Resumo Pré-requisitos e limitações Ferramentas Épicos Recursos relacionados Mais informações Anexos

Verifique as melhores práticas operacionais para o PCI DSS 4.0 usando AWS Config

Tala Qraitem e Alex Goff, Amazon Web Services

Resumo

O Payment Card Industry Data Security Standard (PCI DSS) estabelece protocolos técnicos e operacionais essenciais para garantir a segurança dos dados de pagamento. O PCI DSS foi desenvolvido com o objetivo de promover e fortalecer a segurança dos dados de contas de cartões de pagamento. Além disso, contribui para a adoção global de medidas de segurança consistentes. Apesar de ter sido desenvolvido especialmente para ambientes que lidam com dados de contas de cartões de pagamento, o PCI DSS pode ser usado para auxiliar na proteção contra ameaças e na garantia da segurança de outros elementos do ecossistema de pagamentos.

O PCI DSS, na versão 4.0, foi publicado para abordar requisitos em constante mudança, oferecer clarificações ou orientações complementares, e aprimorar a estrutura e a formatação do padrão. Para obter mais informações sobre as alterações, consulte Summary of changes from PCI DSS version 3.2.1 to 4.0.

Um pacote de AWS Config conformidade é um conjunto de AWS Config regras e ações de remediação que ajudam você a criar verificações de governança de segurança, operacionais ou de otimização de custos. Você pode implantar um pacote de conformidade como uma única entidade em um Conta da AWS e Região da AWS, ou você pode implantar em uma organização em. AWS Organizations

Os pacotes de conformidade para o PCI DSS versão 4.0 ampliam e complementam o pacote de conformidade da versão 3.2.1. As regras incluídas no pacote de conformidade estão mapeadas de acordo com as regras do padrão. Para obter mais informações, consulte o mapeamento disponível na seção Anexos. Você tem a opção de escolher entre duas versões do pacote de conformidade: uma que contempla tipos de recursos globais e outra que não os contempla.

Importante

Os pacotes de conformidade não têm como objetivo assegurar completamente a conformidade com um determinado padrão de governança ou conformidade. Você é responsável por realizar sua própria avaliação para determinar se o uso atende aos requisitos legais e regulatórios aplicáveis.

Pré-requisitos e limitações

Pré-requisitos

Tenha uma Conta da AWS ativa.
Configurar AWS Config.
Atenda aos pré-requisitos para pacotes de conformidade.
Implante o pacote de conformidade PCI DSS versão 3.2.1.
Tenha permissões para acessar AWS Config e gerenciar pacotes de conformidade. Para obter um exemplo de política, consulte a seção Informações adicionais deste padrão.

Limitações

Você Conta da AWS tem cotas padrão, anteriormente chamadas de limites, para cada um. AWS service (Serviço da AWS) A menos que especificado de outra forma, cada cota é específica para a região. Algumas cotas podem ter seus limites aumentados mediante solicitação, mas nem todas são passíveis de aumento. Certifique-se de ter familiaridade com os limites de serviço do AWS Config, incluindo os limites destinados a pacotes de conformidade em conta única e a pacotes de conformidade em organizações.
A versão do pacote de conformidade que contempla tipos de recursos globais é destinada à implantação exclusivamente na região us-east-1.
A versão do pacote de conformidade que não contempla tipos de recursos globais é destinada à implantação exclusivamente nas seguintes regiões:
- ap-east-1
- ap-south-1
- ap-northeast-2
- ap-southeast-1
- ap-southeast-2
- ap-northeast-1
- ca-central-1
- eu-central-1
- eu-west-1
- eu-west-2
- eu-west-3
- eu-north-1
- sa-east-1
- us-east-2
- us-west-1
- us-west-2

Ferramentas

Serviços da AWS

AWS Configfornece uma visão detalhada dos recursos em seu computador Conta da AWS e de como eles estão configurados. Ajuda a identificar como os recursos estão relacionados entre si e como suas configurações foram alteradas ao longo do tempo.
O AWS Systems Manager ajuda você a gerenciar suas aplicações e infraestrutura em execução na Nuvem AWS. Ele simplifica o gerenciamento de aplicativos e recursos, reduz o tempo para detectar e resolver problemas operacionais e ajuda você a gerenciar seus AWS recursos com segurança em grande escala.

Repositório de código

Os pacotes de conformidade estão localizados no repositório de pacotes de AWS Config conformidade. GitHub Este repositório contém os seguintes modelos relacionados ao PCI DSS versão 4.0:

Épicos

Tarefa	Description	Habilidades necessárias
Faça o download do pacote de conformidade.	Se você estiver implantando o pacote de conformidade na `us-east-1` região, baixe o modelo Operational-Best-Practices-for-PCI-DSS-v4.0 - .yaml. including-global-resourcetypes Se você estiver implantando o pacote de conformidade em uma região diferente, baixe o modelo Operational-Best-Practices-for-PCI-DSS-v4.0 - .yaml. excluding-global-resourcetypes	DevOps engenheiro
(Opcional) Modifique o pacote de conformidade.	É possível modificar o modelo do pacote de conformidade para atender às necessidades específicas da sua organização. Por exemplo, você pode criar ações de correção personalizadas. Para obter mais informações sobre como criar e modificar modelos, consulte Criação de modelos para pacotes de conformidade personalizados na documentação. AWS Config	AWS geral
Implante o pacote de conformidade.	Se você estiver implantando em um destino Conta da AWS ou Região da AWS, siga as instruções em Implantação de pacotes de conformidade na documentação. AWS Config Você pode usar o Console de gerenciamento da AWS ou o AWS Command Line Interface (AWS CLI). Se você estiver implantando o pacote de conformidade em uma organização em AWS Organizations, siga as instruções em Implantar o pacote de AWS Config conformidade usando a Configuração rápida na documentação. AWS Systems Manager	AWS geral
(Opcional) Edite o pacote de conformidade.	Se você quiser editar o pacote de conformidade, siga as instruções em Edição de pacotes de conformidade na documentação. AWS Config Você pode usar o Console de gerenciamento da AWS ou AWS CLI o.	AWS geral
(Opcional) Exclua o pacote de conformidade.	Se você quiser excluir o pacote de conformidade, siga as instruções em Excluindo pacotes de conformidade na documentação. AWS Config Você pode usar o Console de gerenciamento da AWS ou AWS CLI o.	AWS geral

Recursos relacionados

AWS recursos

Pacotes de conformidade para AWS Config(documentação)AWS Config
Implemente o pacote de AWS Config conformidade usando o Quick Setup (documentação do Systems Manager)
Conformidade com PCI DSS em AWS(site)AWS
PCI DSS version 4.0 on AWS (guia de conformidade)

Recursos do PCI DSS

Mais informações

Veja a seguir um exemplo de política AWS Identity and Access Management (IAM) que permite ao usuário acessar AWS Config e gerenciar pacotes de conformidade:


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "config:PutConfigRule",
                "config:PutConformancePack",
                "config:DeleteConfigRule",
                "config:DeleteRemediationConfiguration",
                "config:DeleteConformancePack",
                "config:PutRemediationConfigurations",
                "config:BatchGetAggregateResourceConfig",
                "config:BatchGetResourceConfig",
                "config:Get*",
                "config:Describe*",
                "config:Deliver*",
                "config:List*",
                "config:Select*"
            ],
            "Resource": "*"
        }
    ]
}

Anexos

Para acessar o conteúdo adicional associado a este documento, descompacte o seguinte arquivo: attachment.zip

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Use o Terraform para ativar automaticamente GuardDuty

Mais padrões