Payment Card Industry Data Security Standard (PCIDSS）

Security Hub の Payment Card Industry Data Security Standard (PCI DSS) は、カード所有者データを処理するための一連の AWS セキュリティのベストプラクティスを提供します。この標準を使用して、カード所有者データを処理するリソースのセキュリティ上の脆弱性を発見できます。Security Hub は現在、アカウントレベルでコントロールをスコープします。カード所有者データを保存、処理、送信するリソースを持つすべてのアカウントで、これらのコントロールを有効にすることをお勧めします。

この標準は、 AWS セキュリティ標準評議会 LLC (AWS SAS) によるPCIDSSガイダンスと評価の提供を認定された認定セキュリティ評価者 (QSAs) のチームである PCI DSS Security Assurance Services (PCI) によって検証されましたSSC。 AWS SAS は、自動チェックがPCIDSS評価の準備において顧客を支援できることを確認しました。

このページには、セキュリティコントロールIDsとタイトルが一覧表示されます。 AWS GovCloud (US) Region および中国リージョンでは、標準固有のコントロールIDsとタイトルが使用されます。セキュリティコントロールIDsとタイトルの標準固有のコントロールIDsとタイトルへのマッピングについては、「」を参照してください統合がコントロールIDsとタイトルに与える影響。

に適用されるコントロール PCI DSS

〔AutoScaling.1] ロードバランサーに関連付けられた Auto Scaling グループはELBヘルスチェックを使用する必要があります

〔CloudTrail.2]保管時の暗号化を有効にする CloudTrail 必要があります

〔CloudTrail.3] 少なくとも 1 つの CloudTrail 証跡を有効にする必要があります

〔CloudTrail.4] CloudTrail ログファイルの検証を有効にする必要があります

〔CloudTrail.5] CloudTrail 証跡は Amazon CloudWatch Logs と統合する必要があります

〔CloudWatch.1] 「ルート」ユーザーの使用に対してログメトリクスフィルターとアラームが存在する必要があります

〔CodeBuild.1] CodeBuild Bitbucket ソースリポジトリURLsには機密認証情報を含めないでください

〔CodeBuild.2] CodeBuild プロジェクト環境変数にはクリアテキスト認証情報を含めないでください

[Config.1] AWS Config を有効にし、サービスにリンクされたロールをリソース記録に使用する必要があります

〔DMS.1] Database Migration Service レプリケーションインスタンスはパブリックにしないでください

〔EC2.1] Amazon EBSスナップショットはパブリックに復元可能であってはなりません

〔EC2.2] VPCデフォルトのセキュリティグループは、インバウンドトラフィックまたはアウトバウンドトラフィックを許可しないでください

〔EC2.6] VPCフローログ記録は、すべての で有効にする必要があります VPCs

〔EC2.12] 未使用の Amazon は削除EC2EIPsする必要があります

〔EC2.13] セキュリティグループは、0.0.0.0/0 または ::/0 からポート 22 への入力を許可しないでください

〔ELB.1] Application Load Balancer は、すべてのHTTPリクエストを にリダイレクトするように設定する必要があります HTTPS

[ES.1] Elasticsearch ドメインは、保管中の暗号化を有効にする必要があります

[ES.2] Elasticsearch ドメインがパブリックにアクセスできないようにする必要があります

〔GuardDuty.1] GuardDuty 有効にする必要があります

〔IAM.1] IAMポリシーでは、完全な「*」管理権限を許可しないでください

〔IAM.2] IAM ユーザーにはIAMポリシーをアタッチしないでください

〔IAM.4] IAMルートユーザーアクセスキーが存在しません

〔IAM.6] ルートユーザーに対してハードウェアを有効にするMFA必要があります

〔IAM.8] 未使用のIAMユーザー認証情報は削除する必要があります

ルートユーザーに対して [IAM.9] を有効にするMFA必要があります

〔IAM.10] IAMユーザーのパスワードポリシーには強力な AWS Config設定が必要です

〔IAM.19] はすべてのIAMユーザーに対して有効にMFAする必要があります

〔KMS.4] AWS KMS キーローテーションを有効にする必要があります

[Lambda.1] Lambda 関数ポリシーでは、パブリックアクセスを禁止する必要があります

[Lambda.3] Lambda 関数は にある必要があります VPC

[Opensearch.1] OpenSearch ドメインでは、保管時の暗号化を有効にする必要があります

[Opensearch.2] OpenSearch ドメインはパブリックアクセス可能であってはなりません

〔RDS.1] RDSスナップショットはプライベートである必要があります

〔RDS.2] RDS DB インスタンスは、 PubliclyAccessible AWS Config設定によって決定されるパブリックアクセスを禁止する必要があります

[PCI.Redshift.1] Amazon Redshift クラスターはパブリックアクセスを禁止する必要があります

[S3.1] S3 汎用バケットでは、パブリックアクセスブロック設定を有効にする必要があります

[S3.2] S3 汎用バケットはパブリック読み取りアクセスをブロックする必要があります

[S3.3] S3 汎用バケットはパブリック書き込みアクセスをブロックする必要があります

[S3.5] S3 汎用バケットでは、 の使用をリクエストする必要があります SSL

[S3.7] S3 汎用バケットはクロスリージョンレプリケーションを使用する必要があります

〔SageMaker.1] Amazon SageMaker Notebook インスタンスは、インターネットに直接アクセスできません

〔SSM.1] Amazon EC2インスタンスは によって管理する必要があります AWS Systems Manager

〔SSM.2] Systems Manager によって管理される Amazon EC2インスタンスは、パッチのインストールCOMPLIANT後にパッチコンプライアンスステータスが になっている必要があります

〔SSM.3] Systems Manager によって管理される Amazon EC2インスタンスの関連付けコンプライアンスステータスは である必要があります COMPLIANT