PCIDSSv3.2.1 dans Security Hub

La norme de sécurité des données du secteur des cartes de paiement (PCIDSS) de Security Hub fournit un ensemble de meilleures pratiques de AWS sécurité pour le traitement des données des titulaires de cartes. Vous pouvez utiliser cette norme pour découvrir des failles de sécurité dans les ressources qui traitent les données des titulaires de cartes. Security Hub applique actuellement les contrôles au niveau du compte. Nous vous recommandons d'activer ces contrôles dans tous vos comptes dotés de ressources permettant de stocker, de traiter ou de transmettre les données des titulaires de cartes.

Cette norme a été validée par les AWS Security Assurance Services LLC (AWS SAS), une équipe d'évaluateurs de sécurité qualifiés (QSAs) certifiés pour fournir des PCI DSS conseils, et des évaluations par le PCI DSS Security Standards Council (PCISSC). AWS SASa confirmé que les contrôles automatisés peuvent aider un client à préparer une PCI DSS évaluation.

Cette page répertorie les contrôles de sécurité IDs et les titres. Dans les régions AWS GovCloud (US) Region et en Chine, des contrôles IDs et des titres spécifiques aux normes sont utilisés. Pour une correspondance entre le contrôle de sécurité IDs et les titres et les contrôles IDs et titres spécifiques à la norme, voir. L'impact de la consolidation sur le contrôle IDs et les titres

Contrôles qui s'appliquent à PCI DSS

[AutoScaling.1] Les groupes Auto Scaling associés à un équilibreur de charge doivent utiliser des contrôles ELB de santé

[CloudTrail.2] CloudTrail doit avoir le chiffrement au repos activé

[CloudTrail.3] Au moins une CloudTrail piste doit être activée

[CloudTrail.4] La validation du fichier CloudTrail journal doit être activée

[CloudTrail.5] les CloudTrail sentiers doivent être intégrés à Amazon CloudWatch Logs

[CloudWatch.1] Un filtre logarithmique et une alarme doivent exister pour l'utilisation de l'utilisateur « root »

[CodeBuild.1] Le référentiel source de CodeBuild Bitbucket ne URLs doit pas contenir d'informations d'identification sensibles

[CodeBuild.2] les variables d'environnement CodeBuild du projet ne doivent pas contenir d'informations d'identification en texte clair

[Configuration 1] AWS Config doit être activé et utiliser le rôle lié au service pour l'enregistrement des ressources

[DMS.1] Les instances de réplication du Database Migration Service ne doivent pas être publiques

[EC2.1] Les EBS instantanés Amazon ne doivent pas être restaurables publiquement

[EC2.2] les groupes de sécurité VPC par défaut ne doivent pas autoriser le trafic entrant ou sortant

[EC2.6] la journalisation des VPC flux doit être activée dans tous VPCs

[EC2.12] Amazon non utilisé EC2 EIPs doit être supprimé

[EC2.13] Les groupes de sécurité ne doivent pas autoriser l'entrée depuis 0.0.0.0/0 ou : :/0 vers le port 22

[ELB.1] Application Load Balancer doit être configuré pour rediriger toutes les HTTP demandes vers HTTPS

[ES.1] Le chiffrement au repos doit être activé sur les domaines Elasticsearch

[ES.2] Les domaines Elasticsearch ne doivent pas être accessibles au public

[GuardDuty.1] GuardDuty doit être activé

[IAM.1] IAM les politiques ne doivent pas autoriser tous les privilèges administratifs « * »

[IAM.2] aucune IAM politique ne doit être attachée aux IAM utilisateurs

[IAM.4] IAM La clé d'accès de l'utilisateur root ne doit pas exister

[IAM.6] Le matériel MFA doit être activé pour l'utilisateur root

[IAM.8] Les informations IAM d'identification utilisateur non utilisées doivent être supprimées

[IAM.9] MFA doit être activé pour l'utilisateur root

[IAM.10] Les politiques relatives aux mots de passe pour IAM les utilisateurs doivent avoir une durée stricte AWS Config

[IAM.19] MFA doit être activé pour tous les utilisateurs IAM

[KMS4] AWS KMS la rotation des touches doit être activée

[Lambda.1] Les politiques relatives à la fonction Lambda devraient interdire l'accès public

[Lambda.3] Les fonctions Lambda doivent être dans un VPC

Le chiffrement au repos doit être activé OpenSearch dans les domaines [Opensearch.1]

Les OpenSearch domaines [Opensearch.2] ne doivent pas être accessibles au public

[RDS.1] L'RDSinstantané doit être privé

[RDS.2] Les RDS instances de base de données doivent interdire l'accès public, tel que déterminé par la PubliclyAccessible configuration

[Redshift.1] Les clusters Amazon Redshift devraient interdire l'accès public

[S3.1] Les paramètres de blocage de l'accès public aux compartiments S3 à usage général devraient être activés

[S3.2] Les compartiments à usage général S3 devraient bloquer l'accès public à la lecture

[S3.3] Les compartiments à usage général S3 devraient bloquer l'accès public en écriture

[S3.5] Les compartiments à usage général S3 devraient nécessiter des demandes d'utilisation SSL

[S3.7] Les compartiments à usage général S3 doivent utiliser la réplication entre régions

[SageMaker.1] Les instances d'Amazon SageMaker Notebook ne doivent pas avoir d'accès direct à Internet

[SSM.1] EC2 Les instances Amazon doivent être gérées par AWS Systems Manager

[SSM.2] EC2 Les instances Amazon gérées par Systems Manager doivent avoir un statut de conformité aux correctifs égal à « COMPLIANT après l'installation du correctif »

[SSM.3] EC2 Les instances Amazon gérées par Systems Manager doivent avoir un statut de conformité d'association de COMPLIANT

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

NISTSP 800-53 Rév. 5

AWS Norme de balisage des ressources