As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
PCI DSS no CSPM do Security Hub
O Padrão de segurança de dados do setor de cartão de pagamento (PCI DSS) é uma estrutura de conformidade de terceiro que fornece um conjunto de regras e diretrizes para o tratamento seguro de informações de cartões de crédito e débito. O Conselho de Normas de Segurança (SSC) da PCI cria e atualiza essa estrutura.
AWSO Security Hub CSPM fornece um padrão PCI DSS que pode ajudá-lo a manter a conformidade com essa estrutura de terceiros. É possível usar esse padrão para descobrir vulnerabilidades de segurança em recursos da AWS que lidam com dados de titulares de cartões. Recomendamos habilitar esse padrão na Contas da AWS que tenha os recursos que armazenem, processem ou transmitam dados do titular do cartão ou dados sensíveis de autenticação. As avaliações do PCI SSC validaram esse padrão.
O CSPM do Security Hub oferece suporte para PCI DSS v3.2.1 e PCI DSS v4.0.1. Sugerimos o uso da v4.0.1 para se manter atualizado sobre as práticas recomendadas de segurança. É possível ter várias versões do padrão habilitadas ao mesmo tempo. Para obter informações sobre a habilitação de padrões, consulte Habilitar um padrão de segurança. Se você usa atualmente a v3.2.1, mas deseja usar somente a v4.0.1, habilite a versão mais recente antes de desabilitar a versão mais antiga. Isso evitará lacunas em suas verificações de segurança. Se você usa a integração CSPM do Security Hub com AWS Organizations e deseja habilitar em lote a v4.0.1 em várias contas, recomendamos usar a configuração central para fazer isso.
As seções a seguir especificam quais controles se aplicam ao PCI DSS v3.2.1 e ao PCI DSS v4.0.1.
Controles que se aplicam ao PCI DSS v3.2.1
A lista a seguir especifica quais controles do CSPM do Security Hub se aplicam ao PCI DSS v3.2.1. Para revisar os detalhes de um controle, escolha o controle.
[CloudTrail.2] CloudTrail deve ter a criptografia em repouso ativada
[CloudTrail.3] Pelo menos uma CloudTrail trilha deve ser ativada
[CloudTrail.4] a validação do arquivo de CloudTrail log deve estar ativada
[CloudTrail.5] CloudTrail trilhas devem ser integradas com o Amazon CloudWatch Logs
[CloudWatch.1] Um filtro métrico de log e um alarme devem existir para uso do usuário “root”
[DMS.1] As instâncias de replicação do Database Migration Service não devem ser públicas
[EC2.1] Os snapshots do Amazon EBS não devem ser configurados para serem restauráveis publicamente
[EC2.2] Os grupos de segurança padrão da VPC não devem permitir tráfego de entrada ou saída
[EC2.6] O registro de fluxo de VPC deve ser ativado em todas as VPCs
[EC2.12] Os EIPs do Amazon EC2 não utilizados devem ser removidos
[ES.1] Os domínios do Elasticsearch devem ter a criptografia em repouso habilitada
[ES.2] Os domínios do Elasticsearch não devem ser acessíveis ao público
[GuardDuty.1] GuardDuty deve ser habilitado
[IAM.1] As políticas do IAM não devem permitir privilégios administrativos “*” completos
[IAM.2] Os usuários do IAM não devem ter políticas do IAM anexadas
[IAM.4] A chave de acesso do usuário raiz do IAM não deve existir
[IAM.6] O MFA de hardware deve estar habilitado para o usuário root
[IAM.8] As credenciais de usuário do IAM não utilizadas devem ser removidas
[IAM.9] O MFA deve estar habilitado para o usuário root
[IAM.10] As políticas de senha para usuários do IAM devem ter configurações fortes
[IAM.19] O MFA deve estar habilitado para todos os usuários do IAM
[KMS.4]AWS KMSa rotação de chaves deve ser ativada
[Lambda.1] As políticas da função Lambda devem proibir o acesso público
[Lambda.3] As funções Lambda devem estar em uma VPC
[Opensearch.1] os OpenSearch domínios devem ter a criptografia em repouso ativada
[Opensearch.2] os OpenSearch domínios não devem ser acessíveis ao público
[RDS.1] O instantâneo do RDS deve ser privado
[Redshift.1] Os clusters do Amazon Redshift devem proibir o acesso público
[S3.2] Os buckets de uso geral do S3 devem bloquear o acesso público de leitura
[S3.3] Os buckets de uso geral do S3 devem bloquear o acesso público de gravação
[S3.5] Os buckets de uso geral do S3 devem exigir solicitações para usar SSL
[S3.7] Os buckets de uso geral do S3 devem usar replicação entre regiões
[SageMaker.1] As instâncias de SageMaker notebooks da Amazon não devem ter acesso direto à Internet
[SSM.1] As instâncias do Amazon EC2 devem ser gerenciadas porAWS Systems Manager
Controles que se aplicam ao PCI DSS v4.0.1
A lista a seguir especifica quais controles do CSPM do Security Hub se aplicam ao PCI DSS v4.0.1. Para revisar os detalhes de um controle, escolha o controle.
[APIGateway.9] O registro de acesso deve ser configurado para os estágios do API Gateway V2
[AppSync.2]AWS AppSyncdeve ter o registro em nível de campo ativado
[CloudFront.1] CloudFront as distribuições devem ter um objeto raiz padrão configurado
[CloudFront.12] CloudFront as distribuições não devem apontar para origens inexistentes do S3
[CloudFront.3] CloudFront as distribuições devem exigir criptografia em trânsito
[CloudFront.5] CloudFront as distribuições devem ter o registro ativado
[CloudFront.6] CloudFront as distribuições devem ter o WAF ativado
[CloudFront.9] CloudFront as distribuições devem criptografar o tráfego para origens personalizadas
[CloudTrail.2] CloudTrail deve ter a criptografia em repouso ativada
[CloudTrail.3] Pelo menos uma CloudTrail trilha deve ser ativada
[CloudTrail.4] a validação do arquivo de CloudTrail log deve estar ativada
[CodeBuild.3] CodeBuild Os registros do S3 devem ser criptografados
[DMS.1] As instâncias de replicação do Database Migration Service não devem ser públicas
[DMS.10] Os endpoints do DMS para bancos de dados Neptune devem ter a autorização do IAM habilitada
[DMS.11] Os endpoints DMS para MongoDB devem ter um mecanismo de autenticação habilitado
[DMS.12] Os endpoints DMS para Redis OSS devem ter o TLS habilitado
[DMS.8] As tarefas de replicação do DMS para o banco de dados de origem devem ter o registro ativado
[DMS.9] Os endpoints do DMS devem usar SSL
[DocumentDB.2] Os clusters do Amazon DocumentDB devem ter um período de retenção de backup adequado
[DocumentDB.3] Os snapshots manuais do cluster do Amazon DocumentDB não devem ser públicos
[DynamoDB.7] Os clusters do DynamoDB Accelerator devem ser criptografados em trânsito
[EC2.15] As sub-redes do Amazon EC2 não devem atribuir automaticamente endereços IP públicos
[EC2.16] As listas de controle de acesso à rede não utilizadas devem ser removidas
[EC2.170] Os modelos de lançamento do EC2 devem usar o Instance Metadata Service Version 2 (IMDSv2)
[EC2.171] As conexões EC2 VPN devem ter o registro ativado
[EC2.51] Os endpoints do EC2 Client VPN devem ter o registro de conexão do cliente ativado
[EC2.8] As instâncias do EC2 devem usar o Instance Metadata Service Version 2 (IMDSv2)
[ECR.1] Os repositórios privados do ECR devem ter a digitalização de imagens configurada
[ECS.10] Os serviços ECS Fargate devem ser executados na versão mais recente da plataforma Fargate
[ECS.16] Os conjuntos de tarefas do ECS não devem atribuir automaticamente endereços IP públicos
[ECS.2] Os serviços do ECS não devem ter endereços IP públicos atribuídos a eles automaticamente
[ECS.8] Os segredos não devem ser passados como variáveis de ambiente do contêiner
[EFS.4] Os pontos de acesso do EFS devem impor uma identidade de usuário
[EKS.1] Os endpoints do cluster EKS não devem ser acessíveis ao público
[EKS.2] Os clusters EKS devem ser executados em uma versão compatível do Kubernetes
[EKS.3] Os clusters EKS devem usar segredos criptografados do Kubernetes
[EKS.8] Os clusters EKS devem ter o registro de auditoria ativado
[ElastiCache.5] os grupos ElastiCache de replicação devem ser criptografados em trânsito
[ElasticBeanstalk.3] O Elastic Beanstalk deve transmitir registros para CloudWatch
[ELB.3] Os ouvintes do Classic Load Balancer devem ser configurados com terminação HTTPS ou TLS
[ELB.4] O Application Load Balancer deve ser configurado para eliminar cabeçalhos http inválidos
[EMR.1] Os nós primários do cluster Amazon EMR não devem ter endereços IP públicos
[EMR.2] A configuração de bloqueio de acesso público do Amazon EMR deve estar ativada
[ES.2] Os domínios do Elasticsearch não devem ser acessíveis ao público
[ES.3] Os domínios do Elasticsearch devem criptografar os dados enviados entre os nós
[ES.5] Os domínios do Elasticsearch devem ter o registro de auditoria ativado
[GuardDuty.1] GuardDuty deve ser habilitado
[GuardDuty.10] A proteção GuardDuty S3 deve estar ativada
[GuardDuty.6] A Proteção GuardDuty Lambda deve estar ativada
[GuardDuty.7] O monitoramento de tempo de execução do GuardDuty EKS deve estar ativado
[GuardDuty.9] A proteção GuardDuty do RDS deve estar ativada
[IAM.3] As chaves de acesso dos usuários do IAM devem ser trocadas a cada 90 dias ou menos
[IAM.5] O MFA deve ser habilitado para todos os usuários do IAM que tenham uma senha de console
[IAM.6] O MFA de hardware deve estar habilitado para o usuário root
[IAM.7] As políticas de senha para usuários do IAM devem ter configurações fortes
[IAM.8] As credenciais de usuário do IAM não utilizadas devem ser removidas
[IAM.9] O MFA deve estar habilitado para o usuário root
[IAM.11] Certifique-se de que a política de senha do IAM exija pelo menos uma letra maiúscula
[IAM.12] Certifique-se de que a política de senha do IAM exija pelo menos uma letra minúscula
[IAM.14] Certifique-se de que a política de senha do IAM exija pelo menos um número
[IAM.16] Certifique-se de que a política de senha do IAM evite a reutilização de senhas
[IAM.17] Certifique-se de que a política de senhas do IAM expire as senhas em 90 dias ou menos
[IAM.19] O MFA deve estar habilitado para todos os usuários do IAM
[Inspector.1] A digitalização do Amazon Inspector EC2 deve estar ativada
[Inspector.2] O escaneamento ECR do Amazon Inspector deve estar ativado
[Inspector.3] A digitalização de código do Amazon Inspector Lambda deve estar ativada
[Inspector.4] O escaneamento padrão do Amazon Inspector Lambda deve estar ativado
[KMS.4]AWS KMSa rotação de chaves deve ser ativada
[Lambda.1] As políticas da função Lambda devem proibir o acesso público
[Lambda.2] As funções Lambda devem usar tempos de execução compatíveis
[MQ.2] Os corretores do ActiveMQ devem transmitir os registros de auditoria para CloudWatch
[MSK.1] Os clusters MSK devem ser criptografados em trânsito entre os nós do broker
[MSK.3] Os conectores MSK Connect devem ser criptografados em trânsito
[Neptune.3] Os instantâneos do cluster de banco de dados Neptune não devem ser públicos
[Opensearch.10] os OpenSearch domínios devem ter a atualização de software mais recente instalada
[Opensearch.5] os OpenSearch domínios devem ter o registro de auditoria ativado
[RDS.13] As atualizações automáticas de versões secundárias do RDS devem ser ativadas
[RDS.37] Os clusters de banco de dados Aurora PostgreSQL devem publicar registros em Logs CloudWatch
[RDS.9] As instâncias de banco de dados do RDS devem publicar registros em Logs CloudWatch
[Redshift.1] Os clusters do Amazon Redshift devem proibir o acesso público
[Redshift.2] As conexões com os clusters do Amazon Redshift devem ser criptografadas em trânsito
[Redshift.4] Os clusters do Amazon Redshift devem ter o registro de auditoria ativado
[Route53.2] As zonas hospedadas públicas do Route 53 devem registrar consultas de DNS
[S3.15] Os buckets de uso geral do S3 devem ter o Object Lock ativado
[S3.17] Os buckets de uso geral do S3 devem ser criptografados em repouso comAWS KMS keys
[S3.19] Os pontos de acesso S3 devem ter as configurações de bloqueio de acesso público ativadas
[S3.22] Os buckets de uso geral do S3 devem registrar eventos de gravação em nível de objeto
[S3.23] Os buckets de uso geral do S3 devem registrar eventos de leitura em nível de objeto
[S3.5] Os buckets de uso geral do S3 devem exigir solicitações para usar SSL
[S3.8] Os buckets de uso geral do S3 devem bloquear o acesso público
[S3.9] Os buckets de uso geral do S3 devem ter o registro de acesso ao servidor ativado
[SageMaker.1] As instâncias de SageMaker notebooks da Amazon não devem ter acesso direto à Internet
[SecretsManager.1] Os segredos do Secrets Manager devem ter a rotação automática ativada
[StepFunctions.1] As máquinas de estado do Step Functions devem ter o registro ativado
[Transfer.2] Os servidores Transfer Family não devem usar o protocolo FTP para conexão de endpoints
[WAF.1]AWS WAFO registro clássico do Global Web ACL deve estar ativado
[WAF.11]AWS WAFo registro de ACL na web deve estar ativado