Vérifiez les meilleures pratiques opérationnelles pour la norme PCI DSS 4.0 en utilisant AWS Config - Recommandations AWS

Récapitulatif Conditions préalables et limitations Outils Épopées Ressources connexes Informations supplémentaires Pièces jointes

Vérifiez les meilleures pratiques opérationnelles pour la norme PCI DSS 4.0 en utilisant AWS Config

Créée par Tala Qraitem (AWS) et Alex Goff (AWS)

Récapitulatif

La norme de sécurité des données de l'industrie des cartes de paiement (PCI DSS) décrit les protocoles techniques et opérationnels essentiels pour protéger les données de paiement. La norme PCI DSS a été développée pour encourager et améliorer la sécurité des données pour les comptes de cartes de paiement. Il facilite également l'adoption globale de mesures de sécurité cohérentes. Bien qu'il soit spécifiquement conçu pour les environnements contenant des données de comptes de cartes de paiement, vous pouvez utiliser la norme PCI DSS pour vous protéger contre les menaces et sécuriser d'autres éléments de l'écosystème de paiement.

La version 4.0 de la norme PCI DSS a été publiée pour répondre à l'évolution des exigences, fournir des éclaircissements ou des directives supplémentaires et améliorer la structure et le format de la norme. Pour plus d'informations sur les modifications, voir Résumé des modifications entre les versions PCI DSS 3.2.1 à 4.0.

Un pack de AWS Config conformité est un ensemble de AWS Config règles et d'actions correctives qui vous aident à créer des contrôles de gouvernance en matière de sécurité, d'exploitation ou d'optimisation des coûts. Vous pouvez déployer un pack de conformité en tant qu'entité unique dans un Compte AWS et Région AWS, ou vous pouvez le déployer au sein d'une organisation dans AWS Organizations.

Les packs de conformité pour la version 4.0 de la norme PCI DSS complètent et s'appuient sur le pack de conformité de la version 3.2.1. Les règles du pack de conformité correspondent aux règles de la norme. Pour plus d'informations, consultez le mappage fourni dans la section Pièces jointes. Vous pouvez choisir entre deux versions de ce pack de conformité : l'une qui inclut les types de ressources globaux et l'autre qui les exclut.

Important

Les packs de conformité ne sont pas conçus pour garantir pleinement la conformité à une norme de gouvernance ou de conformité spécifique. Il vous incombe de déterminer vous-même si l'utilisation est conforme aux exigences légales et réglementaires applicables.

Conditions préalables et limitations

Prérequis

Ayez un actif Compte AWS.
Configurez AWS Config.
Répondez aux conditions requises pour les packs de conformité.
Déployez le pack de conformité PCI DSS version 3.2.1.
Disposez des autorisations nécessaires pour accéder aux packs de conformité AWS Config et les gérer. Pour un exemple de politique, consultez la section Informations supplémentaires de ce modèle.

Limites

Vous Compte AWS disposez de quotas par défaut, anciennement appelés limites, pour chacun d'entre eux Service AWS. Sauf indication contraire, chaque quota est spécifique à la région. Vous pouvez demander des augmentations pour certains quotas, mais tous les quotas ne peuvent pas être augmentés. Assurez-vous de connaître les limites du AWS Config service, y compris les limites applicables aux packs de conformité à compte unique et aux packs de conformité pour les organisations.
La version de ce pack de conformité qui inclut les types de ressources globaux est destinée au déploiement uniquement dans la us-east-1 région.
La version de ce pack de conformité qui exclut les types de ressources globaux est destinée au déploiement uniquement dans les régions suivantes :
- ap-east-1
- ap-south-1
- ap-northeast-2
- ap-southeast-1
- ap-southeast-2
- ap-northeast-1
- ca-central-1
- eu-central-1
- eu-west-1
- eu-west-2
- eu-west-3
- eu-north-1
- sa-east-1
- us-east-2
- us-west-1
- us-west-2

Outils

Services AWS

AWS Configfournit une vue détaillée des ressources de votre ordinateur Compte AWS et de la façon dont elles sont configurées. Il vous aide à identifier la façon dont les ressources sont liées les unes aux autres et comment leurs configurations ont évolué au fil du temps.
AWS Systems Managervous aide à gérer vos applications et votre infrastructure exécutées dans le AWS Cloud. Il simplifie la gestion des applications et des ressources, réduit le délai de détection et de résolution des problèmes opérationnels et vous aide à gérer vos AWS ressources en toute sécurité à grande échelle.

Référentiel de code

Les packs de conformité se trouvent dans le référentiel des packs GitHub de AWS Config conformité. Ce référentiel contient les modèles suivants relatifs à la version 4.0 de la norme PCI DSS :

Épopées

Tâche	Description	Compétences requises
Téléchargez le pack de conformité.	Si vous déployez le pack de conformité dans la `us-east-1` région, téléchargez le modèle Operational-Best-Practices-for-PCI-DSS-v4.0 - .yaml. including-global-resourcetypes Si vous déployez le pack de conformité dans une autre région, téléchargez le modèle Operational-Best-Practices-for-PCI-DSS-v4.0 - .yaml. excluding-global-resourcetypes	DevOps ingénieur
(Facultatif) Modifiez le pack de conformité.	Vous pouvez modifier le modèle de pack de conformité en fonction des besoins uniques de votre organisation. Par exemple, vous pouvez créer des actions de correction personnalisées. Pour plus d'informations sur la création et la modification de modèles, consultez la section Création de modèles pour des packs de conformité personnalisés dans la AWS Config documentation.	AWS général
Déployez le pack de conformité.	Si vous effectuez un déploiement dans une cible Compte AWS ou Région AWS, suivez les instructions de la section Déploiement de packs de conformité dans la AWS Config documentation. Vous pouvez utiliser le AWS Management Console ou le AWS Command Line Interface (AWS CLI). Si vous déployez le pack de conformité au sein d'une organisation en AWS Organizations, suivez les instructions de la section Déployer le pack de AWS Config conformité à l'aide de la configuration rapide dans la AWS Systems Manager documentation.	AWS général
(Facultatif) Modifiez le pack de conformité.	Si vous souhaitez modifier le pack de conformité, suivez les instructions de la section Modification des packs de conformité de la AWS Config documentation. Vous pouvez utiliser le AWS Management Console ou le AWS CLI.	AWS général
(Facultatif) Supprimez le pack de conformité.	Si vous souhaitez supprimer le pack de conformité, suivez les instructions de la section Suppression des packs de conformité de la AWS Config documentation. Vous pouvez utiliser le AWS Management Console ou le AWS CLI.	AWS général

Déployer et gérer le pack de conformité

Tâche	Description	Compétences requises
Téléchargez le pack de conformité.	Si vous déployez le pack de conformité dans la `us-east-1` région, téléchargez le modèle Operational-Best-Practices-for-PCI-DSS-v4.0 - .yaml. including-global-resourcetypes Si vous déployez le pack de conformité dans une autre région, téléchargez le modèle Operational-Best-Practices-for-PCI-DSS-v4.0 - .yaml. excluding-global-resourcetypes	DevOps ingénieur
(Facultatif) Modifiez le pack de conformité.	Vous pouvez modifier le modèle de pack de conformité en fonction des besoins uniques de votre organisation. Par exemple, vous pouvez créer des actions de correction personnalisées. Pour plus d'informations sur la création et la modification de modèles, consultez la section Création de modèles pour des packs de conformité personnalisés dans la AWS Config documentation.	AWS général
Déployez le pack de conformité.	Si vous effectuez un déploiement dans une cible Compte AWS ou Région AWS, suivez les instructions de la section Déploiement de packs de conformité dans la AWS Config documentation. Vous pouvez utiliser le AWS Management Console ou le AWS Command Line Interface (AWS CLI). Si vous déployez le pack de conformité au sein d'une organisation en AWS Organizations, suivez les instructions de la section Déployer le pack de AWS Config conformité à l'aide de la configuration rapide dans la AWS Systems Manager documentation.	AWS général
(Facultatif) Modifiez le pack de conformité.	Si vous souhaitez modifier le pack de conformité, suivez les instructions de la section Modification des packs de conformité de la AWS Config documentation. Vous pouvez utiliser le AWS Management Console ou le AWS CLI.	AWS général
(Facultatif) Supprimez le pack de conformité.	Si vous souhaitez supprimer le pack de conformité, suivez les instructions de la section Suppression des packs de conformité de la AWS Config documentation. Vous pouvez utiliser le AWS Management Console ou le AWS CLI.	AWS général

Ressources connexes

AWS resources

Packs de conformité pour AWS Config (AWS Config documentation)
Déployez le pack de AWS Config conformité à l'aide de Quick Setup (documentation Systems Manager)
Conformité à la norme PCI DSS sur AWS(site Web)AWS
PCI DSS version 4.0 activée AWS(guide de conformité)

Ressources PCI DSS

Informations supplémentaires

Voici un exemple de politique AWS Identity and Access Management (IAM) qui permet à l'utilisateur d'accéder aux packs de conformité AWS Config et de les gérer :


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "config:PutConfigRule",
                "config:PutConformancePack",
                "config:DeleteConfigRule",
                "config:DeleteRemediationConfiguration",
                "config:DeleteConformancePack",
                "config:PutRemediationConfigurations",
                "config:BatchGetAggregateResourceConfig",
                "config:BatchGetResourceConfig",
                "config:Get*",
                "config:Describe*",
                "config:Deliver*",
                "config:List*",
                "config:Select*"
            ],
            "Resource": "*"
        }
    ]
}

Pièces jointes

Pour accéder au contenu supplémentaire associé à ce document, décompressez le fichier suivant : attachment.zip

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Utilisez Terraform pour activer automatiquement GuardDuty

Cette page vous a-t-elle été utile ?

Faire un commentaire

Rubrique suivante :

Rubrique précédente :

Utilisez Terraform pour activer automatiquement GuardDuty

Avez-vous besoin d’aide ?

Confidentialité Conditions d'utilisation du site Préférences de cookies

Sélectionner vos préférences de cookies

Personnaliser les préférences de cookies

Essentiels

Performances

Fonctionnels

Publicitaires

Impossible d'enregistrer les préférences concernant les cookies