As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Padrão de segurança de dados do setor de cartão de pagamento (PCI DSS – Payment Card Industry Data Security Standard)
O Payment Card Industry Data Security Standard (PCI DSS) no Security Hub fornece um conjunto de melhores práticas de segurança da AWS para o tratamento de dados do titular do cartão. Você pode usar esse padrão para descobrir vulnerabilidades de segurança em recursos que lidam com dados de titulares de cartões. O Security Hub tem como escopo os controles no nível da conta. É recomendável habilitar esses controles em todas as contas com recursos que armazenam, processam e/ou transmitem dados do titular do cartão.
Esse padrão foi validado pela AWS Security Assurance Services LLC (AWS SAS), que é uma equipe de avaliadores de segurança qualificados (QSAs) certificados para fornecer orientação sobre o PCI DSS e avaliações pelo PCI DSS Security Standards Council (PCI SSC). AWS O SAS confirmou que as verificações automatizadas podem ajudar o cliente a se preparar para uma avaliação do PCI DSS.
Esta página lista IDs e títulos de controle de segurança. Nas regiões AWS GovCloud (US) Region e na China, IDs e títulos de controle específicos do padrão são usados. Para um mapeamento de IDs e títulos de controle de segurança para IDs e títulos de controle específicos do padrão, consulte Como a consolidação afeta os IDs e títulos de controle.
Controles que se aplicam ao PCI DSS
[CloudTrail.2] CloudTrail deve ter a criptografia em repouso ativada
[CloudTrail.3] Pelo menos uma CloudTrail trilha deve ser ativada
[CloudTrail.4] a validação do arquivo de CloudTrail log deve estar ativada
[CloudTrail.5] CloudTrail trilhas devem ser integradas ao Amazon CloudWatch Logs
[CloudWatch.1] Um filtro métrico de log e um alarme devem existir para uso do usuário “root”
[DMS.1] As instâncias de replicação do Database Migration Service não devem ser públicas
[PCI.EC2.1] Os instantâneos do Amazon EBS não devem ser restauráveis publicamente
[EC2.2] Os grupos de segurança padrão da VPC não devem permitir o tráfego de entrada e saída
[EC2.6] O registro de fluxo de VPC deve ser ativado em todas as VPCs
[EC2.12] Os EIPs do Amazon EC2 não utilizados devem ser removidos
[EC2.13] Os grupos de segurança não devem permitir a entrada de 0.0.0.0/0 ou ::/0 na porta 22
[ES.1] Os domínios do Elasticsearch devem ter a criptografia em repouso habilitada.
[ES.2] Os domínios do Elasticsearch não devem ser publicamente acessíveis
[GuardDuty.1] GuardDuty deve ser ativado
[IAM.1] As políticas do IAM não devem permitir privilégios administrativos completos "*"
[IAM.2] Os usuários do IAM não devem ter políticas do IAM anexadas
[IAM.4] A chave de acesso do usuário raiz do IAM não deve existir
[IAM.6] A MFA de hardware deve estar habilitada para o usuário raiz
[IAM.8] As credenciais de usuário do IAM não utilizadas devem ser removidas
[IAM.9] A MFA deve estar habilitada para o usuário raiz
[IAM.10] As políticas de senha para usuários do IAM devem ter durações fortes AWS Config
[IAM.19] A MFA deve estar habilitada para todos os usuários do IAM
A rotação de AWS KMS teclas [KMS.4] deve estar ativada
[Lambda.1] As funções do Lambda.1 devem proibir o acesso público
[Lambda.3] As funções do Lambda devem estar em uma VPC
Os OpenSearch domínios [Opensearch.1] devem ter a criptografia em repouso ativada
Os OpenSearch domínios [Opensearch.2] não devem ser acessíveis ao público
[RDS.1] Os instantâneos do RDS devem ser privados
[PCI.Redshift.1] Os clusters do Amazon Redshift devem proibir o acesso público
[S3.2] Os buckets de uso geral do S3 devem bloquear o acesso público de leitura
[S3.3] Os buckets de uso geral do S3 devem bloquear o acesso público de gravação
[S3.5] Os buckets de uso geral do S3 devem exigir solicitações de uso de SSL
[S3.7] Os buckets de uso geral do S3 devem usar a replicação entre regiões
[SageMaker.1] As instâncias de SageMaker notebooks da Amazon não devem ter acesso direto à Internet
[SSM.1] As instâncias do Amazon EC2 devem ser gerenciadas por AWS Systems Manager