Resumen Requisitos previos y limitaciones Tools (Herramientas)Epics Recursos relacionados Información adicional Conexiones

Verifique las mejores prácticas operativas para PCI DSS 4.0 mediante AWS Config

Tala Qraitem y Alex Goff, Amazon Web Services

Resumen

El Estándar de Seguridad de Datos del Sector de las Tarjetas de Pago (PCI DSS) describe los protocolos técnicos y operativos esenciales para proteger los datos de pago. El PCI DSS se desarrolló para fomentar y mejorar la seguridad de los datos de las cuentas de tarjetas de pago. También facilita la adopción global de medidas de seguridad coherentes. Si bien está diseñado específicamente para entornos con datos de cuentas de tarjetas de pago, puede utilizar el PCI DSS para protegerse contra las amenazas y proteger otros elementos del ecosistema de pagos.

La versión 4.0 del PCI DSS se publicó para abordar los requisitos cambiantes, proporcionar aclaraciones u orientación adicional y mejorar la estructura y el formato del estándar. Para más información sobre los cambios, consulte Summary of changes from PCI DSS version 3.2.1 to 4.0.

Un paquete de AWS Config conformidad es un conjunto de AWS Config reglas y acciones correctivas que le ayudan a crear controles de seguridad, operativos o de optimización de costos. Puede implementar un paquete de conformidad como una sola entidad en un Cuenta de AWS solo lugar Región de AWS, o puede implementarlo en toda la organización en uno. AWS Organizations

Los paquetes de conformidad de la versión 4.0 de PCI DSS complementan y se basan en el paquete de conformidad de la versión 3.2.1. Las reglas del paquete de conformidad se corresponden con las reglas del estándar. Para más información, consulte la asignación que se proporciona en la sección Adjuntos. Puede elegir entre dos versiones de este paquete de conformidad: una que incluye los tipos de recursos globales y otra que los excluye.

importante

Los paquetes de conformidad no están diseñados para garantizar plenamente el cumplimiento de un estándar de gobernanza o cumplimiento específicos. Debe evaluar si su uso cumple con los requisitos legales y normativos aplicables.

Requisitos previos y limitaciones

Requisitos previos

Tenga una Cuenta de AWS activa.
Configurar. AWS Config
Cumpla los requisitos previos de los paquetes de conformidad.
Implemente el paquete de conformidad de la versión 3.2.1 de PCI DSS.
Tenga permisos para acceder a los paquetes de conformidad AWS Config y gestionarlos. Para ver una política de ejemplo, consulte la sección Información adicional de este patrón.

Limitaciones

Cuenta de AWS Tiene cuotas predeterminadas, antes denominadas límites, para cada uno Servicio de AWS de ellos. A menos que se indique lo contrario, cada cuota es específica de la región. Puede solicitar los aumentos de algunas cuotas, pero no todas se pueden aumentar. Asegúrese de familiarizarse con los límites de servicio de AWS Config, tales como los límites de los paquetes de conformidad de una sola cuenta y los paquetes de conformidad de la organización.
La versión de este paquete de conformidad que incluye los tipos de recursos globales está destinada a implementarse solo en la región de us-east-1.
La versión de este paquete de conformidad que excluye los tipos de recursos globales está destinada a implementarse solo en las regiones siguientes.
- ap-east-1
- ap-south-1
- ap-northeast-2
- ap-southeast-1
- ap-southeast-2
- ap-northeast-1
- ca-central-1
- eu-central-1
- eu-west-1
- eu-west-2
- eu-west-3
- eu-north-1
- sa-east-1
- us-east-2
- us-west-1
- us-west-2

Tools (Herramientas)

Servicios de AWS

AWS Configproporciona una vista detallada de sus recursos Cuenta de AWS y de cómo están configurados. Le ayuda a identificar cómo se relacionan los recursos entre sí y cómo han cambiado sus configuraciones a lo largo del tiempo.
AWS Systems Manager lo ayuda a administrar las aplicaciones y la infraestructura que se ejecutan en la Nube de AWS. Simplifica la administración de aplicaciones y recursos, reduce el tiempo necesario para detectar y resolver problemas operativos y le ayuda a administrar sus AWS recursos de forma segura y a escala.

Repositorio de código

Los paquetes de conformidad se encuentran en el repositorio de paquetes de AWS Config conformidad. GitHub Este repositorio contiene las siguientes plantillas relacionadas con la versión 4.0 de PCI DSS:

Epics

Tarea	Descripción	Habilidades requeridas
Descargue el paquete de conformidad.	Si va a implementar el paquete de conformidad en la región, descargue la plantilla Operational-Best-Practices-for-PCI-DSS-v4.0- .yaml. `us-east-1` including-global-resourcetypes Si vas a implementar el paquete de conformidad en otra región, descarga la plantilla Operational-Best-Practices-for-PCI-DSS-v4.0- .yaml. excluding-global-resourcetypes	DevOps ingeniero
(Opcional) Modifique el paquete de conformidad.	Puede modificar la plantilla del paquete de conformidad para adaptarla a las necesidades únicas de su organización. Por ejemplo, puede crear acciones de corrección personalizadas. Para obtener más información sobre cómo crear y modificar plantillas, consulte Creación de plantillas para paquetes de conformidad personalizados en la AWS Config documentación.	AWS general
Implemente el paquete de conformidad.	Si va a realizar la implementación en un destino Cuenta de AWS o Región de AWS, siga las instrucciones que se indican en la documentación sobre la AWS Config implementación de paquetes de conformidad. Puede usar el Consola de administración de AWS o el AWS Command Line Interface (AWS CLI). Si va a implementar el paquete de conformidad en una organización AWS Organizations, siga las instrucciones de la documentación sobre cómo implementar el paquete de AWS Config conformidad mediante la AWS Systems Manager configuración rápida.	AWS general
(Opcional) Edite el paquete de conformidad.	Si desea editar el paquete de conformidad, siga las instrucciones de Edición de los paquetes de conformidad de la documentación. AWS Config Puede utilizar el Consola de administración de AWS o el. AWS CLI	AWS general
(Opcional) Elimine el paquete de conformidad.	Si desea eliminar el paquete de conformidad, siga las instrucciones de la documentación sobre cómo eliminar los AWS Config paquetes de conformidad. Puede utilizar el Consola de administración de AWS o el. AWS CLI	AWS general

Recursos relacionados

AWS resources

Paquetes de conformidad para AWS Config (AWS Config documentación)
Implemente AWS Config el paquete de conformidad mediante Quick Setup (documentación de Systems Manager)
Cumple con las normas PCI DSS en AWS (sitio web)AWS
PCI DSS version 4.0 on AWS (guía de cumplimiento)

Recursos de PCI DSS

Información adicional

El siguiente es un ejemplo de política AWS Identity and Access Management (IAM) que permite al usuario acceder a los paquetes de conformidad AWS Config y gestionarlos:


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "config:PutConfigRule",
                "config:PutConformancePack",
                "config:DeleteConfigRule",
                "config:DeleteRemediationConfiguration",
                "config:DeleteConformancePack",
                "config:PutRemediationConfigurations",
                "config:BatchGetAggregateResourceConfig",
                "config:BatchGetResourceConfig",
                "config:Get*",
                "config:Describe*",
                "config:Deliver*",
                "config:List*",
                "config:Select*"
            ],
            "Resource": "*"
        }
    ]
}

Conexiones

Para acceder al contenido adicional asociado a este documento, descomprima el archivo: attachment.zip

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Utilice Terraform para activar automáticamente GuardDuty

Más patrones