Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
PCI DSS V4.0
AWS Audit Manager fournit un cadre prédéfini qui prend en charge la norme de sécurité des données de l'industrie des cartes de paiement (PCI DSS) v4.0.
Note
Pour plus d’informations sur la norme PCI DSS v3.2.1 et le framework Audit Manager qui la prend en charge, consultez PCI DSS V3.2.1.
Rubriques
Qu’est-ce que la norme PCI DSS ?
La norme de sécurité de l’industrie des cartes de paiement (PCI DSS) est une norme mondiale fournissant un ensemble d’exigences techniques et opérationnelles conçues pour protéger les données de paiement. La norme PCI DSS v4.0 constitue la version la plus récente de la norme.
La norme PCI DSS a été développée pour favoriser et améliorer la sécurité des données des comptes de cartes de paiement. Elle facilite également l’adoption généralisée à l’échelle mondiale de mesures de sécurité des données efficaces. Elle fournit un ensemble d’exigences techniques et opérationnelles conçues pour protéger les données des comptes. Bien qu’elle soit spécifiquement conçue pour les environnements avec des données de comptes de cartes de paiement, vous pouvez également utiliser la norme PCI DSS pour vous protéger contre les menaces et sécuriser d’autres éléments de l’écosystème de paiement.
Le PCI SSC (PCI Security Standards Council) a introduit de nombreuses modifications entre les versions 3.2.1 et 4.0 de la norme PCI DSS. Ces mises à jour sont réparties en trois catégories :
-
Évolution des exigences : modifications visant à garantir que la norme est à jour en fonction des menaces et des technologies émergentes, ainsi que de l’évolution du secteur des paiements. Par exemple, l’ajout, la modification ou la suppression d’exigences ou de procédures de test.
-
Clarification ou recommandations : mises à jour de certains termes, explications, définitions, instructions ou recommandations pour faciliter la compréhension ou fournir des informations ou des recommandations supplémentaires sur un sujet spécifique.
-
Structure ou format : réorganisation du contenu et des exigences (combinaisons, séparations, renumérotations, etc.).
Utiliser ce framework pour faciliter la préparation de votre audit
Note
Ce framework standard utilise les contrôles consolidés de Security Hub comme source de données. Pour collecter des preuves à partir des contrôles consolidés, assurez-vous d’avoir activé le paramètre des résultats des contrôles consolidés dans Security Hub. Pour plus d’informations sur l’utilisation de Security Hub comme type de source de données, consultez la section Contrôles AWS Security Hub pris en charge par AWS Audit Manager.
Vous pouvez utiliser le framework PCI DSS V4.0 pour vous aider à préparer les audits. Ce framework comprend un ensemble prédéfini de contrôles avec des descriptions et des procédures de test. Ces contrôles sont regroupés en ensembles de contrôles conformément aux exigences de la norme PCI DSS v4.0. Vous pouvez également personnaliser ce framework et ses contrôles pour prendre en charge les audits internes répondant à des exigences spécifiques.
En utilisant le framework comme point de départ, vous pouvez créer une évaluation Audit Manager et commencer à collecter des éléments probants pertinents pour votre audit. Après avoir créé une évaluation, Audit Manager commence à évaluer vos AWS ressources. Pour ce faire, il se base sur les contrôles définis dans le framework PCI DSS V4.0. Au moment d’effectuer un audit, vous (ou le délégué de votre choix) pouvez examiner les preuves collectées par Audit Manager. Vous pouvez parcourir les dossiers de preuves dans votre évaluation et sélectionner les preuves que vous souhaitez inclure dans votre rapport d’évaluation. Ou, si vous avez activé l’outil de recherche de preuves, vous pouvez rechercher des preuves spécifiques et les exporter au format CSV, ou créer un rapport d’évaluation à partir des résultats de votre recherche. Dans tous les cas, vous pouvez utiliser ce rapport d’évaluation pour attester le bon fonctionnement de vos contrôles.
Les détails du framework sont les suivants :
| Nom du framework dans AWS Audit Manager | Nombre de contrôles automatisés | Nombre de contrôles manuels | Nombre d’ensembles de contrôles |
|---|---|---|---|
|
Norme de sécurité des données de l'industrie des cartes de paiement (PCI DSS) v4.0 |
175 | 105 | 15 |
Astuce
Pour consulter les AWS Config règles utilisées comme mappages de sources de données dans ce cadre standard, téléchargez le fichier AuditManager_ ConfigDataSourceMappings _PCI-DSS-v4.0.zip.
Les contrôles de ce AWS Audit Manager cadre ne sont pas destinés à vérifier si vos systèmes sont conformes à la norme PCI DSS. De plus, ils ne peuvent pas garantir que vous passerez un audit PCI DSS. AWS Audit Manager ne vérifie pas automatiquement les contrôles procéduraux qui nécessitent la collecte manuelle de preuves.
Vous pouvez trouver ce framework sous l'onglet Frameworks standard de la bibliothèque de frameworks dans Audit Manager.
Étapes suivantes
Pour des instructions sur la façon de créer une évaluation à l’aide de ce framework, consultez Création d'une évaluation dans AWS Audit Manager.
Pour obtenir des instructions sur la façon de personnaliser ce cadre afin de répondre à vos besoins spécifiques, consultezCréation d'une copie modifiable d'un framework existant dans AWS Audit Manager.
Ressources supplémentaires
