La norma de seguridad de datos del sector de pagos con tarjeta (PCI DSS) - AWS Security Hub

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

La norma de seguridad de datos del sector de pagos con tarjeta (PCI DSS)

El estándar de seguridad de datos del sector de pagos con tarjeta (PCI DSS) de Security Hub proporciona un conjunto de prácticas recomendadas de seguridad de AWS para el manejo de los datos de los titulares de tarjetas. Puede utilizar este estándar para descubrir vulnerabilidades de seguridad en los recursos que gestionan los datos de los titulares de tarjetas. Security Hub aplica actualmente el ámbito de los controles en el nivel de cuenta. Recomendamos que habilite estos controles en todas sus cuentas que tengan recursos que almacenen, procesen o transmitan datos del titular de la tarjeta.

Este estándar fue validado por AWS Security Assurance Services LLC (AWS SAS), que es un equipo de asesores de seguridad calificados (QSA) homologado para proporcionar orientación y evaluaciones de PCI DSS por el Consejo de Estándares de Seguridad PCI DSS (PCI SSC). AWS SAS ha confirmado que las comprobaciones automatizadas pueden ayudar al cliente a prepararse para una evaluación de PCI DSS.

En esta página se enumeran los identificadores y los títulos de los controles de seguridad. En las Regiones de AWS GovCloud (US) Region y China, se utilizan títulos e identificadores de control específicos de la norma. Para ver un mapeo de los identificadores y títulos de los controles de seguridad con los identificadores y títulos de control específicos de la norma, consulte Cómo afecta la consolidación a las identificaciones y títulos de control.

Controles que se aplican a PCI DSS

[AutoScaling.1] Los grupos de Auto Scaling asociados a un Load Balancer clásico deben utilizar las comprobaciones de estado del balanceador de carga

[CloudTrail.2] CloudTrail debe tener activado el cifrado en reposo

[CloudTrail.3] CloudTrail debe estar activado

[CloudTrail.4] La validación del archivo de CloudTrail registro debe estar habilitada

[CloudTrail.5] CloudTrail Los senderos deben estar integrados con Amazon Logs CloudWatch

[CloudWatch.1] Debe haber un filtro de métricas de registro y una alarma para que los utilice el usuario «root»

[CodeBuild.1] Las URL del repositorio fuente de CodeBuild Bitbucket no deben contener credenciales confidenciales

[CodeBuild.2] Las variables de entorno CodeBuild del proyecto no deben contener credenciales de texto claro

[Config.1] AWS Config debe estar habilitado

[DMS.1] Las instancias de replicación de Database Migration Service no deben ser públicas

[EC2.1] Las instantáneas de EBS no se deben poder restaurar públicamente

[EC2.2] Los grupos de seguridad predeterminados de VPC no deben permitir el tráfico entrante ni saliente

[EC2.6] El registro de flujo de VPC debe estar habilitado en todas las VPC

[EC2.12] Los EIP EC2 de Amazon sin utilizar deben eliminarse

[EC2.13] Los grupos de seguridad no deben permitir la entrada desde 0.0.0.0/0 o ::/0 al puerto 22

[ELB.1] El equilibrador de carga de aplicación debe configurarse para redirigir todas las solicitudes HTTP a HTTPS

[ES.1] Los dominios de Elasticsearch deben tener habilitado el cifrado en reposo

[ES.2] Los dominios de Elasticsearch no deben ser de acceso público

[GuardDuty.1] GuardDuty debe estar activado

[IAM.1] Las políticas de IAM no deben permitir privilegios administrativos completos "*"

[IAM.2] Los usuarios de IAM no deben tener políticas de IAM asociadas

[IAM.4] La clave de acceso del usuario raíz de IAM no debería existir

[PCI.IAM.6] La MFA de hardware debe estar habilitada para el usuario raíz

[IAM.8] Deben eliminarse las credenciales de usuario de IAM no utilizadas

[IAM.9] La MFA debe estar habilitada para el usuario raíz

[IAM.10] Las políticas de contraseñas para usuarios de IAM deben tener configuraciones seguras AWS Config

[IAM.19] MFA se debe habilitar para todos los usuarios de IAM

La rotación de claves AWS KMS [KMS.4] debe estar habilitada

[Lambda.1] Las políticas de función de Lambda deberían prohibir el acceso público

[Lambda.3] Las funciones de Lambda deben estar en una VPC

Los OpenSearch dominios [Opensearch.1] deben tener activado el cifrado en reposo

Los OpenSearch dominios [Opensearch.2] no deben ser de acceso público

[RDS.1] La instantánea de RDS debe ser privada

[RDS.2] Las instancias de base de datos de RDS deben prohibir el acceso público, según lo determine la duración PubliclyAccessible AWS Config

[Redshift.1] Los clústeres de Amazon Redshift deberían prohibir el acceso público

[S3.1] La configuración de Bloqueo de acceso público de S3 debe estar habilitada

[S3.2] Los buckets de S3 deberían prohibir el acceso de lectura público

[S3.3] Los buckets de S3 deberían prohibir el acceso de escritura público

Los buckets S3 [S3.5] deberían requerir solicitudes para usar Secure Socket Layer

[S3.7] Los buckets de S3 deben tener habilitada la replicación entre regiones

[SageMaker.1] Las instancias de Amazon SageMaker Notebook no deberían tener acceso directo a Internet

[SSM.1] Las instancias de Amazon EC2 deben administrarse mediante AWS Systems Manager

[SSM.2] Las instancias EC2 de Amazon administradas por Systems Manager deben tener un estado de conformidad de parche de COMPLIANT después de la instalación de un parche

[SSM.3] Las instancias Amazon EC2 administradas por Systems Manager deben tener el estado de conformidad de la asociación de COMPLIANT