As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
PCI DSS V4.0
AWS Audit Manager fornece uma estrutura pré-construída que suporta o Padrão de Segurança de Dados do Setor de Cartões de Pagamento (PCI DSS) v4.0.
nota
Para obter informações sobre o PCI DSS v3.2.1 e o framework do Audit Manager compatível com ele, consulte PCI DSS V3.2.1.
O que é PCI DSS?
O PCI DSS (Padrão de segurança de dados do setor de cartões de pagamento) é um padrão global que fornece uma referência de requisitos técnicos e operacionais para a proteção de dados de pagamento. O PCI DSS v4.0 é a próxima evolução do padrão.
O PCI DSS foi desenvolvido para incentivar e aprimorar a segurança dos dados das contas de cartões de pagamento. Ele também facilita a ampla adoção de medidas consistentes de segurança de dados no mundo inteiro. Ele fornece uma referência de requisitos técnicos e operacionais projetados para proteger os dados das contas. Embora tenha sido projetado especificamente para se concentrar em ambientes com dados de contas de cartões de pagamento, o PCI DSS também pode ser usado para proteção contra ameaças e para proteger outros elementos no ecossistema de pagamento.
O PCI SSC (Padrão de segurança de dados do setor de cartões de pagamento) introduziu muitas mudanças entre o PCI DSS v3.2.1 e v4.0. Essas atualizações se dividem em três categorias:
-
Requisito de evolução: mudanças para garantir que o padrão esteja atualizado com as ameaças e tecnologias emergentes e com as alterações no setor de pagamentos. Os exemplos incluem requisitos ou procedimentos de teste novos ou modificados ou a remoção de um requisito.
-
Esclarecimento ou orientação: atualizações no texto, na explicação, na definição, em orientações adicionais ou em instruções para aumentar a compreensão ou fornecer mais informações ou orientações sobre um tópico específico.
-
Estrutura ou formato: reorganização do conteúdo, incluindo combinação, separação e renumeração dos requisitos para alinhar o conteúdo.
Como usar esse framework para apoiar sua preparação para auditoria
nota
Esse framework padrão usa controles consolidados do Security Hub como fonte de dados. Para coletar com êxito evidências de controles consolidados, ative a configuração de descobertas de controles consolidados no Security Hub. Para obter mais informações sobre como usar o Security Hub como um tipo de fonte de dados, consulte AWS Security Hub controls supported by AWS Audit Manager.
Você pode usar o framework do PCI DSS V4.0 para ajudar na preparação para as auditorias. Esse framework inclui uma coleção pré-construída de controles com descrições e procedimentos de teste. Esses controles são agrupados em conjuntos de acordo com os requisitos do PCI DSS V4.0. Você também pode personalizar esse framework e seus controles para apoiar auditorias internas com requisitos específicos.
Usando o framework como ponto de partida, você pode criar uma avaliação do Audit Manager e começar a coletar evidências relevantes para sua auditoria. Depois de criar uma avaliação, o Audit Manager começa a avaliar seus AWS recursos. Ele faz isso com base nos controles definidos no framework do PCI DSS V4.0. Na hora de fazer uma auditoria, você ou um representante de sua escolha pode analisar as evidências que o Audit Manager coletou. Como alternativa, você pode navegar pelas pastas de evidências na sua avaliação e escolher quais evidências deseja incluir no relatório de avaliação. Ou, se você ativou o localizador de evidências, pode pesquisar evidências específicas e exportá-las no formato CSV ou criar um relatório de avaliação baseado nos resultados da pesquisa. De qualquer uma das formas, você pode usar esse relatório de avaliação para mostrar que seus controles estão funcionando conforme o esperado.
Os detalhes do framework são:
| Nome da estrutura em AWS Audit Manager | Número de controles automatizados | Número de controles manuais | Número de conjuntos de controle |
|---|---|---|---|
| Payment Card Industry Data Security Standard (PCI DSS) v4.0 | 108 | 172 | 15 |
Importante
Para garantir que essa estrutura colete as evidências pretendidas AWS Security Hub, certifique-se de que você habilitou todos os padrões no Security Hub.
Para garantir que essa estrutura colete as evidências pretendidas AWS Config, certifique-se de ativar as AWS Config regras necessárias. Para revisar as AWS Config regras usadas como mapeamentos de fontes de dados nessa estrutura padrão, baixe o arquivo AuditManager_ ConfigDataSourceMappings _PCI-DSS-v4.0.zip.
Os controles nessa AWS Audit Manager estrutura não se destinam a verificar se seus sistemas estão em conformidade com o padrão PCI DSS. Além disso, eles não podem garantir que você passará por uma auditoria do PCI DSS. AWS Audit Manager não verifica automaticamente os controles processuais que exigem a coleta manual de evidências.
Próximas etapas
Para obter instruções sobre como visualizar informações detalhadas desse framework, incluindo a lista de controles padrão que ele contém, consulte Como analisar um framework no AWS Audit Manager.
Para obter instruções sobre como criar uma avaliação usando esse framework, consulte Criando uma avaliação em AWS Audit Manager.
Para obter instruções sobre como personalizar esse framework para atender às suas necessidades específicas, consulte Como fazer uma cópia editável de um framework existente no AWS Audit Manager.
Recursos adicionais
