View a markdown version of this page

PCI DSS en el CSPM de Security Hub - AWSSecurity Hub

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

PCI DSS en el CSPM de Security Hub

El Estándar de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI DSS) es un marco de cumplimiento de terceros que proporciona un conjunto de reglas y directrices para manejar de forma segura la información de tarjetas de crédito y débito. El Consejo de Normas de Seguridad PCI (PCI SSC) crea y actualiza este marco.

AWSSecurity Hub CSPM proporciona un estándar PCI DSS que puede ayudarlo a cumplir con este marco de terceros. Puede utilizar este estándar para descubrir vulnerabilidades de seguridad en los recursos de AWS que gestionan los datos de los titulares de tarjetas. Recomendamos habilitar este estándar en Cuentas de AWS con recursos que almacenan, tratan o transmiten datos de titulares de tarjetas o información confidencial de autenticación. Las evaluaciones realizadas por el PCI SSC validaron este estándar.

El CSPM de Security Hub ofrece compatibilidad con PCI DSS v3.2.1 y PCI DSS v4.0.1. Recomendamos usar la versión v4.0.1 para mantenerse alineado con las prácticas recomendadas de seguridad más recientes. Puede tener ambas versiones del estándar habilitadas al mismo tiempo. Para obtener información sobre cómo habilitar estándares, consulte Habilitación de un estándar de seguridad. Si actualmente usa la versión v3.2.1 pero desea usar únicamente la v4.0.1, habilite primero la versión más reciente antes de desactivar la versión anterior. Esto evita deficiencias en las comprobaciones de seguridad. Si utiliza la integración CSPM de Security Hub AWS Organizations y desea habilitar por lotes la versión 4.0.1 en varias cuentas, le recomendamos que utilice la configuración central para hacerlo.

Las siguientes secciones especifican qué controles se aplican a PCI DSS v3.2.1 y a PCI DSS v4.0.1.

Controles que se aplican a PCI DSS v3.2.1

La siguiente lista especifica qué controles del CSPM de Security Hub se aplican a PCI DSS v3.2.1. Para revisar los detalles de un control, seleccione el control.

[AutoScaling.1] Los grupos de Auto Scaling asociados a un balanceador de cargas deben usar comprobaciones de estado del ELB

[CloudTrail.2] CloudTrail debe tener activado el cifrado en reposo

[CloudTrail.3] Debe estar habilitada al menos una CloudTrail ruta

[CloudTrail.4] La validación del archivo de CloudTrail registro debe estar habilitada

[CloudTrail.5] los CloudTrail senderos deben estar integrados con Amazon CloudWatch Logs

[CloudWatch.1] Debe haber un filtro de métricas de registro y una alarma para que los utilice el usuario «root»

[CodeBuild.1] Las URL del repositorio fuente de CodeBuild Bitbucket no deben contener credenciales confidenciales

[CodeBuild.2] las variables de entorno CodeBuild del proyecto no deben contener credenciales de texto claro

[Config.1]AWS Configdebe estar habilitado y usar el rol vinculado al servicio para el registro de recursos

[DMS.1] Las instancias de replicación de Database Migration Service no deben ser públicas

[EC2.1] Las instantáneas de Amazon EBS no deben configurarse para que se puedan restaurar públicamente

[EC2.2] Los grupos de seguridad predeterminados de VPC no deben permitir el tráfico entrante o saliente

[EC2.6] El registro de flujo de VPC debe estar habilitado en todas las VPC

[EC2.12] Deben eliminarse las EIP de Amazon EC2 no utilizadas

[EC2.13] Los grupos de seguridad no deberían permitir la entrada desde la versión 0.0.0. 0/0 o: :/0 al puerto 22

[ELB.1] Application Load Balancer debe configurarse para redirigir todas las solicitudes HTTP a HTTPS

[ES.1] Los dominios de Elasticsearch deben tener activado el cifrado en reposo

[ES.2] Los dominios de Elasticsearch no deben ser de acceso público

[GuardDuty.1] GuardDuty debería estar activado

[IAM.1] Las políticas de IAM no deberían permitir todos los privilegios administrativos «*»

[IAM.2] Los usuarios de IAM no deberían tener políticas de IAM adjuntas

[IAM.4] La clave de acceso del usuario raíz de IAM no debería existir

[IAM.6] La MFA de hardware debe estar habilitada para el usuario root

[IAM.8] Se deben eliminar las credenciales de usuario de IAM no utilizadas

[IAM.9] La MFA debe estar habilitada para el usuario root

[IAM.10] Las políticas de contraseñas para los usuarios de IAM deben tener configuraciones sólidas

[IAM.19] La MFA debe estar habilitada para todos los usuarios de IAM

[KMS.4]AWS KMSla rotación de claves debe estar habilitada

[Lambda.1] Las políticas de funciones Lambda deberían prohibir el acceso público

[Lambda.3] Las funciones Lambda deben estar en una VPC

[Opensearch.1] OpenSearch los dominios deben tener activado el cifrado en reposo

[Opensearch.2] OpenSearch los dominios no deben ser de acceso público

[RDS.1] La instantánea de RDS debe ser privada

[RDS.2] Las instancias de base de datos de RDS deben prohibir el acceso público, según lo determine la configuración PubliclyAccessible

[Redshift.1] Los clústeres de Amazon Redshift deberían prohibir el acceso público

[S3.1] Los depósitos de uso general de S3 deberían tener habilitada la configuración de bloqueo de acceso público

[S3.2] Los buckets de uso general de S3 deberían bloquear el acceso público de lectura

[S3.3] Los cubos de uso general de S3 deberían bloquear el acceso de escritura público

[S3.5] Los depósitos de uso general de S3 deberían requerir solicitudes para usar SSL

[S3.7] Los cubos de uso general de S3 deben utilizar la replicación entre regiones

[SageMaker.1] Las instancias de Amazon SageMaker Notebook no deberían tener acceso directo a Internet

[SSM.1] Las instancias de Amazon EC2 deben administrarse medianteAWS Systems Manager

[SSM.2] Las instancias de Amazon EC2 administradas por Systems Manager deben tener el estado de conformidad con los parches de CONFORMIDAD CON LOS PARCHES tras la instalación de un parche

[SSM.3] Las instancias de Amazon EC2 administradas por Systems Manager deben tener el estado de conformidad de la asociación de COMPLIANT

Controles que se aplican a PCI DSS v4.0.1

La siguiente lista especifica qué controles del CSPM de Security Hub se aplican a PCI DSS v4.0.1. Para revisar los detalles de un control, seleccione el control.

[ACM.1] ACM-issued Los certificados importados y renovados deben renovarse después de un período de tiempo específico

[ACM.2] Los certificados RSA gestionados por ACM deben utilizar una longitud de clave de al menos 2048 bits

[APIGateway.9] El registro de acceso debe configurarse para las etapas V2 de API Gateway

[AppSync.2]AWS AppSyncdebe tener habilitado el registro a nivel de campo

[AutoScaling.3] Las configuraciones de lanzamiento grupal de Auto Scaling deberían configurar las instancias EC2 para que requieran la versión 2 del Servicio de Metadatos de Instancia (IMDSv2)

[Autoscaling.5] Las instancias de Amazon EC2 lanzadas mediante configuraciones de lanzamiento grupal de Auto Scaling no deben tener direcciones IP públicas

[CloudFront.1] CloudFront las distribuciones deben tener configurado un objeto raíz predeterminado

[CloudFront.10] CloudFront las distribuciones no deberían utilizar protocolos SSL obsoletos entre las ubicaciones de borde y los orígenes personalizados

[CloudFront.12] CloudFront las distribuciones no deben apuntar a orígenes S3 inexistentes

[CloudFront.3] CloudFront las distribuciones deberían requerir el cifrado en tránsito

[CloudFront.5] CloudFront las distribuciones deberían tener el registro activado

[CloudFront.6] CloudFront las distribuciones deben tener WAF activado

[CloudFront.9] CloudFront las distribuciones deberían cifrar el tráfico hacia orígenes personalizados

[CloudTrail.2] CloudTrail debe tener activado el cifrado en reposo

[CloudTrail.3] Debe estar habilitada al menos una CloudTrail ruta

[CloudTrail.4] La validación del archivo de CloudTrail registro debe estar habilitada

[CloudTrail.6] Asegúrese de que el depósito de S3 que se utiliza para almacenar CloudTrail los registros no sea de acceso público

[CloudTrail.7] Asegúrese de que el registro de acceso al bucket de S3 esté habilitado en el CloudTrail bucket de S3

[CodeBuild.1] Las URL del repositorio fuente de CodeBuild Bitbucket no deben contener credenciales confidenciales

[CodeBuild.2] las variables de entorno CodeBuild del proyecto no deben contener credenciales de texto claro

[CodeBuild.3] Los registros de CodeBuild S3 deben estar cifrados

[DMS.1] Las instancias de replicación de Database Migration Service no deben ser públicas

[DMS.10] Los puntos finales de DMS para las bases de datos de Neptune deben tener habilitada la autorización de IAM

[DMS.11] Los puntos finales de DMS para MongoDB deben tener un mecanismo de autenticación habilitado

[DMS.12] Los puntos finales de DMS para Redis OSS deben tener el TLS habilitado

[DMS.6] Las instancias de replicación de DMS deben tener habilitada la actualización automática de las versiones secundarias

[DMS.7] Las tareas de replicación del DMS para la base de datos de destino deben tener el registro habilitado

[DMS.8] Las tareas de replicación del DMS para la base de datos de origen deben tener el registro activado

[DMS.9] Los puntos finales del DMS deben usar SSL

[DocumentDB.2] Los clústeres de Amazon DocumentDB deben tener un período de retención de copias de seguridad adecuado

[DocumentDB.3] Las instantáneas de clústeres manuales de Amazon DocumentDB no deben ser públicas

[DocumentDB.4] Los clústeres de Amazon DocumentDB deben publicar los registros de auditoría en Logs CloudWatch

[DynamoDB.7] Los clústeres de DynamoDB Accelerator deben cifrarse en tránsito

[EC2.13] Los grupos de seguridad no deberían permitir la entrada desde la versión 0.0.0. 0/0 o: :/0 al puerto 22

[EC2.14] Los grupos de seguridad no deberían permitir la entrada desde la versión 0.0.0. 0/0 o: :/0 al puerto 3389

[EC2.15] Las subredes de Amazon EC2 no deben asignar automáticamente direcciones IP públicas

[EC2.16] Se deben eliminar las listas de control de acceso a la red no utilizadas

[EC2.170] Las plantillas de lanzamiento de EC2 deben utilizar la versión 2 del servicio de metadatos de instancias (IMDSv2)

[EC2.171] Las conexiones VPN de EC2 deberían tener el registro habilitado

[EC2.21] Las ACL de red no deberían permitir la entrada desde la versión 0.0.0. 0/0 al puerto 22 o al puerto 3389

[EC2.25] Las plantillas de lanzamiento de Amazon EC2 no deben asignar direcciones IP públicas a las interfaces de red

[EC2.51] Los puntos finales EC2 Client VPN deben tener habilitado el registro de conexiones de clientes

[EC2.53] Los grupos de seguridad de EC2 no deberían permitir la entrada desde la versión 0.0.0. 0/0 a los puertos de administración remota del servidor

[EC2.54] Los grupos de seguridad de EC2 no deberían permitir la entrada desde: :/0 a los puertos de administración remota del servidor

[EC2.8] Las instancias EC2 deben utilizar la versión 2 del servicio de metadatos de instancia (IMDSv2)

[ECR.1] Los repositorios privados de ECR deben tener configurado el escaneo de imágenes

[ECS.10] Los servicios Fargate de ECS deberían ejecutarse en la última versión de la plataforma Fargate

[ECS.16] Los conjuntos de tareas de ECS no deben asignar automáticamente direcciones IP públicas

[ECS.2] Los servicios de ECS no deberían tener direcciones IP públicas asignadas automáticamente

[ECS.8] Los secretos no deben transmitirse como variables de entorno de contenedores

[EFS.4] Los puntos de acceso EFS deben imponer una identidad de usuario

[EFS.6] Los destinos de montaje de EFS no deben asociarse a subredes que asignen direcciones IP públicas en el momento del lanzamiento

[EKS.1] Los puntos finales del clúster EKS no deben ser de acceso público

[EKS.2] Los clústeres de EKS deberían ejecutarse en una versión compatible de Kubernetes

[EKS.3] Los clústeres de EKS deben usar secretos de Kubernetes cifrados

[EKS.8] Los clústeres de EKS deben tener habilitado el registro de auditoría

[ElastiCache.2] ElastiCache los clústeres deberían tener habilitadas las actualizaciones automáticas de las versiones secundarias

[ElastiCache.5] los grupos de ElastiCache replicación deben cifrarse en tránsito

[ElastiCache.6] ElastiCache (Redis OSS) Los grupos de replicación de versiones anteriores deberían tener habilitada la autenticación de Redis OSS

[ElasticBeanstalk.2] Las actualizaciones de la plataforma gestionada de Elastic Beanstalk deben estar habilitadas

[ElasticBeanstalk.3] Elastic Beanstalk debería transmitir los registros a CloudWatch

[ELB.12] Application Load Balancer debe configurarse con el modo defensivo o de mitigación de desincronización más estricto

[ELB.14] El Load Balancer clásico debe configurarse con el modo defensivo o de mitigación de desincronización más estricto

[ELB.3] Los oyentes de Classic Load Balancer deben configurarse con una terminación HTTPS o TLS

[ELB.4] Application Load Balancer debe configurarse para eliminar los encabezados http no válidos

[ELB.8] Los balanceadores de carga clásicos con detectores de SSL deben usar una política de seguridad predefinida que sea sólidaAWS ConfigDuración

[EMR.1] Los nodos principales del clúster de Amazon EMR no deben tener direcciones IP públicas

[EMR.2] La configuración de acceso público del bloque Amazon EMR debe estar habilitada

[ES.2] Los dominios de Elasticsearch no deben ser de acceso público

[ES.3] Los dominios de Elasticsearch deben cifrar los datos enviados entre nodos

[ES.5] Los dominios de Elasticsearch deben tener habilitado el registro de auditoría

[ES.8] Las conexiones a los dominios de Elasticsearch deben cifrarse con la política de seguridad TLS más reciente

[EventBridge.3] los autobuses de eventos EventBridge personalizados deben tener adjunta una política basada en los recursos

[GuardDuty.1] GuardDuty debería estar activado

[GuardDuty.10] La protección GuardDuty S3 debe estar habilitada

[GuardDuty.6] GuardDuty La protección Lambda debe estar habilitada

[GuardDuty.7] La monitorización del tiempo de ejecución de GuardDuty EKS debe estar habilitada

[GuardDuty.9] La protección GuardDuty RDS debe estar habilitada

[IAM.3] Las claves de acceso de los usuarios de IAM deben rotarse cada 90 días o menos

[IAM.5] La MFA debe estar habilitada para todos los usuarios de IAM que tengan una contraseña de consola

[IAM.6] La MFA de hardware debe estar habilitada para el usuario root

[IAM.7] Las políticas de contraseñas para los usuarios de IAM deben tener configuraciones sólidas

[IAM.8] Se deben eliminar las credenciales de usuario de IAM no utilizadas

[IAM.9] La MFA debe estar habilitada para el usuario root

[IAM.11] Asegúrese de que la política de contraseñas de IAM requiera al menos una letra mayúscula

[IAM.12] Asegúrese de que la política de contraseñas de IAM requiera al menos una letra minúscula

[IAM.14] Asegúrese de que la política de contraseñas de IAM requiera al menos un número

[IAM.16] Asegúrese de que la política de contraseñas de IAM impida la reutilización de contraseñas

[IAM.17] Asegúrese de que la política de contraseñas de IAM haga caducar las contraseñas en un plazo de 90 días o menos

[IAM.18] Asegúrese de que se haya creado una función de soporte para gestionar los incidentes conAWS Support

[IAM.19] La MFA debe estar habilitada para todos los usuarios de IAM

[Inspector.1] El escaneo EC2 de Amazon Inspector debe estar activado

[Inspector.2] El escaneo ECR de Amazon Inspector debe estar activado

[Inspector.3] El escaneo de código Lambda de Amazon Inspector Lambda debe estar activado

[Inspector.4] El escaneo estándar de Amazon Inspector Lambda debe estar activado

[KMS.4]AWS KMSla rotación de claves debe estar habilitada

[Lambda.1] Las políticas de funciones Lambda deberían prohibir el acceso público

[Lambda.2] Las funciones Lambda deben utilizar tiempos de ejecución compatibles

[MQ.2] Los corredores de ActiveMQ deben transmitir los registros de auditoría a CloudWatch

[MSK.1] Los clústeres de MSK deben cifrarse en tránsito entre los nodos de intermediación

[MSK.3] Los conectores MSK Connect deben estar cifrados en tránsito

[Neptune.2] Los clústeres de bases de datos de Neptune deberían publicar registros de auditoría en Logs CloudWatch

[Neptune.3] Las instantáneas del clúster de base de datos de Neptune no deben ser públicas

[Opensearch.10] OpenSearch los dominios deben tener instalada la última actualización de software

[Opensearch.5] OpenSearch los dominios deben tener activado el registro de auditoría

[RDS.13] Las actualizaciones automáticas de las versiones secundarias de RDS deben estar habilitadas

[RDS.2] Las instancias de base de datos de RDS deben prohibir el acceso público, según lo determine la configuración PubliclyAccessible

[RDS.20] Las suscripciones de notificación de eventos de RDS existentes deben configurarse para eventos críticos de instancias de bases de datos

[RDS.21] Se debe configurar una suscripción a las notificaciones de eventos de RDS para los eventos críticos de los grupos de parámetros de bases de datos

[RDS.22] Se debe configurar una suscripción a las notificaciones de eventos de RDS para los eventos críticos de los grupos de seguridad de bases de datos

[RDS.24] Los clústeres de bases de datos de RDS deben usar un nombre de usuario de administrador personalizado

[RDS.25] Las instancias de bases de datos de RDS deben usar un nombre de usuario de administrador personalizado

[RDS.34] Los clústeres de bases de datos Aurora MySQL deben publicar los registros de auditoría en CloudWatch Logs

[RDS.35] Los clústeres de bases de datos de RDS deben tener habilitada la actualización automática de las versiones secundarias

[RDS.36] Las instancias de base de datos de RDS para PostgreSQL deberían publicar registros en Logs CloudWatch

[RDS.37] Los clústeres de bases de datos Aurora PostgreSQL deberían publicar registros en Logs CloudWatch

[RDS.9] Las instancias de base de datos de RDS deben publicar registros en Logs CloudWatch

[Redshift.1] Los clústeres de Amazon Redshift deberían prohibir el acceso público

[Redshift.15] Los grupos de seguridad de Redshift deberían permitir la entrada en el puerto del clúster solo desde orígenes restringidos

[Redshift.2] Las conexiones a los clústeres de Amazon Redshift deben cifrarse en tránsito

[Redshift.4] Los clústeres de Amazon Redshift deben tener habilitado el registro de auditoría

[Route53.2] Las zonas alojadas públicas de Route 53 deberían registrar las consultas de DNS

[S3.1] Los depósitos de uso general de S3 deberían tener habilitada la configuración de bloqueo de acceso público

[S3.15] Los depósitos de uso general de S3 deberían tener activado Object Lock

[S3.17] Los depósitos de uso general de S3 deben cifrarse en reposo conAWS KMS keys

[S3.19] Los puntos de acceso S3 deben tener habilitada la configuración de bloqueo de acceso público

[S3.22] Los cubos de uso general de S3 deberían registrar eventos de escritura a nivel de objeto

[S3.23] Los buckets de uso general de S3 deberían registrar los eventos de lectura a nivel de objeto

[S3.24] Los puntos de Multi-Region acceso S3 deben tener habilitada la configuración de bloqueo de acceso público

[S3.5] Los depósitos de uso general de S3 deberían requerir solicitudes para usar SSL

[S3.8] Los depósitos de uso general de S3 deberían bloquear el acceso público

[S3.9] Los depósitos de uso general de S3 deben tener habilitado el registro de acceso al servidor

[SageMaker.1] Las instancias de Amazon SageMaker Notebook no deberían tener acceso directo a Internet

[SecretsManager.1] Los secretos de Secrets Manager deberían tener habilitada la rotación automática

[SecretsManager.2] Los secretos de Secrets Manager configurados con rotación automática deberían girar correctamente

[SecretsManager.4] Los secretos de Secrets Manager deben rotarse en un número específico de días

[SSM.2] Las instancias de Amazon EC2 administradas por Systems Manager deben tener el estado de conformidad con los parches de CONFORMIDAD CON LOS PARCHES tras la instalación de un parche

[SSM.3] Las instancias de Amazon EC2 administradas por Systems Manager deben tener el estado de conformidad de la asociación de COMPLIANT

[StepFunctions.1] Step Functions indica que las máquinas deben tener el registro activado

[Transfer.2] Los servidores Transfer Family no deben usar el protocolo FTP para la conexión de puntos finales

[WAF.1]AWS WAFEl registro de ACL web global clásico debe estar habilitado

[WAF.11]AWS WAFEl registro de ACL web debe estar habilitado