Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
PCI DSS dans Security Hub
La norme de sécurité des données de l'industrie des cartes de paiement (PCI DSS) est un cadre de conformité tiers qui fournit un ensemble de règles et de directives pour traiter en toute sécurité les informations relatives aux cartes de crédit et de débit. Le Conseil des normes de sécurité PCI (SSC) crée et met à jour ce cadre.
AWS Security Hub dispose d'une norme PCI DSS pour vous aider à rester en conformité avec ce framework tiers. Vous pouvez utiliser cette norme pour découvrir des failles de sécurité dans les AWS ressources qui traitent les données des titulaires de cartes. Nous recommandons d'activer cette norme dans les Comptes AWS cas où des ressources stockent, traitent ou transmettent les données des titulaires de cartes ou les données d'authentification sensibles. Les évaluations réalisées par le PCI SSC ont validé cette norme.
Security Hub prend en charge les normes PCI DSS v3.2.1 et PCI DSS v4.0.1. Nous vous recommandons d'utiliser la version 4.0.1 pour rester au fait des meilleures pratiques en matière de sécurité. Vous pouvez activer les deux versions de la norme en même temps. Pour obtenir des instructions sur les normes habilitantes, voirActivation d'une norme de sécurité dans Security Hub. Si vous utilisez actuellement la version 3.2.1 mais que vous souhaitez utiliser uniquement la version 4.0.1, activez la version la plus récente avant de désactiver l'ancienne version. Cela permet d'éviter les failles dans vos contrôles de sécurité. Si vous utilisez l'intégration de Security Hub AWS Organizations et que vous souhaitez activer la version 4.0.1 par lots sur plusieurs comptes, nous vous recommandons d'utiliser une configuration centralisée pour ce faire.
Les sections suivantes indiquent les contrôles qui s'appliquent aux normes PCI DSS v3.2.1 et PCI DSS v4.0.1.
Contrôles applicables à la norme PCI DSS v3.2.1
[CloudTrail.2] CloudTrail doit avoir le chiffrement au repos activé
[CloudTrail.3] Au moins une CloudTrail piste doit être activée
[CloudTrail.4] La validation du fichier CloudTrail journal doit être activée
[CloudTrail.5] les CloudTrail sentiers doivent être intégrés à Amazon CloudWatch Logs
[DMS.1] Les instances de réplication du Database Migration Service ne doivent pas être publiques
[EC2.1] Les instantanés Amazon EBS ne doivent pas être restaurables publiquement
[EC2.2] Les groupes de sécurité VPC par défaut ne doivent pas autoriser le trafic entrant ou sortant
[EC2.6] La journalisation des flux VPC doit être activée dans tous les cas VPCs
[EC2.12] Amazon non utilisé EC2 EIPs doit être supprimé
[ES.1] Le chiffrement au repos doit être activé sur les domaines Elasticsearch
[ES.2] Les domaines Elasticsearch ne doivent pas être accessibles au public
[GuardDuty.1] GuardDuty doit être activé
[IAM.1] Les politiques IAM ne devraient pas autoriser des privilèges administratifs « * » complets
[IAM.2] Les utilisateurs IAM ne doivent pas être associés à des politiques IAM
[IAM.4] La clé d'accès de l'utilisateur root IAM ne doit pas exister
[IAM.6] Le périphérique MFA matériel doit être activé pour l'utilisateur racine
[IAM.8] Les informations d'identification utilisateur IAM non utilisées doivent être supprimées
[IAM.9] La MFA doit être activée pour l'utilisateur root
[IAM.19] Le MFA doit être activé pour tous les utilisateurs IAM
La rotation des AWS KMS touches [KMS.4] doit être activée
[Lambda.1] Les politiques relatives à la fonction Lambda devraient interdire l'accès public
[Lambda.3] Les fonctions Lambda doivent être dans un VPC
Le chiffrement au repos doit être activé OpenSearch dans les domaines [Opensearch.1]
Les OpenSearch domaines [Opensearch.2] ne doivent pas être accessibles au public
[RDS.1] L'instantané RDS doit être privé
[Redshift.1] Les clusters Amazon Redshift devraient interdire l'accès public
[S3.2] Les compartiments à usage général S3 devraient bloquer l'accès public à la lecture
[S3.3] Les compartiments à usage général S3 devraient bloquer l'accès public en écriture
[S3.5] Les compartiments à usage général S3 devraient nécessiter des demandes d'utilisation SSL
[S3.7] Les compartiments à usage général S3 doivent utiliser la réplication entre régions
[SSM.1] EC2 Les instances Amazon doivent être gérées par AWS Systems Manager
Contrôles applicables à la norme PCI DSS v4.0.1
[ACM.1] Les certificats importés et ACM émis doivent être renouvelés après une période spécifiée
[ACM.2] RSA les certificats gérés par ACM doivent utiliser une longueur de clé d'au moins 2 048 bits
[APIGateway.9] La journalisation des accès doit être configurée pour les étapes API Gateway V2
[AppSync.2] AWS AppSync doit avoir activé la journalisation au niveau du champ
[CloudFront.1] CloudFront les distributions doivent avoir un objet racine par défaut configuré
[CloudFront.3] CloudFront les distributions devraient nécessiter un chiffrement pendant le transit
[CloudFront.5] la journalisation des CloudFront distributions doit être activée
[CloudFront.6] les CloudFront distributions auraient dû activer WAF
[CloudTrail.2] CloudTrail doit avoir le chiffrement au repos activé
[CloudTrail.3] Au moins une CloudTrail piste doit être activée
[CloudTrail.4] La validation du fichier CloudTrail journal doit être activée
[CodeBuild.3] Les journaux CodeBuild S3 doivent être chiffrés
[DMS.1] Les instances de réplication du Database Migration Service ne doivent pas être publiques
[DMS.12] les DMS points de terminaison pour Redis auraient dû être activés OSS TLS
[DMS.9] les DMS points de terminaison doivent utiliser SSL
[DocumentDB.3] Les instantanés de cluster manuels Amazon DocumentDB ne doivent pas être publics
[DynamoDB.7] Les clusters DynamoDB Accelerator doivent être chiffrés en transit
[EC2.16] Les listes de contrôle d'accès réseau non utilisées doivent être supprimées
[EC2.171] La journalisation des connexions EC2 VPN doit être activée
[EC2.8] EC2 les instances doivent utiliser le service de métadonnées d'instance version 2 () IMDSv2
[ECR.1] la numérisation des images doit être configurée dans les référentiels ECR privés
[ECS.2] ECS aucune adresse IP publique ne doit être attribuée automatiquement aux services
[ECS.8] Les secrets ne doivent pas être transmis en tant que variables d'environnement de conteneur
[EFS.4] les points EFS d'accès doivent renforcer l'identité de l'utilisateur
[EKS.1] les points de terminaison EKS du cluster ne doivent pas être accessibles au public
[EKS.2] les EKS clusters doivent fonctionner sur une version de Kubernetes prise en charge
[EKS.3] les EKS clusters doivent utiliser des secrets Kubernetes chiffrés
[EKS.8] la journalisation des audits doit être activée sur les EKS clusters
[ElastiCache.5] les groupes ElastiCache de réplication doivent être chiffrés pendant le transport
[ElasticBeanstalk.3] Elastic Beanstalk devrait diffuser les logs vers CloudWatch
[ELB.3] Les écouteurs Classic Load Balancer doivent être configurés avec ou sans arrêt HTTPS TLS
[ELB.4] Application Load Balancer doit être configuré pour supprimer les en-têtes HTTP non valides
[EMR.1] Les nœuds principaux du cluster Amazon EMR ne doivent pas avoir d'adresses IP publiques
[EMR.2] Le paramètre de blocage de l'accès public à Amazon EMR doit être activé
[ES.2] Les domaines Elasticsearch ne doivent pas être accessibles au public
[ES.3] Les domaines Elasticsearch doivent chiffrer les données envoyées entre les nœuds
[ES.5] La journalisation des audits doit être activée dans les domaines Elasticsearch
[GuardDuty.1] GuardDuty doit être activé
[GuardDuty.10] La protection GuardDuty S3 doit être activée
[GuardDuty.6] La protection GuardDuty Lambda doit être activée
[GuardDuty.7] La surveillance du GuardDuty EKS temps d'exécution doit être activée
[GuardDuty.9] GuardDuty RDS La protection doit être activée
[IAM.11] Assurez-vous que la politique de mot de passe IAM nécessite au moins une lettre majuscule
[IAM.12] Assurez-vous que la politique de mot de passe IAM nécessite au moins une lettre minuscule
[IAM.13] Assurez-vous que la politique de mot de passe IAM nécessite au moins un symbole
[IAM.14] Assurez-vous que la politique de mot de passe IAM nécessite au moins un chiffre
[IAM.18] Assurez-vous qu'un rôle de support a été créé pour gérer les incidents avec Support
[IAM.19] Le MFA doit être activé pour tous les utilisateurs IAM
[IAM.3] Les clés d'accès des utilisateurs IAM doivent être renouvelées tous les 90 jours ou moins
[IAM.6] Le périphérique MFA matériel doit être activé pour l'utilisateur racine
[IAM.8] Les informations d'identification utilisateur IAM non utilisées doivent être supprimées
[IAM.9] La MFA doit être activée pour l'utilisateur root
[Inspector.1] La EC2 numérisation Amazon Inspector doit être activée
[Inspector.2] La ECR numérisation Amazon Inspector doit être activée
[Inspector.3] La numérisation du code Lambda par Amazon Inspector doit être activée
[Inspector.4] Le scan standard Amazon Inspector Lambda doit être activé
La rotation des AWS KMS touches [KMS.4] doit être activée
[Lambda.1] Les politiques relatives à la fonction Lambda devraient interdire l'accès public
[Lambda.2] Les fonctions Lambda doivent utiliser les environnements d'exécution pris en charge
[MQ.2] Les courtiers ActiveMQ devraient diffuser les journaux d'audit à CloudWatch
[MQ.3] Les courtiers Amazon MQ devraient activer la mise à niveau automatique des versions mineures
[MSK.1] les MSK clusters doivent être chiffrés lors du transit entre les nœuds du courtier
[MSK.3] Les connecteurs MSK Connect doivent être chiffrés pendant le transport
[Neptune.3] Les instantanés du cluster de base de données Neptune ne doivent pas être publics
Les OpenSearch domaines [Opensearch.10] doivent avoir la dernière mise à jour logicielle installée
[Opensearch.5] la journalisation des audits doit être activée sur les OpenSearch domaines
[RDS.13] Les mises à niveau automatiques des versions mineures de RDS devraient être activées
[RDS.9] Les instances de base de données RDS doivent publier les journaux dans Logs CloudWatch
[Redshift.1] Les clusters Amazon Redshift devraient interdire l'accès public
[Redshift.2] Les connexions aux clusters Amazon Redshift doivent être chiffrées pendant le transit
[Redshift.4] La journalisation des audits doit être activée sur les clusters Amazon Redshift
[Route53.2] Les zones hébergées publiques de Route 53 devraient enregistrer les requêtes DNS
[S3.15] Object Lock doit être activé dans les compartiments S3 à usage général
[S3.17] Les compartiments S3 à usage général doivent être chiffrés au repos avec AWS KMS keys
[S3.19] Les paramètres de blocage de l'accès public doivent être activés sur les points d'accès S3
[S3.5] Les compartiments à usage général S3 devraient nécessiter des demandes d'utilisation SSL
[S3.8] Les compartiments à usage général S3 devraient bloquer l'accès public
[SecretsManager.1] La rotation automatique des secrets de Secrets Manager doit être activée
[SecretsManager.4] Les secrets de Secrets Manager doivent être renouvelés dans un délai spécifié
[StepFunctions.1] La journalisation des machines à états Step Functions doit être activée
[WAF.1] La ACL journalisation Web globale AWS WAF classique doit être activée
[WAF.11] la ACL journalisation AWS WAF Web doit être activée
