Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
PCI DSS en el CSPM de Security Hub
El Estándar de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI DSS) es un marco de cumplimiento de terceros que proporciona un conjunto de reglas y directrices para manejar de forma segura la información de tarjetas de crédito y débito. El Consejo de Normas de Seguridad PCI (PCI SSC) crea y actualiza este marco.
AWSSecurity Hub CSPM proporciona un estándar PCI DSS que puede ayudarlo a cumplir con este marco de terceros. Puede utilizar este estándar para descubrir vulnerabilidades de seguridad en los recursos de AWS que gestionan los datos de los titulares de tarjetas. Recomendamos habilitar este estándar en Cuentas de AWS con recursos que almacenan, tratan o transmiten datos de titulares de tarjetas o información confidencial de autenticación. Las evaluaciones realizadas por el PCI SSC validaron este estándar.
El CSPM de Security Hub ofrece compatibilidad con PCI DSS v3.2.1 y PCI DSS v4.0.1. Recomendamos usar la versión v4.0.1 para mantenerse alineado con las prácticas recomendadas de seguridad más recientes. Puede tener ambas versiones del estándar habilitadas al mismo tiempo. Para obtener información sobre cómo habilitar estándares, consulte Habilitación de un estándar de seguridad. Si actualmente usa la versión v3.2.1 pero desea usar únicamente la v4.0.1, habilite primero la versión más reciente antes de desactivar la versión anterior. Esto evita deficiencias en las comprobaciones de seguridad. Si utiliza la integración CSPM de Security Hub AWS Organizations y desea habilitar por lotes la versión 4.0.1 en varias cuentas, le recomendamos que utilice la configuración central para hacerlo.
Las siguientes secciones especifican qué controles se aplican a PCI DSS v3.2.1 y a PCI DSS v4.0.1.
Controles que se aplican a PCI DSS v3.2.1
La siguiente lista especifica qué controles del CSPM de Security Hub se aplican a PCI DSS v3.2.1. Para revisar los detalles de un control, seleccione el control.
[CloudTrail.2] CloudTrail debe tener activado el cifrado en reposo
[CloudTrail.3] Debe estar habilitada al menos una CloudTrail ruta
[CloudTrail.4] La validación del archivo de CloudTrail registro debe estar habilitada
[CloudTrail.5] los CloudTrail senderos deben estar integrados con Amazon CloudWatch Logs
[DMS.1] Las instancias de replicación de Database Migration Service no deben ser públicas
[EC2.6] El registro de flujo de VPC debe estar habilitado en todas las VPC
[EC2.12] Deben eliminarse las EIP de Amazon EC2 no utilizadas
[ES.1] Los dominios de Elasticsearch deben tener activado el cifrado en reposo
[ES.2] Los dominios de Elasticsearch no deben ser de acceso público
[GuardDuty.1] GuardDuty debería estar activado
[IAM.1] Las políticas de IAM no deberían permitir todos los privilegios administrativos «*»
[IAM.2] Los usuarios de IAM no deberían tener políticas de IAM adjuntas
[IAM.4] La clave de acceso del usuario raíz de IAM no debería existir
[IAM.6] La MFA de hardware debe estar habilitada para el usuario root
[IAM.8] Se deben eliminar las credenciales de usuario de IAM no utilizadas
[IAM.9] La MFA debe estar habilitada para el usuario root
[IAM.10] Las políticas de contraseñas para los usuarios de IAM deben tener configuraciones sólidas
[IAM.19] La MFA debe estar habilitada para todos los usuarios de IAM
[KMS.4]AWS KMSla rotación de claves debe estar habilitada
[Lambda.1] Las políticas de funciones Lambda deberían prohibir el acceso público
[Lambda.3] Las funciones Lambda deben estar en una VPC
[Opensearch.1] OpenSearch los dominios deben tener activado el cifrado en reposo
[Opensearch.2] OpenSearch los dominios no deben ser de acceso público
[RDS.1] La instantánea de RDS debe ser privada
[Redshift.1] Los clústeres de Amazon Redshift deberían prohibir el acceso público
[S3.2] Los buckets de uso general de S3 deberían bloquear el acceso público de lectura
[S3.3] Los cubos de uso general de S3 deberían bloquear el acceso de escritura público
[S3.5] Los depósitos de uso general de S3 deberían requerir solicitudes para usar SSL
[S3.7] Los cubos de uso general de S3 deben utilizar la replicación entre regiones
[SSM.1] Las instancias de Amazon EC2 deben administrarse medianteAWS Systems Manager
Controles que se aplican a PCI DSS v4.0.1
La siguiente lista especifica qué controles del CSPM de Security Hub se aplican a PCI DSS v4.0.1. Para revisar los detalles de un control, seleccione el control.
[APIGateway.9] El registro de acceso debe configurarse para las etapas V2 de API Gateway
[AppSync.2]AWS AppSyncdebe tener habilitado el registro a nivel de campo
[CloudFront.1] CloudFront las distribuciones deben tener configurado un objeto raíz predeterminado
[CloudFront.12] CloudFront las distribuciones no deben apuntar a orígenes S3 inexistentes
[CloudFront.3] CloudFront las distribuciones deberían requerir el cifrado en tránsito
[CloudFront.5] CloudFront las distribuciones deberían tener el registro activado
[CloudFront.6] CloudFront las distribuciones deben tener WAF activado
[CloudTrail.2] CloudTrail debe tener activado el cifrado en reposo
[CloudTrail.3] Debe estar habilitada al menos una CloudTrail ruta
[CloudTrail.4] La validación del archivo de CloudTrail registro debe estar habilitada
[CodeBuild.3] Los registros de CodeBuild S3 deben estar cifrados
[DMS.1] Las instancias de replicación de Database Migration Service no deben ser públicas
[DMS.11] Los puntos finales de DMS para MongoDB deben tener un mecanismo de autenticación habilitado
[DMS.12] Los puntos finales de DMS para Redis OSS deben tener el TLS habilitado
[DMS.9] Los puntos finales del DMS deben usar SSL
[DocumentDB.3] Las instantáneas de clústeres manuales de Amazon DocumentDB no deben ser públicas
[DynamoDB.7] Los clústeres de DynamoDB Accelerator deben cifrarse en tránsito
[EC2.15] Las subredes de Amazon EC2 no deben asignar automáticamente direcciones IP públicas
[EC2.16] Se deben eliminar las listas de control de acceso a la red no utilizadas
[EC2.171] Las conexiones VPN de EC2 deberían tener el registro habilitado
[ECR.1] Los repositorios privados de ECR deben tener configurado el escaneo de imágenes
[ECS.16] Los conjuntos de tareas de ECS no deben asignar automáticamente direcciones IP públicas
[ECS.2] Los servicios de ECS no deberían tener direcciones IP públicas asignadas automáticamente
[ECS.8] Los secretos no deben transmitirse como variables de entorno de contenedores
[EFS.4] Los puntos de acceso EFS deben imponer una identidad de usuario
[EKS.1] Los puntos finales del clúster EKS no deben ser de acceso público
[EKS.2] Los clústeres de EKS deberían ejecutarse en una versión compatible de Kubernetes
[EKS.3] Los clústeres de EKS deben usar secretos de Kubernetes cifrados
[EKS.8] Los clústeres de EKS deben tener habilitado el registro de auditoría
[ElastiCache.5] los grupos de ElastiCache replicación deben cifrarse en tránsito
[ElasticBeanstalk.3] Elastic Beanstalk debería transmitir los registros a CloudWatch
[ELB.3] Los oyentes de Classic Load Balancer deben configurarse con una terminación HTTPS o TLS
[ELB.4] Application Load Balancer debe configurarse para eliminar los encabezados http no válidos
[EMR.1] Los nodos principales del clúster de Amazon EMR no deben tener direcciones IP públicas
[EMR.2] La configuración de acceso público del bloque Amazon EMR debe estar habilitada
[ES.2] Los dominios de Elasticsearch no deben ser de acceso público
[ES.3] Los dominios de Elasticsearch deben cifrar los datos enviados entre nodos
[ES.5] Los dominios de Elasticsearch deben tener habilitado el registro de auditoría
[GuardDuty.1] GuardDuty debería estar activado
[GuardDuty.10] La protección GuardDuty S3 debe estar habilitada
[GuardDuty.6] GuardDuty La protección Lambda debe estar habilitada
[GuardDuty.7] La monitorización del tiempo de ejecución de GuardDuty EKS debe estar habilitada
[GuardDuty.9] La protección GuardDuty RDS debe estar habilitada
[IAM.3] Las claves de acceso de los usuarios de IAM deben rotarse cada 90 días o menos
[IAM.6] La MFA de hardware debe estar habilitada para el usuario root
[IAM.7] Las políticas de contraseñas para los usuarios de IAM deben tener configuraciones sólidas
[IAM.8] Se deben eliminar las credenciales de usuario de IAM no utilizadas
[IAM.9] La MFA debe estar habilitada para el usuario root
[IAM.11] Asegúrese de que la política de contraseñas de IAM requiera al menos una letra mayúscula
[IAM.12] Asegúrese de que la política de contraseñas de IAM requiera al menos una letra minúscula
[IAM.14] Asegúrese de que la política de contraseñas de IAM requiera al menos un número
[IAM.16] Asegúrese de que la política de contraseñas de IAM impida la reutilización de contraseñas
[IAM.19] La MFA debe estar habilitada para todos los usuarios de IAM
[Inspector.1] El escaneo EC2 de Amazon Inspector debe estar activado
[Inspector.2] El escaneo ECR de Amazon Inspector debe estar activado
[Inspector.3] El escaneo de código Lambda de Amazon Inspector Lambda debe estar activado
[Inspector.4] El escaneo estándar de Amazon Inspector Lambda debe estar activado
[KMS.4]AWS KMSla rotación de claves debe estar habilitada
[Lambda.1] Las políticas de funciones Lambda deberían prohibir el acceso público
[Lambda.2] Las funciones Lambda deben utilizar tiempos de ejecución compatibles
[MQ.2] Los corredores de ActiveMQ deben transmitir los registros de auditoría a CloudWatch
[MSK.1] Los clústeres de MSK deben cifrarse en tránsito entre los nodos de intermediación
[MSK.3] Los conectores MSK Connect deben estar cifrados en tránsito
[Neptune.3] Las instantáneas del clúster de base de datos de Neptune no deben ser públicas
[Opensearch.10] OpenSearch los dominios deben tener instalada la última actualización de software
[Opensearch.5] OpenSearch los dominios deben tener activado el registro de auditoría
[RDS.13] Las actualizaciones automáticas de las versiones secundarias de RDS deben estar habilitadas
[RDS.9] Las instancias de base de datos de RDS deben publicar registros en Logs CloudWatch
[Redshift.1] Los clústeres de Amazon Redshift deberían prohibir el acceso público
[Redshift.2] Las conexiones a los clústeres de Amazon Redshift deben cifrarse en tránsito
[Redshift.4] Los clústeres de Amazon Redshift deben tener habilitado el registro de auditoría
[Route53.2] Las zonas alojadas públicas de Route 53 deberían registrar las consultas de DNS
[S3.15] Los depósitos de uso general de S3 deberían tener activado Object Lock
[S3.17] Los depósitos de uso general de S3 deben cifrarse en reposo conAWS KMS keys
[S3.19] Los puntos de acceso S3 deben tener habilitada la configuración de bloqueo de acceso público
[S3.22] Los cubos de uso general de S3 deberían registrar eventos de escritura a nivel de objeto
[S3.23] Los buckets de uso general de S3 deberían registrar los eventos de lectura a nivel de objeto
[S3.5] Los depósitos de uso general de S3 deberían requerir solicitudes para usar SSL
[S3.8] Los depósitos de uso general de S3 deberían bloquear el acceso público
[S3.9] Los depósitos de uso general de S3 deben tener habilitado el registro de acceso al servidor
[SecretsManager.1] Los secretos de Secrets Manager deberían tener habilitada la rotación automática
[SecretsManager.4] Los secretos de Secrets Manager deben rotarse en un número específico de días
[StepFunctions.1] Step Functions indica que las máquinas deben tener el registro activado
[WAF.1]AWS WAFEl registro de ACL web global clásico debe estar habilitado
[WAF.11]AWS WAFEl registro de ACL web debe estar habilitado