Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
La norma de seguridad de datos del sector de pagos con tarjeta (PCI DSS)
El estándar de seguridad de datos del sector de pagos con tarjeta (PCI DSS) de Security Hub proporciona un conjunto de prácticas recomendadas de seguridad de AWS para el manejo de los datos de los titulares de tarjetas. Puede utilizar este estándar para descubrir vulnerabilidades de seguridad en los recursos que gestionan los datos de los titulares de tarjetas. Security Hub aplica actualmente el ámbito de los controles en el nivel de cuenta. Recomendamos que habilite estos controles en todas sus cuentas que tengan recursos que almacenen, procesen o transmitan datos del titular de la tarjeta.
Este estándar fue validado por AWS Security Assurance Services LLC (AWS SAS), que es un equipo de evaluadores de seguridad calificados (QSA) certificados para proporcionar orientación sobre PCI DSS y evaluaciones por el Consejo de Normas de Seguridad de PCI DSS (PCI SSC). AWS SAS ha confirmado que las comprobaciones automatizadas pueden ayudar al cliente a prepararse para una evaluación del PCI DSS.
En esta página se enumeran los identificadores y los títulos de los controles de seguridad. En las regiones AWS GovCloud (US) Region y China, se utilizan identificadores y títulos de control específicos de la norma. Para ver un mapeo de los identificadores y títulos de los controles de seguridad con los identificadores y títulos de control específicos de la norma, consulte Cómo afecta la consolidación a las identificaciones y títulos de control.
Controles que se aplican a PCI DSS
[CloudTrail.2] CloudTrail debe tener activado el cifrado en reposo
[CloudTrail.3] Debe estar habilitada al menos una CloudTrail ruta
[CloudTrail.4] La validación del archivo de CloudTrail registro debe estar habilitada
[CloudTrail.5] CloudTrail Los senderos deben estar integrados con Amazon Logs CloudWatch
[DMS.1] Las instancias de replicación de Database Migration Service no deben ser públicas
[EC2.1] Las instantáneas de EBS no se deben poder restaurar públicamente
[EC2.6] El registro de flujo de VPC debe estar habilitado en todas las VPC
[EC2.12] Los EIP EC2 de Amazon sin utilizar deben eliminarse
[EC2.13] Los grupos de seguridad no deben permitir la entrada desde 0.0.0.0/0 o ::/0 al puerto 22
[ES.1] Los dominios de Elasticsearch deben tener habilitado el cifrado en reposo
[ES.2] Los dominios de Elasticsearch no deben ser de acceso público
[GuardDuty.1] GuardDuty debe estar activado
[IAM.1] Las políticas de IAM no deben permitir privilegios administrativos completos “*”
[IAM.2] Los usuarios de IAM no deben tener políticas de IAM asociadas
[IAM.4] La clave de acceso del usuario raíz de IAM no debería existir
[PCI.IAM.6] La MFA de hardware debe estar habilitada para el usuario raíz
[IAM.8] Deben eliminarse las credenciales de usuario de IAM no utilizadas
[IAM.9] La MFA debe estar habilitada para el usuario raíz
[IAM.19] MFA se debe habilitar para todos los usuarios de IAM
La rotación de teclas [KMS.4] debe estar habilitada AWS KMS
[Lambda.1] Las políticas de función de Lambda deberían prohibir el acceso público
[Lambda.3] Las funciones de Lambda deben estar en una VPC
Los OpenSearch dominios [Opensearch.1] deben tener activado el cifrado en reposo
Los OpenSearch dominios [Opensearch.2] no deben ser de acceso público
[RDS.1] La instantánea de RDS debe ser privada
[Redshift.1] Los clústeres de Amazon Redshift deberían prohibir el acceso público
[S3.2] Los depósitos de uso general de S3 deberían bloquear el acceso público de lectura
[S3.3] Los cubos de uso general de S3 deberían bloquear el acceso público de escritura
[S3.5] Los depósitos de uso general de S3 deberían requerir solicitudes para usar SSL
[S3.7] Los buckets de uso general de S3 deberían utilizar la replicación entre regiones
[SSM.1] Las instancias de Amazon EC2 deben administrarse mediante AWS Systems Manager