View a markdown version of this page

PCI DSS no CSPM do Security Hub - AWSSecurity Hub

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

PCI DSS no CSPM do Security Hub

O Padrão de segurança de dados do setor de cartão de pagamento (PCI DSS) é uma estrutura de conformidade de terceiro que fornece um conjunto de regras e diretrizes para o tratamento seguro de informações de cartões de crédito e débito. O Conselho de Normas de Segurança (SSC) da PCI cria e atualiza essa estrutura.

AWSO Security Hub CSPM fornece um padrão PCI DSS que pode ajudá-lo a manter a conformidade com essa estrutura de terceiros. É possível usar esse padrão para descobrir vulnerabilidades de segurança em recursos da AWS que lidam com dados de titulares de cartões. Recomendamos habilitar esse padrão na Contas da AWS que tenha os recursos que armazenem, processem ou transmitam dados do titular do cartão ou dados sensíveis de autenticação. As avaliações do PCI SSC validaram esse padrão.

O CSPM do Security Hub oferece suporte para PCI DSS v3.2.1 e PCI DSS v4.0.1. Sugerimos o uso da v4.0.1 para se manter atualizado sobre as práticas recomendadas de segurança. É possível ter várias versões do padrão habilitadas ao mesmo tempo. Para obter informações sobre a habilitação de padrões, consulte Habilitar um padrão de segurança. Se você usa atualmente a v3.2.1, mas deseja usar somente a v4.0.1, habilite a versão mais recente antes de desabilitar a versão mais antiga. Isso evitará lacunas em suas verificações de segurança. Se você usa a integração CSPM do Security Hub com AWS Organizations e deseja habilitar em lote a v4.0.1 em várias contas, recomendamos usar a configuração central para fazer isso.

As seções a seguir especificam quais controles se aplicam ao PCI DSS v3.2.1 e ao PCI DSS v4.0.1.

Controles que se aplicam ao PCI DSS v3.2.1

A lista a seguir especifica quais controles do CSPM do Security Hub se aplicam ao PCI DSS v3.2.1. Para revisar os detalhes de um controle, escolha o controle.

[AutoScaling.1] Grupos de Auto Scaling associados a um balanceador de carga devem usar verificações de integridade do ELB

[CloudTrail.2] CloudTrail deve ter a criptografia em repouso ativada

[CloudTrail.3] Pelo menos uma CloudTrail trilha deve ser ativada

[CloudTrail.4] a validação do arquivo de CloudTrail log deve estar ativada

[CloudTrail.5] CloudTrail trilhas devem ser integradas com o Amazon CloudWatch Logs

[CloudWatch.1] Um filtro métrico de log e um alarme devem existir para uso do usuário “root”

[CodeBuild.1] Os URLs do repositório CodeBuild de origem do Bitbucket não devem conter credenciais confidenciais

[CodeBuild.2] as variáveis de ambiente CodeBuild do projeto não devem conter credenciais de texto não criptografado

[Config.1]AWS Configdeve ser habilitado e usar a função vinculada ao serviço para registro de recursos

[DMS.1] As instâncias de replicação do Database Migration Service não devem ser públicas

[EC2.1] Os snapshots do Amazon EBS não devem ser configurados para serem restauráveis publicamente

[EC2.2] Os grupos de segurança padrão da VPC não devem permitir tráfego de entrada ou saída

[EC2.6] O registro de fluxo de VPC deve ser ativado em todas as VPCs

[EC2.12] Os EIPs do Amazon EC2 não utilizados devem ser removidos

[EC2.13] Grupos de segurança não devem permitir a entrada a partir de 0.0.0. 0/0 ou: :/0 para a porta 22

[ELB.1] O Application Load Balancer deve ser configurado para redirecionar todas as solicitações HTTP para HTTPS

[ES.1] Os domínios do Elasticsearch devem ter a criptografia em repouso habilitada

[ES.2] Os domínios do Elasticsearch não devem ser acessíveis ao público

[GuardDuty.1] GuardDuty deve ser habilitado

[IAM.1] As políticas do IAM não devem permitir privilégios administrativos “*” completos

[IAM.2] Os usuários do IAM não devem ter políticas do IAM anexadas

[IAM.4] A chave de acesso do usuário raiz do IAM não deve existir

[IAM.6] O MFA de hardware deve estar habilitado para o usuário root

[IAM.8] As credenciais de usuário do IAM não utilizadas devem ser removidas

[IAM.9] O MFA deve estar habilitado para o usuário root

[IAM.10] As políticas de senha para usuários do IAM devem ter configurações fortes

[IAM.19] O MFA deve estar habilitado para todos os usuários do IAM

[KMS.4]AWS KMSa rotação de chaves deve ser ativada

[Lambda.1] As políticas da função Lambda devem proibir o acesso público

[Lambda.3] As funções Lambda devem estar em uma VPC

[Opensearch.1] os OpenSearch domínios devem ter a criptografia em repouso ativada

[Opensearch.2] os OpenSearch domínios não devem ser acessíveis ao público

[RDS.1] O instantâneo do RDS deve ser privado

[RDS.2] As instâncias de banco de dados do RDS devem proibir o acesso público, conforme determinado pela configuração PubliclyAccessible

[Redshift.1] Os clusters do Amazon Redshift devem proibir o acesso público

[S3.1] Os buckets de uso geral do S3 devem ter as configurações de bloqueio de acesso público ativadas

[S3.2] Os buckets de uso geral do S3 devem bloquear o acesso público de leitura

[S3.3] Os buckets de uso geral do S3 devem bloquear o acesso público de gravação

[S3.5] Os buckets de uso geral do S3 devem exigir solicitações para usar SSL

[S3.7] Os buckets de uso geral do S3 devem usar replicação entre regiões

[SageMaker.1] As instâncias de SageMaker notebooks da Amazon não devem ter acesso direto à Internet

[SSM.1] As instâncias do Amazon EC2 devem ser gerenciadas porAWS Systems Manager

[SSM.2] As instâncias do Amazon EC2 gerenciadas pelo Systems Manager devem ter um status de conformidade de patch de COMPATÍVEL após a instalação de um patch

[SSM.3] As instâncias do Amazon EC2 gerenciadas pelo Systems Manager devem ter um status de conformidade de associação de COMPATÍVEL

Controles que se aplicam ao PCI DSS v4.0.1

A lista a seguir especifica quais controles do CSPM do Security Hub se aplicam ao PCI DSS v4.0.1. Para revisar os detalhes de um controle, escolha o controle.

[ACM.1] Importado e ACM-issued os certificados devem ser renovados após um período de tempo especificado

[ACM.2] Os certificados RSA gerenciados pelo ACM devem usar um comprimento de chave de pelo menos 2.048 bits

[APIGateway.9] O registro de acesso deve ser configurado para os estágios do API Gateway V2

[AppSync.2]AWS AppSyncdeve ter o registro em nível de campo ativado

[AutoScaling.3] As configurações de lançamento de grupos do Auto Scaling devem configurar as instâncias do EC2 para exigir o Instance Metadata Service Version 2 (IMDSv2)

[Autoscaling.5] As instâncias do Amazon EC2 lançadas usando as configurações de execução em grupo do Auto Scaling não devem ter endereços IP públicos

[CloudFront.1] CloudFront as distribuições devem ter um objeto raiz padrão configurado

[CloudFront.10] CloudFront as distribuições não devem usar protocolos SSL obsoletos entre pontos de presença e origens personalizadas

[CloudFront.12] CloudFront as distribuições não devem apontar para origens inexistentes do S3

[CloudFront.3] CloudFront as distribuições devem exigir criptografia em trânsito

[CloudFront.5] CloudFront as distribuições devem ter o registro ativado

[CloudFront.6] CloudFront as distribuições devem ter o WAF ativado

[CloudFront.9] CloudFront as distribuições devem criptografar o tráfego para origens personalizadas

[CloudTrail.2] CloudTrail deve ter a criptografia em repouso ativada

[CloudTrail.3] Pelo menos uma CloudTrail trilha deve ser ativada

[CloudTrail.4] a validação do arquivo de CloudTrail log deve estar ativada

[CloudTrail.6] Certifique-se de que o bucket S3 usado para armazenar CloudTrail registros não esteja acessível publicamente

[CloudTrail.7] Certifique-se de que o registro de acesso ao bucket do S3 esteja ativado no bucket do CloudTrail S3

[CodeBuild.1] Os URLs do repositório CodeBuild de origem do Bitbucket não devem conter credenciais confidenciais

[CodeBuild.2] as variáveis de ambiente CodeBuild do projeto não devem conter credenciais de texto não criptografado

[CodeBuild.3] CodeBuild Os registros do S3 devem ser criptografados

[DMS.1] As instâncias de replicação do Database Migration Service não devem ser públicas

[DMS.10] Os endpoints do DMS para bancos de dados Neptune devem ter a autorização do IAM habilitada

[DMS.11] Os endpoints DMS para MongoDB devem ter um mecanismo de autenticação habilitado

[DMS.12] Os endpoints DMS para Redis OSS devem ter o TLS habilitado

[DMS.6] As instâncias de replicação do DMS devem ter a atualização automática de versões secundárias ativada

[DMS.7] As tarefas de replicação do DMS para o banco de dados de destino devem ter o registro ativado

[DMS.8] As tarefas de replicação do DMS para o banco de dados de origem devem ter o registro ativado

[DMS.9] Os endpoints do DMS devem usar SSL

[DocumentDB.2] Os clusters do Amazon DocumentDB devem ter um período de retenção de backup adequado

[DocumentDB.3] Os snapshots manuais do cluster do Amazon DocumentDB não devem ser públicos

[DocumentDB.4] Os clusters do Amazon DocumentDB devem publicar registros de auditoria no Logs CloudWatch

[DynamoDB.7] Os clusters do DynamoDB Accelerator devem ser criptografados em trânsito

[EC2.13] Grupos de segurança não devem permitir a entrada a partir de 0.0.0. 0/0 ou: :/0 para a porta 22

[EC2.14] Grupos de segurança não devem permitir a entrada a partir de 0.0.0. 0/0 ou: :/0 para a porta 3389

[EC2.15] As sub-redes do Amazon EC2 não devem atribuir automaticamente endereços IP públicos

[EC2.16] As listas de controle de acesso à rede não utilizadas devem ser removidas

[EC2.170] Os modelos de lançamento do EC2 devem usar o Instance Metadata Service Version 2 (IMDSv2)

[EC2.171] As conexões EC2 VPN devem ter o registro ativado

[EC2.21] As ACLs de rede não devem permitir a entrada a partir de 0.0.0. 0/0 para a porta 22 ou porta 3389

[EC2.25] Os modelos de lançamento do Amazon EC2 não devem atribuir IPs públicos às interfaces de rede

[EC2.51] Os endpoints do EC2 Client VPN devem ter o registro de conexão do cliente ativado

[EC2.53] Os grupos de segurança do EC2 não devem permitir a entrada a partir de 0.0.0. 0/0 às portas de administração remota do servidor

[EC2.54] Os grupos de segurança do EC2 não devem permitir a entrada de: :/0 nas portas de administração do servidor remoto

[EC2.8] As instâncias do EC2 devem usar o Instance Metadata Service Version 2 (IMDSv2)

[ECR.1] Os repositórios privados do ECR devem ter a digitalização de imagens configurada

[ECS.10] Os serviços ECS Fargate devem ser executados na versão mais recente da plataforma Fargate

[ECS.16] Os conjuntos de tarefas do ECS não devem atribuir automaticamente endereços IP públicos

[ECS.2] Os serviços do ECS não devem ter endereços IP públicos atribuídos a eles automaticamente

[ECS.8] Os segredos não devem ser passados como variáveis de ambiente do contêiner

[EFS.4] Os pontos de acesso do EFS devem impor uma identidade de usuário

[EFS.6] Os destinos de montagem do EFS não devem ser associados a sub-redes que atribuem endereços IP públicos na inicialização

[EKS.1] Os endpoints do cluster EKS não devem ser acessíveis ao público

[EKS.2] Os clusters EKS devem ser executados em uma versão compatível do Kubernetes

[EKS.3] Os clusters EKS devem usar segredos criptografados do Kubernetes

[EKS.8] Os clusters EKS devem ter o registro de auditoria ativado

[ElastiCache.2] ElastiCache os clusters devem ter atualizações automáticas de versões secundárias habilitadas

[ElastiCache.5] os grupos ElastiCache de replicação devem ser criptografados em trânsito

[ElastiCache.6] ElastiCache (Redis OSS) grupos de replicação de versões anteriores devem ter o Redis OSS AUTH ativado

[ElasticBeanstalk.2] As atualizações da plataforma gerenciada do Elastic Beanstalk devem estar habilitadas

[ElasticBeanstalk.3] O Elastic Beanstalk deve transmitir registros para CloudWatch

[ELB.12] O Application Load Balancer deve ser configurado com o modo de mitigação de dessincronização defensivo ou mais rigoroso

[ELB.14] O Classic Load Balancer deve ser configurado com o modo de mitigação de dessincronização defensivo ou mais rigoroso

[ELB.3] Os ouvintes do Classic Load Balancer devem ser configurados com terminação HTTPS ou TLS

[ELB.4] O Application Load Balancer deve ser configurado para eliminar cabeçalhos http inválidos

[ELB.8] Os balanceadores de carga clássicos com ouvintes SSL devem usar uma política de segurança predefinida que seja forteAWS Configduração

[EMR.1] Os nós primários do cluster Amazon EMR não devem ter endereços IP públicos

[EMR.2] A configuração de bloqueio de acesso público do Amazon EMR deve estar ativada

[ES.2] Os domínios do Elasticsearch não devem ser acessíveis ao público

[ES.3] Os domínios do Elasticsearch devem criptografar os dados enviados entre os nós

[ES.5] Os domínios do Elasticsearch devem ter o registro de auditoria ativado

[ES.8] As conexões com os domínios do Elasticsearch devem ser criptografadas usando a política de segurança TLS mais recente

[EventBridge.3] os ônibus de eventos EventBridge personalizados devem ter uma política baseada em recursos anexada

[GuardDuty.1] GuardDuty deve ser habilitado

[GuardDuty.10] A proteção GuardDuty S3 deve estar ativada

[GuardDuty.6] A Proteção GuardDuty Lambda deve estar ativada

[GuardDuty.7] O monitoramento de tempo de execução do GuardDuty EKS deve estar ativado

[GuardDuty.9] A proteção GuardDuty do RDS deve estar ativada

[IAM.3] As chaves de acesso dos usuários do IAM devem ser trocadas a cada 90 dias ou menos

[IAM.5] O MFA deve ser habilitado para todos os usuários do IAM que tenham uma senha de console

[IAM.6] O MFA de hardware deve estar habilitado para o usuário root

[IAM.7] As políticas de senha para usuários do IAM devem ter configurações fortes

[IAM.8] As credenciais de usuário do IAM não utilizadas devem ser removidas

[IAM.9] O MFA deve estar habilitado para o usuário root

[IAM.11] Certifique-se de que a política de senha do IAM exija pelo menos uma letra maiúscula

[IAM.12] Certifique-se de que a política de senha do IAM exija pelo menos uma letra minúscula

[IAM.14] Certifique-se de que a política de senha do IAM exija pelo menos um número

[IAM.16] Certifique-se de que a política de senha do IAM evite a reutilização de senhas

[IAM.17] Certifique-se de que a política de senhas do IAM expire as senhas em 90 dias ou menos

[IAM.18] Certifique-se de que uma função de suporte tenha sido criada para gerenciar incidentes comAWS Support

[IAM.19] O MFA deve estar habilitado para todos os usuários do IAM

[Inspector.1] A digitalização do Amazon Inspector EC2 deve estar ativada

[Inspector.2] O escaneamento ECR do Amazon Inspector deve estar ativado

[Inspector.3] A digitalização de código do Amazon Inspector Lambda deve estar ativada

[Inspector.4] O escaneamento padrão do Amazon Inspector Lambda deve estar ativado

[KMS.4]AWS KMSa rotação de chaves deve ser ativada

[Lambda.1] As políticas da função Lambda devem proibir o acesso público

[Lambda.2] As funções Lambda devem usar tempos de execução compatíveis

[MQ.2] Os corretores do ActiveMQ devem transmitir os registros de auditoria para CloudWatch

[MSK.1] Os clusters MSK devem ser criptografados em trânsito entre os nós do broker

[MSK.3] Os conectores MSK Connect devem ser criptografados em trânsito

[Neptune.2] Os clusters de banco de dados Neptune devem publicar registros de auditoria no Logs CloudWatch

[Neptune.3] Os instantâneos do cluster de banco de dados Neptune não devem ser públicos

[Opensearch.10] os OpenSearch domínios devem ter a atualização de software mais recente instalada

[Opensearch.5] os OpenSearch domínios devem ter o registro de auditoria ativado

[RDS.13] As atualizações automáticas de versões secundárias do RDS devem ser ativadas

[RDS.2] As instâncias de banco de dados do RDS devem proibir o acesso público, conforme determinado pela configuração PubliclyAccessible

[RDS.20] As assinaturas existentes de notificação de eventos do RDS devem ser configuradas para eventos críticos de instância de banco de dados

[RDS.21] Uma assinatura de notificações de eventos do RDS deve ser configurada para eventos críticos do grupo de parâmetros do banco de dados

[RDS.22] Uma assinatura de notificações de eventos do RDS deve ser configurada para eventos críticos do grupo de segurança do banco de dados

[RDS.24] Os clusters de banco de dados do RDS devem usar um nome de usuário de administrador personalizado

[RDS.25] As instâncias do banco de dados do RDS devem usar um nome de usuário de administrador personalizado

[RDS.34] Os clusters de banco de dados Aurora MySQL devem publicar registros de auditoria no Logs CloudWatch

[RDS.35] Os clusters de banco de dados do RDS devem ter a atualização automática de versões secundárias habilitada

[RDS.36] O RDS para instâncias de banco de dados PostgreSQL deve publicar registros em Logs CloudWatch

[RDS.37] Os clusters de banco de dados Aurora PostgreSQL devem publicar registros em Logs CloudWatch

[RDS.9] As instâncias de banco de dados do RDS devem publicar registros em Logs CloudWatch

[Redshift.1] Os clusters do Amazon Redshift devem proibir o acesso público

[Redshift.15] Os grupos de segurança do Redshift devem permitir a entrada na porta do cluster somente de origens restritas

[Redshift.2] As conexões com os clusters do Amazon Redshift devem ser criptografadas em trânsito

[Redshift.4] Os clusters do Amazon Redshift devem ter o registro de auditoria ativado

[Route53.2] As zonas hospedadas públicas do Route 53 devem registrar consultas de DNS

[S3.1] Os buckets de uso geral do S3 devem ter as configurações de bloqueio de acesso público ativadas

[S3.15] Os buckets de uso geral do S3 devem ter o Object Lock ativado

[S3.17] Os buckets de uso geral do S3 devem ser criptografados em repouso comAWS KMS keys

[S3.19] Os pontos de acesso S3 devem ter as configurações de bloqueio de acesso público ativadas

[S3.22] Os buckets de uso geral do S3 devem registrar eventos de gravação em nível de objeto

[S3.23] Os buckets de uso geral do S3 devem registrar eventos de leitura em nível de objeto

[S3.24] Os pontos de Multi-Region acesso S3 devem ter as configurações de bloqueio de acesso público ativadas

[S3.5] Os buckets de uso geral do S3 devem exigir solicitações para usar SSL

[S3.8] Os buckets de uso geral do S3 devem bloquear o acesso público

[S3.9] Os buckets de uso geral do S3 devem ter o registro de acesso ao servidor ativado

[SageMaker.1] As instâncias de SageMaker notebooks da Amazon não devem ter acesso direto à Internet

[SecretsManager.1] Os segredos do Secrets Manager devem ter a rotação automática ativada

[SecretsManager.2] Os segredos do Secrets Manager configurados com rotação automática devem girar com sucesso

[SecretsManager.4] Os segredos do Secrets Manager devem ser alternados dentro de um determinado número de dias

[SSM.2] As instâncias do Amazon EC2 gerenciadas pelo Systems Manager devem ter um status de conformidade de patch de COMPATÍVEL após a instalação de um patch

[SSM.3] As instâncias do Amazon EC2 gerenciadas pelo Systems Manager devem ter um status de conformidade de associação de COMPATÍVEL

[StepFunctions.1] As máquinas de estado do Step Functions devem ter o registro ativado

[Transfer.2] Os servidores Transfer Family não devem usar o protocolo FTP para conexão de endpoints

[WAF.1]AWS WAFO registro clássico do Global Web ACL deve estar ativado

[WAF.11]AWS WAFo registro de ACL na web deve estar ativado