados a EC2 las instancias. Como factor opcional, compruebe que los volúmenes de EBS se marquen para eliminarlos cuando se finaliza una instancia. | |
| 10.5.1 | Se conserva un historial del registro de auditoría y está disponible para el análisis. (PCI-DSS-v4.0) | Compruebe que haya un repositorio privado de Amazon Elastic Container Registry (ECR) con, al menos, una política de ciclo de vida configurada. La regla es NON_COMPLIANT si no se ha configurado ninguna política de ciclo de vida para el repositorio privado de ECR. | |
| 10.5.1 | Se conserva un historial del registro de auditoría y está disponible para el análisis. (PCI-DSS-v4.0) | Asegúrese de que point-in-time la recuperación (PITR) esté habilitada para las tablas de Amazon DynamoDB. La regla es NON_COMPLIANT si PITR no está habilitado para las tablas de DynamoDB. | |
| 10.5.1 | Se conserva un historial del registro de auditoría y está disponible para el análisis. (PCI-DSS-v4.0) | Asegúrese de que el período CloudWatch LogGroup de retención de Amazon sea superior a 365 días o, de lo contrario, un período de retención específico. La regla NO CUMPLE CON LOS REQUISITOS si el período de retención es inferior a MinRetentionTime, si se especifica, o bien 365 días. | |
| 10.6.3 | Los mecanismos de sincronización horaria permiten que la configuración horaria sea uniforme en todos los sistemas. (PCI-DSS-v4.0) | Compruebe que las etapas de Amazon API Gateway V2 tengan habilitado el registro de acceso. La regla no es compatible si 'accessLogSettings' no está presente en la configuración del escenario. | |
| 10.6.3 | Los mecanismos de sincronización horaria permiten que la configuración horaria sea uniforme en todos los sistemas. (PCI-DSS-v4.0) | Asegúrese de que el rastreo de AWS X-Ray esté habilitado en Amazon API Gateway APIs REST. La regla es COMPLIANT si el rastreo de X-Ray está habilitado y NON_COMPLIANT cuando no lo está. | |
| 10.6.3 | Los mecanismos de sincronización horaria permiten que la configuración horaria sea uniforme en todos los sistemas. (PCI-DSS-v4.0) | Asegúrese de que la política de bucket de Amazon Simple Storage Service (Amazon S3) no permita acciones a nivel de bucket y a nivel de objeto incluidas en listas de bloqueos en los recursos del bucket para los directores de otras cuentas. AWS Por ejemplo, la regla comprueba que la política de bucket de Amazon S3 no permite que otra AWS cuenta realice ninguna acción s3: GetBucket * ni s3: DeleteObject en ningún objeto del bucket. La regla es NON_COMPLIANT si la política de buckets de Amazon S3 permite alguna acción incluida en la lista de bloqueo. | |
| 10.6.3 | Los mecanismos de sincronización horaria permiten que la configuración horaria sea uniforme en todos los sistemas. (PCI-DSS-v4.0) | Compruebe que las políticas del bucket de Amazon Simple Storage Service (S3) no otorguen permisos entre cuentas distintos a los de la política del bucket de Amazon S3 de control que se haya proporcionado. | |
| 10.6.3 | Los mecanismos de sincronización horaria permiten que la configuración horaria sea uniforme en todos los sistemas. (PCI-DSS-v4.0) | Asegúrese de que un clúster de Amazon Neptune tenga habilitada la exportación de CloudWatch registros para los registros de auditoría. La regla no es compatible si un clúster de Neptune no tiene habilitada la exportación de registros para los CloudWatch registros de auditoría. | |
| 10.6.3 | Los mecanismos de sincronización horaria permiten que la configuración horaria sea uniforme en todos los sistemas. (PCI-DSS-v4.0) | Asegúrese de que la supervisión detallada esté habilitada para las EC2 instancias. La regla es NON_COMPLIANT si la supervisión detallada no está habilitada. | |
| 10.6.3 | Los mecanismos de sincronización horaria permiten que la configuración horaria sea uniforme en todos los sistemas. (PCI-DSS-v4.0) | Compruebe que logConfiguration esté configurado como activo en las definiciones de tareas de Amazon ECS. Esta regla no es compatible si una ECSTask definición activa no tiene definido el recurso LogConfiguration o si el valor de LogConfiguration es nulo en al menos una definición de contenedor. | |
| 10.6.3 | Los mecanismos de sincronización horaria permiten que la configuración horaria sea uniforme en todos los sistemas. (PCI-DSS-v4.0) | Asegúrese de que CloudWatch las alarmas tengan una acción configurada para los estados ALARM, INSUFFICIENT_DATA o OK. Como factor opcional, compruebe que haya acciones que coincidan con un ARN indicado. La regla es NON_COMPLIANT si no se ha especificado ninguna acción para la alarma o el parámetro opcional. | |
| 10.6.3 | Los mecanismos de sincronización horaria permiten que la configuración horaria sea uniforme en todos los sistemas. (PCI-DSS-v4.0) | Asegúrese de que CloudWatch las alarmas tengan una acción configurada para los estados ALARM, INSUFFICIENT_DATA o OK. Como factor opcional, compruebe que haya acciones que coincidan con un ARN indicado. La regla es NON_COMPLIANT si no se ha especificado ninguna acción para la alarma o el parámetro opcional. | |
| 10.6.3 | Los mecanismos de sincronización horaria permiten que la configuración horaria sea uniforme en todos los sistemas. (PCI-DSS-v4.0) | Asegúrese de que CloudWatch las alarmas tengan una acción configurada para los estados ALARM, INSUFFICIENT_DATA o OK. Como factor opcional, compruebe que haya acciones que coincidan con un ARN indicado. La regla es NON_COMPLIANT si no se ha especificado ninguna acción para la alarma o el parámetro opcional. | |
| 10.6.3 | Los mecanismos de sincronización horaria permiten que la configuración horaria sea uniforme en todos los sistemas. (PCI-DSS-v4.0) | Asegúrese de que un tipo de recurso tenga una CloudWatch alarma para la métrica indicada. Para el tipo de recurso, puede especificar volúmenes, EC2 instancias, clústeres de Amazon RDS o buckets S3 de EBS. La regla cumple con los requisitos si la métrica indicada tiene un identificador de recurso y una alarma. CloudWatch | |
| 10.6.3 | Los mecanismos de sincronización horaria permiten que la configuración horaria sea uniforme en todos los sistemas. (PCI-DSS-v4.0) | Nota: Para esta regla, el identificador de la regla (CLOUD_TRAIL_ENABLED) y el nombre de la regla (cloudtrail-enabled) son diferentes. Asegúrese de que haya una AWS CloudTrail ruta habilitada en su AWS cuenta. La regla es NON_COMPLIANT si no hay ningún registro de seguimiento habilitado. De forma opcional, la regla comprueba un bucket de S3, un tema de Amazon Simple Notification Service (Amazon SNS) y un grupo de registros específicos. CloudWatch | |
| 10.6.3 | Los mecanismos de sincronización horaria permiten que la configuración horaria sea uniforme en todos los sistemas. (PCI-DSS-v4.0) | Nota: para esta regla, el identificador de la regla (MULTI_REGION_CLOUD_TRAIL_ENABLED) y el nombre de la regla () son diferentes. multi-region-cloudtrail-enabled Asegúrese de que haya al menos una región múltiple. AWS CloudTrail La regla es NON_COMPLIANT si los registros de seguimiento no coinciden con los parámetros de entrada. La regla es NON_COMPLIANT si el ExcludeManagementEventSources campo no está vacío o si AWS CloudTrail está configurado para excluir eventos de administración, como eventos de AWS KMS o eventos de Amazon RDS Data API. | |
| 10.6.3 | Los mecanismos de sincronización horaria permiten que la configuración horaria sea uniforme en todos los sistemas. (PCI-DSS-v4.0) | Asegúrese de que la AWS AppSync API tenga habilitado el registro. La regla NO ES COMPATIBLE si el registro no está habilitado o «fieldLogLevel» no es ERROR ni ALL. | |
| 10.6.3 | Los mecanismos de sincronización horaria permiten que la configuración horaria sea uniforme en todos los sistemas. (PCI-DSS-v4.0) | Asegúrese de que los agentes de Amazon MQ tengan activado el registro de CloudWatch auditoría de Amazon. La regla es NON_COMPLIANT si un agente no tiene activado el registro de auditoría. | |
| 10.6.3 | Los mecanismos de sincronización horaria permiten que la configuración horaria sea uniforme en todos los sistemas. (PCI-DSS-v4.0) | Asegúrese de que un agente de Amazon MQ tenga activado el registro CloudWatch de auditoría. La regla es NON_COMPLIANT si el agente no tiene habilitado el registro de auditoría. | |
| 10.6.3 | Los mecanismos de sincronización horaria permiten que la configuración horaria sea uniforme en todos los sistemas. (PCI-DSS-v4.0) | Compruebe que haya un clúster de Amazon Elastic Kubernetes Service (Amazon EKS) configurado y con el registro habilitado. La regla es NON_COMPLIANT si el registro de los clústeres de Amazon EKS no está habilitado para todos los tipos de registro. | |
| 10.6.3 | Los mecanismos de sincronización horaria permiten que la configuración horaria sea uniforme en todos los sistemas. (PCI-DSS-v4.0) | Asegúrese de que los entornos de AWS Elastic Beanstalk estén configurados para enviar registros a Amazon Logs. CloudWatch La regla no es conforme si el valor de `` es falso. StreamLogs | |
| 10.6.3 | Los mecanismos de sincronización horaria permiten que la configuración horaria sea uniforme en todos los sistemas. (PCI-DSS-v4.0) | Asegúrese de que la recopilación CloudWatch de métricas de seguridad de Amazon en los grupos de AWS WAFv2 reglas esté habilitada. La regla no cumple con los requisitos si el signo '. VisibilityConfig CloudWatchMetricsEnabledel campo 'está establecido en falso. | |
| 10.6.3 | Los mecanismos de sincronización horaria permiten que la configuración horaria sea uniforme en todos los sistemas. (PCI-DSS-v4.0) | Compruebe que el registro de Amazon Simple Notification Service (SNS) esté habilitado para el estado de entrega de los mensajes de notificación enviados a un tema para los puntos de conexión. La regla es NON_COMPLIANT si la notificación del estado de entrega de los mensajes no está habilitada. | |
| 10.6.3 | Los mecanismos de sincronización horaria permiten que la configuración horaria sea uniforme en todos los sistemas. (PCI-DSS-v4.0) | Asegúrese de que la máquina AWS Step Functions tenga activado el registro. La regla es NON_COMPLIANT si una máquina de estado no tiene el registro activado o si la configuración de registro no se encuentra en el nivel mínimo indicado. | |
| 10.6.3 | Los mecanismos de sincronización horaria permiten que la configuración horaria sea uniforme en todos los sistemas. (PCI-DSS-v4.0) | Asegúrese de que los firewalls de AWS Network Firewall tengan habilitado el registro. La regla es NON_COMPLIANT si el tipo de registro no está configurado. Puede especificar qué tipo de registro desea que compruebe la regla. | |
| 10.7.1 | Los fallos de los sistemas de control de seguridad críticos se detectan y se notifican, y se responde a ellos con prontitud. (PCI-DSS-v4.0) | Asegúrese de que el rastreo de AWS X-Ray esté habilitado en Amazon API Gateway APIs REST. La regla es COMPLIANT si el rastreo de X-Ray está habilitado y NON_COMPLIANT cuando no lo está. | |
| 10.7.1 | Los fallos de los sistemas de control de seguridad críticos se detectan y se notifican, y se responde a ellos con prontitud. (PCI-DSS-v4.0) | Asegúrese de que la supervisión detallada esté habilitada para las EC2 instancias. La regla es NON_COMPLIANT si la supervisión detallada no está habilitada. | |
| 10.7.1 | Los fallos de los sistemas de control de seguridad críticos se detectan y se notifican, y se responde a ellos con prontitud. (PCI-DSS-v4.0) | Asegúrese de que CloudWatch las alarmas tengan una acción configurada para los estados ALARM, INSUFFICIENT_DATA o OK. Como factor opcional, compruebe que haya acciones que coincidan con un ARN indicado. La regla es NON_COMPLIANT si no se ha especificado ninguna acción para la alarma o el parámetro opcional. | |
| 10.7.1 | Los fallos de los sistemas de control de seguridad críticos se detectan y se notifican, y se responde a ellos con prontitud. (PCI-DSS-v4.0) | Asegúrese de que CloudWatch las alarmas tengan una acción configurada para los estados ALARM, INSUFFICIENT_DATA o OK. Como factor opcional, compruebe que haya acciones que coincidan con un ARN indicado. La regla es NON_COMPLIANT si no se ha especificado ninguna acción para la alarma o el parámetro opcional. | |
| 10.7.1 | Los fallos de los sistemas de control de seguridad críticos se detectan y se notifican, y se responde a ellos con prontitud. (PCI-DSS-v4.0) | Asegúrese de que CloudWatch las alarmas tengan una acción configurada para los estados ALARM, INSUFFICIENT_DATA o OK. Como factor opcional, compruebe que haya acciones que coincidan con un ARN indicado. La regla es NON_COMPLIANT si no se ha especificado ninguna acción para la alarma o el parámetro opcional. | |
| 10.7.1 | Los fallos de los sistemas de control de seguridad críticos se detectan y se notifican, y se responde a ellos con prontitud. (PCI-DSS-v4.0) | Asegúrese de que un tipo de recurso tenga una CloudWatch alarma para la métrica indicada. Para el tipo de recurso, puede especificar volúmenes, EC2 instancias, clústeres de Amazon RDS o buckets S3 de EBS. La regla cumple con los requisitos si la métrica indicada tiene un identificador de recurso y una alarma. CloudWatch | |
| 10.7.1 | Los fallos de los sistemas de control de seguridad críticos se detectan y se notifican, y se responde a ellos con prontitud. (PCI-DSS-v4.0) | Asegúrese de que la recopilación CloudWatch de métricas de seguridad de Amazon en los grupos de AWS WAFv2 reglas esté habilitada. La regla no cumple con los requisitos si el signo '. VisibilityConfig CloudWatchMetricsEnabledel campo 'está establecido en falso. | |
| 10.7.1 | Los fallos de los sistemas de control de seguridad críticos se detectan y se notifican, y se responde a ellos con prontitud. (PCI-DSS-v4.0) | Compruebe que el registro de Amazon Simple Notification Service (SNS) esté habilitado para el estado de entrega de los mensajes de notificación enviados a un tema para los puntos de conexión. La regla es NON_COMPLIANT si la notificación del estado de entrega de los mensajes no está habilitada. | |
| 10.7.2 | Los fallos de los sistemas de control de seguridad críticos se detectan y se notifican, y se responde a ellos con prontitud. (PCI-DSS-v4.0) | Asegúrese de que el rastreo de AWS X-Ray esté habilitado en Amazon API Gateway APIs REST. La regla es COMPLIANT si el rastreo de X-Ray está habilitado y NON_COMPLIANT cuando no lo está. | |
| 10.7.2 | Los fallos de los sistemas de control de seguridad críticos se detectan y se notifican, y se responde a ellos con prontitud. (PCI-DSS-v4.0) | Asegúrese de que la supervisión detallada esté habilitada para las EC2 instancias. La regla es NON_COMPLIANT si la supervisión detallada no está habilitada. | |
| 10.7.2 | Los fallos de los sistemas de control de seguridad críticos se detectan y se notifican, y se responde a ellos con prontitud. (PCI-DSS-v4.0) | Asegúrese de que CloudWatch las alarmas tengan una acción configurada para los estados ALARM, INSUFFICIENT_DATA o OK. Como factor opcional, compruebe que haya acciones que coincidan con un ARN indicado. La regla es NON_COMPLIANT si no se ha especificado ninguna acción para la alarma o el parámetro opcional. | |
| 10.7.2 | Los fallos de los sistemas de control de seguridad críticos se detectan y se notifican, y se responde a ellos con prontitud. (PCI-DSS-v4.0) | Asegúrese de que CloudWatch las alarmas tengan una acción configurada para los estados ALARM, INSUFFICIENT_DATA o OK. Como factor opcional, compruebe que haya acciones que coincidan con un ARN indicado. La regla es NON_COMPLIANT si no se ha especificado ninguna acción para la alarma o el parámetro opcional. | |
| 10.7.2 | Los fallos de los sistemas de control de seguridad críticos se detectan y se notifican, y se responde a ellos con prontitud. (PCI-DSS-v4.0) | Asegúrese de que CloudWatch las alarmas tengan una acción configurada para los estados ALARM, INSUFFICIENT_DATA o OK. Como factor opcional, compruebe que haya acciones que coincidan con un ARN indicado. La regla es NON_COMPLIANT si no se ha especificado ninguna acción para la alarma o el parámetro opcional. | |
| 10.7.2 | Los fallos de los sistemas de control de seguridad críticos se detectan y se notifican, y se responde a ellos con prontitud. (PCI-DSS-v4.0) | Asegúrese de que un tipo de recurso tenga una CloudWatch alarma para la métrica indicada. Para el tipo de recurso, puede especificar volúmenes, EC2 instancias, clústeres de Amazon RDS o buckets S3 de EBS. La regla cumple con los requisitos si la métrica indicada tiene un identificador de recurso y una alarma. CloudWatch | |
| 10.7.2 | Los fallos de los sistemas de control de seguridad críticos se detectan y se notifican, y se responde a ellos con prontitud. (PCI-DSS-v4.0) | Asegúrese de que la recopilación CloudWatch de métricas de seguridad de Amazon en los grupos de AWS WAFv2 reglas esté habilitada. La regla no cumple con los requisitos si el signo '. VisibilityConfig CloudWatchMetricsEnabledel campo 'está establecido en falso. | |
| 10.7.2 | Los fallos de los sistemas de control de seguridad críticos se detectan y se notifican, y se responde a ellos con prontitud. (PCI-DSS-v4.0) | Compruebe que el registro de Amazon Simple Notification Service (SNS) esté habilitado para el estado de entrega de los mensajes de notificación enviados a un tema para los puntos de conexión. La regla es NON_COMPLIANT si la notificación del estado de entrega de los mensajes no está habilitada. | |
| 11.5.2 | Las intrusiones en la red y los cambios inesperados en los archivos se detectan y se proporciona una respuesta. (PCI-DSS-v4.0) | Asegúrese de que CloudWatch las alarmas tengan una acción configurada para los estados ALARM, INSUFFICIENT_DATA o OK. Como factor opcional, compruebe que haya acciones que coincidan con un ARN indicado. La regla es NON_COMPLIANT si no se ha especificado ninguna acción para la alarma o el parámetro opcional. | |
| 11.5.2 | Las intrusiones en la red y los cambios inesperados en los archivos se detectan y se proporciona una respuesta. (PCI-DSS-v4.0) | Asegúrese de que CloudWatch las alarmas tengan una acción configurada para los estados ALARM, INSUFFICIENT_DATA o OK. Como factor opcional, compruebe que haya acciones que coincidan con un ARN indicado. La regla es NON_COMPLIANT si no se ha especificado ninguna acción para la alarma o el parámetro opcional. | |
| 11.5.2 | Las intrusiones en la red y los cambios inesperados en los archivos se detectan y se proporciona una respuesta. (PCI-DSS-v4.0) | Asegúrese de que CloudWatch las alarmas con el nombre de métrica indicado tengan la configuración especificada. | |
| 11.5.2 | Las intrusiones en la red y los cambios inesperados en los archivos se detectan y se proporciona una respuesta. (PCI-DSS-v4.0) | Compruebe que el registro de Amazon Simple Notification Service (SNS) esté habilitado para el estado de entrega de los mensajes de notificación enviados a un tema para los puntos de conexión. La regla es NON_COMPLIANT si la notificación del estado de entrega de los mensajes no está habilitada. | |
| 11.6.1 | Los cambios no autorizados en las páginas de pago se detectan y se proporciona una respuesta. (PCI-DSS-v4.0) | Asegúrese de que CloudWatch las alarmas tengan una acción configurada para los estados ALARM, INSUFFICIENT_DATA o OK. Como factor opcional, compruebe que haya acciones que coincidan con un ARN indicado. La regla es NON_COMPLIANT si no se ha especificado ninguna acción para la alarma o el parámetro opcional. | |
| 11.6.1 | Los cambios no autorizados en las páginas de pago se detectan y se proporciona una respuesta. (PCI-DSS-v4.0) | Asegúrese de que CloudWatch las alarmas tengan una acción configurada para los estados ALARM, INSUFFICIENT_DATA o OK. Como factor opcional, compruebe que haya acciones que coincidan con un ARN indicado. La regla es NON_COMPLIANT si no se ha especificado ninguna acción para la alarma o el parámetro opcional. | |
| 11.6.1 | Los cambios no autorizados en las páginas de pago se detectan y se proporciona una respuesta. (PCI-DSS-v4.0) | Asegúrese de que CloudWatch las alarmas con el nombre de métrica indicado tengan la configuración especificada. | |
| 11.6.1 | Los cambios no autorizados en las páginas de pago se detectan y se proporciona una respuesta. (PCI-DSS-v4.0) | Compruebe que el registro de Amazon Simple Notification Service (SNS) esté habilitado para el estado de entrega de los mensajes de notificación enviados a un tema para los puntos de conexión. La regla es NON_COMPLIANT si la notificación del estado de entrega de los mensajes no está habilitada. | |
| 12.10.5 | Se responde inmediatamente a los incidentes de seguridad, sospechosos y confirmados, que puedan afectar al CDE. (PCI-DSS-v4.0) | Asegúrese de que CloudWatch las alarmas tengan una acción configurada para los estados ALARM, INSUFFICIENT_DATA o OK. Como factor opcional, compruebe que haya acciones que coincidan con un ARN indicado. La regla es NON_COMPLIANT si no se ha especificado ninguna acción para la alarma o el parámetro opcional. | |
| 12.10.5 | Se responde inmediatamente a los incidentes de seguridad, sospechosos y confirmados, que puedan afectar al CDE. (PCI-DSS-v4.0) | Asegúrese de que CloudWatch las alarmas tengan una acción configurada para los estados ALARM, INSUFFICIENT_DATA o OK. Como factor opcional, compruebe que haya acciones que coincidan con un ARN indicado. La regla es NON_COMPLIANT si no se ha especificado ninguna acción para la alarma o el parámetro opcional. | |
| 12.10.5 | Se responde inmediatamente a los incidentes de seguridad, sospechosos y confirmados, que puedan afectar al CDE. (PCI-DSS-v4.0) | Asegúrese de que CloudWatch las alarmas con el nombre de métrica indicado tengan la configuración especificada. | |
| 12.10.5 | Se responde inmediatamente a los incidentes de seguridad, sospechosos y confirmados, que puedan afectar al CDE. (PCI-DSS-v4.0) | Compruebe que el registro de Amazon Simple Notification Service (SNS) esté habilitado para el estado de entrega de los mensajes de notificación enviados a un tema para los puntos de conexión. La regla es NON_COMPLIANT si la notificación del estado de entrega de los mensajes no está habilitada. | |
| 12.4.2.1 | El cumplimiento de PCI DSS está administrado. (PCI-DSS-v4.0) | Asegúrese de que AWS Service Catalog comparta las carteras con una organización (un conjunto de AWS cuentas tratadas como una sola unidad) cuando la integración esté habilitada con AWS Organizations. La regla es NON_COMPLIANT si el valor de Tipo al compartir es ACCOUNT. | |
| 2.2.5 | Los componentes del sistema se configuran y administran de forma segura. (PCI-DSS-v4.0) | Asegúrese de que un servidor creado con AWS Transfer Family no utilice FTP para la conexión de punto final. La regla es NON_COMPLIANT si el protocolo del servidor para la conexión del punto de conexión está habilitado para FTP. | |
| 2.2.7 | Los componentes del sistema se configuran y administran de forma segura. (PCI-DSS-v4.0) | Asegúrese de que los puntos finales del AWS Database Migration Service (AWS DMS) de los almacenes de datos de Redis estén habilitados para que el TLS/SSL encryption of data communicated with other endpoints. The rule is NON_COMPLIANT if TLS/SSL cifrado no esté habilitado. | |
| 2.2.7 | Los componentes del sistema se configuran y administran de forma segura. (PCI-DSS-v4.0) | Asegúrese de que los balanceadores de carga clásicos usen certificados SSL proporcionados por AWS Certificate Manager. Para usar esta regla, utilice un agente de escucha SSL o HTTPS con su Classic Load Balancer. Nota: Esta regla solo se aplica a los equilibradores de carga clásicos. Esta regla no comprueba los Application Load Balancers ni los Network Load Balancers. | |
| 2.2.7 | Los componentes del sistema se configuran y administran de forma segura. (PCI-DSS-v4.0) | Compruebe que haya un clúster de Amazon MSK que aplique el cifrado en tránsito con HTTPS (TLS) con los nodos de agente del clúster. La regla es NON_COMPLIANT si la comunicación de texto sin formato está habilitada para conexiones de nodo de agente dentro del clúster. | |
| 2.2.7 | Los componentes del sistema se configuran y administran de forma segura. (PCI-DSS-v4.0) | Asegúrese de que los puntos finales del AWS Database Migration Service (AWS DMS) estén configurados con una conexión SSL. La regla NO ES COMPATIBLE si el AWS DMS no tiene configurada una conexión SSL. | |
| 3.2.1 | El almacenamiento de los datos de la cuenta se reduce al mínimo. (PCI-DSS-v4.0) | Asegúrese de que los volúmenes de EBS estén conectados a las instancias. EC2 Como factor opcional, compruebe que los volúmenes de EBS se marquen para eliminarlos cuando se finaliza una instancia. | |
| 3.2.1 | El almacenamiento de los datos de la cuenta se reduce al mínimo. (PCI-DSS-v4.0) | Compruebe que haya un repositorio privado de Amazon Elastic Container Registry (ECR) con, al menos, una política de ciclo de vida configurada. La regla es NON_COMPLIANT si no se ha configurado ninguna política de ciclo de vida para el repositorio privado de ECR. | |
| 3.2.1 | El almacenamiento de los datos de la cuenta se reduce al mínimo. (PCI-DSS-v4.0) | Asegúrese de que point-in-time la recuperación (PITR) esté habilitada para las tablas de Amazon DynamoDB. La regla es NON_COMPLIANT si PITR no está habilitado para las tablas de DynamoDB. | |
| 3.2.1 | El almacenamiento de los datos de la cuenta se reduce al mínimo. (PCI-DSS-v4.0) | Asegúrese de que el período CloudWatch LogGroup de retención de Amazon sea superior a 365 días o, de lo contrario, un período de retención específico. La regla NO CUMPLE CON LOS REQUISITOS si el período de retención es inferior a MinRetentionTime, si se especifica, o bien 365 días. | |
| 3.3.1.1 | Los datos de autenticación confidenciales (SAD) no se almacenan después de la autorización. (PCI-DSS-v4.0) | Asegúrese de que los volúmenes de EBS estén conectados a las instancias. EC2 Como factor opcional, compruebe que los volúmenes de EBS se marquen para eliminarlos cuando se finaliza una instancia. | |
| 3.3.1.1 | Los datos de autenticación confidenciales (SAD) no se almacenan después de la autorización. (PCI-DSS-v4.0) | Compruebe que haya un repositorio privado de Amazon Elastic Container Registry (ECR) con, al menos, una política de ciclo de vida configurada. La regla es NON_COMPLIANT si no se ha configurado ninguna política de ciclo de vida para el repositorio privado de ECR. | |
| 3.3.1.1 | Los datos de autenticación confidenciales (SAD) no se almacenan después de la autorización. (PCI-DSS-v4.0) | Asegúrese de que point-in-time la recuperación (PITR) esté habilitada para las tablas de Amazon DynamoDB. La regla es NON_COMPLIANT si PITR no está habilitado para las tablas de DynamoDB. | |
| 3.3.1.1 | Los datos de autenticación confidenciales (SAD) no se almacenan después de la autorización. (PCI-DSS-v4.0) | Asegúrese de que el período CloudWatch LogGroup de retención de Amazon sea superior a 365 días o, de lo contrario, un período de retención específico. La regla NO CUMPLE CON LOS REQUISITOS si el período de retención es inferior a MinRetentionTime, si se especifica, o bien 365 días. | |
| 3.3.1.3 | Los datos de autenticación confidenciales (SAD) no se almacenan después de la autorización. (PCI-DSS-v4.0) | Asegúrese de que los volúmenes de EBS estén conectados a las instancias. EC2 Como factor opcional, compruebe que los volúmenes de EBS se marquen para eliminarlos cuando se finaliza una instancia. | |
| 3.3.1.3 | Los datos de autenticación confidenciales (SAD) no se almacenan después de la autorización. (PCI-DSS-v4.0) | Compruebe que haya un repositorio privado de Amazon Elastic Container Registry (ECR) con, al menos, una política de ciclo de vida configurada. La regla es NON_COMPLIANT si no se ha configurado ninguna política de ciclo de vida para el repositorio privado de ECR. | |
| 3.3.1.3 | Los datos de autenticación confidenciales (SAD) no se almacenan después de la autorización. (PCI-DSS-v4.0) | Asegúrese de que point-in-time la recuperación (PITR) esté habilitada para las tablas de Amazon DynamoDB. La regla es NON_COMPLIANT si PITR no está habilitado para las tablas de DynamoDB. | |
| 3.3.1.3 | Los datos de autenticación confidenciales (SAD) no se almacenan después de la autorización. (PCI-DSS-v4.0) | Asegúrese de que el período CloudWatch LogGroup de retención de Amazon sea superior a 365 días o, de lo contrario, un período de retención específico. La regla NO CUMPLE CON LOS REQUISITOS si el período de retención es inferior a MinRetentionTime, si se especifica, o bien 365 días. | |
| 3.3.2 | Los datos de autenticación confidenciales (SAD) no se almacenan después de la autorización. (PCI-DSS-v4.0) | Asegúrese de que los volúmenes de EBS estén adjuntos a las instancias. EC2 Como factor opcional, compruebe que los volúmenes de EBS se marquen para eliminarlos cuando se finaliza una instancia. | |
| 3.3.2 | Los datos de autenticación confidenciales (SAD) no se almacenan después de la autorización. (PCI-DSS-v4.0) | Compruebe que haya un repositorio privado de Amazon Elastic Container Registry (ECR) con, al menos, una política de ciclo de vida configurada. La regla es NON_COMPLIANT si no se ha configurado ninguna política de ciclo de vida para el repositorio privado de ECR. | |
| 3.3.2 | Los datos de autenticación confidenciales (SAD) no se almacenan después de la autorización. (PCI-DSS-v4.0) | Asegúrese de que point-in-time la recuperación (PITR) esté habilitada para las tablas de Amazon DynamoDB. La regla es NON_COMPLIANT si PITR no está habilitado para las tablas de DynamoDB. | |
| 3.3.2 | Los datos de autenticación confidenciales (SAD) no se almacenan después de la autorización. (PCI-DSS-v4.0) | Asegúrese de que el período CloudWatch LogGroup de retención de Amazon sea superior a 365 días o, de lo contrario, un período de retención específico. La regla NO CUMPLE CON LOS REQUISITOS si el período de retención es inferior a MinRetentionTime, si se especifica, o bien 365 días. | |
| 3.3.3 | Los datos de autenticación confidenciales (SAD) no se almacenan después de la autorización. (PCI-DSS-v4.0) | Asegúrese de que los volúmenes de EBS estén conectados a EC2 las instancias. Como factor opcional, compruebe que los volúmenes de EBS se marquen para eliminarlos cuando se finaliza una instancia. | |
| 3.3.3 | Los datos de autenticación confidenciales (SAD) no se almacenan después de la autorización. (PCI-DSS-v4.0) | Compruebe que haya un repositorio privado de Amazon Elastic Container Registry (ECR) con, al menos, una política de ciclo de vida configurada. La regla es NON_COMPLIANT si no se ha configurado ninguna política de ciclo de vida para el repositorio privado de ECR. | |
| 3.3.3 | Los datos de autenticación confidenciales (SAD) no se almacenan después de la autorización. (PCI-DSS-v4.0) | Asegúrese de que point-in-time la recuperación (PITR) esté habilitada para las tablas de Amazon DynamoDB. La regla es NON_COMPLIANT si PITR no está habilitado para las tablas de DynamoDB. | |
| 3.3.3 | Los datos de autenticación confidenciales (SAD) no se almacenan después de la autorización. (PCI-DSS-v4.0) | Asegúrese de que el período CloudWatch LogGroup de retención de Amazon sea superior a 365 días o, de lo contrario, un período de retención específico. La regla NO CUMPLE CON LOS REQUISITOS si el período de retención es inferior a MinRetentionTime, si se especifica, o bien 365 días. | |
| 3.5.1 | El número de cuenta principal (PAN) está protegido dondequiera que esté almacenado. (PCI-DSS-v4.0) | Compruebe que haya un grupo de trabajo de Amazon Athena cifrado en reposo. La regla es NON_COMPLIANT si el cifrado de datos en reposo no está habilitado para un grupo de trabajo de Athena. | |
| 3.5.1 | El número de cuenta principal (PAN) está protegido dondequiera que esté almacenado. (PCI-DSS-v4.0) | Compruebe que haya un clúster de base de datos de Amazon Neptune con instantáneas cifradas. La regla es NON_COMPLIANT si un clúster de Neptune no tiene las instantáneas cifradas. | |
| 3.5.1 | El número de cuenta principal (PAN) está protegido dondequiera que esté almacenado. (PCI-DSS-v4.0) | Asegúrese de que los clústeres de Amazon Redshift utilicen una AWS clave específica del Servicio de administración de claves (AWS KMS) para el cifrado. La regla cumple con las normas si el cifrado está activado y el clúster está cifrado con la clave proporcionada en el kmsKeyArn parámetro. La regla es NON_COMPLIANT si el clúster no está cifrado o está cifrado con otra clave. | |
| 3.5.1 | El número de cuenta principal (PAN) está protegido dondequiera que esté almacenado. (PCI-DSS-v4.0) | Asegúrese de que un AWS CodeBuild proyecto configurado con Amazon S3 Logs tenga el cifrado activado para sus registros. La regla no es compatible si 'EncryptionDisabled' se establece en 'true' en el S3 LogsConfig de un proyecto. CodeBuild | |
| 3.5.1 | El número de cuenta principal (PAN) está protegido dondequiera que esté almacenado. (PCI-DSS-v4.0) | Asegúrese de que los clústeres de Amazon Elastic Kubernetes Service estén configurados para cifrar AWS los secretos de Kubernetes mediante claves del Servicio de administración de claves (KMS). | |
| 3.5.1 | El número de cuenta principal (PAN) está protegido dondequiera que esté almacenado. (PCI-DSS-v4.0) | Compruebe que todos los métodos de las etapas de Amazon API Gateway tengan memoria caché habilitada y cifrada. La regla es NON_COMPLIANT si algún método de una etapa de Amazon API Gateway no está configurada para el almacenamiento en caché o si la caché no está cifrada. | |
| 3.5.1 | El número de cuenta principal (PAN) está protegido dondequiera que esté almacenado. (PCI-DSS-v4.0) | Asegúrese de que la tabla de Amazon DynamoDB esté cifrada AWS con el Servicio de administración de claves (KMS). La regla no es compatible si la tabla de Amazon DynamoDB no está cifrada con KMS. AWS La regla tampoco cumple con los requisitos si la clave de AWS KMS cifrada no está presente en el parámetro de entrada. kmsKeyArns | |
| 3.5.1 | El número de cuenta principal (PAN) está protegido dondequiera que esté almacenado. (PCI-DSS-v4.0) | Asegúrese de que el proyecto NO contenga variables de entorno ni AWS_ACCESS_KEY_ID AWS_SECRET _ACCESS_KEY. La regla es NON_COMPLIANT si las variables de entorno del proyecto contienen credenciales de texto no cifrado. | |
| 3.5.1 | El número de cuenta principal (PAN) está protegido dondequiera que esté almacenado. (PCI-DSS-v4.0) | Asegúrese de que los clústeres de Amazon EKS no estén configurados para cifrar los secretos de Kubernetes mediante KMS. AWS La regla es NON_COMPLIANT si hay un clúster de EKS sin un recurso de encryptionConfig o si encryptionConfig no designa secretos como un recurso. | |
| 3.5.1 | El número de cuenta principal (PAN) está protegido dondequiera que esté almacenado. (PCI-DSS-v4.0) | Compruebe que los flujos de Amazon Kinesis estén cifrados en reposo con el cifrado en el servidor. La regla no es conforme para una transmisión de Kinesis si 'StreamEncryption' no está presente. | |
| 3.5.1 | El número de cuenta principal (PAN) está protegido dondequiera que esté almacenado. (PCI-DSS-v4.0) | Compruebe que el cifrado de almacenamiento esté habilitado para los clústeres de base de datos de Amazon Neptune. La regla es NON_COMPLIANT si el cifrado de almacenamiento no está habilitado. | |
| 3.5.1.1 | El número de cuenta principal (PAN) está protegido dondequiera que esté almacenado. (PCI-DSS-v4.0) | Asegúrese de que la autoridad de certificación AWS AWS privada (CA privada) tenga una CA raíz deshabilitada. La regla no cumple con los requisitos para la raíz CAs con un estado que no esté DESHABILITADO. | |
| 3.5.1.1 | El número de cuenta principal (PAN) está protegido dondequiera que esté almacenado. (PCI-DSS-v4.0) | Asegúrese de que los balanceadores de carga clásicos usen certificados SSL proporcionados por AWS Certificate Manager. Para usar esta regla, utilice un agente de escucha SSL o HTTPS con su Classic Load Balancer. Nota: Esta regla solo se aplica a los equilibradores de carga clásicos. Esta regla no comprueba los Application Load Balancers ni los Network Load Balancers. | |
| 3.5.1.3 | El número de cuenta principal (PAN) está protegido dondequiera que esté almacenado. (PCI-DSS-v4.0) | Asegúrese de que la autoridad de certificación AWS AWS privada (CA privada) tenga una CA raíz deshabilitada. La regla no cumple con los requisitos para la raíz CAs con un estado que no esté DESHABILITADO. | |
| 3.5.1.3 | El número de cuenta principal (PAN) está protegido dondequiera que esté almacenado. (PCI-DSS-v4.0) | Compruebe que haya una instantánea manual de un clúster de base de datos de Amazon Neptune que no sea pública. La regla es NON_COMPLIANT si las instantáneas de clústeres nuevas y existentes de Neptune son públicas. | |
| 3.5.1.3 | El número de cuenta principal (PAN) está protegido dondequiera que esté almacenado. (PCI-DSS-v4.0) | Compruebe que haya un almacén de copia de seguridad con una política basada en recursos asociada que impida la eliminación de los puntos de recuperación. La regla no es compatible si Backup Vault no tiene políticas basadas en recursos o tiene políticas sin una declaración de «Denegar» adecuada (declaración con permisos de backup:DeleteRecoveryPoint, backup: y backup:UpdateRecoveryPointLifecycle). PutBackupVaultAccessPolicy | |
| 3.5.1.3 | El número de cuenta principal (PAN) está protegido dondequiera que esté almacenado. (PCI-DSS-v4.0) | Asegúrese de que los balanceadores de carga clásicos usen certificados SSL proporcionados por AWS Certificate Manager. Para usar esta regla, utilice un agente de escucha SSL o HTTPS con su Classic Load Balancer. Nota: Esta regla solo se aplica a los equilibradores de carga clásicos. Esta regla no comprueba los Application Load Balancers ni los Network Load Balancers. | |
| 3.5.1.3 | El número de cuenta principal (PAN) está protegido dondequiera que esté almacenado. (PCI-DSS-v4.0) | Compruebe que haya una cuenta de Amazon EMR con la configuración de bloqueo de acceso público habilitada. La regla es NON_COMPLIANT si BlockPublicSecurityGroupRules es falsa o, si es verdadera, aparecen puertos distintos del puerto 22. PermittedPublicSecurityGroupRuleRanges | |
| 3.5.1.3 | El número de cuenta principal (PAN) está protegido dondequiera que esté almacenado. (PCI-DSS-v4.0) | Compruebe que los puntos de acceso de Amazon S3 tengan habilitada la configuración de bloqueo del acceso público. La regla NON_COMPLIANT si la configuración de bloqueo de acceso público no está habilitada para los puntos de acceso de S3. | |
| 3.5.1.3 | El número de cuenta principal (PAN) está protegido dondequiera que esté almacenado. (PCI-DSS-v4.0) | Compruebe que la configuración requerida del bloqueo de acceso público se haya configurado desde el nivel de cuenta. La regla sólo es NON_COMPLIANT cuando los campos establecidos a continuación no coinciden con los campos correspondientes en el elemento de configuración. | |
| 3.5.1.3 | El número de cuenta principal (PAN) está protegido dondequiera que esté almacenado. (PCI-DSS-v4.0) | Compruebe que la eliminación de la MFA esté habilitada en la configuración del control de versiones de buckets de Amazon Simple Storage Service (Amazon S3). La regla es NON_COMPLIANT si la eliminación de MFA no está habilitada. | |
| 3.6.1 | Las claves criptográficas utilizadas para proteger los datos de cuenta almacenados están protegidas. (PCI-DSS-v4.0) | Asegúrese de que la autoridad de certificación AWS AWS privada (CA privada) tenga una CA raíz deshabilitada. La regla no cumple con los requisitos para la raíz CAs con un estado que no esté DESHABILITADO. | |
| 3.6.1 | Las claves criptográficas utilizadas para proteger los datos de cuenta almacenados están protegidas. (PCI-DSS-v4.0) | Asegúrese de que los balanceadores de carga clásicos usen certificados SSL proporcionados por AWS Certificate Manager. Para usar esta regla, utilice un agente de escucha SSL o HTTPS con su Classic Load Balancer. Nota: Esta regla solo se aplica a los equilibradores de carga clásicos. Esta regla no comprueba los Application Load Balancers ni los Network Load Balancers. | |
| 3.6.1.2 | Las claves criptográficas utilizadas para proteger los datos de cuenta almacenados están protegidas. (PCI-DSS-v4.0) | Asegúrese de que la autoridad de certificación AWS AWS privada (CA privada) tenga una CA raíz deshabilitada. La regla no cumple con los requisitos para la raíz CAs con un estado que no esté DESHABILITADO. | |
| 3.6.1.2 | Las claves criptográficas utilizadas para proteger los datos de cuenta almacenados están protegidas. (PCI-DSS-v4.0) | Asegúrese de que los balanceadores de carga clásicos usen certificados SSL proporcionados por AWS Certificate Manager. Para usar esta regla, utilice un agente de escucha SSL o HTTPS con su Classic Load Balancer. Nota: Esta regla solo se aplica a los equilibradores de carga clásicos. Esta regla no comprueba los Application Load Balancers ni los Network Load Balancers. | |
| 3.6.1.3 | Las claves criptográficas utilizadas para proteger los datos de cuenta almacenados están protegidas. (PCI-DSS-v4.0) | Asegúrese de que la autoridad de certificación AWS AWS privada (CA privada) tenga una CA raíz deshabilitada. La regla no cumple con los requisitos para la raíz CAs con un estado que no esté DESHABILITADO. | |
| 3.6.1.3 | Las claves criptográficas utilizadas para proteger los datos de cuenta almacenados están protegidas. (PCI-DSS-v4.0) | Asegúrese de que los balanceadores de carga clásicos usen certificados SSL proporcionados por AWS Certificate Manager. Para usar esta regla, utilice un agente de escucha SSL o HTTPS con su Classic Load Balancer. Nota: Esta regla solo se aplica a los equilibradores de carga clásicos. Esta regla no comprueba los Application Load Balancers ni los Network Load Balancers. | |
| 3.6.1.4 | Las claves criptográficas utilizadas para proteger los datos de cuenta almacenados están protegidas. (PCI-DSS-v4.0) | Asegúrese de que la autoridad de certificación AWS AWS privada (CA privada) tenga una CA raíz deshabilitada. La regla no cumple con los requisitos para la raíz CAs con un estado que no esté DESHABILITADO. | |
| 3.6.1.4 | Las claves criptográficas utilizadas para proteger los datos de cuenta almacenados están protegidas. (PCI-DSS-v4.0) | Asegúrese de que los balanceadores de carga clásicos usen certificados SSL proporcionados por AWS Certificate Manager. Para usar esta regla, utilice un agente de escucha SSL o HTTPS con su Classic Load Balancer. Nota: Esta regla solo se aplica a los equilibradores de carga clásicos. Esta regla no comprueba los Application Load Balancers ni los Network Load Balancers. | |
| 3.7.1 | Cuando se utiliza la criptografía para proteger los datos de cuenta almacenados, se definen e implementan procesos y procedimientos de administración de claves que abarcan todos los aspectos del ciclo de vida de las claves. (PCI-DSS-v4.0) | Asegúrese de que los certificados RSA administrados por AWS Certificate Manager (ACM) tengan una longitud de clave de al menos «2048» bits. La regla no es compatible si la longitud mínima de la clave es inferior a 2048 bits. | |
| 3.7.1 | Cuando se utiliza la criptografía para proteger los datos de cuenta almacenados, se definen e implementan procesos y procedimientos de administración de claves que abarcan todos los aspectos del ciclo de vida de las claves. (PCI-DSS-v4.0) | Asegúrese de que la autoridad de certificación AWS privada (CA AWS privada) tenga una CA raíz deshabilitada. La regla no cumple con los requisitos para la raíz CAs con un estado que no esté DESHABILITADO. | |
| 3.7.1 | Cuando se utiliza la criptografía para proteger los datos de cuenta almacenados, se definen e implementan procesos y procedimientos de administración de claves que abarcan todos los aspectos del ciclo de vida de las claves. (PCI-DSS-v4.0) | Asegúrese de que los balanceadores de carga clásicos usen certificados SSL proporcionados por AWS Certificate Manager. Para usar esta regla, utilice un agente de escucha SSL o HTTPS con su Classic Load Balancer. Nota: Esta regla solo se aplica a los equilibradores de carga clásicos. Esta regla no comprueba los Application Load Balancers ni los Network Load Balancers. | |
| 3.7.2 | Cuando se utiliza la criptografía para proteger los datos de cuenta almacenados, se definen e implementan procesos y procedimientos de administración de claves que abarcan todos los aspectos del ciclo de vida de las claves. (PCI-DSS-v4.0) | Asegúrese de que la autoridad de certificación AWS AWS privada (CA privada) tenga una CA raíz deshabilitada. La regla no cumple con los requisitos para la raíz CAs con un estado que no esté DESHABILITADO. | |
| 3.7.2 | Cuando se utiliza la criptografía para proteger los datos de cuenta almacenados, se definen e implementan procesos y procedimientos de administración de claves que abarcan todos los aspectos del ciclo de vida de las claves. (PCI-DSS-v4.0) | Asegúrese de que los balanceadores de carga clásicos usen certificados SSL proporcionados por AWS Certificate Manager. Para usar esta regla, utilice un agente de escucha SSL o HTTPS con su Classic Load Balancer. Nota: Esta regla solo se aplica a los equilibradores de carga clásicos. Esta regla no comprueba los Application Load Balancers ni los Network Load Balancers. | |
| 3.7.4 | Cuando se utiliza la criptografía para proteger los datos de cuenta almacenados, se definen e implementan procesos y procedimientos de administración de claves que abarcan todos los aspectos del ciclo de vida de las claves. (PCI-DSS-v4.0) | Asegúrese de que la autoridad de certificación AWS AWS privada (CA privada) tenga una CA raíz deshabilitada. La regla no cumple con los requisitos para la raíz CAs con un estado que no esté DESHABILITADO. | |
| 3.7.4 | Cuando se utiliza la criptografía para proteger los datos de cuenta almacenados, se definen e implementan procesos y procedimientos de administración de claves que abarcan todos los aspectos del ciclo de vida de las claves. (PCI-DSS-v4.0) | Asegúrese de que los balanceadores de carga clásicos usen certificados SSL proporcionados por AWS Certificate Manager. Para usar esta regla, utilice un agente de escucha SSL o HTTPS con su Classic Load Balancer. Nota: Esta regla solo se aplica a los equilibradores de carga clásicos. Esta regla no comprueba los Application Load Balancers ni los Network Load Balancers. | |
| 3.7.6 | Cuando se utiliza la criptografía para proteger los datos de cuenta almacenados, se definen e implementan procesos y procedimientos de administración de claves que abarcan todos los aspectos del ciclo de vida de las claves. (PCI-DSS-v4.0) | Asegúrese de que la autoridad de certificación AWS AWS privada (CA privada) tenga una CA raíz deshabilitada. La regla no cumple con los requisitos para la raíz CAs con un estado que no esté DESHABILITADO. | |
| 3.7.6 | Cuando se utiliza la criptografía para proteger los datos de cuenta almacenados, se definen e implementan procesos y procedimientos de administración de claves que abarcan todos los aspectos del ciclo de vida de las claves. (PCI-DSS-v4.0) | Asegúrese de que los balanceadores de carga clásicos usen certificados SSL proporcionados por AWS Certificate Manager. Para usar esta regla, utilice un agente de escucha SSL o HTTPS con su Classic Load Balancer. Nota: Esta regla solo se aplica a los equilibradores de carga clásicos. Esta regla no comprueba los Application Load Balancers ni los Network Load Balancers. | |
| 3.7.7 | Cuando se utiliza la criptografía para proteger los datos de cuenta almacenados, se definen e implementan procesos y procedimientos de administración de claves que abarcan todos los aspectos del ciclo de vida de las claves. (PCI-DSS-v4.0) | Asegúrese de que la autoridad de certificación AWS AWS privada (CA privada) tenga una CA raíz deshabilitada. La regla no cumple con los requisitos para la raíz CAs con un estado que no esté DESHABILITADO. | |
| 3.7.7 | Cuando se utiliza la criptografía para proteger los datos de cuenta almacenados, se definen e implementan procesos y procedimientos de administración de claves que abarcan todos los aspectos del ciclo de vida de las claves. (PCI-DSS-v4.0) | Asegúrese de que los balanceadores de carga clásicos usen certificados SSL proporcionados por AWS Certificate Manager. Para usar esta regla, utilice un agente de escucha SSL o HTTPS con su Classic Load Balancer. Nota: Esta regla solo se aplica a los equilibradores de carga clásicos. Esta regla no comprueba los Application Load Balancers ni los Network Load Balancers. | |
| 4.2.1 | Durante la transmisión, el PAN está protegido con un potente método criptográfico. (PCI-DSS-v4.0) | Asegúrese de que los puntos finales del AWS Database Migration Service (AWS DMS) de los almacenes de datos de Redis estén habilitados para que el TLS/SSL encryption of data communicated with other endpoints. The rule is NON_COMPLIANT if TLS/SSL cifrado no esté habilitado. | |
| 4.2.1 | Durante la transmisión, el PAN está protegido con un potente método criptográfico. (PCI-DSS-v4.0) | Asegúrese de que los balanceadores de carga clásicos usen certificados SSL proporcionados por AWS Certificate Manager. Para usar esta regla, utilice un agente de escucha SSL o HTTPS con su Classic Load Balancer. Nota: Esta regla solo se aplica a los equilibradores de carga clásicos. Esta regla no comprueba los Application Load Balancers ni los Network Load Balancers. | |
| 4.2.1 | Durante la transmisión, el PAN está protegido con un potente método criptográfico. (PCI-DSS-v4.0) | Compruebe que haya un clúster de Amazon MSK que aplique el cifrado en tránsito con HTTPS (TLS) con los nodos de agente del clúster. La regla es NON_COMPLIANT si la comunicación de texto sin formato está habilitada para conexiones de nodo de agente dentro del clúster. | |
| 4.2.1 | Durante la transmisión, el PAN está protegido con un potente método criptográfico. (PCI-DSS-v4.0) | Asegúrese de que los puntos finales del AWS Database Migration Service (AWS DMS) estén configurados con una conexión SSL. La regla NO ES COMPATIBLE si el AWS DMS no tiene configurada una conexión SSL. | |
| 4.2.1.1 | Durante la transmisión, el PAN está protegido con un potente método criptográfico. (PCI-DSS-v4.0) | Asegúrese de que la autoridad de certificación AWS AWS privada (CA privada) tenga una CA raíz deshabilitada. La regla no cumple con los requisitos para la raíz CAs con un estado que no esté DESHABILITADO. | |
| 4.2.1.1 | Durante la transmisión, el PAN está protegido con un potente método criptográfico. (PCI-DSS-v4.0) | Asegúrese de que el certificado asociado a una CloudFront distribución de Amazon no sea el certificado SSL predeterminado. La regla no es conforme si una CloudFront distribución utiliza el certificado SSL predeterminado. | |
| 4.2.1.1 | Durante la transmisión, el PAN está protegido con un potente método criptográfico. (PCI-DSS-v4.0) | Asegúrese de que los puntos finales del AWS Database Migration Service (AWS DMS) de los almacenes de datos de Redis estén habilitados para que el TLS/SSL encryption of data communicated with other endpoints. The rule is NON_COMPLIANT if TLS/SSL cifrado no esté habilitado. | |
| 4.2.1.1 | Durante la transmisión, el PAN está protegido con un potente método criptográfico. (PCI-DSS-v4.0) | Asegúrese de que los balanceadores de carga clásicos usen certificados SSL proporcionados por AWS Certificate Manager. Para usar esta regla, utilice un agente de escucha SSL o HTTPS con su Classic Load Balancer. Nota: Esta regla solo se aplica a los equilibradores de carga clásicos. Esta regla no comprueba los Application Load Balancers ni los Network Load Balancers. | |
| 4.2.1.1 | Durante la transmisión, el PAN está protegido con un potente método criptográfico. (PCI-DSS-v4.0) | Compruebe que haya un clúster de Amazon MSK que aplique el cifrado en tránsito con HTTPS (TLS) con los nodos de agente del clúster. La regla es NON_COMPLIANT si la comunicación de texto sin formato está habilitada para conexiones de nodo de agente dentro del clúster. | |
| 4.2.1.1 | Durante la transmisión, el PAN está protegido con un potente método criptográfico. (PCI-DSS-v4.0) | Asegúrese de que los puntos finales del AWS Database Migration Service (AWS DMS) estén configurados con una conexión SSL. La regla NO ES COMPATIBLE si el AWS DMS no tiene configurada una conexión SSL. | |
| 5.3.4 | Los mecanismos y procesos antimalware están activos, supervisados y bajo mantenimiento. (PCI-DSS-v4.0) | Compruebe que las etapas de Amazon API Gateway V2 tengan habilitado el registro de acceso. La regla no es compatible si 'accessLogSettings' no está presente en la configuración del escenario. | |
| 5.3.4 | Los mecanismos y procesos antimalware están activos, supervisados y bajo mantenimiento. (PCI-DSS-v4.0) | Asegúrese de que el rastreo de AWS X-Ray esté habilitado en Amazon API Gateway APIs REST. La regla es COMPLIANT si el rastreo de X-Ray está habilitado y NON_COMPLIANT cuando no lo está. | |
| 5.3.4 | Los mecanismos y procesos antimalware están activos, supervisados y bajo mantenimiento. (PCI-DSS-v4.0) | Asegúrese de que haya al menos un AWS CloudTrail sendero definido con las mejores prácticas de seguridad. Esta regla es COMPLIANT si hay al menos un registro de seguimiento que cumpla todos los requisitos siguientes: | |
| 5.3.4 | Los mecanismos y procesos antimalware están activos, supervisados y bajo mantenimiento. (PCI-DSS-v4.0) | Asegúrese de que un clúster de Amazon Neptune tenga habilitada la exportación de CloudWatch registros para los registros de auditoría. La regla no es compatible si un clúster de Neptune no tiene habilitada la exportación de registros para los CloudWatch registros de auditoría. | |
| 5.3.4 | Los mecanismos y procesos antimalware están activos, supervisados y bajo mantenimiento. (PCI-DSS-v4.0) | Compruebe que logConfiguration esté configurado como activo en las definiciones de tareas de Amazon ECS. Esta regla no es compatible si una ECSTask definición activa no tiene definido el recurso LogConfiguration o si el valor de LogConfiguration es nulo en al menos una definición de contenedor. | |
| 5.3.4 | Los mecanismos y procesos antimalware están activos, supervisados y bajo mantenimiento. (PCI-DSS-v4.0) | Nota: Para esta regla, el identificador de la regla (CLOUD_TRAIL_ENABLED) y el nombre de la regla (cloudtrail-enabled) son diferentes. Asegúrese de que haya una AWS CloudTrail ruta habilitada en su AWS cuenta. La regla es NON_COMPLIANT si no hay ningún registro de seguimiento habilitado. De forma opcional, la regla comprueba un bucket de S3, un tema de Amazon Simple Notification Service (Amazon SNS) y un grupo de registros específicos. CloudWatch | |
| 5.3.4 | Los mecanismos y procesos antimalware están activos, supervisados y bajo mantenimiento. (PCI-DSS-v4.0) | Nota: para esta regla, el identificador de la regla (MULTI_REGION_CLOUD_TRAIL_ENABLED) y el nombre de la regla () son diferentes. multi-region-cloudtrail-enabled Asegúrese de que haya al menos una región múltiple. AWS CloudTrail La regla es NON_COMPLIANT si los registros de seguimiento no coinciden con los parámetros de entrada. La regla es NON_COMPLIANT si el ExcludeManagementEventSources campo no está vacío o si AWS CloudTrail está configurado para excluir eventos de administración, como eventos de AWS KMS o eventos de Amazon RDS Data API. | |
| 5.3.4 | Los mecanismos y procesos antimalware están activos, supervisados y bajo mantenimiento. (PCI-DSS-v4.0) | Asegúrese de que la AWS AppSync API tenga habilitado el registro. La regla NO ES COMPATIBLE si el registro no está habilitado o «fieldLogLevel» no es ERROR ni ALL. | |
| 5.3.4 | Los mecanismos y procesos antimalware están activos, supervisados y bajo mantenimiento. (PCI-DSS-v4.0) | Asegúrese de que los agentes de Amazon MQ tengan activado el registro de CloudWatch auditoría de Amazon. La regla es NON_COMPLIANT si un agente no tiene activado el registro de auditoría. | |
| 5.3.4 | Los mecanismos y procesos antimalware están activos, supervisados y bajo mantenimiento. (PCI-DSS-v4.0) | Asegúrese de que un agente de Amazon MQ tenga activado el registro CloudWatch de auditoría. La regla es NON_COMPLIANT si el agente no tiene habilitado el registro de auditoría. | |
| 5.3.4 | Los mecanismos y procesos antimalware están activos, supervisados y bajo mantenimiento. (PCI-DSS-v4.0) | Compruebe que haya un clúster de Amazon Elastic Kubernetes Service (Amazon EKS) configurado y con el registro habilitado. La regla es NON_COMPLIANT si el registro de los clústeres de Amazon EKS no está habilitado para todos los tipos de registro. | |
| 5.3.4 | Los mecanismos y procesos antimalware están activos, supervisados y bajo mantenimiento. (PCI-DSS-v4.0) | Asegúrese de que los entornos de AWS Elastic Beanstalk estén configurados para enviar registros a Amazon Logs. CloudWatch La regla no es conforme si el valor de `` es falso. StreamLogs | |
| 5.3.4 | Los mecanismos y procesos antimalware están activos, supervisados y bajo mantenimiento. (PCI-DSS-v4.0) | Asegúrese de que la máquina AWS Step Functions tenga activado el registro. La regla es NON_COMPLIANT si una máquina de estado no tiene el registro activado o si la configuración de registro no se encuentra en el nivel mínimo indicado. | |
| 5.3.4 | Los mecanismos y procesos antimalware están activos, supervisados y bajo mantenimiento. (PCI-DSS-v4.0) | Asegúrese de que los firewalls de AWS Network Firewall tengan habilitado el registro. La regla es NON_COMPLIANT si el tipo de registro no está configurado. Puede especificar qué tipo de registro desea que compruebe la regla. | |
| 5.3.4 | Los mecanismos y procesos antimalware están activos, supervisados y bajo mantenimiento. (PCI-DSS-v4.0) | Asegúrese de que el período CloudWatch LogGroup de retención de Amazon sea superior a 365 días o, de lo contrario, un período de retención específico. La regla NO CUMPLE CON LOS REQUISITOS si el período de retención es inferior a MinRetentionTime, si se especifica, o bien 365 días. | |
| 6.3.3 | Las vulnerabilidades de seguridad se identifican y se gestionan. (PCI-DSS-v4.0) | Asegúrese de que la configuración de la función AWS Lambda para el tiempo de ejecución, la función, el tiempo de espera y el tamaño de la memoria coincidan con los valores esperados. La regla ignora las funciones con el tipo de paquete “Image” y las funciones con el tiempo de ejecución establecido en Tiempo de ejecución exclusivo del sistema operativo. La regla es NON_COMPLIANT si la configuración de la función de Lambda no coincide con los valores esperados. | |
| 6.3.3 | Las vulnerabilidades de seguridad se identifican y se gestionan. (PCI-DSS-v4.0) | Compruebe que haya un clúster de Amazon Elastic Kubernetes Service (EKS) que no ejecute la versión compatible más antigua. La regla es NON_COMPLIANT si un clúster de EKS ejecuta la versión compatible más antigua (igual al parámetro oldestVersionSupported). | |
| 6.4.1 | Las aplicaciones web orientadas al público están protegidas frente a ataques. (PCI-DSS-v4.0) | Asegúrese de que AWS AppSync APIs estén asociadas a las listas de control de acceso a la AWS WAFv2 web (ACLs). La regla no es compatible con una AWS AppSync API si no está asociada a una ACL web. | |
| 6.4.1 | Las aplicaciones web orientadas al público están protegidas frente a ataques. (PCI-DSS-v4.0) | Asegúrese de que una ACL WAFv2 web contenga cualquier regla de WAF o grupo de reglas de WAF. Esta regla NON_COMPLIANT si una ACL web no contiene reglas de WAF ni grupos de reglas de WAF. | |
| 6.4.1 | Las aplicaciones web orientadas al público están protegidas frente a ataques. (PCI-DSS-v4.0) | Asegúrese de que los WAFv2 grupos de reglas contengan reglas. La regla no es compatible si no hay reglas en un WAFv2 grupo de reglas. | |
| 6.4.2 | Las aplicaciones web orientadas al público están protegidas frente a ataques. (PCI-DSS-v4.0) | Asegúrese de que AWS AppSync APIs estén asociadas a las listas de control de acceso a la AWS WAFv2 web (ACLs). La regla no es compatible con una AWS AppSync API si no está asociada a una ACL web. | |
| 6.4.2 | Las aplicaciones web orientadas al público están protegidas frente a ataques. (PCI-DSS-v4.0) | Asegúrese de que una ACL WAFv2 web contenga cualquier regla de WAF o grupo de reglas de WAF. Esta regla NON_COMPLIANT si una ACL web no contiene reglas de WAF ni grupos de reglas de WAF. | |
| 6.4.2 | Las aplicaciones web orientadas al público están protegidas frente a ataques. (PCI-DSS-v4.0) | Asegúrese de que los WAFv2 grupos de reglas contengan reglas. La regla no es compatible si no hay reglas en un WAFv2 grupo de reglas. | |
| 6.5.5 | Los cambios en todos los componentes del sistema se administran de forma segura. (PCI-DSS-v4.0) | Compruebe que el grupo de implementación de la plataforma de computación Lambda no utilice la configuración de implementación predeterminada. La regla no es compatible si el grupo de despliegue utiliza la configuración de despliegue '. CodeDeployDefault LambdaAllAtOnce'. | |
| 6.5.6 | Los cambios en todos los componentes del sistema se administran de forma segura. (PCI-DSS-v4.0) | Compruebe que el grupo de implementación de la plataforma de computación Lambda no utilice la configuración de implementación predeterminada. La regla no es compatible si el grupo de despliegue utiliza la configuración de despliegue '. CodeDeployDefault LambdaAllAtOnce'. | |
| 7.2.1 | El acceso a los componentes y datos del sistema está definido y asignado adecuadamente. (PCI-DSS-v4.0) | Asegúrese de que la política de bucket de Amazon Simple Storage Service (Amazon S3) no permita acciones a nivel de bucket y a nivel de objeto incluidas en listas de bloqueos en los recursos del bucket para los directores de otras cuentas. AWS Por ejemplo, la regla comprueba que la política de bucket de Amazon S3 no permite que otra AWS cuenta realice ninguna acción s3: GetBucket * ni s3: DeleteObject en ningún objeto del bucket. La regla es NON_COMPLIANT si la política de buckets de Amazon S3 permite alguna acción incluida en la lista de bloqueo. | |
| 7.2.1 | El acceso a los componentes y datos del sistema está definido y asignado adecuadamente. (PCI-DSS-v4.0) | Compruebe que las políticas del bucket de Amazon Simple Storage Service (S3) no otorguen permisos entre cuentas distintos a los de la política del bucket de Amazon S3 de control que se haya proporcionado. | |
| 7.2.1 | El acceso a los componentes y datos del sistema está definido y asignado adecuadamente. (PCI-DSS-v4.0) | Compruebe que el ARN de la política de IAM esté asociado a un usuario de IAM, o a un grupo con uno o varios usuarios de IAM, o a un rol de IAM con una o varias entidades de confianza. | |
| 7.2.1 | El acceso a los componentes y datos del sistema está definido y asignado adecuadamente. (PCI-DSS-v4.0) | Asegúrese de que un clúster de Amazon Neptune tenga habilitada la autenticación de bases de datos AWS Identity and Access Management (IAM). La regla es NON_COMPLIANT si un clúster de Amazon Neptune no tiene habilitada la autenticación de base de datos de IAM. | |
| 7.2.1 | El acceso a los componentes y datos del sistema está definido y asignado adecuadamente. (PCI-DSS-v4.0) | Asegúrese de que la EC2 instancia tenga un perfil de AWS Identity and Access Management (IAM) adjunto. La regla NO ES COMPATIBLE si no hay ningún perfil de IAM adjunto a la instancia. EC2 | |
| 7.2.1 | El acceso a los componentes y datos del sistema está definido y asignado adecuadamente. (PCI-DSS-v4.0) | Compruebe que haya un almacén de copia de seguridad con una política basada en recursos asociada que impida la eliminación de los puntos de recuperación. La regla no es compatible si Backup Vault no tiene políticas basadas en recursos o tiene políticas sin una declaración de «Denegar» adecuada (declaración con permisos de backup:DeleteRecoveryPoint, backup: y backup:UpdateRecoveryPointLifecycle). PutBackupVaultAccessPolicy | |
| 7.2.2 | El acceso a los componentes y datos del sistema está definido y asignado adecuadamente. (PCI-DSS-v4.0) | Asegúrese de que la política de bucket de Amazon Simple Storage Service (Amazon S3) no permita acciones a nivel de bucket y a nivel de objeto incluidas en listas de bloqueos en los recursos del bucket para los directores de otras cuentas. AWS Por ejemplo, la regla comprueba que la política de bucket de Amazon S3 no permite que otra AWS cuenta realice ninguna acción s3: GetBucket * ni s3: DeleteObject en ningún objeto del bucket. La regla es NON_COMPLIANT si la política de buckets de Amazon S3 permite alguna acción incluida en la lista de bloqueo. | |
| 7.2.2 | El acceso a los componentes y datos del sistema está definido y asignado adecuadamente. (PCI-DSS-v4.0) | Compruebe que las políticas del bucket de Amazon Simple Storage Service (S3) no otorguen permisos entre cuentas distintos a los de la política del bucket de Amazon S3 de control que se haya proporcionado. | |
| 7.2.2 | El acceso a los componentes y datos del sistema está definido y asignado adecuadamente. (PCI-DSS-v4.0) | Compruebe que el ARN de la política de IAM esté asociado a un usuario de IAM, o a un grupo con uno o varios usuarios de IAM, o a un rol de IAM con una o varias entidades de confianza. | |
| 7.2.2 | El acceso a los componentes y datos del sistema está definido y asignado adecuadamente. (PCI-DSS-v4.0) | Asegúrese de que un clúster de Amazon Neptune tenga habilitada la autenticación de bases de datos AWS Identity and Access Management (IAM). La regla es NON_COMPLIANT si un clúster de Amazon Neptune no tiene habilitada la autenticación de base de datos de IAM. | |
| 7.2.2 | El acceso a los componentes y datos del sistema está definido y asignado adecuadamente. (PCI-DSS-v4.0) | Asegúrese de que la EC2 instancia tenga un perfil de AWS Identity and Access Management (IAM) adjunto. La regla NO ES COMPATIBLE si no hay ningún perfil de IAM adjunto a la instancia. EC2 | |
| 7.2.2 | El acceso a los componentes y datos del sistema está definido y asignado adecuadamente. (PCI-DSS-v4.0) | Compruebe que haya un almacén de copia de seguridad con una política basada en recursos asociada que impida la eliminación de los puntos de recuperación. La regla no es compatible si Backup Vault no tiene políticas basadas en recursos o tiene políticas sin una declaración de «Denegar» adecuada (declaración con permisos de backup:DeleteRecoveryPoint, backup: y backup:UpdateRecoveryPointLifecycle). PutBackupVaultAccessPolicy | |
| 7.2.4 | El acceso a los componentes y datos del sistema está definido y asignado adecuadamente. (PCI-DSS-v4.0) | Asegúrese de que se AWS haya accedido a los secretos de Secrets Manager en un número específico de días. La regla no es conforme si no se ha accedido a un secreto en un número «unusedForDays» de días. El valor predeterminado es 90 días. | |
| 7.2.5 | El acceso a los componentes y datos del sistema está definido y asignado adecuadamente. (PCI-DSS-v4.0) | Asegúrese de que la política de bucket de Amazon Simple Storage Service (Amazon S3) no permita acciones a nivel de bucket y a nivel de objeto incluidas en listas de bloqueos en los recursos del bucket para los directores de otras cuentas. AWS Por ejemplo, la regla comprueba que la política de bucket de Amazon S3 no permite que otra AWS cuenta realice ninguna acción s3: GetBucket * ni s3: DeleteObject en ningún objeto del bucket. La regla es NON_COMPLIANT si la política de buckets de Amazon S3 permite alguna acción incluida en la lista de bloqueo. | |
| 7.2.5 | El acceso a los componentes y datos del sistema está definido y asignado adecuadamente. (PCI-DSS-v4.0) | Compruebe que las políticas del bucket de Amazon Simple Storage Service (S3) no otorguen permisos entre cuentas distintos a los de la política del bucket de Amazon S3 de control que se haya proporcionado. | |
| 7.2.5 | El acceso a los componentes y datos del sistema está definido y asignado adecuadamente. (PCI-DSS-v4.0) | Compruebe que el ARN de la política de IAM esté asociado a un usuario de IAM, o a un grupo con uno o varios usuarios de IAM, o a un rol de IAM con una o varias entidades de confianza. | |
| 7.2.5 | El acceso a los componentes y datos del sistema está definido y asignado adecuadamente. (PCI-DSS-v4.0) | Asegúrese de que un clúster de Amazon Neptune tenga habilitada la autenticación de bases de datos AWS Identity and Access Management (IAM). La regla es NON_COMPLIANT si un clúster de Amazon Neptune no tiene habilitada la autenticación de base de datos de IAM. | |
| 7.2.5 | El acceso a los componentes y datos del sistema está definido y asignado adecuadamente. (PCI-DSS-v4.0) | Asegúrese de que la EC2 instancia tenga un perfil de AWS Identity and Access Management (IAM) adjunto. La regla NO ES COMPATIBLE si no hay ningún perfil de IAM adjunto a la instancia. EC2 | |
| 7.2.5 | El acceso a los componentes y datos del sistema está definido y asignado adecuadamente. (PCI-DSS-v4.0) | Compruebe que haya un almacén de copia de seguridad con una política basada en recursos asociada que impida la eliminación de los puntos de recuperación. La regla no es compatible si Backup Vault no tiene políticas basadas en recursos o tiene políticas sin una declaración de «Denegar» adecuada (declaración con permisos de backup:DeleteRecoveryPoint, backup: y backup:UpdateRecoveryPointLifecycle). PutBackupVaultAccessPolicy | |
| 7.2.5.1 | El acceso a los componentes y datos del sistema está definido y asignado adecuadamente. (PCI-DSS-v4.0) | Asegúrese de que se AWS haya accedido a los secretos de Secrets Manager en un número específico de días. La regla no es conforme si no se ha accedido a un secreto en un número «unusedForDays» de días. El valor predeterminado es 90 días. | |
| 7.2.6 | El acceso a los componentes y datos del sistema está definido y asignado adecuadamente. (PCI-DSS-v4.0) | Asegúrese de que la política de bucket de Amazon Simple Storage Service (Amazon S3) no permita acciones a nivel de bucket y a nivel de objeto incluidas en listas de bloqueos en los recursos del bucket para los directores de otras cuentas. AWS Por ejemplo, la regla comprueba que la política de bucket de Amazon S3 no permite que otra AWS cuenta realice ninguna acción s3: GetBucket * ni s3: DeleteObject en ningún objeto del bucket. La regla es NON_COMPLIANT si la política de buckets de Amazon S3 permite alguna acción incluida en la lista de bloqueo. | |
| 7.2.6 | El acceso a los componentes y datos del sistema está definido y asignado adecuadamente. (PCI-DSS-v4.0) | Compruebe que las políticas del bucket de Amazon Simple Storage Service (S3) no otorguen permisos entre cuentas distintos a los de la política del bucket de Amazon S3 de control que se haya proporcionado. | |
| 7.3.1 | El acceso a los componentes y datos del sistema se administra a través de sistemas de control de acceso. (PCI-DSS-v4.0) | Asegúrese de que la política de bucket de Amazon Simple Storage Service (Amazon S3) no permita acciones a nivel de bucket y a nivel de objeto incluidas en listas de bloqueos en los recursos del bucket para los directores de otras cuentas. AWS Por ejemplo, la regla comprueba que la política de bucket de Amazon S3 no permite que otra AWS cuenta realice ninguna acción s3: GetBucket * ni s3: DeleteObject en ningún objeto del bucket. La regla es NON_COMPLIANT si la política de buckets de Amazon S3 permite alguna acción incluida en la lista de bloqueo. | |
| 7.3.1 | El acceso a los componentes y datos del sistema se administra a través de sistemas de control de acceso. (PCI-DSS-v4.0) | Compruebe que las políticas del bucket de Amazon Simple Storage Service (S3) no otorguen permisos entre cuentas distintos a los de la política del bucket de Amazon S3 de control que se haya proporcionado. | |
| 7.3.1 | El acceso a los componentes y datos del sistema se administra a través de sistemas de control de acceso. (PCI-DSS-v4.0) | Compruebe que el ARN de la política de IAM esté asociado a un usuario de IAM, o a un grupo con uno o varios usuarios de IAM, o a un rol de IAM con una o varias entidades de confianza. | |
| 7.3.1 | El acceso a los componentes y datos del sistema se administra a través de sistemas de control de acceso. (PCI-DSS-v4.0) | Asegúrese de que un clúster de Amazon Neptune tenga habilitada la autenticación de bases de datos AWS Identity and Access Management (IAM). La regla es NON_COMPLIANT si un clúster de Amazon Neptune no tiene habilitada la autenticación de base de datos de IAM. | |
| 7.3.1 | El acceso a los componentes y datos del sistema se administra a través de sistemas de control de acceso. (PCI-DSS-v4.0) | Asegúrese de que la EC2 instancia tenga un perfil de AWS Identity and Access Management (IAM) adjunto. La regla NO ES COMPATIBLE si no hay ningún perfil de IAM adjunto a la instancia. EC2 | |
| 7.3.1 | El acceso a los componentes y datos del sistema se administra a través de sistemas de control de acceso. (PCI-DSS-v4.0) | Compruebe que haya un almacén de copia de seguridad con una política basada en recursos asociada que impida la eliminación de los puntos de recuperación. La regla no es compatible si Backup Vault no tiene políticas basadas en recursos o tiene políticas sin una declaración de «Denegar» adecuada (declaración con permisos de backup:DeleteRecoveryPoint, backup: y backup:UpdateRecoveryPointLifecycle). PutBackupVaultAccessPolicy | |
| 7.3.2 | El acceso a los componentes y datos del sistema se administra a través de sistemas de control de acceso. (PCI-DSS-v4.0) | Asegúrese de que la política de bucket de Amazon Simple Storage Service (Amazon S3) no permita acciones a nivel de bucket y a nivel de objeto incluidas en listas de bloqueos en los recursos del bucket para los directores de otras cuentas. AWS Por ejemplo, la regla comprueba que la política de bucket de Amazon S3 no permite que otra AWS cuenta realice ninguna acción s3: GetBucket * ni s3: DeleteObject en ningún objeto del bucket. La regla es NON_COMPLIANT si la política de buckets de Amazon S3 permite alguna acción incluida en la lista de bloqueo. | |
| 7.3.2 | El acceso a los componentes y datos del sistema se administra a través de sistemas de control de acceso. (PCI-DSS-v4.0) | Compruebe que las políticas del bucket de Amazon Simple Storage Service (S3) no otorguen permisos entre cuentas distintos a los de la política del bucket de Amazon S3 de control que se haya proporcionado. | |
| 7.3.2 | El acceso a los componentes y datos del sistema se administra a través de sistemas de control de acceso. (PCI-DSS-v4.0) | Compruebe que el ARN de la política de IAM esté asociado a un usuario de IAM, o a un grupo con uno o varios usuarios de IAM, o a un rol de IAM con una o varias entidades de confianza. | |
| 7.3.2 | El acceso a los componentes y datos del sistema se administra a través de sistemas de control de acceso. (PCI-DSS-v4.0) | Asegúrese de que un clúster de Amazon Neptune tenga habilitada la autenticación de bases de datos AWS Identity and Access Management (IAM). La regla es NON_COMPLIANT si un clúster de Amazon Neptune no tiene habilitada la autenticación de base de datos de IAM. | |
| 7.3.2 | El acceso a los componentes y datos del sistema se administra a través de sistemas de control de acceso. (PCI-DSS-v4.0) | Asegúrese de que la EC2 instancia tenga un perfil de AWS Identity and Access Management (IAM) adjunto. La regla NO ES COMPATIBLE si no hay ningún perfil de IAM adjunto a la instancia. EC2 | |
| 7.3.2 | El acceso a los componentes y datos del sistema se administra a través de sistemas de control de acceso. (PCI-DSS-v4.0) | Compruebe que haya un almacén de copia de seguridad con una política basada en recursos asociada que impida la eliminación de los puntos de recuperación. La regla no es compatible si Backup Vault no tiene políticas basadas en recursos o tiene políticas sin una declaración de «Denegar» adecuada (declaración con permisos de backup:DeleteRecoveryPoint, backup: y backup:UpdateRecoveryPointLifecycle). PutBackupVaultAccessPolicy | |
| 7.3.3 | El acceso a los componentes y datos del sistema se administra a través de sistemas de control de acceso. (PCI-DSS-v4.0) | Asegúrese de que la política de bucket de Amazon Simple Storage Service (Amazon S3) no permita acciones a nivel de bucket y a nivel de objeto incluidas en listas de bloqueos en los recursos del bucket para los directores de otras cuentas. AWS Por ejemplo, la regla comprueba que la política de bucket de Amazon S3 no permite que otra AWS cuenta realice ninguna acción s3: GetBucket * ni s3: DeleteObject en ningún objeto del bucket. La regla es NON_COMPLIANT si la política de buckets de Amazon S3 permite alguna acción incluida en la lista de bloqueo. | |
| 7.3.3 | El acceso a los componentes y datos del sistema se administra a través de sistemas de control de acceso. (PCI-DSS-v4.0) | Compruebe que las políticas del bucket de Amazon Simple Storage Service (S3) no otorguen permisos entre cuentas distintos a los de la política del bucket de Amazon S3 de control que se haya proporcionado. | |
| 7.3.3 | El acceso a los componentes y datos del sistema se administra a través de sistemas de control de acceso. (PCI-DSS-v4.0) | Compruebe que el ARN de la política de IAM esté asociado a un usuario de IAM, o a un grupo con uno o varios usuarios de IAM, o a un rol de IAM con una o varias entidades de confianza. | |
| 7.3.3 | El acceso a los componentes y datos del sistema se administra a través de sistemas de control de acceso. (PCI-DSS-v4.0) | Asegúrese de que un clúster de Amazon Neptune tenga habilitada la autenticación de bases de datos AWS Identity and Access Management (IAM). La regla es NON_COMPLIANT si un clúster de Amazon Neptune no tiene habilitada la autenticación de base de datos de IAM. | |
| 7.3.3 | El acceso a los componentes y datos del sistema se administra a través de sistemas de control de acceso. (PCI-DSS-v4.0) | Asegúrese de que la EC2 instancia tenga un perfil de AWS Identity and Access Management (IAM) adjunto. La regla NO ES COMPATIBLE si no hay ningún perfil de IAM adjunto a la instancia. EC2 | |
| 7.3.3 | El acceso a los componentes y datos del sistema se administra a través de sistemas de control de acceso. (PCI-DSS-v4.0) | Compruebe que haya un almacén de copia de seguridad con una política basada en recursos asociada que impida la eliminación de los puntos de recuperación. La regla no es compatible si Backup Vault no tiene políticas basadas en recursos o tiene políticas sin una declaración de «Denegar» adecuada (declaración con permisos de backup:DeleteRecoveryPoint, backup: y backup:UpdateRecoveryPointLifecycle). PutBackupVaultAccessPolicy | |
| 8.2.1 | La identificación de usuario y las cuentas relacionadas para los usuarios y administradores se administran estrictamente durante todo el ciclo de vida de la cuenta. (PCI-DSS-v4.0) | Compruebe que el ARN de la política de IAM esté asociado a un usuario de IAM, o a un grupo con uno o varios usuarios de IAM, o a un rol de IAM con una o varias entidades de confianza. | |
| 8.2.1 | La identificación de usuario y las cuentas relacionadas para los usuarios y administradores se administran estrictamente durante todo el ciclo de vida de la cuenta. (PCI-DSS-v4.0) | Asegúrese de que las instancias de Amazon Elastic Compute Cloud (EC2) en ejecución no se lancen con pares de claves de Amazon. La regla es NON_COMPLIANT si se lanza una EC2 instancia en ejecución con un key pair. | |
| 8.2.2 | La identificación de usuario y las cuentas relacionadas para los usuarios y administradores se administran estrictamente durante todo el ciclo de vida de la cuenta. (PCI-DSS-v4.0) | Compruebe que el ARN de la política de IAM esté asociado a un usuario de IAM, o a un grupo con uno o varios usuarios de IAM, o a un rol de IAM con una o varias entidades de confianza. | |
| 8.2.2 | La identificación de usuario y las cuentas relacionadas para los usuarios y administradores se administran estrictamente durante todo el ciclo de vida de la cuenta. (PCI-DSS-v4.0) | Asegúrese de que las instancias de Amazon Elastic Compute Cloud (EC2) en ejecución no se lancen con pares de claves de Amazon. La regla es NON_COMPLIANT si se lanza una EC2 instancia en ejecución con un key pair. | |
| 8.2.2 | La identificación de usuario y las cuentas relacionadas para los usuarios y administradores se administran estrictamente durante todo el ciclo de vida de la cuenta. (PCI-DSS-v4.0) | Asegúrese de que el proyecto NO contenga variables de entorno ni AWS_ACCESS_KEY_ID AWS_SECRET _ACCESS_KEY. La regla es NON_COMPLIANT si las variables de entorno del proyecto contienen credenciales de texto no cifrado. | |
| 8.2.2 | La identificación de usuario y las cuentas relacionadas para los usuarios y administradores se administran estrictamente durante todo el ciclo de vida de la cuenta. (PCI-DSS-v4.0) | Asegúrese de que AWS los secretos de Secrets Manager se hayan rotado correctamente de acuerdo con el programa de rotación. Secrets Manager calcula la fecha en que debe producirse la rotación. La regla es NON_COMPLIANT si pasa la fecha y el secreto no rota. | |
| 8.2.2 | La identificación de usuario y las cuentas relacionadas para los usuarios y administradores se administran estrictamente durante todo el ciclo de vida de la cuenta. (PCI-DSS-v4.0) | Asegúrese de que AWS los secretos de Secrets Manager se hayan rotado en los últimos días especificados. La regla no cumple con los requisitos si un secreto no se ha rotado durante más de un número de días de maxDaysSince rotación. El valor predeterminado es 90 días. | |
| 8.2.2 | La identificación de usuario y las cuentas relacionadas para los usuarios y administradores se administran estrictamente durante todo el ciclo de vida de la cuenta. (PCI-DSS-v4.0) | Asegúrese de que se AWS haya accedido a los secretos de Secrets Manager en un número específico de días. La regla no es conforme si no se ha accedido a un secreto en un número «unusedForDays» de días. El valor predeterminado es 90 días. | |
| 8.2.4 | La identificación de usuario y las cuentas relacionadas para los usuarios y administradores se administran estrictamente durante todo el ciclo de vida de la cuenta. (PCI-DSS-v4.0) | Compruebe que el ARN de la política de IAM esté asociado a un usuario de IAM, o a un grupo con uno o varios usuarios de IAM, o a un rol de IAM con una o varias entidades de confianza. | |
| 8.2.4 | La identificación de usuario y las cuentas relacionadas para los usuarios y administradores se administran estrictamente durante todo el ciclo de vida de la cuenta. (PCI-DSS-v4.0) | Asegúrese de que las instancias de Amazon Elastic Compute Cloud (EC2) en ejecución no se lancen con pares de claves de Amazon. La regla es NON_COMPLIANT si se lanza una EC2 instancia en ejecución con un key pair. | |
| 8.2.5 | La identificación de usuario y las cuentas relacionadas para los usuarios y administradores se administran estrictamente durante todo el ciclo de vida de la cuenta. (PCI-DSS-v4.0) | Compruebe que el ARN de la política de IAM esté asociado a un usuario de IAM, o a un grupo con uno o varios usuarios de IAM, o a un rol de IAM con una o varias entidades de confianza. | |
| 8.2.5 | La identificación de usuario y las cuentas relacionadas para los usuarios y administradores se administran estrictamente durante todo el ciclo de vida de la cuenta. (PCI-DSS-v4.0) | Asegúrese de que las instancias de Amazon Elastic Compute Cloud (EC2) en ejecución no se lancen con pares de claves de Amazon. La regla es NON_COMPLIANT si se lanza una EC2 instancia en ejecución con un key pair. | |
| 8.2.6 | La identificación de usuario y las cuentas relacionadas para los usuarios y administradores se administran estrictamente durante todo el ciclo de vida de la cuenta. (PCI-DSS-v4.0) | Asegúrese de que se AWS haya accedido a los secretos de Secrets Manager en un número específico de días. La regla no es conforme si no se ha accedido a un secreto en un número «unusedForDays» de días. El valor predeterminado es 90 días. | |
| 8.2.7 | La identificación de usuario y las cuentas relacionadas para los usuarios y administradores se administran estrictamente durante todo el ciclo de vida de la cuenta. (PCI-DSS-v4.0) | Asegúrese de que la política de bucket de Amazon Simple Storage Service (Amazon S3) no permita acciones a nivel de bucket y a nivel de objeto incluidas en listas de bloqueos en los recursos del bucket para los directores de otras cuentas. AWS Por ejemplo, la regla comprueba que la política de bucket de Amazon S3 no permite que otra AWS cuenta realice ninguna acción s3: GetBucket * ni s3: DeleteObject en ningún objeto del bucket. La regla es NON_COMPLIANT si la política de buckets de Amazon S3 permite alguna acción incluida en la lista de bloqueo. | |
| 8.2.7 | La identificación de usuario y las cuentas relacionadas para los usuarios y administradores se administran estrictamente durante todo el ciclo de vida de la cuenta. (PCI-DSS-v4.0) | Compruebe que las políticas del bucket de Amazon Simple Storage Service (S3) no otorguen permisos entre cuentas distintos a los de la política del bucket de Amazon S3 de control que se haya proporcionado. | |
| 8.2.7 | La identificación de usuario y las cuentas relacionadas para los usuarios y administradores se administran estrictamente durante todo el ciclo de vida de la cuenta. (PCI-DSS-v4.0) | Compruebe que el ARN de la política de IAM esté asociado a un usuario de IAM, o a un grupo con uno o varios usuarios de IAM, o a un rol de IAM con una o varias entidades de confianza. | |
| 8.2.7 | La identificación de usuario y las cuentas relacionadas para los usuarios y administradores se administran estrictamente durante todo el ciclo de vida de la cuenta. (PCI-DSS-v4.0) | Asegúrese de que un clúster de Amazon Neptune tenga habilitada la autenticación de bases de datos AWS Identity and Access Management (IAM). La regla es NON_COMPLIANT si un clúster de Amazon Neptune no tiene habilitada la autenticación de base de datos de IAM. | |
| 8.2.7 | La identificación de usuario y las cuentas relacionadas para los usuarios y administradores se administran estrictamente durante todo el ciclo de vida de la cuenta. (PCI-DSS-v4.0) | Asegúrese de que la EC2 instancia tenga un perfil de AWS Identity and Access Management (IAM) adjunto. La regla NO ES COMPATIBLE si no hay ningún perfil de IAM adjunto a la instancia. EC2 | |
| 8.2.7 | La identificación de usuario y las cuentas relacionadas para los usuarios y administradores se administran estrictamente durante todo el ciclo de vida de la cuenta. (PCI-DSS-v4.0) | Compruebe que haya un almacén de copia de seguridad con una política basada en recursos asociada que impida la eliminación de los puntos de recuperación. La regla no es compatible si Backup Vault no tiene políticas basadas en recursos o tiene políticas sin una declaración de «Denegar» adecuada (declaración con permisos de backup:DeleteRecoveryPoint, backup: y backup:UpdateRecoveryPointLifecycle). PutBackupVaultAccessPolicy | |
| 8.2.8 | La identificación de usuario y las cuentas relacionadas para los usuarios y administradores se administran estrictamente durante todo el ciclo de vida de la cuenta. (PCI-DSS-v4.0) | Asegúrese de que la política de bucket de Amazon Simple Storage Service (Amazon S3) no permita acciones a nivel de bucket y a nivel de objeto incluidas en listas de bloqueos en los recursos del bucket para los directores de otras cuentas. AWS Por ejemplo, la regla comprueba que la política de bucket de Amazon S3 no permite que otra AWS cuenta realice ninguna acción s3: GetBucket * ni s3: DeleteObject en ningún objeto del bucket. La regla es NON_COMPLIANT si la política de buckets de Amazon S3 permite alguna acción incluida en la lista de bloqueo. | |
| 8.2.8 | La identificación de usuario y las cuentas relacionadas para los usuarios y administradores se administran estrictamente durante todo el ciclo de vida de la cuenta. (PCI-DSS-v4.0) | Compruebe que las políticas del bucket de Amazon Simple Storage Service (S3) no otorguen permisos entre cuentas distintos a los de la política del bucket de Amazon S3 de control que se haya proporcionado. | |
| 8.2.8 | La identificación de usuario y las cuentas relacionadas para los usuarios y administradores se administran estrictamente durante todo el ciclo de vida de la cuenta. (PCI-DSS-v4.0) | Compruebe que el ARN de la política de IAM esté asociado a un usuario de IAM, o a un grupo con uno o varios usuarios de IAM, o a un rol de IAM con una o varias entidades de confianza. | |
| 8.2.8 | La identificación de usuario y las cuentas relacionadas para los usuarios y administradores se administran estrictamente durante todo el ciclo de vida de la cuenta. (PCI-DSS-v4.0) | Asegúrese de que un clúster de Amazon Neptune tenga habilitada la autenticación de bases de datos AWS Identity and Access Management (IAM). La regla es NON_COMPLIANT si un clúster de Amazon Neptune no tiene habilitada la autenticación de base de datos de IAM. | |
| 8.2.8 | La identificación de usuario y las cuentas relacionadas para los usuarios y administradores se administran estrictamente durante todo el ciclo de vida de la cuenta. (PCI-DSS-v4.0) | Asegúrese de que la versión de metadatos de su instancia de Amazon Elastic Compute Cloud (Amazon EC2) esté configurada con la versión 2 (IMDSv2) de Instance Metadata Service. La regla no es compatible si HttpTokens se establece en opcional. | |
| 8.2.8 | La identificación de usuario y las cuentas relacionadas para los usuarios y administradores se administran estrictamente durante todo el ciclo de vida de la cuenta. (PCI-DSS-v4.0) | Asegúrese de que la EC2 instancia tenga un perfil de AWS Identity and Access Management (IAM) adjunto. La regla NO ES COMPATIBLE si no hay ningún perfil de IAM adjunto a la instancia. EC2 | |
| 8.2.8 | La identificación de usuario y las cuentas relacionadas para los usuarios y administradores se administran estrictamente durante todo el ciclo de vida de la cuenta. (PCI-DSS-v4.0) | Asegúrese de que solo IMDSv2 esté activado. Esta regla es NON_COMPLIANT si la versión de metadatos no está incluida en la configuración de lanzamiento o si los metadatos V1 y V2 están habilitados. | |
| 8.2.8 | La identificación de usuario y las cuentas relacionadas para los usuarios y administradores se administran estrictamente durante todo el ciclo de vida de la cuenta. (PCI-DSS-v4.0) | Compruebe que haya un almacén de copia de seguridad con una política basada en recursos asociada que impida la eliminación de los puntos de recuperación. La regla no es compatible si Backup Vault no tiene políticas basadas en recursos o tiene políticas sin una declaración de «Denegar» adecuada (declaración con permisos de backup:DeleteRecoveryPoint, backup: y backup:UpdateRecoveryPointLifecycle). PutBackupVaultAccessPolicy | |
| 8.3.10.1 | Se ha establecido y administrado una autenticación sólida para los usuarios y los administradores. (PCI-DSS-v4.0) | Asegúrese de que las claves de acceso de IAM activas se roten (cambien) dentro del número de días especificado en Age. maxAccessKey La regla es NON_COMPLIANT si las claves de acceso no se rotan dentro del período de tiempo especificado. El valor predeterminado es 90 días. | |
| 8.3.10.1 | Se ha establecido y administrado una autenticación sólida para los usuarios y los administradores. (PCI-DSS-v4.0) | Asegúrese de que AWS los secretos de Secrets Manager se hayan rotado correctamente de acuerdo con el programa de rotación. Secrets Manager calcula la fecha en que debe producirse la rotación. La regla es NON_COMPLIANT si pasa la fecha y el secreto no rota. | |
| 8.3.10.1 | Se ha establecido y administrado una autenticación sólida para los usuarios y los administradores. (PCI-DSS-v4.0) | Asegúrese de que AWS los secretos de Secrets Manager se hayan rotado en los últimos días especificados. La regla no cumple con los requisitos si un secreto no se ha rotado durante más de un número de días de maxDaysSince rotación. El valor predeterminado es 90 días. | |
| 8.3.11 | Se ha establecido y administrado una autenticación sólida para los usuarios y los administradores. (PCI-DSS-v4.0) | Compruebe que el ARN de la política de IAM esté asociado a un usuario de IAM, o a un grupo con uno o varios usuarios de IAM, o a un rol de IAM con una o varias entidades de confianza. | |
| 8.3.11 | Se ha establecido y administrado una autenticación sólida para los usuarios y los administradores. (PCI-DSS-v4.0) | Asegúrese de que las instancias de Amazon Elastic Compute Cloud (EC2) en ejecución no se lancen con pares de claves de Amazon. La regla es NON_COMPLIANT si se lanza una EC2 instancia en ejecución con un key pair. | |
| 8.3.2 | Se ha establecido y administrado una autenticación sólida para los usuarios y los administradores. (PCI-DSS-v4.0) | Compruebe que haya un grupo de trabajo de Amazon Athena cifrado en reposo. La regla es NON_COMPLIANT si el cifrado de datos en reposo no está habilitado para un grupo de trabajo de Athena. | |
| 8.3.2 | Se ha establecido y administrado una autenticación sólida para los usuarios y los administradores. (PCI-DSS-v4.0) | Compruebe que haya un clúster de base de datos de Amazon Neptune con instantáneas cifradas. La regla es NON_COMPLIANT si un clúster de Neptune no tiene las instantáneas cifradas. | |
| 8.3.2 | Se ha establecido y administrado una autenticación sólida para los usuarios y los administradores. (PCI-DSS-v4.0) | Asegúrese de que los clústeres de Amazon Redshift utilicen una AWS clave específica del Servicio de administración de claves (AWS KMS) para el cifrado. La regla cumple con las normas si el cifrado está activado y el clúster está cifrado con la clave proporcionada en el kmsKeyArn parámetro. La regla es NON_COMPLIANT si el clúster no está cifrado o está cifrado con otra clave. | |
| 8.3.2 | Se ha establecido y administrado una autenticación sólida para los usuarios y los administradores. (PCI-DSS-v4.0) | Asegúrese de que un AWS CodeBuild proyecto configurado con Amazon S3 Logs tenga el cifrado activado para sus registros. La regla no es compatible si 'EncryptionDisabled' se establece en 'true' en el S3 LogsConfig de un proyecto. CodeBuild | |
| 8.3.2 | Se ha establecido y administrado una autenticación sólida para los usuarios y los administradores. (PCI-DSS-v4.0) | Asegúrese de que los puntos finales del AWS Database Migration Service (AWS DMS) de los almacenes de datos de Redis estén habilitados para que el TLS/SSL encryption of data communicated with other endpoints. The rule is NON_COMPLIANT if TLS/SSL cifrado no esté habilitado. | |
| 8.3.2 | Se ha establecido y administrado una autenticación sólida para los usuarios y los administradores. (PCI-DSS-v4.0) | Asegúrese de que los clústeres de Amazon Elastic Kubernetes Service estén configurados para cifrar AWS los secretos de Kubernetes mediante claves del Servicio de administración de claves (KMS). | |
| 8.3.2 | Se ha establecido y administrado una autenticación sólida para los usuarios y los administradores. (PCI-DSS-v4.0) | Compruebe que todos los métodos de las etapas de Amazon API Gateway tengan memoria caché habilitada y cifrada. La regla es NON_COMPLIANT si algún método de una etapa de Amazon API Gateway no está configurada para el almacenamiento en caché o si la caché no está cifrada. | |
| 8.3.2 | Se ha establecido y administrado una autenticación sólida para los usuarios y los administradores. (PCI-DSS-v4.0) | Asegúrese de que la tabla de Amazon DynamoDB esté cifrada AWS con el Servicio de administración de claves (KMS). La regla no es compatible si la tabla de Amazon DynamoDB no está cifrada con KMS. AWS La regla tampoco cumple con los requisitos si la clave de AWS KMS cifrada no está presente en el parámetro de entrada. kmsKeyArns | |
| 8.3.2 | Se ha establecido y administrado una autenticación sólida para los usuarios y los administradores. (PCI-DSS-v4.0) | Asegúrese de que el proyecto NO contenga variables AWS_ACCESS_KEY_ID de entorno ni _ACCESS_KEY. AWS_SECRET La regla es NON_COMPLIANT si las variables de entorno del proyecto contienen credenciales de texto no cifrado. | |
| 8.3.2 | Se ha establecido y administrado una autenticación sólida para los usuarios y los administradores. (PCI-DSS-v4.0) | Asegúrese de que los balanceadores de carga clásicos usen certificados SSL proporcionados por AWS Certificate Manager. Para usar esta regla, utilice un agente de escucha SSL o HTTPS con su Classic Load Balancer. Nota: Esta regla solo se aplica a los equilibradores de carga clásicos. Esta regla no comprueba los Application Load Balancers ni los Network Load Balancers. | |
| 8.3.2 | Se ha establecido y administrado una autenticación sólida para los usuarios y los administradores. (PCI-DSS-v4.0) | Asegúrese de que los clústeres de Amazon EKS no estén configurados para cifrar los secretos de Kubernetes mediante KMS. AWS La regla es NON_COMPLIANT si hay un clúster de EKS sin un recurso de encryptionConfig o si encryptionConfig no designa secretos como un recurso. | |
| 8.3.2 | Se ha establecido y administrado una autenticación sólida para los usuarios y los administradores. (PCI-DSS-v4.0) | Compruebe que los flujos de Amazon Kinesis estén cifrados en reposo con el cifrado en el servidor. La regla no es conforme para una transmisión de Kinesis si 'StreamEncryption' no está presente. | |
| 8.3.2 | Se ha establecido y administrado una autenticación sólida para los usuarios y los administradores. (PCI-DSS-v4.0) | Compruebe que haya un clúster de Amazon MSK que aplique el cifrado en tránsito con HTTPS (TLS) con los nodos de agente del clúster. La regla es NON_COMPLIANT si la comunicación de texto sin formato está habilitada para conexiones de nodo de agente dentro del clúster. | |
| 8.3.2 | Se ha establecido y administrado una autenticación sólida para los usuarios y los administradores. (PCI-DSS-v4.0) | Compruebe que el cifrado de almacenamiento esté habilitado para los clústeres de base de datos de Amazon Neptune. La regla es NON_COMPLIANT si el cifrado de almacenamiento no está habilitado. | |
| 8.3.2 | Se ha establecido y administrado una autenticación sólida para los usuarios y los administradores. (PCI-DSS-v4.0) | Asegúrese de que los puntos finales del AWS Database Migration Service (AWS DMS) estén configurados con una conexión SSL. La regla NO ES COMPATIBLE si el AWS DMS no tiene configurada una conexión SSL. | |
| 8.3.4 | Se ha establecido y administrado una autenticación sólida para los usuarios y los administradores. (PCI-DSS-v4.0) | Asegúrese de que la política de bucket de Amazon Simple Storage Service (Amazon S3) no permita acciones a nivel de bucket y a nivel de objeto incluidas en listas de bloqueos en los recursos del bucket para los directores de otras cuentas. AWS Por ejemplo, la regla comprueba que la política de bucket de Amazon S3 no permite que otra AWS cuenta realice ninguna acción s3: GetBucket * ni s3: DeleteObject en ningún objeto del bucket. La regla es NON_COMPLIANT si la política de buckets de Amazon S3 permite alguna acción incluida en la lista de bloqueo. | |
| 8.3.4 | Se ha establecido y administrado una autenticación sólida para los usuarios y los administradores. (PCI-DSS-v4.0) | Compruebe que las políticas del bucket de Amazon Simple Storage Service (S3) no otorguen permisos entre cuentas distintos a los de la política del bucket de Amazon S3 de control que se haya proporcionado. | |
| 8.3.4 | Se ha establecido y administrado una autenticación sólida para los usuarios y los administradores. (PCI-DSS-v4.0) | Compruebe que el ARN de la política de IAM esté asociado a un usuario de IAM, o a un grupo con uno o varios usuarios de IAM, o a un rol de IAM con una o varias entidades de confianza. | |
| 8.3.4 | Se ha establecido y administrado una autenticación sólida para los usuarios y los administradores. (PCI-DSS-v4.0) | Asegúrese de que un clúster de Amazon Neptune tenga habilitada la autenticación de bases de datos AWS Identity and Access Management (IAM). La regla es NON_COMPLIANT si un clúster de Amazon Neptune no tiene habilitada la autenticación de base de datos de IAM. | |
| 8.3.4 | Se ha establecido y administrado una autenticación sólida para los usuarios y los administradores. (PCI-DSS-v4.0) | Asegúrese de que la EC2 instancia tenga un perfil de AWS Identity and Access Management (IAM) adjunto. La regla NO ES COMPATIBLE si no hay ningún perfil de IAM adjunto a la instancia. EC2 | |
| 8.3.4 | Se ha establecido y administrado una autenticación sólida para los usuarios y los administradores. (PCI-DSS-v4.0) | Compruebe que haya un almacén de copia de seguridad con una política basada en recursos asociada que impida la eliminación de los puntos de recuperación. La regla no es compatible si Backup Vault no tiene políticas basadas en recursos o tiene políticas sin una declaración de «Denegar» adecuada (declaración con permisos de backup:DeleteRecoveryPoint, backup: y backup:UpdateRecoveryPointLifecycle). PutBackupVaultAccessPolicy | |
| 8.3.5 | Se ha establecido y administrado una autenticación sólida para los usuarios y los administradores. (PCI-DSS-v4.0) | Asegúrese de que las claves de acceso de IAM activas se roten (cambien) dentro del número de días especificado en Age. maxAccessKey La regla es NON_COMPLIANT si las claves de acceso no se rotan dentro del período de tiempo especificado. El valor predeterminado es 90 días. | |
| 8.3.5 | Se ha establecido y administrado una autenticación sólida para los usuarios y los administradores. (PCI-DSS-v4.0) | Asegúrese de que AWS los secretos de Secrets Manager se hayan rotado correctamente de acuerdo con el programa de rotación. Secrets Manager calcula la fecha en que debe producirse la rotación. La regla es NON_COMPLIANT si pasa la fecha y el secreto no rota. | |
| 8.3.5 | Se ha establecido y administrado una autenticación sólida para los usuarios y los administradores. (PCI-DSS-v4.0) | Asegúrese de que AWS los secretos de Secrets Manager se hayan rotado en los últimos días especificados. La regla no cumple con los requisitos si un secreto no se ha rotado durante más de un número de días de maxDaysSince rotación. El valor predeterminado es 90 días. | |
| 8.3.7 | Se ha establecido y administrado una autenticación sólida para los usuarios y los administradores. (PCI-DSS-v4.0) | Asegúrese de que las claves de acceso de IAM activas se roten (cambien) dentro del número de días especificado en Age. maxAccessKey La regla es NON_COMPLIANT si las claves de acceso no se rotan dentro del período de tiempo especificado. El valor predeterminado es 90 días. | |
| 8.3.7 | Se ha establecido y administrado una autenticación sólida para los usuarios y los administradores. (PCI-DSS-v4.0) | Asegúrese de que AWS los secretos de Secrets Manager se hayan rotado correctamente de acuerdo con el programa de rotación. Secrets Manager calcula la fecha en que debe producirse la rotación. La regla es NON_COMPLIANT si pasa la fecha y el secreto no rota. | |
| 8.3.7 | Se ha establecido y administrado una autenticación sólida para los usuarios y los administradores. (PCI-DSS-v4.0) | Asegúrese de que AWS los secretos de Secrets Manager se hayan rotado en los últimos días especificados. La regla no cumple con los requisitos si un secreto no se ha rotado durante más de un número de días de maxDaysSince rotación. El valor predeterminado es 90 días. | |
| 8.3.9 | Se ha establecido y administrado una autenticación sólida para los usuarios y los administradores. (PCI-DSS-v4.0) | Asegúrese de que las claves de acceso de IAM activas se roten (cambien) dentro del número de días especificado en Age. maxAccessKey La regla es NON_COMPLIANT si las claves de acceso no se rotan dentro del período de tiempo especificado. El valor predeterminado es 90 días. | |
| 8.3.9 | Se ha establecido y administrado una autenticación sólida para los usuarios y los administradores. (PCI-DSS-v4.0) | Asegúrese de que AWS los secretos de Secrets Manager se hayan rotado correctamente de acuerdo con el programa de rotación. Secrets Manager calcula la fecha en que debe producirse la rotación. La regla es NON_COMPLIANT si pasa la fecha y el secreto no rota. | |
| 8.3.9 | Se ha establecido y administrado una autenticación sólida para los usuarios y los administradores. (PCI-DSS-v4.0) | Asegúrese de que AWS los secretos de Secrets Manager se hayan rotado en los últimos días especificados. La regla no cumple con los requisitos si un secreto no se ha rotado durante más de un número de días de maxDaysSince rotación. El valor predeterminado es 90 días. | |
| 8.4.1 | Se ha implementado la autenticación multifactor (MFA) para proteger el acceso al CDE. (PCI-DSS-v4.0) | Compruebe que la eliminación de la MFA esté habilitada en la configuración del control de versiones de buckets de Amazon Simple Storage Service (Amazon S3). La regla es NON_COMPLIANT si la eliminación de MFA no está habilitada. | |
| 8.4.2 | Se ha implementado la autenticación multifactor (MFA) para proteger el acceso al CDE. (PCI-DSS-v4.0) | Compruebe que la eliminación de la MFA esté habilitada en la configuración del control de versiones de buckets de Amazon Simple Storage Service (Amazon S3). La regla es NON_COMPLIANT si la eliminación de MFA no está habilitada. | |
| 8.4.3 | Se ha implementado la autenticación multifactor (MFA) para proteger el acceso al CDE. (PCI-DSS-v4.0) | Compruebe que la eliminación de la MFA esté habilitada en la configuración del control de versiones de buckets de Amazon Simple Storage Service (Amazon S3). La regla es NON_COMPLIANT si la eliminación de MFA no está habilitada. | |
| 8.6.3 | El uso de las cuentas de aplicación y sistema, y de los factores de autenticación asociados, se gestiona de forma rigurosa. (PCI-DSS-v4.0) | Asegúrese de que las claves de acceso de IAM activas se roten (cambien) dentro del número de días especificado en Age. maxAccessKey La regla es NON_COMPLIANT si las claves de acceso no se rotan dentro del período de tiempo especificado. El valor predeterminado es 90 días. | |
| 8.6.3 | El uso de las cuentas de aplicación y sistema, y de los factores de autenticación asociados, se gestiona de forma rigurosa. (PCI-DSS-v4.0) | Asegúrese de que AWS los secretos de Secrets Manager se hayan rotado correctamente de acuerdo con el programa de rotación. Secrets Manager calcula la fecha en que debe producirse la rotación. La regla es NON_COMPLIANT si pasa la fecha y el secreto no rota. | |
| 8.6.3 | El uso de las cuentas de aplicación y sistema, y de los factores de autenticación asociados, se gestiona de forma rigurosa. (PCI-DSS-v4.0) | Asegúrese de que AWS los secretos de Secrets Manager se hayan rotado en los últimos días especificados. La regla no cumple con los requisitos si un secreto no se ha rotado durante más de un número de días de maxDaysSince rotación. El valor predeterminado es 90 días. | |
| A1.1.2 | Los proveedores de servicio multinquilino protegen y separan todos los entornos y datos de los clientes. (PCI-DSS-v4.0) | Compruebe que haya una instantánea manual de un clúster de base de datos de Amazon Neptune que no sea pública. La regla es NON_COMPLIANT si las instantáneas de clústeres nuevas y existentes de Neptune son públicas. | |
| A1.1.2 | Los proveedores de servicio multinquilino protegen y separan todos los entornos y datos de los clientes. (PCI-DSS-v4.0) | Compruebe que haya un almacén de copia de seguridad con una política basada en recursos asociada que impida la eliminación de los puntos de recuperación. La regla no es compatible si Backup Vault no tiene políticas basadas en recursos o tiene políticas sin una declaración de «Denegar» adecuada (declaración con permisos de backup:DeleteRecoveryPoint, backup: y backup:UpdateRecoveryPointLifecycle). PutBackupVaultAccessPolicy | |
| A1.1.2 | Los proveedores de servicio multinquilino protegen y separan todos los entornos y datos de los clientes. (PCI-DSS-v4.0) | Compruebe que haya una cuenta de Amazon EMR con la configuración de bloqueo de acceso público habilitada. La regla no cumple con los requisitos si BlockPublicSecurityGroupRules es falsa o, si es verdadera, aparecen los puertos distintos del puerto 22. PermittedPublicSecurityGroupRuleRanges | |
| A1.1.2 | Los proveedores de servicio multinquilino protegen y separan todos los entornos y datos de los clientes. (PCI-DSS-v4.0) | Compruebe que los puntos de acceso de Amazon S3 tengan habilitada la configuración de bloqueo del acceso público. La regla NON_COMPLIANT si la configuración de bloqueo de acceso público no está habilitada para los puntos de acceso de S3. | |
| A1.1.2 | Los proveedores de servicio multinquilino protegen y separan todos los entornos y datos de los clientes. (PCI-DSS-v4.0) | Compruebe que la configuración requerida del bloqueo de acceso público se haya configurado desde el nivel de cuenta. La regla sólo es NON_COMPLIANT cuando los campos establecidos a continuación no coinciden con los campos correspondientes en el elemento de configuración. | |
| A1.1.2 | Los proveedores de servicio multinquilino protegen y separan todos los entornos y datos de los clientes. (PCI-DSS-v4.0) | Compruebe que la eliminación de la MFA esté habilitada en la configuración del control de versiones de buckets de Amazon Simple Storage Service (Amazon S3). La regla es NON_COMPLIANT si la eliminación de MFA no está habilitada. | |
| A1.1.3 | Los proveedores de servicio multinquilino protegen y separan todos los entornos y datos de los clientes. (PCI-DSS-v4.0) | Asegúrese de que Amazon API Gateway APIs sea del tipo especificado en el parámetro de regla 'endpointConfigurationType'. La regla devuelve NON_COMPLIANT si la API REST no coincide con el tipo de punto de enlace configurado en el parámetro de regla. | |
| A1.1.3 | Los proveedores de servicio multinquilino protegen y separan todos los entornos y datos de los clientes. (PCI-DSS-v4.0) | Asegúrese de que la política AWS de Network Firewall esté configurada con una acción predeterminada sin estado definida por el usuario para los paquetes fragmentados. La regla es NON_COMPLIANT si la acción predeterminada sin estado para los paquetes fragmentados no coincide con la acción predeterminada definida por el usuario. | |
| A1.1.3 | Los proveedores de servicio multinquilino protegen y separan todos los entornos y datos de los clientes. (PCI-DSS-v4.0) | Compruebe que el punto de conexión de Amazon Elastic Kubernetes Service (Amazon EKS) no sea de acceso público. La regla es NON_COMPLIANT si el punto de conexión es de acceso público. | |
| A1.1.3 | Los proveedores de servicio multinquilino protegen y separan todos los entornos y datos de los clientes. (PCI-DSS-v4.0) | Nota: Para esta regla, el identificador de la regla (INCOMING_SSH_DISABLED) y el nombre de la regla (restricted-ssh) son diferentes. Compruebe que el tráfico SSH entrante de los grupos de seguridad sea accesible. La regla es COMPLIANT si las direcciones IP del tráfico SSH entrante en los grupos de seguridad están restringidas (un CIDR distinto de 0.0.0.0/0 o ::/0). De lo contrario, es NON_COMPLIANT. | |
| A1.1.3 | Los proveedores de servicio multinquilino protegen y separan todos los entornos y datos de los clientes. (PCI-DSS-v4.0) | Asegúrese de que AWS AppSync APIs estén asociadas a las listas de control de acceso AWS WAFv2 web ()ACLs. La regla no es compatible con una AWS AppSync API si no está asociada a una ACL web. | |
| A1.1.3 | Los proveedores de servicio multinquilino protegen y separan todos los entornos y datos de los clientes. (PCI-DSS-v4.0) | Compruebe que la URL del repositorio fuente de Bitbucket NO contenga credenciales de inicio de sesión. La regla es NON_COMPLIANT si la URL contiene información de inicio de sesión y COMPLIANT si no la contiene. | |
| A1.1.3 | Los proveedores de servicio multinquilino protegen y separan todos los entornos y datos de los clientes. (PCI-DSS-v4.0) | Asegúrese de que los balanceadores de carga clásicos usen certificados SSL proporcionados por AWS Certificate Manager. Para usar esta regla, utilice un agente de escucha SSL o HTTPS con su Classic Load Balancer. Nota: Esta regla solo se aplica a los equilibradores de carga clásicos. Esta regla no comprueba los Application Load Balancers ni los Network Load Balancers. | |
| A1.1.3 | Los proveedores de servicio multinquilino protegen y separan todos los entornos y datos de los clientes. (PCI-DSS-v4.0) | Compruebe que haya una cuenta de Amazon EMR con la configuración de bloqueo de acceso público habilitada. La regla no es compatible si BlockPublicSecurityGroupRules es falsa o, si es verdadera, aparecen puertos distintos del puerto 22. PermittedPublicSecurityGroupRuleRanges | |
| A1.1.3 | Los proveedores de servicio multinquilino protegen y separan todos los entornos y datos de los clientes. (PCI-DSS-v4.0) | Asegúrese de que los puertos predeterminados para el tráfico de entrada SSH/RDP de las listas de control de acceso a la red () estén restringidos. NACLs La regla es NON_COMPLIANT si una entrada entrante de la NACL permite un bloque CIDR TCP o UDP de origen para los puertos 22 o 3389. | |
| A1.1.3 | Los proveedores de servicio multinquilino protegen y separan todos los entornos y datos de los clientes. (PCI-DSS-v4.0) | Asegúrese de que las reglas de autorización de AWS Client VPN no autoricen el acceso a la conexión para todos los clientes. La regla es NON_COMPLIANT si 'AccessAll' está presente y se establece en true. | |
| A1.1.3 | Los proveedores de servicio multinquilino protegen y separan todos los entornos y datos de los clientes. (PCI-DSS-v4.0) | Compruebe que las puertas de enlace de Internet estén asociadas a una nube privada virtual autorizada (Amazon VPC). La regla es NON_COMPLIANT si las puertas de enlace de Internet están conectadas a una VPC no autorizada. | |
| A1.1.3 | Los proveedores de servicio multinquilino protegen y separan todos los entornos y datos de los clientes. (PCI-DSS-v4.0) | Compruebe que los puntos de acceso de Amazon S3 tengan habilitada la configuración de bloqueo del acceso público. La regla NON_COMPLIANT si la configuración de bloqueo de acceso público no está habilitada para los puntos de acceso de S3. | |
| A1.1.3 | Los proveedores de servicio multinquilino protegen y separan todos los entornos y datos de los clientes. (PCI-DSS-v4.0) | Compruebe que la configuración requerida del bloqueo de acceso público se haya configurado desde el nivel de cuenta. La regla sólo es NON_COMPLIANT cuando los campos establecidos a continuación no coinciden con los campos correspondientes en el elemento de configuración. | |
| A1.2.1 | Los proveedores de servicios multinquilino facilitan el registro y la respuesta a los incidentes para todos los clientes. (PCI-DSS-v4.0) | Compruebe que las etapas de Amazon API Gateway V2 tengan habilitado el registro de acceso. La regla no es compatible si 'accessLogSettings' no está presente en la configuración del escenario. | |
| A1.2.1 | Los proveedores de servicios multinquilino facilitan el registro y la respuesta a los incidentes para todos los clientes. (PCI-DSS-v4.0) | Asegúrese de que el rastreo de AWS X-Ray esté habilitado en Amazon API Gateway APIs REST. La regla es COMPLIANT si el rastreo de X-Ray está habilitado y NON_COMPLIANT cuando no lo está. | |
| A1.2.1 | Los proveedores de servicios multinquilino facilitan el registro y la respuesta a los incidentes para todos los clientes. (PCI-DSS-v4.0) | Asegúrese de que haya al menos un AWS CloudTrail registro definido con las mejores prácticas de seguridad. Esta regla es COMPLIANT si hay al menos un registro de seguimiento que cumpla todos los requisitos siguientes: | |
| A1.2.1 | Los proveedores de servicios multinquilino facilitan el registro y la respuesta a los incidentes para todos los clientes. (PCI-DSS-v4.0) | Asegúrese de que un clúster de Amazon Neptune tenga habilitada la exportación de CloudWatch registros para los registros de auditoría. La regla no es compatible si un clúster de Neptune no tiene habilitada la exportación de registros para los CloudWatch registros de auditoría. | |
| A1.2.1 | Los proveedores de servicios multinquilino facilitan el registro y la respuesta a los incidentes para todos los clientes. (PCI-DSS-v4.0) | Compruebe que logConfiguration esté configurado como activo en las definiciones de tareas de Amazon ECS. Esta regla NO ES COMPATIBLE si una ECSTask definición activa no tiene definido el recurso LogConfiguration o si el valor de LogConfiguration es nulo en al menos una definición de contenedor. | |
| A1.2.1 | Los proveedores de servicios multinquilino facilitan el registro y la respuesta a los incidentes para todos los clientes. (PCI-DSS-v4.0) | Nota: Para esta regla, el identificador de la regla (CLOUD_TRAIL_ENABLED) y el nombre de la regla (cloudtrail-enabled) son diferentes. Asegúrese de que haya una AWS CloudTrail ruta habilitada en su cuenta. AWS La regla es NON_COMPLIANT si no hay ningún registro de seguimiento habilitado. De forma opcional, la regla comprueba un bucket de S3, un tema de Amazon Simple Notification Service (Amazon SNS) y un grupo de registros específicos. CloudWatch | |
| A1.2.1 | Los proveedores de servicios multinquilino facilitan el registro y la respuesta a los incidentes para todos los clientes. (PCI-DSS-v4.0) | Nota: para esta regla, el identificador de la regla (MULTI_REGION_CLOUD_TRAIL_ENABLED) y el nombre de la regla () son diferentes. multi-region-cloudtrail-enabled Asegúrese de que haya al menos una región múltiple. AWS CloudTrail La regla es NON_COMPLIANT si los registros de seguimiento no coinciden con los parámetros de entrada. La regla es NON_COMPLIANT si el ExcludeManagementEventSources campo no está vacío o si AWS CloudTrail está configurado para excluir eventos de administración, como eventos de AWS KMS o eventos de Amazon RDS Data API. | |
| A1.2.1 | Los proveedores de servicios multinquilino facilitan el registro y la respuesta a los incidentes para todos los clientes. (PCI-DSS-v4.0) | Asegúrese de que la AWS AppSync API tenga habilitado el registro. La regla NO ES COMPATIBLE si el registro no está habilitado o «fieldLogLevel» no es ERROR ni ALL. | |
| A1.2.1 | Los proveedores de servicios multinquilino facilitan el registro y la respuesta a los incidentes para todos los clientes. (PCI-DSS-v4.0) | Asegúrese de que los agentes de Amazon MQ tengan activado el registro de CloudWatch auditoría de Amazon. La regla es NON_COMPLIANT si un agente no tiene activado el registro de auditoría. | |
| A1.2.1 | Los proveedores de servicios multinquilino facilitan el registro y la respuesta a los incidentes para todos los clientes. (PCI-DSS-v4.0) | Asegúrese de que un agente de Amazon MQ tenga activado el registro CloudWatch de auditoría. La regla es NON_COMPLIANT si el agente no tiene habilitado el registro de auditoría. | |
| A1.2.1 | Los proveedores de servicios multinquilino facilitan el registro y la respuesta a los incidentes para todos los clientes. (PCI-DSS-v4.0) | Compruebe que haya un clúster de Amazon Elastic Kubernetes Service (Amazon EKS) configurado y con el registro habilitado. La regla es NON_COMPLIANT si el registro de los clústeres de Amazon EKS no está habilitado para todos los tipos de registro. | |
| A1.2.1 | Los proveedores de servicios multinquilino facilitan el registro y la respuesta a los incidentes para todos los clientes. (PCI-DSS-v4.0) | Asegúrese de que los entornos de AWS Elastic Beanstalk estén configurados para enviar registros a Amazon Logs. CloudWatch La regla no es conforme si el valor de `` es falso. StreamLogs | |
| A1.2.1 | Los proveedores de servicios multinquilino facilitan el registro y la respuesta a los incidentes para todos los clientes. (PCI-DSS-v4.0) | Asegúrese de que la máquina AWS Step Functions tenga activado el registro. La regla es NON_COMPLIANT si una máquina de estado no tiene el registro activado o si la configuración de registro no se encuentra en el nivel mínimo indicado. | |
| A1.2.1 | Los proveedores de servicios multinquilino facilitan el registro y la respuesta a los incidentes para todos los clientes. (PCI-DSS-v4.0) | Asegúrese de que los firewalls de AWS Network Firewall tengan habilitado el registro. La regla es NON_COMPLIANT si el tipo de registro no está configurado. Puede especificar qué tipo de registro desea que compruebe la regla. | |
| A1.2.3 | Los proveedores de servicios multinquilino facilitan el registro y la respuesta a los incidentes para todos los clientes. (PCI-DSS-v4.0) | Asegúrese de haber proporcionado la información de contacto de seguridad de los contactos de su AWS cuenta. La regla es NON_COMPLIANT si no se proporciona la información de contacto de seguridad de la cuenta. | |
| A3.2.5.1 | El ámbito del PCI DSS está documentado y validado. (PCI-DSS-v4.0) | Compruebe que la detección automatizada de datos confidenciales esté habilitada en Amazon Macie. La regla es NON_COMPLIANT si la detección automatizada de datos confidenciales está deshabilitada. La regla es APPLICABLE para las cuentas de administrador y NOT_APPLICABLE para las cuentas de los miembros. | |
| A3.2.5.1 | El ámbito del PCI DSS está documentado y validado. (PCI-DSS-v4.0) | Compruebe que Amazon Macie esté activado en su cuenta por región. La regla es NON_COMPLIANT si el atributo Status no se ha definido como ENABLED. | |
| A3.2.5.2 | El ámbito del PCI DSS está documentado y validado. (PCI-DSS-v4.0) | Compruebe que la detección automatizada de datos confidenciales esté habilitada en Amazon Macie. La regla es NON_COMPLIANT si la detección automatizada de datos confidenciales está deshabilitada. La regla es APPLICABLE para las cuentas de administrador y NOT_APPLICABLE para las cuentas de los miembros. | |
| A3.2.5.2 | El ámbito del PCI DSS está documentado y validado. (PCI-DSS-v4.0) | Compruebe que Amazon Macie esté activado en su cuenta por región. La regla es NON_COMPLIANT si el atributo Status no se ha definido como ENABLED. | |
| A3.3.1 | El PCI DSS está incorporado a las actividades de business-as-usual (BAU). (PCI-DSS-v4.0) | Asegúrese de que el rastreo de AWS X-Ray esté habilitado en Amazon API Gateway APIs REST. La regla es COMPLIANT si el rastreo de X-Ray está habilitado y NON_COMPLIANT cuando no lo está. | |
| A3.3.1 | El PCI DSS está incorporado a las actividades business-as-usual (BAU). (PCI-DSS-v4.0) | Asegúrese de que esté habilitada la supervisión detallada de las instancias. EC2 La regla es NON_COMPLIANT si la supervisión detallada no está habilitada. | |
| A3.3.1 | El PCI DSS está incorporado a las actividades de business-as-usual (BAU). (PCI-DSS-v4.0) | Asegúrese de que CloudWatch las alarmas tengan una acción configurada para los estados ALARM, INSUFFICIENT_DATA o OK. Como factor opcional, compruebe que haya acciones que coincidan con un ARN indicado. La regla es NON_COMPLIANT si no se ha especificado ninguna acción para la alarma o el parámetro opcional. | |
| A3.3.1 | El PCI DSS está incorporado a las actividades de la (BAU). business-as-usual (PCI-DSS-v4.0) | Asegúrese de que CloudWatch las alarmas tengan una acción configurada para los estados ALARM, INSUFFICIENT_DATA o OK. Como factor opcional, compruebe que haya acciones que coincidan con un ARN indicado. La regla es NON_COMPLIANT si no se ha especificado ninguna acción para la alarma o el parámetro opcional. | |
| A3.3.1 | El PCI DSS está incorporado a las actividades de la (BAU). business-as-usual (PCI-DSS-v4.0) | Asegúrese de que CloudWatch las alarmas tengan una acción configurada para los estados ALARM, INSUFFICIENT_DATA o OK. Como factor opcional, compruebe que haya acciones que coincidan con un ARN indicado. La regla es NON_COMPLIANT si no se ha especificado ninguna acción para la alarma o el parámetro opcional. | |
| A3.3.1 | El PCI DSS está incorporado a las actividades de la (BAU). business-as-usual (PCI-DSS-v4.0) | Asegúrese de que CloudWatch las alarmas tengan una acción configurada para los estados ALARM, INSUFFICIENT_DATA o OK. Como factor opcional, compruebe que haya acciones que coincidan con un ARN indicado. La regla es NON_COMPLIANT si no se ha especificado ninguna acción para la alarma o el parámetro opcional. | |
| A3.3.1 | El PCI DSS está incorporado a las actividades de la (BAU). business-as-usual (PCI-DSS-v4.0) | Asegúrese de que un tipo de recurso tenga una CloudWatch alarma para la métrica indicada. Para el tipo de recurso, puede especificar volúmenes, EC2 instancias, clústeres de Amazon RDS o buckets S3 de EBS. La regla cumple con los requisitos si la métrica indicada tiene un identificador de recurso y una alarma. CloudWatch | |
| A3.3.1 | El PCI DSS está incorporado a las actividades business-as-usual (BAU). (PCI-DSS-v4.0) | Asegúrese de que CloudWatch las alarmas con el nombre de métrica indicado tengan los ajustes especificados. | |
| A3.3.1 | El PCI DSS está incorporado a las actividades de business-as-usual (BAU). (PCI-DSS-v4.0) | Asegúrese de que la recopilación CloudWatch de métricas de seguridad de Amazon en los grupos de AWS WAFv2 reglas esté habilitada. La regla no cumple con los requisitos si el signo '. VisibilityConfig CloudWatchMetricsEnabledel campo 'está establecido en falso. | |
| A3.3.1 | El PCI DSS está incorporado a las actividades de business-as-usual (BAU). (PCI-DSS-v4.0) | Compruebe que el registro de Amazon Simple Notification Service (SNS) esté habilitado para el estado de entrega de los mensajes de notificación enviados a un tema para los puntos de conexión. La regla es NON_COMPLIANT si la notificación del estado de entrega de los mensajes no está habilitada. | |
| A3.4.1 | El acceso lógico al entorno de datos del titular de la tarjeta está controlado y administrado. (PCI-DSS-v4.0) | Compruebe que haya una instantánea manual de un clúster de base de datos de Amazon Neptune que no sea pública. La regla es NON_COMPLIANT si las instantáneas de clústeres nuevas y existentes de Neptune son públicas. | |
| A3.4.1 | El acceso lógico al entorno de datos del titular de la tarjeta está controlado y administrado. (PCI-DSS-v4.0) | Compruebe que haya un almacén de copia de seguridad con una política basada en recursos asociada que impida la eliminación de los puntos de recuperación. La regla no es compatible si Backup Vault no tiene políticas basadas en recursos o tiene políticas sin una declaración de «Denegar» adecuada (declaración con permisos de backup:DeleteRecoveryPoint, backup: y backup:UpdateRecoveryPointLifecycle). PutBackupVaultAccessPolicy | |
| A3.4.1 | El acceso lógico al entorno de datos del titular de la tarjeta está controlado y administrado. (PCI-DSS-v4.0) | Compruebe que haya una cuenta de Amazon EMR con la configuración de bloqueo de acceso público habilitada. La regla no cumple con los requisitos si BlockPublicSecurityGroupRules es falsa o, si es verdadera, aparecen los puertos distintos del puerto 22. PermittedPublicSecurityGroupRuleRanges | |
| A3.4.1 | El acceso lógico al entorno de datos del titular de la tarjeta está controlado y administrado. (PCI-DSS-v4.0) | Asegúrese de que se AWS haya accedido a los secretos de Secrets Manager en un número específico de días. La regla no es conforme si no se ha accedido a un secreto en un número «unusedForDays» de días. El valor predeterminado es 90 días. | |
| A3.4.1 | El acceso lógico al entorno de datos del titular de la tarjeta está controlado y administrado. (PCI-DSS-v4.0) | Compruebe que los puntos de acceso de Amazon S3 tengan habilitada la configuración de bloqueo del acceso público. La regla NON_COMPLIANT si la configuración de bloqueo de acceso público no está habilitada para los puntos de acceso de S3. | |
| A3.4.1 | El acceso lógico al entorno de datos del titular de la tarjeta está controlado y administrado. (PCI-DSS-v4.0) | Compruebe que la configuración requerida del bloqueo de acceso público se haya configurado desde el nivel de cuenta. La regla sólo es NON_COMPLIANT cuando los campos establecidos a continuación no coinciden con los campos correspondientes en el elemento de configuración. | |
| A3.4.1 | El acceso lógico al entorno de datos del titular de la tarjeta está controlado y administrado. (PCI-DSS-v4.0) | Compruebe que la eliminación de la MFA esté habilitada en la configuración del control de versiones de buckets de Amazon Simple Storage Service (Amazon S3). La regla es NON_COMPLIANT si la eliminación de MFA no está habilitada. | |
| A3.5.1 | Los eventos sospechosos se identifican y se responde a ellos. (PCI-DSS-v4.0) | Asegúrese de que el rastreo de AWS X-Ray esté habilitado en Amazon API Gateway APIs REST. La regla es COMPLIANT si el rastreo de X-Ray está habilitado y NON_COMPLIANT cuando no lo está. | |
| A3.5.1 | Los eventos sospechosos se identifican y se responde a ellos. (PCI-DSS-v4.0) | Asegúrese de que la supervisión detallada esté habilitada para las EC2 instancias. La regla es NON_COMPLIANT si la supervisión detallada no está habilitada. | |
| A3.5.1 | Los eventos sospechosos se identifican y se responde a ellos. (PCI-DSS-v4.0) | Asegúrese de que CloudWatch las alarmas tengan una acción configurada para los estados ALARM, INSUFFICIENT_DATA o OK. Como factor opcional, compruebe que haya acciones que coincidan con un ARN indicado. La regla es NON_COMPLIANT si no se ha especificado ninguna acción para la alarma o el parámetro opcional. | |
| A3.5.1 | Los eventos sospechosos se identifican y se responde a ellos. (PCI-DSS-v4.0) | Asegúrese de que CloudWatch las alarmas tengan una acción configurada para los estados ALARM, INSUFFICIENT_DATA o OK. Como factor opcional, compruebe que haya acciones que coincidan con un ARN indicado. La regla es NON_COMPLIANT si no se ha especificado ninguna acción para la alarma o el parámetro opcional. | |
| A3.5.1 | Los eventos sospechosos se identifican y se responde a ellos. (PCI-DSS-v4.0) | Asegúrese de que CloudWatch las alarmas tengan una acción configurada para los estados ALARM, INSUFFICIENT_DATA o OK. Como factor opcional, compruebe que haya acciones que coincidan con un ARN indicado. La regla es NON_COMPLIANT si no se ha especificado ninguna acción para la alarma o el parámetro opcional. | |
| A3.5.1 | Los eventos sospechosos se identifican y se responde a ellos. (PCI-DSS-v4.0) | Asegúrese de que CloudWatch las alarmas tengan una acción configurada para los estados ALARM, INSUFFICIENT_DATA o OK. Como factor opcional, compruebe que haya acciones que coincidan con un ARN indicado. La regla es NON_COMPLIANT si no se ha especificado ninguna acción para la alarma o el parámetro opcional. | |
| A3.5.1 | Los eventos sospechosos se identifican y se responde a ellos. (PCI-DSS-v4.0) | Asegúrese de que un tipo de recurso tenga una CloudWatch alarma para la métrica indicada. Para el tipo de recurso, puede especificar volúmenes, EC2 instancias, clústeres de Amazon RDS o buckets S3 de EBS. La regla cumple con los requisitos si la métrica indicada tiene un identificador de recurso y una alarma. CloudWatch | |
| A3.5.1 | Los eventos sospechosos se identifican y se responde a ellos. (PCI-DSS-v4.0) | Asegúrese de que CloudWatch las alarmas con el nombre de métrica indicado tengan la configuración especificada. | |
| A3.5.1 | Los eventos sospechosos se identifican y se responde a ellos. (PCI-DSS-v4.0) | Asegúrese de que la recopilación CloudWatch de métricas de seguridad de Amazon en los grupos de AWS WAFv2 reglas esté habilitada. La regla no cumple con los requisitos si el signo '. VisibilityConfig CloudWatchMetricsEnabledel campo 'está establecido en falso. | |
| A3.5.1 | Los eventos sospechosos se identifican y se responde a ellos. (PCI-DSS-v4.0) | Compruebe que el registro de Amazon Simple Notification Service (SNS) esté habilitado para el estado de entrega de los mensajes de notificación enviados a un tema para los puntos de conexión. La regla es NON_COMPLIANT si la notificación del estado de entrega de los mensajes no está habilitada. |
Plantilla
La plantilla está disponible en GitHub: Mejores prácticas operativas para PCI DSS 4.0 (excluidos los tipos de recursos globales
