支付卡產業資料安全標準 (PCIDSS)

Security Hub 中的支付卡行業數據安全標準（PCIDSS）提供了一系列處理持卡人數據的 AWS 安全最佳實踐方法。您可以使用此標準來發現處理持卡人資料之資源中的安全性弱點。Security Hub 目前在帳戶層級設定控制項的範圍。我們建議您在擁有儲存、處理或傳輸持卡人資料的資源的所有帳戶中啟用這些控制項。

此標準已通過 AWS 安全保證服務 LLC (AWS SAS) 驗證，該服務是由安全標準委員會（QSAs）認證的合格保PCIDSS安評估員（）團隊，可提供PCIDSS指導和評估（PCISSC）。 AWS SAS已確認自動化支票可協助客戶準備PCIDSS評估。

此頁面列出安全控制IDs和標題。在 AWS GovCloud (US) Region 和中國地區，使用標準特定的控制項IDs和標題。如需將安全控制項IDs和標題與標題對應到特定於標準的控制項IDs和標題，請參閱。整合如何影響控制IDs和標題

套用至的控制項 PCI DSS

[AutoScaling.1] 與負載平衡器關聯的 Auto Scaling 群組應使用ELB健康狀態檢查

[CloudTrail.2] CloudTrail 應啟用靜態加密

[CloudTrail.3] 至少應啟用一個 CloudTrail 軌跡

[CloudTrail.4] 應啟用 CloudTrail 記錄檔驗證

[CloudTrail.5] CloudTrail 追蹤應與 Amazon CloudWatch 日誌整合

[CloudWatch.1] 對於「root」用戶的使用，應存在日誌指標過濾器和警報

[CodeBuild.1] CodeBuild 比特桶源存儲庫不URLs應包含敏感憑據

[CodeBuild.2] CodeBuild 項目環境變量不應包含純文本憑據

AWS Config 應啟用 [Config.1]，並使用服務連結角色進行資源記錄

[DMS.1] Database Migration Service 複製實例不應該是公共的

[EC2.1] Amazon EBS 快照不應該公開還原

[EC2.2] VPC 默認安全組不應允許入站或出站流量

[EC2.6] 應全部啟用VPC流程記錄 VPCs

[EC2.12] EC2 EIPs 應刪除未使用的 Amazon

[EC2.13] 安全性群組不應允許從 0.0.0/0 或:: /0 輸入連接埠 22

[ELB.1] 應配置應 Application Load Balancer 以將所有HTTP請求重定向到 HTTPS

[ES.1] 彈性搜尋網域應啟用靜態加密

[ES.2] 彈性搜索域名不應公開訪問

[GuardDuty.1] GuardDuty 應該啟用

[IAM.1] IAM 策略不應允許完整的「*」管理權限

[IAM.2] IAM 用戶不應該附加IAM策略

[IAM.4] IAM 根用戶訪問密鑰不應存在

[IAM.6] 根用戶MFA應啟用硬件

[IAM.8] 應刪除未使IAM用的用戶憑據

MFA應為 root 使用者啟用 [IAM.9]

[IAM.10] IAM 用戶的密碼策略應該有強烈 AWS Config的排便

MFA應為所IAM有使用者啟用 [IAM.19]

[KMS.4] AWS KMS 鍵旋轉應該啟用

[Lambda 1] Lambda 函數政策應該禁止公共訪問

[Lambda 3] Lambda 函數應該在一個 VPC

OpenSearch 網域應該已啟用靜態加密

[打開搜索 .2] OpenSearch 域名不應該是公開訪問

[RDS.1] RDS 快照應該是私有的

[RDS.2] RDS 數據庫實例應該禁止公共訪問，由配 PubliclyAccessible AWS Config置確定

[紅移 1] 亞馬遜 Redshift 集群應禁止公共訪問

[S3.1] S3 一般用途儲存貯體應啟用區塊公開存取設定

[S3.2] S3 通用存儲桶應該阻止公共讀取訪問

[S3.3] S3 通用存儲桶應該阻止公共寫入訪問

[S3.5] S3 通用存儲桶應該需要請求使用 SSL

[S3.7] S3 一般用途儲存貯體應使用跨區域複寫

[SageMaker.1] Amazon SageMaker 筆記本實例不應該直接訪問互聯網

[SSM.1] Amazon EC2 實例應由 AWS Systems Manager

[SSM.2] 由系統管理員管理的 Amazon EC2 執行個體在安裝修補程式COMPLIANT後，修補程式合規狀態應為

[SSM.3] 由系統管理器管理的 Amazon EC2 執行個體應具有的關聯合規性狀態為 COMPLIANT