Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Payment Card Industry Data Security Standard (PCI DSS)
Il Payment Card Industry Data Security Standard (PCI DSS) di Security Hub fornisce una serie di best practice di AWS sicurezza per la gestione dei dati dei titolari di carta. È possibile utilizzare questo standard per scoprire le vulnerabilità di sicurezza nelle risorse che gestiscono i dati dei titolari di carta. Security Hub attualmente analizza i controlli a livello di account. Ti consigliamo di abilitare questi controlli in tutti gli account che dispongono di risorse che archiviano, elaborano o trasmettono i dati dei titolari di carta.
Questo standard è stato convalidato da AWS Security Assurance Services LLC (AWS SAS), un team di Qualified Security Assessors (QSA) certificati per fornire linee guida PCI DSS e valutazioni dal PCI DSS Security Standards Council (PCI SSC). AWS SAS ha confermato che i controlli automatici possono aiutare il cliente a prepararsi per una valutazione PCI DSS.
Questa pagina elenca gli ID e i titoli dei controlli di sicurezza. Nelle regioni cinesi AWS GovCloud (US) Region e cinesi, vengono utilizzati ID e titoli di controllo specifici per gli standard. Per una mappatura degli ID e dei titoli dei controlli di sicurezza agli ID e ai titoli di controllo specifici degli standard, vedere. In che modo il consolidamento influisce sugli ID e sui titoli di controllo
Controlli che si applicano al PCI DSS
[CloudTrail.2] CloudTrail dovrebbe avere la crittografia a riposo abilitata
[CloudTrail.3] Almeno un trail deve essere abilitato CloudTrail
[CloudTrail.4] la convalida dei file di CloudTrail registro dovrebbe essere abilitata
[CloudTrail.5] i CloudTrail trail devono essere integrati con Amazon Logs CloudWatch
[DMS.1] Le istanze di replica del Database Migration Service non devono essere pubbliche
[EC2.1] Gli snapshot di Amazon EBS non devono essere ripristinabili pubblicamente
[EC2.6] La registrazione del flusso VPC deve essere abilitata in tutti i VPC
[EC2.12] Gli EIP Amazon EC2 non utilizzati devono essere rimossi
[EC2.13] I gruppi di sicurezza non devono consentire l'ingresso da 0.0.0.0/0 o: :/0 alla porta 22
[ES.1] I domini Elasticsearch devono avere la crittografia a riposo abilitata
[ES.2] I domini Elasticsearch non devono essere accessibili al pubblico
[GuardDuty.1] GuardDuty dovrebbe essere abilitato
[IAM.1] Le politiche IAM non dovrebbero consentire privilegi amministrativi «*» completi
[IAM.2] Gli utenti IAM non devono avere policy IAM allegate
[IAM.4] La chiave di accesso utente root IAM non dovrebbe esistere
[IAM.6] L'autenticazione MFA per l'hardware deve essere abilitata per l'utente root
[IAM.8] Le credenziali utente IAM non utilizzate devono essere rimosse
[IAM.9] L'MFA deve essere abilitata per l'utente root
[IAM.19] L'MFA deve essere abilitata per tutti gli utenti IAM
[KMS.4] la rotazione dei tasti dovrebbe essere abilitata AWS KMS
[Lambda.1] Le politiche delle funzioni Lambda dovrebbero vietare l'accesso pubblico
[Lambda.3] Le funzioni Lambda devono trovarsi in un VPC
I OpenSearch domini [Opensearch.1] devono avere la crittografia a riposo abilitata
I OpenSearch domini [Opensearch.2] non devono essere accessibili al pubblico
[RDS.1] L'istantanea RDS deve essere privata
[Redshift.1] I cluster Amazon Redshift dovrebbero vietare l'accesso pubblico
[S3.1] I bucket generici S3 devono avere le impostazioni di blocco dell'accesso pubblico abilitate
[S3.2] I bucket S3 per uso generico dovrebbero bloccare l'accesso pubblico in lettura
[S3.3] I bucket S3 per uso generico dovrebbero bloccare l'accesso pubblico in scrittura
[S3.5] I bucket S3 per uso generico devono richiedere l'utilizzo di SSL
[S3.7] I bucket S3 per uso generico devono utilizzare la replica tra regioni
[SageMaker.1] Le istanze di SageMaker notebook Amazon non devono avere accesso diretto a Internet
[SSM.1] Le istanze Amazon EC2 devono essere gestite da AWS Systems Manager