Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Prácticas operativas recomendadas para el PCI DSS 4.0 (incluye los tipos de recursos globales)
Los paquetes de conformidad proporcionan un marco de cumplimiento de uso general diseñado para permitirle crear comprobaciones de control de seguridad, operativas o de optimización de costos mediante reglas de AWS Config administradas o personalizadas y acciones correctivas de AWS Config. Los paquetes de conformidad, como plantillas de ejemplo, no están diseñados para garantizar plenamente el cumplimiento de una norma de gobernanza o de conformidad específicas. Usted debe evaluar si su uso de los servicios cumple con los requisitos legales y normativos aplicables.
A continuación, se ofrece un ejemplo de asignación entre el Estándar de Seguridad de Datos del Sector de las Tarjetas de Pago (PCI DSS) 4.0 (excluye los tipos de recursos globales) y las reglas de AWS Config administradas. Cada regla de AWS Config se aplica a un recurso de AWS específico que está relacionado con uno o más controles del PCI DSS. Un control del PCI DSS puede estar relacionado con varias reglas de Config. Consulte la siguiente tabla para obtener más detalles y orientación relacionados con estas asignaciones.
| ID de control | Descripción del control | Regla de AWS Config | Directrices |
|---|---|---|---|
| 1.2.5 | Hay controles de seguridad de red (NSC) configurados y bajo mantenimiento. (PCI-DSS-v4.0) | Compruebe que las distribuciones de Amazon CloudFront utilicen una política de seguridad mínima y un conjunto de cifrado de TLSv1.2 o superior para las conexiones de los espectadores. Esta regla es NON_COMPLIANT con una distribución de CloudFront si la minimumProtocolVersion es inferior a TLSv1.2_2018. | |
| 1.2.5 | Hay controles de seguridad de red (NSC) configurados y bajo mantenimiento. (PCI-DSS-v4.0) | Compruebe que las distribuciones de Amazon CloudFront utilicen un certificado SSL personalizado y estén configuradas para utilizar el SNI a fin de atender las solicitudes HTTPS. La regla es NON_COMPLIANT si se asocia un certificado SSL personalizado, pero el método de compatibilidad con SSL es una dirección IP dedicada. | |
| 1.2.5 | Hay controles de seguridad de red (NSC) configurados y bajo mantenimiento. (PCI-DSS-v4.0) | Compruebe que haya un servidor creado con AWS Transfer Family que no utilice FTP para la conexión del punto de conexión. La regla es NON_COMPLIANT si el protocolo del servidor para la conexión del punto de conexión está habilitado para FTP. | |
| 1.2.5 | Hay controles de seguridad de red (NSC) configurados y bajo mantenimiento. (PCI-DSS-v4.0) | Compruebe que las distribuciones de CloudFront no utilicen protocolos SSL obsoletos para la comunicación HTTPS entre las ubicaciones periféricas de CloudFront y los orígenes personalizados. Esta regla es NON_COMPLIANT para una distribución de CloudFront si algún OriginSslProtocols incluye SSLv3. | |
| 1.2.5 | Hay controles de seguridad de red (NSC) configurados y bajo mantenimiento. (PCI-DSS-v4.0) | Compruebe que las distribuciones de Amazon CloudFront cifren el tráfico hacia orígenes personalizados. La regla es NON_COMPLIANT si OriginProtocolPolicy es “http-only” o si OriginProtocolPolicy es “match-viewer” y ViewerProtocolPolicy es “allow-all”. | |
| 1.2.5 | Hay controles de seguridad de red (NSC) configurados y bajo mantenimiento. (PCI-DSS-v4.0) | Compruebe que las distribuciones de Amazon CloudFront utilicen HTTPS (directamente o a través de un redireccionamiento). La regla es NON_COMPLIANT si el valor de ViewerProtocolPolicy se establece en allow-all para DefaultCacheBehavior o para CacheBehaviors. | |
| 1.2.8 | Hay controles de seguridad de red (NSC) configurados y bajo mantenimiento. (PCI-DSS-v4.0) | Compruebe que las API de Amazon API Gateway sean del tipo especificado en el parámetro de regla endpointConfigurationType. La regla devuelve NON_COMPLIANT si la API REST no coincide con el tipo de punto de enlace configurado en el parámetro de regla. | |
| 1.2.8 | Hay controles de seguridad de red (NSC) configurados y bajo mantenimiento. (PCI-DSS-v4.0) | Compruebe que las distribuciones de Amazon CloudFront estén asociadas a un firewall de aplicaciones web (WAF) o a las listas de control de acceso (ACL) web de WAFv2. La regla es NON_COMPLIANT si una distribución de CloudFront no está asociada a una ACL web de WAF. | |
| 1.2.8 | Hay controles de seguridad de red (NSC) configurados y bajo mantenimiento. (PCI-DSS-v4.0) | Compruebe que el certificado asociado a una distribución de Amazon CloudFront no sea el certificado SSL predeterminado. La regla es NON_COMPLIANT si una distribución de CloudFront utiliza el certificado SSL predeterminado. | |
| 1.2.8 | Hay controles de seguridad de red (NSC) configurados y bajo mantenimiento. (PCI-DSS-v4.0) | Compruebe si se ha configurado una política de AWS Network Firewall con una acción predeterminada, sin estado y definida por el usuario para los paquetes fragmentados. La regla es NON_COMPLIANT si la acción predeterminada sin estado para los paquetes fragmentados no coincide con la acción predeterminada definida por el usuario. | |
| 1.2.8 | Hay controles de seguridad de red (NSC) configurados y bajo mantenimiento. (PCI-DSS-v4.0) | Compruebe que los grupos de seguridad de base de datos de Amazon Relational Database Service (Amazon RDS) sean los predeterminados. La regla es NON_COMPLIANT si hay algún grupo de seguridad de base de datos que no sea el grupo de seguridad de base de datos predeterminado. | |
| 1.2.8 | Hay controles de seguridad de red (NSC) configurados y bajo mantenimiento. (PCI-DSS-v4.0) | Compruebe que las puertas de enlace de tránsito de Amazon Elastic Compute Cloud (Amazon EC2) no tengan habilitada la opción AutoAcceptSharedAttachments. La regla es NON_COMPLIANT para una puerta de enlace de tránsito si AutoAcceptSharedAttachments está establecido como enable. | |
| 1.2.8 | Hay controles de seguridad de red (NSC) configurados y bajo mantenimiento. (PCI-DSS-v4.0) | Compruebe que el punto de conexión de Amazon Elastic Kubernetes Service (Amazon EKS) no sea de acceso público. La regla es NON_COMPLIANT si el punto de conexión es de acceso público. | |
| 1.2.8 | Hay controles de seguridad de red (NSC) configurados y bajo mantenimiento. (PCI-DSS-v4.0) | Nota: Para esta regla, el identificador de la regla (INCOMING_SSH_DISABLED) y el nombre de la regla (restricted-ssh) son diferentes. Compruebe que el tráfico SSH entrante de los grupos de seguridad sea accesible. La regla es COMPLIANT si las direcciones IP del tráfico SSH entrante en los grupos de seguridad están restringidas (un CIDR distinto de 0.0.0.0/0 o ::/0). De lo contrario, es NON_COMPLIANT. | |
| 1.2.8 | Hay controles de seguridad de red (NSC) configurados y bajo mantenimiento. (PCI-DSS-v4.0) | Compruebe que las API de AWS AppSync estén asociadas a las listas de control de acceso (ACL) web de AWS WAFv2. La regla es NON_COMPLIANT para una API de AWS AppSync si no está asociada a una ACL web. | |
| 1.2.8 | Hay controles de seguridad de red (NSC) configurados y bajo mantenimiento. (PCI-DSS-v4.0) | Compruebe que las instantáneas de clúster manual de Amazon DocumentDB no sean públicas. La regla es NON_COMPLIANT si alguna instantánea de clúster manual de Amazon DocumentDB es pública. | |
| 1.2.8 | Hay controles de seguridad de red (NSC) configurados y bajo mantenimiento. (PCI-DSS-v4.0) | Compruebe que la URL del repositorio fuente de Bitbucket NO contenga credenciales de inicio de sesión. La regla es NON_COMPLIANT si la URL contiene información de inicio de sesión y COMPLIANT si no la contiene. | |
| 1.2.8 | Hay controles de seguridad de red (NSC) configurados y bajo mantenimiento. (PCI-DSS-v4.0) | Compruebe que los equilibradores de carga clásicos utilicen los certificados SSL proporcionados por AWS Certificate Manager. Para usar esta regla, utilice un agente de escucha SSL o HTTPS con su Classic Load Balancer. Nota: Esta regla solo se aplica a los equilibradores de carga clásicos. Esta regla no comprueba los Application Load Balancers ni los Network Load Balancers. | |
| 1.2.8 | Hay controles de seguridad de red (NSC) configurados y bajo mantenimiento. (PCI-DSS-v4.0) | Compruebe que haya una cuenta de Amazon EMR con la configuración de bloqueo de acceso público habilitada. La regla es NON_COMPLIANT si BlockPublicSecurityGroupRules es falso o, si es verdadero, los puertos que no sean el 22 aparecen en PermittedPublicSecurityGroupRuleRanges. | |
| 1.2.8 | Hay controles de seguridad de red (NSC) configurados y bajo mantenimiento. (PCI-DSS-v4.0) | Compruebe que los puertos predeterminados para el tráfico de entrada de SSH/RDP para las listas de control de acceso a la red (NACL) no estén restringidos. La regla es NON_COMPLIANT si una entrada entrante de la NACL permite un bloque CIDR TCP o UDP de origen para los puertos 22 o 3389. | |
| 1.2.8 | Hay controles de seguridad de red (NSC) configurados y bajo mantenimiento. (PCI-DSS-v4.0) | Compruebe que haya una ACL web de WAF Global que contenga reglas o grupos de reglas de WAF. Esta regla es NON_COMPLIANT si una ACL web no contiene reglas ni grupos de reglas de WAF. | |
| 1.2.8 | Hay controles de seguridad de red (NSC) configurados y bajo mantenimiento. (PCI-DSS-v4.0) | Compruebe que haya un grupo de reglas de AWS WAF Classic que contenga algunas reglas. La regla es NON_COMPLIANT si no hay reglas en un grupo de reglas. | |
| 1.2.8 | Hay controles de seguridad de red (NSC) configurados y bajo mantenimiento. (PCI-DSS-v4.0) | Compruebe que haya una regla global de AWS WAF que contenga algunas condiciones. La regla es NON_COMPLIANT si no hay condiciones presentes en la regla global de WAF. | |
| 1.2.8 | Hay controles de seguridad de red (NSC) configurados y bajo mantenimiento. (PCI-DSS-v4.0) | Compruebe que las reglas de autorización de AWS Client VPN no autoricen el acceso de conexión para todos los clientes. La regla es NON_COMPLIANT si aparece AccessAll y se establece en true. | |
| 1.2.8 | Hay controles de seguridad de red (NSC) configurados y bajo mantenimiento. (PCI-DSS-v4.0) | Compruebe que las puertas de enlace de Internet estén asociadas a una nube privada virtual autorizada (Amazon VPC). La regla es NON_COMPLIANT si las puertas de enlace de Internet están conectadas a una VPC no autorizada. | |
| 1.2.8 | Hay controles de seguridad de red (NSC) configurados y bajo mantenimiento. (PCI-DSS-v4.0) | Compruebe que los puntos de acceso de Amazon S3 tengan habilitada la configuración de bloqueo del acceso público. La regla NON_COMPLIANT si la configuración de bloqueo de acceso público no está habilitada para los puntos de acceso de S3. | |
| 1.2.8 | Hay controles de seguridad de red (NSC) configurados y bajo mantenimiento. (PCI-DSS-v4.0) | Compruebe que la configuración requerida del bloqueo de acceso público se haya configurado desde el nivel de cuenta. La regla sólo es NON_COMPLIANT cuando los campos establecidos a continuación no coinciden con los campos correspondientes en el elemento de configuración. | |
| 1.3.1 | El acceso a la red desde el entorno de datos del titular de la tarjeta, y hacia este, está restringido. (PCI-DSS-v4.0) | Compruebe que las API de Amazon API Gateway sean del tipo especificado en el parámetro de regla endpointConfigurationType. La regla devuelve NON_COMPLIANT si la API REST no coincide con el tipo de punto de enlace configurado en el parámetro de regla. | |
| 1.3.1 | El acceso a la red desde el entorno de datos del titular de la tarjeta, y hacia este, está restringido. (PCI-DSS-v4.0) | Compruebe que las distribuciones de Amazon CloudFront estén asociadas a un firewall de aplicaciones web (WAF) o a las listas de control de acceso (ACL) web de WAFv2. La regla es NON_COMPLIANT si una distribución de CloudFront no está asociada a una ACL web de WAF. | |
| 1.3.1 | El acceso a la red desde el entorno de datos del titular de la tarjeta, y hacia este, está restringido. (PCI-DSS-v4.0) | Compruebe que el certificado asociado a una distribución de Amazon CloudFront no sea el certificado SSL predeterminado. La regla es NON_COMPLIANT si una distribución de CloudFront utiliza el certificado SSL predeterminado. | |
| 1.3.1 | El acceso a la red desde el entorno de datos del titular de la tarjeta, y hacia este, está restringido. (PCI-DSS-v4.0) | Compruebe si se ha configurado una política de AWS Network Firewall con una acción predeterminada, sin estado y definida por el usuario para los paquetes fragmentados. La regla es NON_COMPLIANT si la acción predeterminada sin estado para los paquetes fragmentados no coincide con la acción predeterminada definida por el usuario. | |
| 1.3.1 | El acceso a la red desde el entorno de datos del titular de la tarjeta, y hacia este, está restringido. (PCI-DSS-v4.0) | Compruebe que los grupos de seguridad de base de datos de Amazon Relational Database Service (Amazon RDS) sean los predeterminados. La regla es NON_COMPLIANT si hay algún grupo de seguridad de base de datos que no sea el grupo de seguridad de base de datos predeterminado. | |
| 1.3.1 | El acceso a la red desde el entorno de datos del titular de la tarjeta, y hacia este, está restringido. (PCI-DSS-v4.0) | Compruebe que los clústeres de Amazon Redshift tengan habilitada la opción enhancedVpcRouting. La regla es NON_COMPLIANT si enhancedVpcRouting no está activado o si el campo configuration.enhancedVpcRouting está definido como false. | |
| 1.3.1 | El acceso a la red desde el entorno de datos del titular de la tarjeta, y hacia este, está restringido. (PCI-DSS-v4.0) | Compruebe que las puertas de enlace de tránsito de Amazon Elastic Compute Cloud (Amazon EC2) no tengan habilitada la opción AutoAcceptSharedAttachments. La regla es NON_COMPLIANT para una puerta de enlace de tránsito si AutoAcceptSharedAttachments está establecido como enable. | |
| 1.3.1 | El acceso a la red desde el entorno de datos del titular de la tarjeta, y hacia este, está restringido. (PCI-DSS-v4.0) | Compruebe que el punto de conexión de Amazon Elastic Kubernetes Service (Amazon EKS) no sea de acceso público. La regla es NON_COMPLIANT si el punto de conexión es de acceso público. | |
| 1.3.1 | El acceso a la red desde el entorno de datos del titular de la tarjeta, y hacia este, está restringido. (PCI-DSS-v4.0) | Nota: Para esta regla, el identificador de la regla (INCOMING_SSH_DISABLED) y el nombre de la regla (restricted-ssh) son diferentes. Compruebe que el tráfico SSH entrante de los grupos de seguridad sea accesible. La regla es COMPLIANT si las direcciones IP del tráfico SSH entrante en los grupos de seguridad están restringidas (un CIDR distinto de 0.0.0.0/0 o ::/0). De lo contrario, es NON_COMPLIANT. | |
| 1.3.1 | El acceso a la red desde el entorno de datos del titular de la tarjeta, y hacia este, está restringido. (PCI-DSS-v4.0) | Compruebe que las API de AWS AppSync estén asociadas a las listas de control de acceso (ACL) web de AWS WAFv2. La regla es NON_COMPLIANT para una API de AWS AppSync si no está asociada a una ACL web. | |
| 1.3.1 | El acceso a la red desde el entorno de datos del titular de la tarjeta, y hacia este, está restringido. (PCI-DSS-v4.0) | Compruebe que las instantáneas de clúster manual de Amazon DocumentDB no sean públicas. La regla es NON_COMPLIANT si alguna instantánea de clúster manual de Amazon DocumentDB es pública. | |
| 1.3.1 | El acceso a la red desde el entorno de datos del titular de la tarjeta, y hacia este, está restringido. (PCI-DSS-v4.0) | Compruebe que la URL del repositorio fuente de Bitbucket NO contenga credenciales de inicio de sesión. La regla es NON_COMPLIANT si la URL contiene información de inicio de sesión y COMPLIANT si no la contiene. | |
| 1.3.1 | El acceso a la red desde el entorno de datos del titular de la tarjeta, y hacia este, está restringido. (PCI-DSS-v4.0) | Compruebe que los equilibradores de carga clásicos utilicen los certificados SSL proporcionados por AWS Certificate Manager. Para usar esta regla, utilice un agente de escucha SSL o HTTPS con su Classic Load Balancer. Nota: Esta regla solo se aplica a los equilibradores de carga clásicos. Esta regla no comprueba los Application Load Balancers ni los Network Load Balancers. | |
| 1.3.1 | El acceso a la red desde el entorno de datos del titular de la tarjeta, y hacia este, está restringido. (PCI-DSS-v4.0) | Compruebe que haya una cuenta de Amazon EMR con la configuración de bloqueo de acceso público habilitada. La regla es NON_COMPLIANT si BlockPublicSecurityGroupRules es falso o, si es verdadero, los puertos que no sean el 22 aparecen en PermittedPublicSecurityGroupRuleRanges. | |
| 1.3.1 | El acceso a la red desde el entorno de datos del titular de la tarjeta, y hacia este, está restringido. (PCI-DSS-v4.0) | Compruebe que los puertos predeterminados para el tráfico de entrada de SSH/RDP para las listas de control de acceso a la red (NACL) no estén restringidos. La regla es NON_COMPLIANT si una entrada entrante de la NACL permite un bloque CIDR TCP o UDP de origen para los puertos 22 o 3389. | |
| 1.3.1 | El acceso a la red desde el entorno de datos del titular de la tarjeta, y hacia este, está restringido. (PCI-DSS-v4.0) | Compruebe que haya una ACL web de WAF Global que contenga reglas o grupos de reglas de WAF. Esta regla es NON_COMPLIANT si una ACL web no contiene reglas ni grupos de reglas de WAF. | |
| 1.3.1 | El acceso a la red desde el entorno de datos del titular de la tarjeta, y hacia este, está restringido. (PCI-DSS-v4.0) | Compruebe que haya un grupo de reglas de AWS WAF Classic que contenga algunas reglas. La regla es NON_COMPLIANT si no hay reglas en un grupo de reglas. | |
| 1.3.1 | El acceso a la red desde el entorno de datos del titular de la tarjeta, y hacia este, está restringido. (PCI-DSS-v4.0) | Compruebe que haya una regla global de AWS WAF que contenga algunas condiciones. La regla es NON_COMPLIANT si no hay condiciones presentes en la regla global de WAF. | |
| 1.3.1 | El acceso a la red desde el entorno de datos del titular de la tarjeta, y hacia este, está restringido. (PCI-DSS-v4.0) | Compruebe que las reglas de autorización de AWS Client VPN no autoricen el acceso de conexión para todos los clientes. La regla es NON_COMPLIANT si aparece AccessAll y se establece en true. | |
| 1.3.1 | El acceso a la red desde el entorno de datos del titular de la tarjeta, y hacia este, está restringido. (PCI-DSS-v4.0) | Compruebe que las puertas de enlace de Internet estén asociadas a una nube privada virtual autorizada (Amazon VPC). La regla es NON_COMPLIANT si las puertas de enlace de Internet están conectadas a una VPC no autorizada. | |
| 1.3.1 | El acceso a la red desde el entorno de datos del titular de la tarjeta, y hacia este, está restringido. (PCI-DSS-v4.0) | Compruebe que los puntos de acceso de Amazon S3 tengan habilitada la configuración de bloqueo del acceso público. La regla NON_COMPLIANT si la configuración de bloqueo de acceso público no está habilitada para los puntos de acceso de S3. | |
| 1.3.1 | El acceso a la red desde el entorno de datos del titular de la tarjeta, y hacia este, está restringido. (PCI-DSS-v4.0) | Compruebe que la configuración requerida del bloqueo de acceso público se haya configurado desde el nivel de cuenta. La regla sólo es NON_COMPLIANT cuando los campos establecidos a continuación no coinciden con los campos correspondientes en el elemento de configuración. | |
| 1.3.2 | El acceso a la red desde el entorno de datos del titular de la tarjeta, y hacia este, está restringido. (PCI-DSS-v4.0) | Compruebe que las API de Amazon API Gateway sean del tipo especificado en el parámetro de regla endpointConfigurationType. La regla devuelve NON_COMPLIANT si la API REST no coincide con el tipo de punto de enlace configurado en el parámetro de regla. | |
| 1.3.2 | El acceso a la red desde el entorno de datos del titular de la tarjeta, y hacia este, está restringido. (PCI-DSS-v4.0) | Compruebe que las distribuciones de Amazon CloudFront estén asociadas a un firewall de aplicaciones web (WAF) o a las listas de control de acceso (ACL) web de WAFv2. La regla es NON_COMPLIANT si una distribución de CloudFront no está asociada a una ACL web de WAF. | |
| 1.3.2 | El acceso a la red desde el entorno de datos del titular de la tarjeta, y hacia este, está restringido. (PCI-DSS-v4.0) | Compruebe que el certificado asociado a una distribución de Amazon CloudFront no sea el certificado SSL predeterminado. La regla es NON_COMPLIANT si una distribución de CloudFront utiliza el certificado SSL predeterminado. | |
| 1.3.2 | El acceso a la red desde el entorno de datos del titular de la tarjeta, y hacia este, está restringido. (PCI-DSS-v4.0) | Compruebe si se ha configurado una política de AWS Network Firewall con una acción predeterminada, sin estado y definida por el usuario para los paquetes fragmentados. La regla es NON_COMPLIANT si la acción predeterminada sin estado para los paquetes fragmentados no coincide con la acción predeterminada definida por el usuario. | |
| 1.3.2 | El acceso a la red desde el entorno de datos del titular de la tarjeta, y hacia este, está restringido. (PCI-DSS-v4.0) | Compruebe que los grupos de seguridad de base de datos de Amazon Relational Database Service (Amazon RDS) sean los predeterminados. La regla es NON_COMPLIANT si hay algún grupo de seguridad de base de datos que no sea el grupo de seguridad de base de datos predeterminado. | |
| 1.3.2 | El acceso a la red desde el entorno de datos del titular de la tarjeta, y hacia este, está restringido. (PCI-DSS-v4.0) | Compruebe que los clústeres de Amazon Redshift tengan habilitada la opción enhancedVpcRouting. La regla es NON_COMPLIANT si enhancedVpcRouting no está activado o si el campo configuration.enhancedVpcRouting está definido como false. | |
| 1.3.2 | El acceso a la red desde el entorno de datos del titular de la tarjeta, y hacia este, está restringido. (PCI-DSS-v4.0) | Compruebe que las puertas de enlace de tránsito de Amazon Elastic Compute Cloud (Amazon EC2) no tengan habilitada la opción AutoAcceptSharedAttachments. La regla es NON_COMPLIANT para una puerta de enlace de tránsito si AutoAcceptSharedAttachments está establecido como enable. | |
| 1.3.2 | El acceso a la red desde el entorno de datos del titular de la tarjeta, y hacia este, está restringido. (PCI-DSS-v4.0) | Compruebe que el punto de conexión de Amazon Elastic Kubernetes Service (Amazon EKS) no sea de acceso público. La regla es NON_COMPLIANT si el punto de conexión es de acceso público. | |
| 1.3.2 | El acceso a la red desde el entorno de datos del titular de la tarjeta, y hacia este, está restringido. (PCI-DSS-v4.0) | Nota: Para esta regla, el identificador de la regla (INCOMING_SSH_DISABLED) y el nombre de la regla (restricted-ssh) son diferentes. Compruebe que el tráfico SSH entrante de los grupos de seguridad sea accesible. La regla es COMPLIANT si las direcciones IP del tráfico SSH entrante en los grupos de seguridad están restringidas (un CIDR distinto de 0.0.0.0/0 o ::/0). De lo contrario, es NON_COMPLIANT. | |
| 1.3.2 | El acceso a la red desde el entorno de datos del titular de la tarjeta, y hacia este, está restringido. (PCI-DSS-v4.0) | Compruebe que las API de AWS AppSync estén asociadas a las listas de control de acceso (ACL) web de AWS WAFv2. La regla es NON_COMPLIANT para una API de AWS AppSync si no está asociada a una ACL web. | |
| 1.3.2 | El acceso a la red desde el entorno de datos del titular de la tarjeta, y hacia este, está restringido. (PCI-DSS-v4.0) | Compruebe que las instantáneas de clúster manual de Amazon DocumentDB no sean públicas. La regla es NON_COMPLIANT si alguna instantánea de clúster manual de Amazon DocumentDB es pública. | |
| 1.3.2 | El acceso a la red desde el entorno de datos del titular de la tarjeta, y hacia este, está restringido. (PCI-DSS-v4.0) | Compruebe que la URL del repositorio fuente de Bitbucket NO contenga credenciales de inicio de sesión. La regla es NON_COMPLIANT si la URL contiene información de inicio de sesión y COMPLIANT si no la contiene. | |
| 1.3.2 | El acceso a la red desde el entorno de datos del titular de la tarjeta, y hacia este, está restringido. (PCI-DSS-v4.0) | Compruebe que los equilibradores de carga clásicos utilicen los certificados SSL proporcionados por AWS Certificate Manager. Para usar esta regla, utilice un agente de escucha SSL o HTTPS con su Classic Load Balancer. Nota: Esta regla solo se aplica a los equilibradores de carga clásicos. Esta regla no comprueba los Application Load Balancers ni los Network Load Balancers. | |
| 1.3.2 | El acceso a la red desde el entorno de datos del titular de la tarjeta, y hacia este, está restringido. (PCI-DSS-v4.0) | Compruebe que haya una cuenta de Amazon EMR con la configuración de bloqueo de acceso público habilitada. La regla es NON_COMPLIANT si BlockPublicSecurityGroupRules es falso o, si es verdadero, los puertos que no sean el 22 aparecen en PermittedPublicSecurityGroupRuleRanges. | |
| 1.3.2 | El acceso a la red desde el entorno de datos del titular de la tarjeta, y hacia este, está restringido. (PCI-DSS-v4.0) | Compruebe que los puertos predeterminados para el tráfico de entrada de SSH/RDP para las listas de control de acceso a la red (NACL) no estén restringidos. La regla es NON_COMPLIANT si una entrada entrante de la NACL permite un bloque CIDR TCP o UDP de origen para los puertos 22 o 3389. | |
| 1.3.2 | El acceso a la red desde el entorno de datos del titular de la tarjeta, y hacia este, está restringido. (PCI-DSS-v4.0) | Compruebe que haya una ACL web de WAF Global que contenga reglas o grupos de reglas de WAF. Esta regla es NON_COMPLIANT si una ACL web no contiene reglas ni grupos de reglas de WAF. | |
| 1.3.2 | El acceso a la red desde el entorno de datos del titular de la tarjeta, y hacia este, está restringido. (PCI-DSS-v4.0) | Compruebe que haya un grupo de reglas de AWS WAF Classic que contenga algunas reglas. La regla es NON_COMPLIANT si no hay reglas en un grupo de reglas. | |
| 1.3.2 | El acceso a la red desde el entorno de datos del titular de la tarjeta, y hacia este, está restringido. (PCI-DSS-v4.0) | Compruebe que haya una regla global de AWS WAF que contenga algunas condiciones. La regla es NON_COMPLIANT si no hay condiciones presentes en la regla global de WAF. | |
| 1.3.2 | El acceso a la red desde el entorno de datos del titular de la tarjeta, y hacia este, está restringido. (PCI-DSS-v4.0) | Compruebe que las reglas de autorización de AWS Client VPN no autoricen el acceso de conexión para todos los clientes. La regla es NON_COMPLIANT si aparece AccessAll y se establece en true. | |
| 1.3.2 | El acceso a la red desde el entorno de datos del titular de la tarjeta, y hacia este, está restringido. (PCI-DSS-v4.0) | Compruebe que las puertas de enlace de Internet estén asociadas a una nube privada virtual autorizada (Amazon VPC). La regla es NON_COMPLIANT si las puertas de enlace de Internet están conectadas a una VPC no autorizada. | |
| 1.3.2 | El acceso a la red desde el entorno de datos del titular de la tarjeta, y hacia este, está restringido. (PCI-DSS-v4.0) | Compruebe que los puntos de acceso de Amazon S3 tengan habilitada la configuración de bloqueo del acceso público. La regla NON_COMPLIANT si la configuración de bloqueo de acceso público no está habilitada para los puntos de acceso de S3. | |
| 1.3.2 | El acceso a la red desde el entorno de datos del titular de la tarjeta, y hacia este, está restringido. (PCI-DSS-v4.0) | Compruebe que la configuración requerida del bloqueo de acceso público se haya configurado desde el nivel de cuenta. La regla sólo es NON_COMPLIANT cuando los campos establecidos a continuación no coinciden con los campos correspondientes en el elemento de configuración. | |
| 1.4.1 | Las conexiones de red entre redes confiables y no confiables están controladas. (PCI-DSS-v4.0) | Compruebe que las API de Amazon API Gateway sean del tipo especificado en el parámetro de regla endpointConfigurationType. La regla devuelve NON_COMPLIANT si la API REST no coincide con el tipo de punto de enlace configurado en el parámetro de regla. | |
| 1.4.1 | Las conexiones de red entre redes confiables y no confiables están controladas. (PCI-DSS-v4.0) | Compruebe que los clústeres de Amazon Redshift tengan habilitada la opción enhancedVpcRouting. La regla es NON_COMPLIANT si enhancedVpcRouting no está activado o si el campo configuration.enhancedVpcRouting está definido como false. | |
| 1.4.1 | Las conexiones de red entre redes confiables y no confiables están controladas. (PCI-DSS-v4.0) | Compruebe que las puertas de enlace de Internet estén asociadas a una nube privada virtual autorizada (Amazon VPC). La regla es NON_COMPLIANT si las puertas de enlace de Internet están conectadas a una VPC no autorizada. | |
| 1.4.2 | Las conexiones de red entre redes confiables y no confiables están controladas. (PCI-DSS-v4.0) | Compruebe que las API de Amazon API Gateway sean del tipo especificado en el parámetro de regla endpointConfigurationType. La regla devuelve NON_COMPLIANT si la API REST no coincide con el tipo de punto de enlace configurado en el parámetro de regla. | |
| 1.4.2 | Las conexiones de red entre redes confiables y no confiables están controladas. (PCI-DSS-v4.0) | Compruebe que las distribuciones de Amazon CloudFront estén asociadas a un firewall de aplicaciones web (WAF) o a las listas de control de acceso (ACL) web de WAFv2. La regla es NON_COMPLIANT si una distribución de CloudFront no está asociada a una ACL web de WAF. | |
| 1.4.2 | Las conexiones de red entre redes confiables y no confiables están controladas. (PCI-DSS-v4.0) | Compruebe que el certificado asociado a una distribución de Amazon CloudFront no sea el certificado SSL predeterminado. La regla es NON_COMPLIANT si una distribución de CloudFront utiliza el certificado SSL predeterminado. | |
| 1.4.2 | Las conexiones de red entre redes confiables y no confiables están controladas. (PCI-DSS-v4.0) | Compruebe si se ha configurado una política de AWS Network Firewall con una acción predeterminada, sin estado y definida por el usuario para los paquetes fragmentados. La regla es NON_COMPLIANT si la acción predeterminada sin estado para los paquetes fragmentados no coincide con la acción predeterminada definida por el usuario. | |
| 1.4.2 | Las conexiones de red entre redes confiables y no confiables están controladas. (PCI-DSS-v4.0) | Compruebe que los grupos de seguridad de base de datos de Amazon Relational Database Service (Amazon RDS) sean los predeterminados. La regla es NON_COMPLIANT si hay algún grupo de seguridad de base de datos que no sea el grupo de seguridad de base de datos predeterminado. | |
| 1.4.2 | Las conexiones de red entre redes confiables y no confiables están controladas. (PCI-DSS-v4.0) | Compruebe que los clústeres de Amazon Redshift tengan habilitada la opción enhancedVpcRouting. La regla es NON_COMPLIANT si enhancedVpcRouting no está activado o si el campo configuration.enhancedVpcRouting está definido como false. | |
| 1.4.2 | Las conexiones de red entre redes confiables y no confiables están controladas. (PCI-DSS-v4.0) | Compruebe que las puertas de enlace de tránsito de Amazon Elastic Compute Cloud (Amazon EC2) no tengan habilitada la opción AutoAcceptSharedAttachments. La regla es NON_COMPLIANT para una puerta de enlace de tránsito si AutoAcceptSharedAttachments está establecido como enable. | |
| 1.4.2 | Las conexiones de red entre redes confiables y no confiables están controladas. (PCI-DSS-v4.0) | Compruebe que el punto de conexión de Amazon Elastic Kubernetes Service (Amazon EKS) no sea de acceso público. La regla es NON_COMPLIANT si el punto de conexión es de acceso público. | |
| 1.4.2 | Las conexiones de red entre redes confiables y no confiables están controladas. (PCI-DSS-v4.0) | Nota: Para esta regla, el identificador de la regla (INCOMING_SSH_DISABLED) y el nombre de la regla (restricted-ssh) son diferentes. Compruebe que el tráfico SSH entrante de los grupos de seguridad sea accesible. La regla es COMPLIANT si las direcciones IP del tráfico SSH entrante en los grupos de seguridad están restringidas (un CIDR distinto de 0.0.0.0/0 o ::/0). De lo contrario, es NON_COMPLIANT. | |
| 1.4.2 | Las conexiones de red entre redes confiables y no confiables están controladas. (PCI-DSS-v4.0) | Compruebe que las API de AWS AppSync estén asociadas a las listas de control de acceso (ACL) web de AWS WAFv2. La regla es NON_COMPLIANT para una API de AWS AppSync si no está asociada a una ACL web. | |
| 1.4.2 | Las conexiones de red entre redes confiables y no confiables están controladas. (PCI-DSS-v4.0) | Compruebe que las instantáneas de clúster manual de Amazon DocumentDB no sean públicas. La regla es NON_COMPLIANT si alguna instantánea de clúster manual de Amazon DocumentDB es pública. | |
| 1.4.2 | Las conexiones de red entre redes confiables y no confiables están controladas. (PCI-DSS-v4.0) | Compruebe que la URL del repositorio fuente de Bitbucket NO contenga credenciales de inicio de sesión. La regla es NON_COMPLIANT si la URL contiene información de inicio de sesión y COMPLIANT si no la contiene. | |
| 1.4.2 | Las conexiones de red entre redes confiables y no confiables están controladas. (PCI-DSS-v4.0) | Compruebe que los equilibradores de carga clásicos utilicen los certificados SSL proporcionados por AWS Certificate Manager. Para usar esta regla, utilice un agente de escucha SSL o HTTPS con su Classic Load Balancer. Nota: Esta regla solo se aplica a los equilibradores de carga clásicos. Esta regla no comprueba los Application Load Balancers ni los Network Load Balancers. | |
| 1.4.2 | Las conexiones de red entre redes confiables y no confiables están controladas. (PCI-DSS-v4.0) | Compruebe que haya una cuenta de Amazon EMR con la configuración de bloqueo de acceso público habilitada. La regla es NON_COMPLIANT si BlockPublicSecurityGroupRules es falso o, si es verdadero, los puertos que no sean el 22 aparecen en PermittedPublicSecurityGroupRuleRanges. | |
| 1.4.2 | Las conexiones de red entre redes confiables y no confiables están controladas. (PCI-DSS-v4.0) | Compruebe que los puertos predeterminados para el tráfico de entrada de SSH/RDP para las listas de control de acceso a la red (NACL) no estén restringidos. La regla es NON_COMPLIANT si una entrada entrante de la NACL permite un bloque CIDR TCP o UDP de origen para los puertos 22 o 3389. | |
| 1.4.2 | Las conexiones de red entre redes confiables y no confiables están controladas. (PCI-DSS-v4.0) | Compruebe que haya una ACL web de WAF Global que contenga reglas o grupos de reglas de WAF. Esta regla es NON_COMPLIANT si una ACL web no contiene reglas ni grupos de reglas de WAF. | |
| 1.4.2 | Las conexiones de red entre redes confiables y no confiables están controladas. (PCI-DSS-v4.0) | Compruebe que haya un grupo de reglas de AWS WAF Classic que contenga algunas reglas. La regla es NON_COMPLIANT si no hay reglas en un grupo de reglas. | |
| 1.4.2 | Las conexiones de red entre redes confiables y no confiables están controladas. (PCI-DSS-v4.0) | Compruebe que haya una regla global de AWS WAF que contenga algunas condiciones. La regla es NON_COMPLIANT si no hay condiciones presentes en la regla global de WAF. | |
| 1.4.2 | Las conexiones de red entre redes confiables y no confiables están controladas. (PCI-DSS-v4.0) | Compruebe que las reglas de autorización de AWS Client VPN no autoricen el acceso de conexión para todos los clientes. La regla es NON_COMPLIANT si aparece AccessAll y se establece en true. | |
| 1.4.2 | Las conexiones de red entre redes confiables y no confiables están controladas. (PCI-DSS-v4.0) | Compruebe que las puertas de enlace de Internet estén asociadas a una nube privada virtual autorizada (Amazon VPC). La regla es NON_COMPLIANT si las puertas de enlace de Internet están conectadas a una VPC no autorizada. | |
| 1.4.2 | Las conexiones de red entre redes confiables y no confiables están controladas. (PCI-DSS-v4.0) | Compruebe que los puntos de acceso de Amazon S3 tengan habilitada la configuración de bloqueo del acceso público. La regla NON_COMPLIANT si la configuración de bloqueo de acceso público no está habilitada para los puntos de acceso de S3. | |
| 1.4.2 | Las conexiones de red entre redes confiables y no confiables están controladas. (PCI-DSS-v4.0) | Compruebe que la configuración requerida del bloqueo de acceso público se haya configurado desde el nivel de cuenta. La regla sólo es NON_COMPLIANT cuando los campos establecidos a continuación no coinciden con los campos correspondientes en el elemento de configuración. | |
| 1.4.3 | Las conexiones de red entre redes confiables y no confiables están controladas. (PCI-DSS-v4.0) | Compruebe si se ha configurado una política de AWS Network Firewall con una acción predeterminada, sin estado y definida por el usuario para los paquetes fragmentados. La regla es NON_COMPLIANT si la acción predeterminada sin estado para los paquetes fragmentados no coincide con la acción predeterminada definida por el usuario. | |
| 1.4.3 | Las conexiones de red entre redes confiables y no confiables están controladas. (PCI-DSS-v4.0) | Compruebe si se ha configurado una política de AWS Network Firewall con una acción predeterminada, sin estado y definida por el usuario para los paquetes fragmentados. La regla es NON_COMPLIANT si la acción predeterminada sin estado para los paquetes fragmentados no coincide con la acción predeterminada definida por el usuario. | |
| 1.4.3 | Las conexiones de red entre redes confiables y no confiables están controladas. (PCI-DSS-v4.0) | Compruebe que se haya configurado una política de AWS Network Firewall con una acción predeterminada, sin estado y definida por el usuario para los paquetes completos. La regla es NON_COMPLIANT si la acción predeterminada sin estado para los paquetes completos no coincide con la acción predeterminada sin estado definida por el usuario. | |
| 1.4.4 | Las conexiones de red entre redes confiables y no confiables están controladas. (PCI-DSS-v4.0) | Compruebe que las API de Amazon API Gateway sean del tipo especificado en el parámetro de regla endpointConfigurationType. La regla devuelve NON_COMPLIANT si la API REST no coincide con el tipo de punto de enlace configurado en el parámetro de regla. | |
| 1.4.4 | Las conexiones de red entre redes confiables y no confiables están controladas. (PCI-DSS-v4.0) | Compruebe que los clústeres de Amazon Redshift tengan habilitada la opción enhancedVpcRouting. La regla es NON_COMPLIANT si enhancedVpcRouting no está activado o si el campo configuration.enhancedVpcRouting está definido como false. | |
| 1.4.4 | Las conexiones de red entre redes confiables y no confiables están controladas. (PCI-DSS-v4.0) | Compruebe que las puertas de enlace de Internet estén asociadas a una nube privada virtual autorizada (Amazon VPC). La regla es NON_COMPLIANT si las puertas de enlace de Internet están conectadas a una VPC no autorizada. | |
| 1.4.5 | Las conexiones de red entre redes confiables y no confiables están controladas. (PCI-DSS-v4.0) | Compruebe que se hayan configurado ECSTaskDefinitions para compartir el espacio de nombres de procesos de un host con sus contenedores de Amazon Elastic Container Service (Amazon ECS). La regla es NON_COMPLIANT si el parámetro pidMode está establecido en “host”. | |
| 1.4.5 | Las conexiones de red entre redes confiables y no confiables están controladas. (PCI-DSS-v4.0) | Compruebe que las plantillas de lanzamiento de Amazon EC2 no estén configuradas para asignar direcciones IP públicas a interfaces de red. La regla es NON_COMPLIANT si la versión predeterminada de una plantilla de lanzamiento de EC2 tiene al menos una interfaz de red con AssociatePublicIpAddress establecido en true. | |
| 1.5.1 | Se han mitigado los riesgos para el CDE desde dispositivos de computación con capacidad de conexión al CDE y a redes no confiables. (PCI-DSS-v4.0) | Compruebe que las API de Amazon API Gateway sean del tipo especificado en el parámetro de regla endpointConfigurationType. La regla devuelve NON_COMPLIANT si la API REST no coincide con el tipo de punto de enlace configurado en el parámetro de regla. | |
| 1.5.1 | Se han mitigado los riesgos para el CDE desde dispositivos de computación con capacidad de conexión al CDE y a redes no confiables. (PCI-DSS-v4.0) | Compruebe que las distribuciones de Amazon CloudFront estén asociadas a un firewall de aplicaciones web (WAF) o a las listas de control de acceso (ACL) web de WAFv2. La regla es NON_COMPLIANT si una distribución de CloudFront no está asociada a una ACL web de WAF. | |
| 1.5.1 | Se han mitigado los riesgos para el CDE desde dispositivos de computación con capacidad de conexión al CDE y a redes no confiables. (PCI-DSS-v4.0) | Compruebe que el certificado asociado a una distribución de Amazon CloudFront no sea el certificado SSL predeterminado. La regla es NON_COMPLIANT si una distribución de CloudFront utiliza el certificado SSL predeterminado. | |
| 1.5.1 | Se han mitigado los riesgos para el CDE desde dispositivos de computación con capacidad de conexión al CDE y a redes no confiables. (PCI-DSS-v4.0) | Compruebe si se ha configurado una política de AWS Network Firewall con una acción predeterminada, sin estado y definida por el usuario para los paquetes fragmentados. La regla es NON_COMPLIANT si la acción predeterminada sin estado para los paquetes fragmentados no coincide con la acción predeterminada definida por el usuario. | |
| 1.5.1 | Se han mitigado los riesgos para el CDE desde dispositivos de computación con capacidad de conexión al CDE y a redes no confiables. (PCI-DSS-v4.0) | Compruebe que los grupos de seguridad de base de datos de Amazon Relational Database Service (Amazon RDS) sean los predeterminados. La regla es NON_COMPLIANT si hay algún grupo de seguridad de base de datos que no sea el grupo de seguridad de base de datos predeterminado. | |
| 1.5.1 | Se han mitigado los riesgos para el CDE desde dispositivos de computación con capacidad de conexión al CDE y a redes no confiables. (PCI-DSS-v4.0) | Compruebe que las puertas de enlace de tránsito de Amazon Elastic Compute Cloud (Amazon EC2) no tengan habilitada la opción AutoAcceptSharedAttachments. La regla es NON_COMPLIANT para una puerta de enlace de tránsito si AutoAcceptSharedAttachments está establecido como enable. | |
| 1.5.1 | Se han mitigado los riesgos para el CDE desde dispositivos de computación con capacidad de conexión al CDE y a redes no confiables. (PCI-DSS-v4.0) | Compruebe que el punto de conexión de Amazon Elastic Kubernetes Service (Amazon EKS) no sea de acceso público. La regla es NON_COMPLIANT si el punto de conexión es de acceso público. | |
| 1.5.1 | Se han mitigado los riesgos para el CDE desde dispositivos de computación con capacidad de conexión al CDE y a redes no confiables. (PCI-DSS-v4.0) | Nota: Para esta regla, el identificador de la regla (INCOMING_SSH_DISABLED) y el nombre de la regla (restricted-ssh) son diferentes. Compruebe que el tráfico SSH entrante de los grupos de seguridad sea accesible. La regla es COMPLIANT si las direcciones IP del tráfico SSH entrante en los grupos de seguridad están restringidas (un CIDR distinto de 0.0.0.0/0 o ::/0). De lo contrario, es NON_COMPLIANT. | |
| 1.5.1 | Se han mitigado los riesgos para el CDE desde dispositivos de computación con capacidad de conexión al CDE y a redes no confiables. (PCI-DSS-v4.0) | Compruebe que las API de AWS AppSync estén asociadas a las listas de control de acceso (ACL) web de AWS WAFv2. La regla es NON_COMPLIANT para una API de AWS AppSync si no está asociada a una ACL web. | |
| 1.5.1 | Se han mitigado los riesgos para el CDE desde dispositivos de computación con capacidad de conexión al CDE y a redes no confiables. (PCI-DSS-v4.0) | Compruebe que las instantáneas de clúster manual de Amazon DocumentDB no sean públicas. La regla es NON_COMPLIANT si alguna instantánea de clúster manual de Amazon DocumentDB es pública. | |
| 1.5.1 | Se han mitigado los riesgos para el CDE desde dispositivos de computación con capacidad de conexión al CDE y a redes no confiables. (PCI-DSS-v4.0) | Compruebe que la URL del repositorio fuente de Bitbucket NO contenga credenciales de inicio de sesión. La regla es NON_COMPLIANT si la URL contiene información de inicio de sesión y COMPLIANT si no la contiene. | |
| 1.5.1 | Se han mitigado los riesgos para el CDE desde dispositivos de computación con capacidad de conexión al CDE y a redes no confiables. (PCI-DSS-v4.0) | Compruebe que los equilibradores de carga clásicos utilicen los certificados SSL proporcionados por AWS Certificate Manager. Para usar esta regla, utilice un agente de escucha SSL o HTTPS con su Classic Load Balancer. Nota: Esta regla solo se aplica a los equilibradores de carga clásicos. Esta regla no comprueba los Application Load Balancers ni los Network Load Balancers. | |
| 1.5.1 | Se han mitigado los riesgos para el CDE desde dispositivos de computación con capacidad de conexión al CDE y a redes no confiables. (PCI-DSS-v4.0) | Compruebe que haya una cuenta de Amazon EMR con la configuración de bloqueo de acceso público habilitada. La regla es NON_COMPLIANT si BlockPublicSecurityGroupRules es falso o, si es verdadero, los puertos que no sean el 22 aparecen en PermittedPublicSecurityGroupRuleRanges. | |
| 1.5.1 | Se han mitigado los riesgos para el CDE desde dispositivos de computación con capacidad de conexión al CDE y a redes no confiables. (PCI-DSS-v4.0) | Compruebe que los puertos predeterminados para el tráfico de entrada de SSH/RDP para las listas de control de acceso a la red (NACL) no estén restringidos. La regla es NON_COMPLIANT si una entrada entrante de la NACL permite un bloque CIDR TCP o UDP de origen para los puertos 22 o 3389. | |
| 1.5.1 | Se han mitigado los riesgos para el CDE desde dispositivos de computación con capacidad de conexión al CDE y a redes no confiables. (PCI-DSS-v4.0) | Compruebe que haya una ACL web de WAF Global que contenga reglas o grupos de reglas de WAF. Esta regla es NON_COMPLIANT si una ACL web no contiene reglas ni grupos de reglas de WAF. | |
| 1.5.1 | Se han mitigado los riesgos para el CDE desde dispositivos de computación con capacidad de conexión al CDE y a redes no confiables. (PCI-DSS-v4.0) | Compruebe que haya un grupo de reglas de AWS WAF Classic que contenga algunas reglas. La regla es NON_COMPLIANT si no hay reglas en un grupo de reglas. | |
| 1.5.1 | Se han mitigado los riesgos para el CDE desde dispositivos de computación con capacidad de conexión al CDE y a redes no confiables. (PCI-DSS-v4.0) | Compruebe que haya una regla global de AWS WAF que contenga algunas condiciones. La regla es NON_COMPLIANT si no hay condiciones presentes en la regla global de WAF. | |
| 1.5.1 | Se han mitigado los riesgos para el CDE desde dispositivos de computación con capacidad de conexión al CDE y a redes no confiables. (PCI-DSS-v4.0) | Compruebe que las reglas de autorización de AWS Client VPN no autoricen el acceso de conexión para todos los clientes. La regla es NON_COMPLIANT si aparece AccessAll y se establece en true. | |
| 1.5.1 | Se han mitigado los riesgos para el CDE desde dispositivos de computación con capacidad de conexión al CDE y a redes no confiables. (PCI-DSS-v4.0) | Compruebe que las puertas de enlace de Internet estén asociadas a una nube privada virtual autorizada (Amazon VPC). La regla es NON_COMPLIANT si las puertas de enlace de Internet están conectadas a una VPC no autorizada. | |
| 1.5.1 | Se han mitigado los riesgos para el CDE desde dispositivos de computación con capacidad de conexión al CDE y a redes no confiables. (PCI-DSS-v4.0) | Compruebe que los puntos de acceso de Amazon S3 tengan habilitada la configuración de bloqueo del acceso público. La regla NON_COMPLIANT si la configuración de bloqueo de acceso público no está habilitada para los puntos de acceso de S3. | |
| 1.5.1 | Se han mitigado los riesgos para el CDE desde dispositivos de computación con capacidad de conexión al CDE y a redes no confiables. (PCI-DSS-v4.0) | Compruebe que la configuración requerida del bloqueo de acceso público se haya configurado desde el nivel de cuenta. La regla sólo es NON_COMPLIANT cuando los campos establecidos a continuación no coinciden con los campos correspondientes en el elemento de configuración. | |
| 10.2.1 | Se han implementado registros de auditoría como apoyo para la detección de anomalías y actividades sospechosas, así como para el análisis forense de los eventos. (PCI-DSS-v4.0) | Compruebe que las etapas de Amazon API Gateway V2 tengan habilitado el registro de acceso. La regla es NON_COMPLIANT si accessLogSettings no está presente en la configuración de la etapa. | |
| 10.2.1 | Se han implementado registros de auditoría como apoyo para la detección de anomalías y actividades sospechosas, así como para el análisis forense de los eventos. (PCI-DSS-v4.0) | Compruebe que el rastreo de AWS X-Ray esté habilitado en las API de REST de Amazon API Gateway. La regla es COMPLIANT si el rastreo de X-Ray está habilitado y NON_COMPLIANT cuando no lo está. | |
| 10.2.1 | Se han implementado registros de auditoría como apoyo para la detección de anomalías y actividades sospechosas, así como para el análisis forense de los eventos. (PCI-DSS-v4.0) | Compruebe que las distribuciones de Amazon CloudFront estén configuradas para suministrar registros de acceso a un bucket de Amazon S3. La regla es NON_COMPLIANT si una distribución de CloudFront no tiene el registro configurado. | |
| 10.2.1 | Se han implementado registros de auditoría como apoyo para la detección de anomalías y actividades sospechosas, así como para el análisis forense de los eventos. (PCI-DSS-v4.0) | Compruebe que haya un clúster de Amazon Neptune con la exportación de registros de CloudWatch habilitada para los registros de auditoría. La regla es NON_COMPLIANT si un clúster de Neptune no tiene habilitada la exportación de registros de CloudWatch para los registros de auditoría. | |
| 10.2.1 | Se han implementado registros de auditoría como apoyo para la detección de anomalías y actividades sospechosas, así como para el análisis forense de los eventos. (PCI-DSS-v4.0) | Compruebe que logConfiguration esté configurado como activo en las definiciones de tareas de Amazon ECS. Esta regla es NON_COMPLIANT si una ECSTaskDefinition activa no tiene definido el recurso logConfiguration o si el valor de logConfiguration es nulo en al menos una definición de contenedor. | |
| 10.2.1 | Se han implementado registros de auditoría como apoyo para la detección de anomalías y actividades sospechosas, así como para el análisis forense de los eventos. (PCI-DSS-v4.0) | Nota: Para esta regla, el identificador de la regla (CLOUD_TRAIL_ENABLED) y el nombre de la regla (cloudtrail-enabled) son diferentes. Compruebe que haya un registro de seguimiento de AWS CloudTrail habilitado en su cuenta de AWS. La regla es NON_COMPLIANT si no hay ningún registro de seguimiento habilitado. De forma opcional, la regla comprueba un bucket de S3 específico, un tema de Amazon Simple Notification Service (Amazon SNS) y un grupo de registro de CloudWatch. | |
| 10.2.1 | Se han implementado registros de auditoría como apoyo para la detección de anomalías y actividades sospechosas, así como para el análisis forense de los eventos. (PCI-DSS-v4.0) | Nota: Para esta regla, el identificador de la regla (MULTI_REGION_CLOUD_TRAIL_ENABLED) y el nombre de la regla (multi-region-cloudtrail-enabled) son diferentes. Compruebe que haya al menos un AWS CloudTrail multirregión. La regla es NON_COMPLIANT si los registros de seguimiento no coinciden con los parámetros de entrada. La regla es NON_COMPLIANT si el campo ExcludeManagementEventSources no está vacío o si AWS CloudTrail está configurado para excluir los eventos de administración, como los eventos AWS KMS o los eventos de la API de datos de Amazon RDS. | |
| 10.2.1 | Se han implementado registros de auditoría como apoyo para la detección de anomalías y actividades sospechosas, así como para el análisis forense de los eventos. (PCI-DSS-v4.0) | Compruebe que haya una API de AWS AppSync con el registro habilitado. La regla es NON_COMPLIANT si el registro no está activado o si fieldLogLevel no es ERROR ni ALL. | |
| 10.2.1 | Se han implementado registros de auditoría como apoyo para la detección de anomalías y actividades sospechosas, así como para el análisis forense de los eventos. (PCI-DSS-v4.0) | Compruebe que el registro esté habilitado en las listas globales de control de acceso a la web (ACL web) clásicas de AWS WAF. La regla es NON_COMPLIANT para una ACL web global si no tiene el registro activado. | |
| 10.2.1 | Se han implementado registros de auditoría como apoyo para la detección de anomalías y actividades sospechosas, así como para el análisis forense de los eventos. (PCI-DSS-v4.0) | Compruebe que los agentes de Amazon MQ tengan habilitado el registro de auditoría de Amazon CloudWatch. La regla es NON_COMPLIANT si un agente no tiene activado el registro de auditoría. | |
| 10.2.1 | Se han implementado registros de auditoría como apoyo para la detección de anomalías y actividades sospechosas, así como para el análisis forense de los eventos. (PCI-DSS-v4.0) | Compruebe que haya un agente de Amazon MQ que tenga habilitado el registro de auditoría de CloudWatch. La regla es NON_COMPLIANT si el agente no tiene habilitado el registro de auditoría. | |
| 10.2.1 | Se han implementado registros de auditoría como apoyo para la detección de anomalías y actividades sospechosas, así como para el análisis forense de los eventos. (PCI-DSS-v4.0) | Compruebe que haya un clúster de Amazon Elastic Kubernetes Service (Amazon EKS) configurado y con el registro habilitado. La regla es NON_COMPLIANT si el registro de los clústeres de Amazon EKS no está habilitado para todos los tipos de registro. | |
| 10.2.1 | Se han implementado registros de auditoría como apoyo para la detección de anomalías y actividades sospechosas, así como para el análisis forense de los eventos. (PCI-DSS-v4.0) | Compruebe que los entornos de AWS Elastic Beanstalk estén configurados para enviar registros a Registros de Amazon CloudWatch. La regla es NON_COMPLIANT si el valor de StreamLogs es false. | |
| 10.2.1 | Se han implementado registros de auditoría como apoyo para la detección de anomalías y actividades sospechosas, así como para el análisis forense de los eventos. (PCI-DSS-v4.0) | Compruebe que la máquina de AWS Step Functions tenga habilitado el registro. La regla es NON_COMPLIANT si una máquina de estado no tiene el registro activado o si la configuración de registro no se encuentra en el nivel mínimo indicado. | |
| 10.2.1 | Se han implementado registros de auditoría como apoyo para la detección de anomalías y actividades sospechosas, así como para el análisis forense de los eventos. (PCI-DSS-v4.0) | Compruebe que los firewalls de AWS Network Firewall tengan habilitado el registro. La regla es NON_COMPLIANT si el tipo de registro no está configurado. Puede especificar qué tipo de registro desea que compruebe la regla. | |
| 10.2.1.1 | Se han implementado registros de auditoría como apoyo para la detección de anomalías y actividades sospechosas, así como para el análisis forense de los eventos. (PCI-DSS-v4.0) | Compruebe que las etapas de Amazon API Gateway V2 tengan habilitado el registro de acceso. La regla es NON_COMPLIANT si accessLogSettings no está presente en la configuración de la etapa. | |
| 10.2.1.1 | Se han implementado registros de auditoría como apoyo para la detección de anomalías y actividades sospechosas, así como para el análisis forense de los eventos. (PCI-DSS-v4.0) | Compruebe que el rastreo de AWS X-Ray esté habilitado en las API de REST de Amazon API Gateway. La regla es COMPLIANT si el rastreo de X-Ray está habilitado y NON_COMPLIANT cuando no lo está. | |
| 10.2.1.1 | Se han implementado registros de auditoría como apoyo para la detección de anomalías y actividades sospechosas, así como para el análisis forense de los eventos. (PCI-DSS-v4.0) | Compruebe que las distribuciones de Amazon CloudFront estén configuradas para suministrar registros de acceso a un bucket de Amazon S3. La regla es NON_COMPLIANT si una distribución de CloudFront no tiene el registro configurado. | |
| 10.2.1.1 | Se han implementado registros de auditoría como apoyo para la detección de anomalías y actividades sospechosas, así como para el análisis forense de los eventos. (PCI-DSS-v4.0) | Compruebe que haya un clúster de Amazon Neptune con la exportación de registros de CloudWatch habilitada para los registros de auditoría. La regla es NON_COMPLIANT si un clúster de Neptune no tiene habilitada la exportación de registros de CloudWatch para los registros de auditoría. | |
| 10.2.1.1 | Se han implementado registros de auditoría como apoyo para la detección de anomalías y actividades sospechosas, así como para el análisis forense de los eventos. (PCI-DSS-v4.0) | Compruebe que se haya habilitado la monitorización detallada para las instancias de EC2. La regla es NON_COMPLIANT si la supervisión detallada no está habilitada. | |
| 10.2.1.1 | Se han implementado registros de auditoría como apoyo para la detección de anomalías y actividades sospechosas, así como para el análisis forense de los eventos. (PCI-DSS-v4.0) | Compruebe que logConfiguration esté configurado como activo en las definiciones de tareas de Amazon ECS. Esta regla es NON_COMPLIANT si una ECSTaskDefinition activa no tiene definido el recurso logConfiguration o si el valor de logConfiguration es nulo en al menos una definición de contenedor. | |
| 10.2.1.1 | Se han implementado registros de auditoría como apoyo para la detección de anomalías y actividades sospechosas, así como para el análisis forense de los eventos. (PCI-DSS-v4.0) | Compruebe que las alarmas de CloudWatch tengan una acción configurada para los estados ALARM, INSUFFICIENT_DATA u OK. Como factor opcional, compruebe que haya acciones que coincidan con un ARN indicado. La regla es NON_COMPLIANT si no se ha especificado ninguna acción para la alarma o el parámetro opcional. | |
| 10.2.1.1 | Se han implementado registros de auditoría como apoyo para la detección de anomalías y actividades sospechosas, así como para el análisis forense de los eventos. (PCI-DSS-v4.0) | Compruebe que las alarmas de CloudWatch tengan una acción configurada para los estados ALARM, INSUFFICIENT_DATA u OK. Como factor opcional, compruebe que haya acciones que coincidan con un ARN indicado. La regla es NON_COMPLIANT si no se ha especificado ninguna acción para la alarma o el parámetro opcional. | |
| 10.2.1.1 | Se han implementado registros de auditoría como apoyo para la detección de anomalías y actividades sospechosas, así como para el análisis forense de los eventos. (PCI-DSS-v4.0) | Compruebe que las alarmas de CloudWatch tengan una acción configurada para los estados ALARM, INSUFFICIENT_DATA u OK. Como factor opcional, compruebe que haya acciones que coincidan con un ARN indicado. La regla es NON_COMPLIANT si no se ha especificado ninguna acción para la alarma o el parámetro opcional. | |
| 10.2.1.1 | Se han implementado registros de auditoría como apoyo para la detección de anomalías y actividades sospechosas, así como para el análisis forense de los eventos. (PCI-DSS-v4.0) | Compruebe que haya un tipo de recurso con una alarma de CloudWatch para la métrica indicada. Para el tipo de recurso, puede especificar volúmenes de EBS, instancias de EC2, clústeres de Amazon RDS o buckets de S3. La regla es COMPLIANT si la métrica indicada tiene un ID de recurso y una alarma de CloudWatch. | |
| 10.2.1.1 | Se han implementado registros de auditoría como apoyo para la detección de anomalías y actividades sospechosas, así como para el análisis forense de los eventos. (PCI-DSS-v4.0) | Nota: Para esta regla, el identificador de la regla (CLOUD_TRAIL_ENABLED) y el nombre de la regla (cloudtrail-enabled) son diferentes. Compruebe que haya un registro de seguimiento de AWS CloudTrail habilitado en su cuenta de AWS. La regla es NON_COMPLIANT si no hay ningún registro de seguimiento habilitado. De forma opcional, la regla comprueba un bucket de S3 específico, un tema de Amazon Simple Notification Service (Amazon SNS) y un grupo de registro de CloudWatch. | |
| 10.2.1.1 | Se han implementado registros de auditoría como apoyo para la detección de anomalías y actividades sospechosas, así como para el análisis forense de los eventos. (PCI-DSS-v4.0) | Nota: Para esta regla, el identificador de la regla (MULTI_REGION_CLOUD_TRAIL_ENABLED) y el nombre de la regla (multi-region-cloudtrail-enabled) son diferentes. Compruebe que haya al menos un AWS CloudTrail multirregión. La regla es NON_COMPLIANT si los registros de seguimiento no coinciden con los parámetros de entrada. La regla es NON_COMPLIANT si el campo ExcludeManagementEventSources no está vacío o si AWS CloudTrail está configurado para excluir los eventos de administración, como los eventos AWS KMS o los eventos de la API de datos de Amazon RDS. | |
| 10.2.1.1 | Se han implementado registros de auditoría como apoyo para la detección de anomalías y actividades sospechosas, así como para el análisis forense de los eventos. (PCI-DSS-v4.0) | Compruebe que haya una API de AWS AppSync con el registro habilitado. La regla es NON_COMPLIANT si el registro no está activado o si fieldLogLevel no es ERROR ni ALL. | |
| 10.2.1.1 | Se han implementado registros de auditoría como apoyo para la detección de anomalías y actividades sospechosas, así como para el análisis forense de los eventos. (PCI-DSS-v4.0) | Compruebe que el registro esté habilitado en las listas globales de control de acceso a la web (ACL web) clásicas de AWS WAF. La regla es NON_COMPLIANT para una ACL web global si no tiene el registro activado. | |
| 10.2.1.1 | Se han implementado registros de auditoría como apoyo para la detección de anomalías y actividades sospechosas, así como para el análisis forense de los eventos. (PCI-DSS-v4.0) | Compruebe que los agentes de Amazon MQ tengan habilitado el registro de auditoría de Amazon CloudWatch. La regla es NON_COMPLIANT si un agente no tiene activado el registro de auditoría. | |
| 10.2.1.1 | Se han implementado registros de auditoría como apoyo para la detección de anomalías y actividades sospechosas, así como para el análisis forense de los eventos. (PCI-DSS-v4.0) | Compruebe que haya un agente de Amazon MQ que tenga habilitado el registro de auditoría de CloudWatch. La regla es NON_COMPLIANT si el agente no tiene habilitado el registro de auditoría. | |
| 10.2.1.1 | Se han implementado registros de auditoría como apoyo para la detección de anomalías y actividades sospechosas, así como para el análisis forense de los eventos. (PCI-DSS-v4.0) | Compruebe que haya un clúster de Amazon Elastic Kubernetes Service (Amazon EKS) configurado y con el registro habilitado. La regla es NON_COMPLIANT si el registro de los clústeres de Amazon EKS no está habilitado para todos los tipos de registro. | |
| 10.2.1.1 | Se han implementado registros de auditoría como apoyo para la detección de anomalías y actividades sospechosas, así como para el análisis forense de los eventos. (PCI-DSS-v4.0) | Compruebe que los entornos de AWS Elastic Beanstalk estén configurados para enviar registros a Registros de Amazon CloudWatch. La regla es NON_COMPLIANT si el valor de StreamLogs es false. | |
| 10.2.1.1 | Se han implementado registros de auditoría como apoyo para la detección de anomalías y actividades sospechosas, así como para el análisis forense de los eventos. (PCI-DSS-v4.0) | Compruebe que se haya habilitado la recopilación de métricas de seguridad de Amazon CloudWatch en los grupos de reglas de AWS WAFv2. La regla es NON_COMPLIANT si el campo VisibilityConfig.CloudWatchMetricsEnabled está establecido en false. | |
| 10.2.1.1 | Se han implementado registros de auditoría como apoyo para la detección de anomalías y actividades sospechosas, así como para el análisis forense de los eventos. (PCI-DSS-v4.0) | Compruebe que el registro de Amazon Simple Notification Service (SNS) esté habilitado para el estado de entrega de los mensajes de notificación enviados a un tema para los puntos de conexión. La regla es NON_COMPLIANT si la notificación del estado de entrega de los mensajes no está habilitada. | |
| 10.2.1.1 | Se han implementado registros de auditoría como apoyo para la detección de anomalías y actividades sospechosas, así como para el análisis forense de los eventos. (PCI-DSS-v4.0) | Compruebe que la máquina de AWS Step Functions tenga habilitado el registro. La regla es NON_COMPLIANT si una máquina de estado no tiene el registro activado o si la configuración de registro no se encuentra en el nivel mínimo indicado. | |
| 10.2.1.1 | Se han implementado registros de auditoría como apoyo para la detección de anomalías y actividades sospechosas, así como para el análisis forense de los eventos. (PCI-DSS-v4.0) | Compruebe que los firewalls de AWS Network Firewall tengan habilitado el registro. La regla es NON_COMPLIANT si el tipo de registro no está configurado. Puede especificar qué tipo de registro desea que compruebe la regla. | |
| 10.2.1.2 | Se han implementado registros de auditoría como apoyo para la detección de anomalías y actividades sospechosas, así como para el análisis forense de los eventos. (PCI-DSS-v4.0) | Compruebe que las etapas de Amazon API Gateway V2 tengan habilitado el registro de acceso. La regla es NON_COMPLIANT si accessLogSettings no está presente en la configuración de la etapa. | |
| 10.2.1.2 | Se han implementado registros de auditoría como apoyo para la detección de anomalías y actividades sospechosas, así como para el análisis forense de los eventos. (PCI-DSS-v4.0) | Compruebe que el rastreo de AWS X-Ray esté habilitado en las API de REST de Amazon API Gateway. La regla es COMPLIANT si el rastreo de X-Ray está habilitado y NON_COMPLIANT cuando no lo está. | |
| 10.2.1.2 | Se han implementado registros de auditoría como apoyo para la detección de anomalías y actividades sospechosas, así como para el análisis forense de los eventos. (PCI-DSS-v4.0) | Compruebe que las distribuciones de Amazon CloudFront estén configuradas para suministrar registros de acceso a un bucket de Amazon S3. La regla es NON_COMPLIANT si una distribución de CloudFront no tiene el registro configurado. | |
| 10.2.1.2 | Se han implementado registros de auditoría como apoyo para la detección de anomalías y actividades sospechosas, así como para el análisis forense de los eventos. (PCI-DSS-v4.0) | Compruebe que haya un clúster de Amazon Neptune con la exportación de registros de CloudWatch habilitada para los registros de auditoría. La regla es NON_COMPLIANT si un clúster de Neptune no tiene habilitada la exportación de registros de CloudWatch para los registros de auditoría. | |
| 10.2.1.2 | Se han implementado registros de auditoría como apoyo para la detección de anomalías y actividades sospechosas, así como para el análisis forense de los eventos. (PCI-DSS-v4.0) | Compruebe que logConfiguration esté configurado como activo en las definiciones de tareas de Amazon ECS. Esta regla es NON_COMPLIANT si una ECSTaskDefinition activa no tiene definido el recurso logConfiguration o si el valor de logConfiguration es nulo en al menos una definición de contenedor. | |
| 10.2.1.2 | Se han implementado registros de auditoría como apoyo para la detección de anomalías y actividades sospechosas, así como para el análisis forense de los eventos. (PCI-DSS-v4.0) | Nota: Para esta regla, el identificador de la regla (CLOUD_TRAIL_ENABLED) y el nombre de la regla (cloudtrail-enabled) son diferentes. Compruebe que haya un registro de seguimiento de AWS CloudTrail habilitado en su cuenta de AWS. La regla es NON_COMPLIANT si no hay ningún registro de seguimiento habilitado. De forma opcional, la regla comprueba un bucket de S3 específico, un tema de Amazon Simple Notification Service (Amazon SNS) y un grupo de registro de CloudWatch. | |
| 10.2.1.2 | Se han implementado registros de auditoría como apoyo para la detección de anomalías y actividades sospechosas, así como para el análisis forense de los eventos. (PCI-DSS-v4.0) | Nota: Para esta regla, el identificador de la regla (MULTI_REGION_CLOUD_TRAIL_ENABLED) y el nombre de la regla (multi-region-cloudtrail-enabled) son diferentes. Compruebe que haya al menos un AWS CloudTrail multirregión. La regla es NON_COMPLIANT si los registros de seguimiento no coinciden con los parámetros de entrada. La regla es NON_COMPLIANT si el campo ExcludeManagementEventSources no está vacío o si AWS CloudTrail está configurado para excluir los eventos de administración, como los eventos AWS KMS o los eventos de la API de datos de Amazon RDS. | |
| 10.2.1.2 | Se han implementado registros de auditoría como apoyo para la detección de anomalías y actividades sospechosas, así como para el análisis forense de los eventos. (PCI-DSS-v4.0) | Compruebe que haya una API de AWS AppSync con el registro habilitado. La regla es NON_COMPLIANT si el registro no está activado o si fieldLogLevel no es ERROR ni ALL. | |
| 10.2.1.2 | Se han implementado registros de auditoría como apoyo para la detección de anomalías y actividades sospechosas, así como para el análisis forense de los eventos. (PCI-DSS-v4.0) | Compruebe que el registro esté habilitado en las listas globales de control de acceso a la web (ACL web) clásicas de AWS WAF. La regla es NON_COMPLIANT para una ACL web global si no tiene el registro activado. | |
| 10.2.1.2 | Se han implementado registros de auditoría como apoyo para la detección de anomalías y actividades sospechosas, así como para el análisis forense de los eventos. (PCI-DSS-v4.0) | Compruebe que los agentes de Amazon MQ tengan habilitado el registro de auditoría de Amazon CloudWatch. La regla es NON_COMPLIANT si un agente no tiene activado el registro de auditoría. | |
| 10.2.1.2 | Se han implementado registros de auditoría como apoyo para la detección de anomalías y actividades sospechosas, así como para el análisis forense de los eventos. (PCI-DSS-v4.0) | Compruebe que haya un agente de Amazon MQ que tenga habilitado el registro de auditoría de CloudWatch. La regla es NON_COMPLIANT si el agente no tiene habilitado el registro de auditoría. | |
| 10.2.1.2 | Se han implementado registros de auditoría como apoyo para la detección de anomalías y actividades sospechosas, así como para el análisis forense de los eventos. (PCI-DSS-v4.0) | Compruebe que haya un clúster de Amazon Elastic Kubernetes Service (Amazon EKS) configurado y con el registro habilitado. La regla es NON_COMPLIANT si el registro de los clústeres de Amazon EKS no está habilitado para todos los tipos de registro. | |
| 10.2.1.2 | Se han implementado registros de auditoría como apoyo para la detección de anomalías y actividades sospechosas, así como para el análisis forense de los eventos. (PCI-DSS-v4.0) | Compruebe que los entornos de AWS Elastic Beanstalk estén configurados para enviar registros a Registros de Amazon CloudWatch. La regla es NON_COMPLIANT si el valor de StreamLogs es false. | |
| 10.2.1.2 | Se han implementado registros de auditoría como apoyo para la detección de anomalías y actividades sospechosas, así como para el análisis forense de los eventos. (PCI-DSS-v4.0) | Compruebe que la máquina de AWS Step Functions tenga habilitado el registro. La regla es NON_COMPLIANT si una máquina de estado no tiene el registro activado o si la configuración de registro no se encuentra en el nivel mínimo indicado. | |
| 10.2.1.2 | Se han implementado registros de auditoría como apoyo para la detección de anomalías y actividades sospechosas, así como para el análisis forense de los eventos. (PCI-DSS-v4.0) | Compruebe que los firewalls de AWS Network Firewall tengan habilitado el registro. La regla es NON_COMPLIANT si el tipo de registro no está configurado. Puede especificar qué tipo de registro desea que compruebe la regla. | |
| 10.2.1.3 | Se han implementado registros de auditoría como apoyo para la detección de anomalías y actividades sospechosas, así como para el análisis forense de los eventos. (PCI-DSS-v4.0) | Compruebe que las etapas de Amazon API Gateway V2 tengan habilitado el registro de acceso. La regla es NON_COMPLIANT si accessLogSettings no está presente en la configuración de la etapa. | |
| 10.2.1.3 | Se han implementado registros de auditoría como apoyo para la detección de anomalías y actividades sospechosas, así como para el análisis forense de los eventos. (PCI-DSS-v4.0) | Compruebe que el rastreo de AWS X-Ray esté habilitado en las API de REST de Amazon API Gateway. La regla es COMPLIANT si el rastreo de X-Ray está habilitado y NON_COMPLIANT cuando no lo está. | |
| 10.2.1.3 | Se han implementado registros de auditoría como apoyo para la detección de anomalías y actividades sospechosas, así como para el análisis forense de los eventos. (PCI-DSS-v4.0) | Compruebe que las distribuciones de Amazon CloudFront estén configuradas para suministrar registros de acceso a un bucket de Amazon S3. La regla es NON_COMPLIANT si una distribución de CloudFront no tiene el registro configurado. | |
| 10.2.1.3 | Se han implementado registros de auditoría como apoyo para la detección de anomalías y actividades sospechosas, así como para el análisis forense de los eventos. (PCI-DSS-v4.0) | Compruebe que haya un clúster de Amazon Neptune con la exportación de registros de CloudWatch habilitada para los registros de auditoría. La regla es NON_COMPLIANT si un clúster de Neptune no tiene habilitada la exportación de registros de CloudWatch para los registros de auditoría. | |
| 10.2.1.3 | Se han implementado registros de auditoría como apoyo para la detección de anomalías y actividades sospechosas, así como para el análisis forense de los eventos. (PCI-DSS-v4.0) | Compruebe que logConfiguration esté configurado como activo en las definiciones de tareas de Amazon ECS. Esta regla es NON_COMPLIANT si una ECSTaskDefinition activa no tiene definido el recurso logConfiguration o si el valor de logConfiguration es nulo en al menos una definición de contenedor. | |
| 10.2.1.3 | Se han implementado registros de auditoría como apoyo para la detección de anomalías y actividades sospechosas, así como para el análisis forense de los eventos. (PCI-DSS-v4.0) | Nota: Para esta regla, el identificador de la regla (CLOUD_TRAIL_ENABLED) y el nombre de la regla (cloudtrail-enabled) son diferentes. Compruebe que haya un registro de seguimiento de AWS CloudTrail habilitado en su cuenta de AWS. La regla es NON_COMPLIANT si no hay ningún registro de seguimiento habilitado. De forma opcional, la regla comprueba un bucket de S3 específico, un tema de Amazon Simple Notification Service (Amazon SNS) y un grupo de registro de CloudWatch. | |
| 10.2.1.3 | Se han implementado registros de auditoría como apoyo para la detección de anomalías y actividades sospechosas, así como para el análisis forense de los eventos. (PCI-DSS-v4.0) | Nota: Para esta regla, el identificador de la regla (MULTI_REGION_CLOUD_TRAIL_ENABLED) y el nombre de la regla (multi-region-cloudtrail-enabled) son diferentes. Compruebe que haya al menos un AWS CloudTrail multirregión. La regla es NON_COMPLIANT si los registros de seguimiento no coinciden con los parámetros de entrada. La regla es NON_COMPLIANT si el campo ExcludeManagementEventSources no está vacío o si AWS CloudTrail está configurado para excluir los eventos de administración, como los eventos AWS KMS o los eventos de la API de datos de Amazon RDS. | |
| 10.2.1.3 | Se han implementado registros de auditoría como apoyo para la detección de anomalías y actividades sospechosas, así como para el análisis forense de los eventos. (PCI-DSS-v4.0) | Compruebe que haya una API de AWS AppSync con el registro habilitado. La regla es NON_COMPLIANT si el registro no está activado o si fieldLogLevel no es ERROR ni ALL. | |
| 10.2.1.3 | Se han implementado registros de auditoría como apoyo para la detección de anomalías y actividades sospechosas, así como para el análisis forense de los eventos. (PCI-DSS-v4.0) | Compruebe que el registro esté habilitado en las listas globales de control de acceso a la web (ACL web) clásicas de AWS WAF. La regla es NON_COMPLIANT para una ACL web global si no tiene el registro activado. | |
| 10.2.1.3 | Se han implementado registros de auditoría como apoyo para la detección de anomalías y actividades sospechosas, así como para el análisis forense de los eventos. (PCI-DSS-v4.0) | Compruebe que los agentes de Amazon MQ tengan habilitado el registro de auditoría de Amazon CloudWatch. La regla es NON_COMPLIANT si un agente no tiene activado el registro de auditoría. | |
| 10.2.1.3 | Se han implementado registros de auditoría como apoyo para la detección de anomalías y actividades sospechosas, así como para el análisis forense de los eventos. (PCI-DSS-v4.0) | Compruebe que haya un agente de Amazon MQ que tenga habilitado el registro de auditoría de CloudWatch. La regla es NON_COMPLIANT si el agente no tiene habilitado el registro de auditoría. | |
| 10.2.1.3 | Se han implementado registros de auditoría como apoyo para la detección de anomalías y actividades sospechosas, así como para el análisis forense de los eventos. (PCI-DSS-v4.0) | Compruebe que haya un clúster de Amazon Elastic Kubernetes Service (Amazon EKS) configurado y con el registro habilitado. La regla es NON_COMPLIANT si el registro de los clústeres de Amazon EKS no está habilitado para todos los tipos de registro. | |
| 10.2.1.3 | Se han implementado registros de auditoría como apoyo para la detección de anomalías y actividades sospechosas, así como para el análisis forense de los eventos. (PCI-DSS-v4.0) | Compruebe que los entornos de AWS Elastic Beanstalk estén configurados para enviar registros a Registros de Amazon CloudWatch. La regla es NON_COMPLIANT si el valor de StreamLogs es false. | |
| 10.2.1.3 | Se han implementado registros de auditoría como apoyo para la detección de anomalías y actividades sospechosas, así como para el análisis forense de los eventos. (PCI-DSS-v4.0) | Compruebe que la máquina de AWS Step Functions tenga habilitado el registro. La regla es NON_COMPLIANT si una máquina de estado no tiene el registro activado o si la configuración de registro no se encuentra en el nivel mínimo indicado. | |
| 10.2.1.3 | Se han implementado registros de auditoría como apoyo para la detección de anomalías y actividades sospechosas, así como para el análisis forense de los eventos. (PCI-DSS-v4.0) | Compruebe que los firewalls de AWS Network Firewall tengan habilitado el registro. La regla es NON_COMPLIANT si el tipo de registro no está configurado. Puede especificar qué tipo de registro desea que compruebe la regla. | |
| 10.2.1.4 | Se han implementado registros de auditoría como apoyo para la detección de anomalías y actividades sospechosas, así como para el análisis forense de los eventos. (PCI-DSS-v4.0) | Compruebe que las etapas de Amazon API Gateway V2 tengan habilitado el registro de acceso. La regla es NON_COMPLIANT si accessLogSettings no está presente en la configuración de la etapa. | |
| 10.2.1.4 | Se han implementado registros de auditoría como apoyo para la detección de anomalías y actividades sospechosas, así como para el análisis forense de los eventos. (PCI-DSS-v4.0) | Compruebe que el rastreo de AWS X-Ray esté habilitado en las API de REST de Amazon API Gateway. La regla es COMPLIANT si el rastreo de X-Ray está habilitado y NON_COMPLIANT cuando no lo está. | |
| 10.2.1.4 | Se han implementado registros de auditoría como apoyo para la detección de anomalías y actividades sospechosas, así como para el análisis forense de los eventos. (PCI-DSS-v4.0) | Compruebe que las distribuciones de Amazon CloudFront estén configuradas para suministrar registros de acceso a un bucket de Amazon S3. La regla es NON_COMPLIANT si una distribución de CloudFront no tiene el registro configurado. | |
| 10.2.1.4 | Se han implementado registros de auditoría como apoyo para la detección de anomalías y actividades sospechosas, así como para el análisis forense de los eventos. (PCI-DSS-v4.0) | Compruebe que haya un clúster de Amazon Neptune con la exportación de registros de CloudWatch habilitada para los registros de auditoría. La regla es NON_COMPLIANT si un clúster de Neptune no tiene habilitada la exportación de registros de CloudWatch para los registros de auditoría. | |
| 10.2.1.4 | Se han implementado registros de auditoría como apoyo para la detección de anomalías y actividades sospechosas, así como para el análisis forense de los eventos. (PCI-DSS-v4.0) | Compruebe que logConfiguration esté configurado como activo en las definiciones de tareas de Amazon ECS. Esta regla es NON_COMPLIANT si una ECSTaskDefinition activa no tiene definido el recurso logConfiguration o si el valor de logConfiguration es nulo en al menos una definición de contenedor. | |
| 10.2.1.4 | Se han implementado registros de auditoría como apoyo para la detección de anomalías y actividades sospechosas, así como para el análisis forense de los eventos. (PCI-DSS-v4.0) | Nota: Para esta regla, el identificador de la regla (CLOUD_TRAIL_ENABLED) y el nombre de la regla (cloudtrail-enabled) son diferentes. Compruebe que haya un registro de seguimiento de AWS CloudTrail habilitado en su cuenta de AWS. La regla es NON_COMPLIANT si no hay ningún registro de seguimiento habilitado. De forma opcional, la regla comprueba un bucket de S3 específico, un tema de Amazon Simple Notification Service (Amazon SNS) y un grupo de registro de CloudWatch. | |
| 10.2.1.4 | Se han implementado registros de auditoría como apoyo para la detección de anomalías y actividades sospechosas, así como para el análisis forense de los eventos. (PCI-DSS-v4.0) | Nota: Para esta regla, el identificador de la regla (MULTI_REGION_CLOUD_TRAIL_ENABLED) y el nombre de la regla (multi-region-cloudtrail-enabled) son diferentes. Compruebe que haya al menos un AWS CloudTrail multirregión. La regla es NON_COMPLIANT si los registros de seguimiento no coinciden con los parámetros de entrada. La regla es NON_COMPLIANT si el campo ExcludeManagementEventSources no está vacío o si AWS CloudTrail está configurado para excluir los eventos de administración, como los eventos AWS KMS o los eventos de la API de datos de Amazon RDS. | |
| 10.2.1.4 | Se han implementado registros de auditoría como apoyo para la detección de anomalías y actividades sospechosas, así como para el análisis forense de los eventos. (PCI-DSS-v4.0) | Compruebe que haya una API de AWS AppSync con el registro habilitado. La regla es NON_COMPLIANT si el registro no está activado o si fieldLogLevel no es ERROR ni ALL. | |
| 10.2.1.4 | Se han implementado registros de auditoría como apoyo para la detección de anomalías y actividades sospechosas, así como para el análisis forense de los eventos. (PCI-DSS-v4.0) | Compruebe que el registro esté habilitado en las listas globales de control de acceso a la web (ACL web) clásicas de AWS WAF. La regla es NON_COMPLIANT para una ACL web global si no tiene el registro activado. | |
| 10.2.1.4 | Se han implementado registros de auditoría como apoyo para la detección de anomalías y actividades sospechosas, así como para el análisis forense de los eventos. (PCI-DSS-v4.0) | Compruebe que los agentes de Amazon MQ tengan habilitado el registro de auditoría de Amazon CloudWatch. La regla es NON_COMPLIANT si un agente no tiene activado el registro de auditoría. | |
| 10.2.1.4 | Se han implementado registros de auditoría como apoyo para la detección de anomalías y actividades sospechosas, así como para el análisis forense de los eventos. (PCI-DSS-v4.0) | Compruebe que haya un agente de Amazon MQ que tenga habilitado el registro de auditoría de CloudWatch. La regla es NON_COMPLIANT si el agente no tiene habilitado el registro de auditoría. | |
| 10.2.1.4 | Se han implementado registros de auditoría como apoyo para la detección de anomalías y actividades sospechosas, así como para el análisis forense de los eventos. (PCI-DSS-v4.0) | Compruebe que haya un clúster de Amazon Elastic Kubernetes Service (Amazon EKS) configurado y con el registro habilitado. La regla es NON_COMPLIANT si el registro de los clústeres de Amazon EKS no está habilitado para todos los tipos de registro. | |
| 10.2.1.4 | Se han implementado registros de auditoría como apoyo para la detección de anomalías y actividades sospechosas, así como para el análisis forense de los eventos. (PCI-DSS-v4.0) | Compruebe que los entornos de AWS Elastic Beanstalk estén configurados para enviar registros a Registros de Amazon CloudWatch. La regla es NON_COMPLIANT si el valor de StreamLogs es false. | |
| 10.2.1.4 | Se han implementado registros de auditoría como apoyo para la detección de anomalías y actividades sospechosas, así como para el análisis forense de los eventos. (PCI-DSS-v4.0) | Compruebe que la máquina de AWS Step Functions tenga habilitado el registro. La regla es NON_COMPLIANT si una máquina de estado no tiene el registro activado o si la configuración de registro no se encuentra en el nivel mínimo indicado. | |
| 10.2.1.4 | Se han implementado registros de auditoría como apoyo para la detección de anomalías y actividades sospechosas, así como para el análisis forense de los eventos. (PCI-DSS-v4.0) | Compruebe que los firewalls de AWS Network Firewall tengan habilitado el registro. La regla es NON_COMPLIANT si el tipo de registro no está configurado. Puede especificar qué tipo de registro desea que compruebe la regla. | |
| 10.2.1.5 | Se han implementado registros de auditoría como apoyo para la detección de anomalías y actividades sospechosas, así como para el análisis forense de los eventos. (PCI-DSS-v4.0) | Compruebe que las etapas de Amazon API Gateway V2 tengan habilitado el registro de acceso. La regla es NON_COMPLIANT si accessLogSettings no está presente en la configuración de la etapa. | |
| 10.2.1.5 | Se han implementado registros de auditoría como apoyo para la detección de anomalías y actividades sospechosas, así como para el análisis forense de los eventos. (PCI-DSS-v4.0) | Compruebe que el rastreo de AWS X-Ray esté habilitado en las API de REST de Amazon API Gateway. La regla es COMPLIANT si el rastreo de X-Ray está habilitado y NON_COMPLIANT cuando no lo está. | |
| 10.2.1.5 | Se han implementado registros de auditoría como apoyo para la detección de anomalías y actividades sospechosas, así como para el análisis forense de los eventos. (PCI-DSS-v4.0) | Compruebe que las distribuciones de Amazon CloudFront estén configuradas para suministrar registros de acceso a un bucket de Amazon S3. La regla es NON_COMPLIANT si una distribución de CloudFront no tiene el registro configurado. | |
| 10.2.1.5 | Se han implementado registros de auditoría como apoyo para la detección de anomalías y actividades sospechosas, así como para el análisis forense de los eventos. (PCI-DSS-v4.0) | Compruebe que haya un clúster de Amazon Neptune con la exportación de registros de CloudWatch habilitada para los registros de auditoría. La regla es NON_COMPLIANT si un clúster de Neptune no tiene habilitada la exportación de registros de CloudWatch para los registros de auditoría. | |
| 10.2.1.5 | Se han implementado registros de auditoría como apoyo para la detección de anomalías y actividades sospechosas, así como para el análisis forense de los eventos. (PCI-DSS-v4.0) | Compruebe que logConfiguration esté configurado como activo en las definiciones de tareas de Amazon ECS. Esta regla es NON_COMPLIANT si una ECSTaskDefinition activa no tiene definido el recurso logConfiguration o si el valor de logConfiguration es nulo en al menos una definición de contenedor. | |
| 10.2.1.5 | Se han implementado registros de auditoría como apoyo para la detección de anomalías y actividades sospechosas, así como para el análisis forense de los eventos. (PCI-DSS-v4.0) | Nota: Para esta regla, el identificador de la regla (CLOUD_TRAIL_ENABLED) y el nombre de la regla (cloudtrail-enabled) son diferentes. Compruebe que haya un registro de seguimiento de AWS CloudTrail habilitado en su cuenta de AWS. La regla es NON_COMPLIANT si no hay ningún registro de seguimiento habilitado. De forma opcional, la regla comprueba un bucket de S3 específico, un tema de Amazon Simple Notification Service (Amazon SNS) y un grupo de registro de CloudWatch. | |
| 10.2.1.5 | Se han implementado registros de auditoría como apoyo para la detección de anomalías y actividades sospechosas, así como para el análisis forense de los eventos. (PCI-DSS-v4.0) | Nota: Para esta regla, el identificador de la regla (MULTI_REGION_CLOUD_TRAIL_ENABLED) y el nombre de la regla (multi-region-cloudtrail-enabled) son diferentes. Compruebe que haya al menos un AWS CloudTrail multirregión. La regla es NON_COMPLIANT si los registros de seguimiento no coinciden con los parámetros de entrada. La regla es NON_COMPLIANT si el campo ExcludeManagementEventSources no está vacío o si AWS CloudTrail está configurado para excluir los eventos de administración, como los eventos AWS KMS o los eventos de la API de datos de Amazon RDS. | |
| 10.2.1.5 | Se han implementado registros de auditoría como apoyo para la detección de anomalías y actividades sospechosas, así como para el análisis forense de los eventos. (PCI-DSS-v4.0) | Compruebe que haya una API de AWS AppSync con el registro habilitado. La regla es NON_COMPLIANT si el registro no está activado o si fieldLogLevel no es ERROR ni ALL. | |
| 10.2.1.5 | Se han implementado registros de auditoría como apoyo para la detección de anomalías y actividades sospechosas, así como para el análisis forense de los eventos. (PCI-DSS-v4.0) | Compruebe que el registro esté habilitado en las listas globales de control de acceso a la web (ACL web) clásicas de AWS WAF. La regla es NON_COMPLIANT para una ACL web global si no tiene el registro activado. | |
| 10.2.1.5 | Se han implementado registros de auditoría como apoyo para la detección de anomalías y actividades sospechosas, así como para el análisis forense de los eventos. (PCI-DSS-v4.0) | Compruebe que los agentes de Amazon MQ tengan habilitado el registro de auditoría de Amazon CloudWatch. La regla es NON_COMPLIANT si un agente no tiene activado el registro de auditoría. | |
| 10.2.1.5 | Se han implementado registros de auditoría como apoyo para la detección de anomalías y actividades sospechosas, así como para el análisis forense de los eventos. (PCI-DSS-v4.0) | Compruebe que haya un agente de Amazon MQ que tenga habilitado el registro de auditoría de CloudWatch. La regla es NON_COMPLIANT si el agente no tiene habilitado el registro de auditoría. | |
| 10.2.1.5 | Se han implementado registros de auditoría como apoyo para la detección de anomalías y actividades sospechosas, así como para el análisis forense de los eventos. (PCI-DSS-v4.0) | Compruebe que haya un clúster de Amazon Elastic Kubernetes Service (Amazon EKS) configurado y con el registro habilitado. La regla es NON_COMPLIANT si el registro de los clústeres de Amazon EKS no está habilitado para todos los tipos de registro. | |
| 10.2.1.5 | Se han implementado registros de auditoría como apoyo para la detección de anomalías y actividades sospechosas, así como para el análisis forense de los eventos. (PCI-DSS-v4.0) | Compruebe que los entornos de AWS Elastic Beanstalk estén configurados para enviar registros a Registros de Amazon CloudWatch. La regla es NON_COMPLIANT si el valor de StreamLogs es false. | |
| 10.2.1.5 | Se han implementado registros de auditoría como apoyo para la detección de anomalías y actividades sospechosas, así como para el análisis forense de los eventos. (PCI-DSS-v4.0) | Compruebe que la máquina de AWS Step Functions tenga habilitado el registro. La regla es NON_COMPLIANT si una máquina de estado no tiene el registro activado o si la configuración de registro no se encuentra en el nivel mínimo indicado. | |
| 10.2.1.5 | Se han implementado registros de auditoría como apoyo para la detección de anomalías y actividades sospechosas, así como para el análisis forense de los eventos. (PCI-DSS-v4.0) | Compruebe que los firewalls de AWS Network Firewall tengan habilitado el registro. La regla es NON_COMPLIANT si el tipo de registro no está configurado. Puede especificar qué tipo de registro desea que compruebe la regla. | |
| 10.2.1.6 | Se han implementado registros de auditoría como apoyo para la detección de anomalías y actividades sospechosas, así como para el análisis forense de los eventos. (PCI-DSS-v4.0) | Compruebe que las etapas de Amazon API Gateway V2 tengan habilitado el registro de acceso. La regla es NON_COMPLIANT si accessLogSettings no está presente en la configuración de la etapa. | |
| 10.2.1.6 | Se han implementado registros de auditoría como apoyo para la detección de anomalías y actividades sospechosas, así como para el análisis forense de los eventos. (PCI-DSS-v4.0) | Compruebe que el rastreo de AWS X-Ray esté habilitado en las API de REST de Amazon API Gateway. La regla es COMPLIANT si el rastreo de X-Ray está habilitado y NON_COMPLIANT cuando no lo está. | |
| 10.2.1.6 | Se han implementado registros de auditoría como apoyo para la detección de anomalías y actividades sospechosas, así como para el análisis forense de los eventos. (PCI-DSS-v4.0) | Compruebe que las distribuciones de Amazon CloudFront estén configuradas para suministrar registros de acceso a un bucket de Amazon S3. La regla es NON_COMPLIANT si una distribución de CloudFront no tiene el registro configurado. | |
| 10.2.1.6 | Se han implementado registros de auditoría como apoyo para la detección de anomalías y actividades sospechosas, así como para el análisis forense de los eventos. (PCI-DSS-v4.0) | Compruebe que haya un clúster de Amazon Neptune con la exportación de registros de CloudWatch habilitada para los registros de auditoría. La regla es NON_COMPLIANT si un clúster de Neptune no tiene habilitada la exportación de registros de CloudWatch para los registros de auditoría. | |
| 10.2.1.6 | Se han implementado registros de auditoría como apoyo para la detección de anomalías y actividades sospechosas, así como para el análisis forense de los eventos. (PCI-DSS-v4.0) | Compruebe que logConfiguration esté configurado como activo en las definiciones de tareas de Amazon ECS. Esta regla es NON_COMPLIANT si una ECSTaskDefinition activa no tiene definido el recurso logConfiguration o si el valor de logConfiguration es nulo en al menos una definición de contenedor. | |
| 10.2.1.6 | Se han implementado registros de auditoría como apoyo para la detección de anomalías y actividades sospechosas, así como para el análisis forense de los eventos. (PCI-DSS-v4.0) | Nota: Para esta regla, el identificador de la regla (CLOUD_TRAIL_ENABLED) y el nombre de la regla (cloudtrail-enabled) son diferentes. Compruebe que haya un registro de seguimiento de AWS CloudTrail habilitado en su cuenta de AWS. La regla es NON_COMPLIANT si no hay ningún registro de seguimiento habilitado. De forma opcional, la regla comprueba un bucket de S3 específico, un tema de Amazon Simple Notification Service (Amazon SNS) y un grupo de registro de CloudWatch. | |
| 10.2.1.6 | Se han implementado registros de auditoría como apoyo para la detección de anomalías y actividades sospechosas, así como para el análisis forense de los eventos. (PCI-DSS-v4.0) | Nota: Para esta regla, el identificador de la regla (MULTI_REGION_CLOUD_TRAIL_ENABLED) y el nombre de la regla (multi-region-cloudtrail-enabled) son diferentes. Compruebe que haya al menos un AWS CloudTrail multirregión. La regla es NON_COMPLIANT si los registros de seguimiento no coinciden con los parámetros de entrada. La regla es NON_COMPLIANT si el campo ExcludeManagementEventSources no está vacío o si AWS CloudTrail está configurado para excluir los eventos de administración, como los eventos AWS KMS o los eventos de la API de datos de Amazon RDS. | |
| 10.2.1.6 | Se han implementado registros de auditoría como apoyo para la detección de anomalías y actividades sospechosas, así como para el análisis forense de los eventos. (PCI-DSS-v4.0) | Compruebe que haya una API de AWS AppSync con el registro habilitado. La regla es NON_COMPLIANT si el registro no está activado o si fieldLogLevel no es ERROR ni ALL. | |
| 10.2.1.6 | Se han implementado registros de auditoría como apoyo para la detección de anomalías y actividades sospechosas, así como para el análisis forense de los eventos. (PCI-DSS-v4.0) | Compruebe que el registro esté habilitado en las listas globales de control de acceso a la web (ACL web) clásicas de AWS WAF. La regla es NON_COMPLIANT para una ACL web global si no tiene el registro activado. | |
| 10.2.1.6 | Se han implementado registros de auditoría como apoyo para la detección de anomalías y actividades sospechosas, así como para el análisis forense de los eventos. (PCI-DSS-v4.0) | Compruebe que los agentes de Amazon MQ tengan habilitado el registro de auditoría de Amazon CloudWatch. La regla es NON_COMPLIANT si un agente no tiene activado el registro de auditoría. | |
| 10.2.1.6 | Se han implementado registros de auditoría como apoyo para la detección de anomalías y actividades sospechosas, así como para el análisis forense de los eventos. (PCI-DSS-v4.0) | Compruebe que haya un agente de Amazon MQ que tenga habilitado el registro de auditoría de CloudWatch. La regla es NON_COMPLIANT si el agente no tiene habilitado el registro de auditoría. | |
| 10.2.1.6 | Se han implementado registros de auditoría como apoyo para la detección de anomalías y actividades sospechosas, así como para el análisis forense de los eventos. (PCI-DSS-v4.0) | Compruebe que haya un clúster de Amazon Elastic Kubernetes Service (Amazon EKS) configurado y con el registro habilitado. La regla es NON_COMPLIANT si el registro de los clústeres de Amazon EKS no está habilitado para todos los tipos de registro. | |
| 10.2.1.6 | Se han implementado registros de auditoría como apoyo para la detección de anomalías y actividades sospechosas, así como para el análisis forense de los eventos. (PCI-DSS-v4.0) | Compruebe que los entornos de AWS Elastic Beanstalk estén configurados para enviar registros a Registros de Amazon CloudWatch. La regla es NON_COMPLIANT si el valor de StreamLogs es false. | |
| 10.2.1.6 | Se han implementado registros de auditoría como apoyo para la detección de anomalías y actividades sospechosas, así como para el análisis forense de los eventos. (PCI-DSS-v4.0) | Compruebe que la máquina de AWS Step Functions tenga habilitado el registro. La regla es NON_COMPLIANT si una máquina de estado no tiene el registro activado o si la configuración de registro no se encuentra en el nivel mínimo indicado. | |
| 10.2.1.6 | Se han implementado registros de auditoría como apoyo para la detección de anomalías y actividades sospechosas, así como para el análisis forense de los eventos. (PCI-DSS-v4.0) | Compruebe que los firewalls de AWS Network Firewall tengan habilitado el registro. La regla es NON_COMPLIANT si el tipo de registro no está configurado. Puede especificar qué tipo de registro desea que compruebe la regla. | |
| 10.2.1.7 | Se han implementado registros de auditoría como apoyo para la detección de anomalías y actividades sospechosas, así como para el análisis forense de los eventos. (PCI-DSS-v4.0) | Compruebe que las etapas de Amazon API Gateway V2 tengan habilitado el registro de acceso. La regla es NON_COMPLIANT si accessLogSettings no está presente en la configuración de la etapa. | |
| 10.2.1.7 | Se han implementado registros de auditoría como apoyo para la detección de anomalías y actividades sospechosas, así como para el análisis forense de los eventos. (PCI-DSS-v4.0) | Compruebe que el rastreo de AWS X-Ray esté habilitado en las API de REST de Amazon API Gateway. La regla es COMPLIANT si el rastreo de X-Ray está habilitado y NON_COMPLIANT cuando no lo está. | |
| 10.2.1.7 | Se han implementado registros de auditoría como apoyo para la detección de anomalías y actividades sospechosas, así como para el análisis forense de los eventos. (PCI-DSS-v4.0) | Compruebe que las distribuciones de Amazon CloudFront estén configuradas para suministrar registros de acceso a un bucket de Amazon S3. La regla es NON_COMPLIANT si una distribución de CloudFront no tiene el registro configurado. | |
| 10.2.1.7 | Se han implementado registros de auditoría como apoyo para la detección de anomalías y actividades sospechosas, así como para el análisis forense de los eventos. (PCI-DSS-v4.0) | Compruebe que haya un clúster de Amazon Neptune con la exportación de registros de CloudWatch habilitada para los registros de auditoría. La regla es NON_COMPLIANT si un clúster de Neptune no tiene habilitada la exportación de registros de CloudWatch para los registros de auditoría. | |
| 10.2.1.7 | Se han implementado registros de auditoría como apoyo para la detección de anomalías y actividades sospechosas, así como para el análisis forense de los eventos. (PCI-DSS-v4.0) | Compruebe que logConfiguration esté configurado como activo en las definiciones de tareas de Amazon ECS. Esta regla es NON_COMPLIANT si una ECSTaskDefinition activa no tiene definido el recurso logConfiguration o si el valor de logConfiguration es nulo en al menos una definición de contenedor. | |
| 10.2.1.7 | Se han implementado registros de auditoría como apoyo para la detección de anomalías y actividades sospechosas, así como para el análisis forense de los eventos. (PCI-DSS-v4.0) | Nota: Para esta regla, el identificador de la regla (CLOUD_TRAIL_ENABLED) y el nombre de la regla (cloudtrail-enabled) son diferentes. Compruebe que haya un registro de seguimiento de AWS CloudTrail habilitado en su cuenta de AWS. La regla es NON_COMPLIANT si no hay ningún registro de seguimiento habilitado. De forma opcional, la regla comprueba un bucket de S3 específico, un tema de Amazon Simple Notification Service (Amazon SNS) y un grupo de registro de CloudWatch. | |
| 10.2.1.7 | Se han implementado registros de auditoría como apoyo para la detección de anomalías y actividades sospechosas, así como para el análisis forense de los eventos. (PCI-DSS-v4.0) | Nota: Para esta regla, el identificador de la regla (MULTI_REGION_CLOUD_TRAIL_ENABLED) y el nombre de la regla (multi-region-cloudtrail-enabled) son diferentes. Compruebe que haya al menos un AWS CloudTrail multirregión. La regla es NON_COMPLIANT si los registros de seguimiento no coinciden con los parámetros de entrada. La regla es NON_COMPLIANT si el campo ExcludeManagementEventSources no está vacío o si AWS CloudTrail está configurado para excluir los eventos de administración, como los eventos AWS KMS o los eventos de la API de datos de Amazon RDS. | |
| 10.2.1.7 | Se han implementado registros de auditoría como apoyo para la detección de anomalías y actividades sospechosas, así como para el análisis forense de los eventos. (PCI-DSS-v4.0) | Compruebe que haya una API de AWS AppSync con el registro habilitado. La regla es NON_COMPLIANT si el registro no está activado o si fieldLogLevel no es ERROR ni ALL. | |
| 10.2.1.7 | Se han implementado registros de auditoría como apoyo para la detección de anomalías y actividades sospechosas, así como para el análisis forense de los eventos. (PCI-DSS-v4.0) | Compruebe que el registro esté habilitado en las listas globales de control de acceso a la web (ACL web) clásicas de AWS WAF. La regla es NON_COMPLIANT para una ACL web global si no tiene el registro activado. | |
| 10.2.1.7 | Se han implementado registros de auditoría como apoyo para la detección de anomalías y actividades sospechosas, así como para el análisis forense de los eventos. (PCI-DSS-v4.0) | Compruebe que los agentes de Amazon MQ tengan habilitado el registro de auditoría de Amazon CloudWatch. La regla es NON_COMPLIANT si un agente no tiene activado el registro de auditoría. | |
| 10.2.1.7 | Se han implementado registros de auditoría como apoyo para la detección de anomalías y actividades sospechosas, así como para el análisis forense de los eventos. (PCI-DSS-v4.0) | Compruebe que haya un agente de Amazon MQ que tenga habilitado el registro de auditoría de CloudWatch. La regla es NON_COMPLIANT si el agente no tiene habilitado el registro de auditoría. | |
| 10.2.1.7 | Se han implementado registros de auditoría como apoyo para la detección de anomalías y actividades sospechosas, así como para el análisis forense de los eventos. (PCI-DSS-v4.0) | Compruebe que haya un clúster de Amazon Elastic Kubernetes Service (Amazon EKS) configurado y con el registro habilitado. La regla es NON_COMPLIANT si el registro de los clústeres de Amazon EKS no está habilitado para todos los tipos de registro. | |
| 10.2.1.7 | Se han implementado registros de auditoría como apoyo para la detección de anomalías y actividades sospechosas, así como para el análisis forense de los eventos. (PCI-DSS-v4.0) | Compruebe que los entornos de AWS Elastic Beanstalk estén configurados para enviar registros a Registros de Amazon CloudWatch. La regla es NON_COMPLIANT si el valor de StreamLogs es false. | |
| 10.2.1.7 | Se han implementado registros de auditoría como apoyo para la detección de anomalías y actividades sospechosas, así como para el análisis forense de los eventos. (PCI-DSS-v4.0) | Compruebe que la máquina de AWS Step Functions tenga habilitado el registro. La regla es NON_COMPLIANT si una máquina de estado no tiene el registro activado o si la configuración de registro no se encuentra en el nivel mínimo indicado. | |
| 10.2.1.7 | Se han implementado registros de auditoría como apoyo para la detección de anomalías y actividades sospechosas, así como para el análisis forense de los eventos. (PCI-DSS-v4.0) | Compruebe que los firewalls de AWS Network Firewall tengan habilitado el registro. La regla es NON_COMPLIANT si el tipo de registro no está configurado. Puede especificar qué tipo de registro desea que compruebe la regla. | |
| 10.2.2 | Se han implementado registros de auditoría como apoyo para la detección de anomalías y actividades sospechosas, así como para el análisis forense de los eventos. (PCI-DSS-v4.0) | Compruebe que las etapas de Amazon API Gateway V2 tengan habilitado el registro de acceso. La regla es NON_COMPLIANT si accessLogSettings no está presente en la configuración de la etapa. | |
| 10.2.2 | Se han implementado registros de auditoría como apoyo para la detección de anomalías y actividades sospechosas, así como para el análisis forense de los eventos. (PCI-DSS-v4.0) | Compruebe que el rastreo de AWS X-Ray esté habilitado en las API de REST de Amazon API Gateway. La regla es COMPLIANT si el rastreo de X-Ray está habilitado y NON_COMPLIANT cuando no lo está. | |
| 10.2.2 | Se han implementado registros de auditoría como apoyo para la detección de anomalías y actividades sospechosas, así como para el análisis forense de los eventos. (PCI-DSS-v4.0) | Compruebe que las distribuciones de Amazon CloudFront estén configuradas para suministrar registros de acceso a un bucket de Amazon S3. La regla es NON_COMPLIANT si una distribución de CloudFront no tiene el registro configurado. | |
| 10.2.2 | Se han implementado registros de auditoría como apoyo para la detección de anomalías y actividades sospechosas, así como para el análisis forense de los eventos. (PCI-DSS-v4.0) | Compruebe que haya un clúster de Amazon Neptune con la exportación de registros de CloudWatch habilitada para los registros de auditoría. La regla es NON_COMPLIANT si un clúster de Neptune no tiene habilitada la exportación de registros de CloudWatch para los registros de auditoría. | |
| 10.2.2 | Se han implementado registros de auditoría como apoyo para la detección de anomalías y actividades sospechosas, así como para el análisis forense de los eventos. (PCI-DSS-v4.0) | Compruebe que logConfiguration esté configurado como activo en las definiciones de tareas de Amazon ECS. Esta regla es NON_COMPLIANT si una ECSTaskDefinition activa no tiene definido el recurso logConfiguration o si el valor de logConfiguration es nulo en al menos una definición de contenedor. | |
| 10.2.2 | Se han implementado registros de auditoría como apoyo para la detección de anomalías y actividades sospechosas, así como para el análisis forense de los eventos. (PCI-DSS-v4.0) | Nota: Para esta regla, el identificador de la regla (CLOUD_TRAIL_ENABLED) y el nombre de la regla (cloudtrail-enabled) son diferentes. Compruebe que haya un registro de seguimiento de AWS CloudTrail habilitado en su cuenta de AWS. La regla es NON_COMPLIANT si no hay ningún registro de seguimiento habilitado. De forma opcional, la regla comprueba un bucket de S3 específico, un tema de Amazon Simple Notification Service (Amazon SNS) y un grupo de registro de CloudWatch. | |
| 10.2.2 | Se han implementado registros de auditoría como apoyo para la detección de anomalías y actividades sospechosas, así como para el análisis forense de los eventos. (PCI-DSS-v4.0) | Nota: Para esta regla, el identificador de la regla (MULTI_REGION_CLOUD_TRAIL_ENABLED) y el nombre de la regla (multi-region-cloudtrail-enabled) son diferentes. Compruebe que haya al menos un AWS CloudTrail multirregión. La regla es NON_COMPLIANT si los registros de seguimiento no coinciden con los parámetros de entrada. La regla es NON_COMPLIANT si el campo ExcludeManagementEventSources no está vacío o si AWS CloudTrail está configurado para excluir los eventos de administración, como los eventos AWS KMS o los eventos de la API de datos de Amazon RDS. | |
| 10.2.2 | Se han implementado registros de auditoría como apoyo para la detección de anomalías y actividades sospechosas, así como para el análisis forense de los eventos. (PCI-DSS-v4.0) | Compruebe que haya una API de AWS AppSync con el registro habilitado. La regla es NON_COMPLIANT si el registro no está activado o si fieldLogLevel no es ERROR ni ALL. | |
| 10.2.2 | Se han implementado registros de auditoría como apoyo para la detección de anomalías y actividades sospechosas, así como para el análisis forense de los eventos. (PCI-DSS-v4.0) | Compruebe que el registro esté habilitado en las listas globales de control de acceso a la web (ACL web) clásicas de AWS WAF. La regla es NON_COMPLIANT para una ACL web global si no tiene el registro activado. | |
| 10.2.2 | Se han implementado registros de auditoría como apoyo para la detección de anomalías y actividades sospechosas, así como para el análisis forense de los eventos. (PCI-DSS-v4.0) | Compruebe que los agentes de Amazon MQ tengan habilitado el registro de auditoría de Amazon CloudWatch. La regla es NON_COMPLIANT si un agente no tiene activado el registro de auditoría. | |
| 10.2.2 | Se han implementado registros de auditoría como apoyo para la detección de anomalías y actividades sospechosas, así como para el análisis forense de los eventos. (PCI-DSS-v4.0) | Compruebe que haya un agente de Amazon MQ que tenga habilitado el registro de auditoría de CloudWatch. La regla es NON_COMPLIANT si el agente no tiene habilitado el registro de auditoría. | |
| 10.2.2 | Se han implementado registros de auditoría como apoyo para la detección de anomalías y actividades sospechosas, así como para el análisis forense de los eventos. (PCI-DSS-v4.0) | Compruebe que haya un clúster de Amazon Elastic Kubernetes Service (Amazon EKS) configurado y con el registro habilitado. La regla es NON_COMPLIANT si el registro de los clústeres de Amazon EKS no está habilitado para todos los tipos de registro. | |
| 10.2.2 | Se han implementado registros de auditoría como apoyo para la detección de anomalías y actividades sospechosas, así como para el análisis forense de los eventos. (PCI-DSS-v4.0) | Compruebe que los entornos de AWS Elastic Beanstalk estén configurados para enviar registros a Registros de Amazon CloudWatch. La regla es NON_COMPLIANT si el valor de StreamLogs es false. | |
| 10.2.2 | Se han implementado registros de auditoría como apoyo para la detección de anomalías y actividades sospechosas, así como para el análisis forense de los eventos. (PCI-DSS-v4.0) | Compruebe que la máquina de AWS Step Functions tenga habilitado el registro. La regla es NON_COMPLIANT si una máquina de estado no tiene el registro activado o si la configuración de registro no se encuentra en el nivel mínimo indicado. | |
| 10.2.2 | Se han implementado registros de auditoría como apoyo para la detección de anomalías y actividades sospechosas, así como para el análisis forense de los eventos. (PCI-DSS-v4.0) | Compruebe que los firewalls de AWS Network Firewall tengan habilitado el registro. La regla es NON_COMPLIANT si el tipo de registro no está configurado. Puede especificar qué tipo de registro desea que compruebe la regla. | |
| 10.3.1 | Los registros de auditoría están protegidos frente a la destrucción y las modificaciones no autorizadas. (PCI-DSS-v4.0) | Compruebe que las etapas de Amazon API Gateway V2 tengan habilitado el registro de acceso. La regla es NON_COMPLIANT si accessLogSettings no está presente en la configuración de la etapa. | |
| 10.3.1 | Los registros de auditoría están protegidos frente a la destrucción y las modificaciones no autorizadas. (PCI-DSS-v4.0) | Compruebe que el rastreo de AWS X-Ray esté habilitado en las API de REST de Amazon API Gateway. La regla es COMPLIANT si el rastreo de X-Ray está habilitado y NON_COMPLIANT cuando no lo está. | |
| 10.3.1 | Los registros de auditoría están protegidos frente a la destrucción y las modificaciones no autorizadas. (PCI-DSS-v4.0) | Compruebe que las distribuciones de Amazon CloudFront estén configuradas para suministrar registros de acceso a un bucket de Amazon S3. La regla es NON_COMPLIANT si una distribución de CloudFront no tiene el registro configurado. | |
| 10.3.1 | Los registros de auditoría están protegidos frente a la destrucción y las modificaciones no autorizadas. (PCI-DSS-v4.0) | Compruebe que haya un clúster de Amazon Neptune con la exportación de registros de CloudWatch habilitada para los registros de auditoría. La regla es NON_COMPLIANT si un clúster de Neptune no tiene habilitada la exportación de registros de CloudWatch para los registros de auditoría. | |
| 10.3.1 | Los registros de auditoría están protegidos frente a la destrucción y las modificaciones no autorizadas. (PCI-DSS-v4.0) | Compruebe que logConfiguration esté configurado como activo en las definiciones de tareas de Amazon ECS. Esta regla es NON_COMPLIANT si una ECSTaskDefinition activa no tiene definido el recurso logConfiguration o si el valor de logConfiguration es nulo en al menos una definición de contenedor. | |
| 10.3.1 | Los registros de auditoría están protegidos frente a la destrucción y las modificaciones no autorizadas. (PCI-DSS-v4.0) | Nota: Para esta regla, el identificador de la regla (CLOUD_TRAIL_ENABLED) y el nombre de la regla (cloudtrail-enabled) son diferentes. Compruebe que haya un registro de seguimiento de AWS CloudTrail habilitado en su cuenta de AWS. La regla es NON_COMPLIANT si no hay ningún registro de seguimiento habilitado. De forma opcional, la regla comprueba un bucket de S3 específico, un tema de Amazon Simple Notification Service (Amazon SNS) y un grupo de registro de CloudWatch. | |
| 10.3.1 | Los registros de auditoría están protegidos frente a la destrucción y las modificaciones no autorizadas. (PCI-DSS-v4.0) | Nota: Para esta regla, el identificador de la regla (MULTI_REGION_CLOUD_TRAIL_ENABLED) y el nombre de la regla (multi-region-cloudtrail-enabled) son diferentes. Compruebe que haya al menos un AWS CloudTrail multirregión. La regla es NON_COMPLIANT si los registros de seguimiento no coinciden con los parámetros de entrada. La regla es NON_COMPLIANT si el campo ExcludeManagementEventSources no está vacío o si AWS CloudTrail está configurado para excluir los eventos de administración, como los eventos AWS KMS o los eventos de la API de datos de Amazon RDS. | |
| 10.3.1 | Los registros de auditoría están protegidos frente a la destrucción y las modificaciones no autorizadas. (PCI-DSS-v4.0) | Compruebe que haya una API de AWS AppSync con el registro habilitado. La regla es NON_COMPLIANT si el registro no está activado o si fieldLogLevel no es ERROR ni ALL. | |
| 10.3.1 | Los registros de auditoría están protegidos frente a la destrucción y las modificaciones no autorizadas. (PCI-DSS-v4.0) | Compruebe que el registro esté habilitado en las listas globales de control de acceso a la web (ACL web) clásicas de AWS WAF. La regla es NON_COMPLIANT para una ACL web global si no tiene el registro activado. | |
| 10.3.1 | Los registros de auditoría están protegidos frente a la destrucción y las modificaciones no autorizadas. (PCI-DSS-v4.0) | Compruebe que los agentes de Amazon MQ tengan habilitado el registro de auditoría de Amazon CloudWatch. La regla es NON_COMPLIANT si un agente no tiene activado el registro de auditoría. | |
| 10.3.1 | Los registros de auditoría están protegidos frente a la destrucción y las modificaciones no autorizadas. (PCI-DSS-v4.0) | Compruebe que haya un agente de Amazon MQ que tenga habilitado el registro de auditoría de CloudWatch. La regla es NON_COMPLIANT si el agente no tiene habilitado el registro de auditoría. | |
| 10.3.1 | Los registros de auditoría están protegidos frente a la destrucción y las modificaciones no autorizadas. (PCI-DSS-v4.0) | Compruebe que haya un clúster de Amazon Elastic Kubernetes Service (Amazon EKS) configurado y con el registro habilitado. La regla es NON_COMPLIANT si el registro de los clústeres de Amazon EKS no está habilitado para todos los tipos de registro. | |
| 10.3.1 | Los registros de auditoría están protegidos frente a la destrucción y las modificaciones no autorizadas. (PCI-DSS-v4.0) | Compruebe que los entornos de AWS Elastic Beanstalk estén configurados para enviar registros a Registros de Amazon CloudWatch. La regla es NON_COMPLIANT si el valor de StreamLogs es false. | |
| 10.3.1 | Los registros de auditoría están protegidos frente a la destrucción y las modificaciones no autorizadas. (PCI-DSS-v4.0) | Compruebe que la máquina de AWS Step Functions tenga habilitado el registro. La regla es NON_COMPLIANT si una máquina de estado no tiene el registro activado o si la configuración de registro no se encuentra en el nivel mínimo indicado. | |
| 10.3.1 | Los registros de auditoría están protegidos frente a la destrucción y las modificaciones no autorizadas. (PCI-DSS-v4.0) | Compruebe que los firewalls de AWS Network Firewall tengan habilitado el registro. La regla es NON_COMPLIANT si el tipo de registro no está configurado. Puede especificar qué tipo de registro desea que compruebe la regla. | |
| 10.3.2 | Los registros de auditoría están protegidos frente a la destrucción y las modificaciones no autorizadas. (PCI-DSS-v4.0) | Compruebe que haya, al menos, un registro de seguimiento de AWS CloudTrail definido de acuerdo con las prácticas recomendadas de seguridad. Esta regla es COMPLIANT si hay al menos un registro de seguimiento que cumpla todos los requisitos siguientes: | |
| 10.3.2 | Los registros de auditoría están protegidos frente a la destrucción y las modificaciones no autorizadas. (PCI-DSS-v4.0) | Compruebe que haya una instantánea manual de un clúster de base de datos de Amazon Neptune que no sea pública. La regla es NON_COMPLIANT si las instantáneas de clústeres nuevas y existentes de Neptune son públicas. | |
| 10.3.2 | Los registros de auditoría están protegidos frente a la destrucción y las modificaciones no autorizadas. (PCI-DSS-v4.0) | Compruebe que las instantáneas de clúster manual de Amazon DocumentDB no sean públicas. La regla es NON_COMPLIANT si alguna instantánea de clúster manual de Amazon DocumentDB es pública. | |
| 10.3.2 | Los registros de auditoría están protegidos frente a la destrucción y las modificaciones no autorizadas. (PCI-DSS-v4.0) | Compruebe que haya un almacén de copia de seguridad con una política basada en recursos asociada que impida la eliminación de los puntos de recuperación. La regla es NON_COMPLIANT si el almacén de copias de seguridad no tiene políticas basadas en recursos o tiene políticas sin una instrucción Deny adecuada (instrucción con los permisos backup:DeleteRecoveryPoint, backup:UpdateRecoveryPointLifecycle y backup:PutBackupVaultAccessPolicy). | |
| 10.3.2 | Los registros de auditoría están protegidos frente a la destrucción y las modificaciones no autorizadas. (PCI-DSS-v4.0) | Compruebe que haya una cuenta de Amazon EMR con la configuración de bloqueo de acceso público habilitada. La regla es NON_COMPLIANT si BlockPublicSecurityGroupRules es falso o, si es verdadero, los puertos que no sean el 22 aparecen en PermittedPublicSecurityGroupRuleRanges. | |
| 10.3.2 | Los registros de auditoría están protegidos frente a la destrucción y las modificaciones no autorizadas. (PCI-DSS-v4.0) | Compruebe que los puntos de acceso de Amazon S3 tengan habilitada la configuración de bloqueo del acceso público. La regla NON_COMPLIANT si la configuración de bloqueo de acceso público no está habilitada para los puntos de acceso de S3. | |
| 10.3.2 | Los registros de auditoría están protegidos frente a la destrucción y las modificaciones no autorizadas. (PCI-DSS-v4.0) | Compruebe que la configuración requerida del bloqueo de acceso público se haya configurado desde el nivel de cuenta. La regla sólo es NON_COMPLIANT cuando los campos establecidos a continuación no coinciden con los campos correspondientes en el elemento de configuración. | |
| 10.3.2 | Los registros de auditoría están protegidos frente a la destrucción y las modificaciones no autorizadas. (PCI-DSS-v4.0) | Compruebe que la eliminación de la MFA esté habilitada en la configuración del control de versiones de buckets de Amazon Simple Storage Service (Amazon S3). La regla es NON_COMPLIANT si la eliminación de MFA no está habilitada. | |
| 10.3.3 | Los registros de auditoría están protegidos frente a la destrucción y las modificaciones no autorizadas. (PCI-DSS-v4.0) | Compruebe que los clústeres de bases de datos de Amazon Aurora estén protegidos por un plan de copia de seguridad. La regla es NON_COMPLIANT si el clúster de bases de datos de Amazon Relational Database Service (Amazon RDS) no está protegido por un plan de copia de seguridad. | |
| 10.3.3 | Los registros de auditoría están protegidos frente a la destrucción y las modificaciones no autorizadas. (PCI-DSS-v4.0) | Compruebe que las instancias de base de datos de RDS tengan habilitada la copia de seguridad. Opcionalmente, la regla comprueba el periodo de retención de copia de seguridad y el periodo de tiempo de la copia de seguridad. | |
| 10.3.3 | Los registros de auditoría están protegidos frente a la destrucción y las modificaciones no autorizadas. (PCI-DSS-v4.0) | Compruebe que haya tablas de Amazon DynamoDB en los planes de AWS Backup. La regla es NON_COMPLIANT si las tablas de Amazon DynamoDB no están presentes en ningún plan de AWS Backup. | |
| 10.3.3 | Los registros de auditoría están protegidos frente a la destrucción y las modificaciones no autorizadas. (PCI-DSS-v4.0) | Compruebe que las tablas de Amazon DynamoDB estén protegidas por un plan de copia de seguridad. La regla es NON_COMPLIANT si la tabla de DynamoDB no está cubierta por un plan de copia de seguridad. | |
| 10.3.3 | Los registros de auditoría están protegidos frente a la destrucción y las modificaciones no autorizadas. (PCI-DSS-v4.0) | Compruebe que se hayan añadido volúmenes de Amazon Elastic Block Store (Amazon EBS) en los planes de copia de seguridad de AWS Backup. La regla es NON_COMPLIANT si los volúmenes de Amazon EBS no están incluidos en los planes de copia de seguridad. | |
| 10.3.3 | Los registros de auditoría están protegidos frente a la destrucción y las modificaciones no autorizadas. (PCI-DSS-v4.0) | Compruebe que los volúmenes de Amazon Elastic Block Store (Amazon EBS) estén protegidos por un plan de copia de seguridad. La regla es NON_COMPLIANT si el volumen de Amazon EBS no está cubierto por un plan de copia de seguridad. | |
| 10.3.3 | Los registros de auditoría están protegidos frente a la destrucción y las modificaciones no autorizadas. (PCI-DSS-v4.0) | Compruebe que las instancias de Amazon Elastic Compute Cloud (Amazon EC2) estén protegidas por un plan de copia de seguridad. La regla es NON_COMPLIANT si la instancia de Amazon EC2 no está cubierta por un plan de copia de seguridad. | |
| 10.3.3 | Los registros de auditoría están protegidos frente a la destrucción y las modificaciones no autorizadas. (PCI-DSS-v4.0) | Compruebe que se hayan agregado sistemas de archivos de Amazon Elastic File System (Amazon EFS) a los planes de copia de seguridad en AWS Backup. La regla es NON_COMPLIANT si los sistemas de archivos de EFS no están incluidos en los planes de copia de seguridad. | |
| 10.3.3 | Los registros de auditoría están protegidos frente a la destrucción y las modificaciones no autorizadas. (PCI-DSS-v4.0) | Compruebe que los sistemas de archivos de Amazon Elastic File System (Amazon EFS) estén protegidos por un plan de copia de seguridad. La regla es NON_COMPLIANT si el sistema de archivos de EFS no está cubierto por un plan de copia de seguridad. | |
| 10.3.3 | Los registros de auditoría están protegidos frente a la destrucción y las modificaciones no autorizadas. (PCI-DSS-v4.0) | elasticache-redis-cluster-automatic-verificación de respaldo |
Compruebe si los clústeres de Amazon ElastiCache Redis tienen activada la copia de seguridad automática. La regla es NON_COMPLIANT si SnapshotRetentionLimit para el clúster de Redis es menor que el parámetro SnapshotRetentionPeriod. Por ejemplo: si el parámetro es 15, la regla no es compatible si SnapshotRetentionPeriod está entre 0 y 15. |
| 10.3.3 | Los registros de auditoría están protegidos frente a la destrucción y las modificaciones no autorizadas. (PCI-DSS-v4.0) | Compruebe que los sistemas de archivos de Amazon FSx estén protegidos por un plan de copia de seguridad. La regla es NON_COMPLIANT si el sistema de archivos de Amazon FSx no está cubierto por un plan de copia de seguridad. | |
| 10.3.3 | Los registros de auditoría están protegidos frente a la destrucción y las modificaciones no autorizadas. (PCI-DSS-v4.0) | Compruebe que el período de retención de un clúster de base de datos de Amazon Neptune se haya configurado a un número específico de días. La regla es NON_COMPLIANT si el período de retención es inferior al valor especificado por el parámetro. | |
| 10.3.3 | Los registros de auditoría están protegidos frente a la destrucción y las modificaciones no autorizadas. (PCI-DSS-v4.0) | Compruebe que las bases de datos de Amazon Relational Database Service (Amazon RDS) estén incluidas en los planes de AWS Backup. La regla es NON_COMPLIANT si las bases de datos de Amazon RDS no están incluidas en los planes de AWS Backup. | |
| 10.3.3 | Los registros de auditoría están protegidos frente a la destrucción y las modificaciones no autorizadas. (PCI-DSS-v4.0) | Compruebe que las instancias de Amazon Relational Database Service (Amazon RDS) estén protegidas por un plan de copia de seguridad. La regla es NON_COMPLIANT si la instancia de Amazon RDS no está cubierta por un plan de copia de seguridad. | |
| 10.3.3 | Los registros de auditoría están protegidos frente a la destrucción y las modificaciones no autorizadas. (PCI-DSS-v4.0) | Compruebe que las instantáneas automatizadas de Amazon Redshift estén habilitadas para clústeres. La regla es NON_COMPLIANT si el valor de automatedSnapshotRetentionPeriod es superior al MaxRetentionPeriod, inferior al MinRetentionPeriod o igual a 0. | |
| 10.3.3 | Los registros de auditoría están protegidos frente a la destrucción y las modificaciones no autorizadas. (PCI-DSS-v4.0) | Compruebe que los buckets de Amazon Simple Storage Service (Amazon S3) estén protegidos por un plan de copia de seguridad. La regla es NON_COMPLIANT si el bucket de Amazon S3 no está cubierto por un plan de copia de seguridad. | |
| 10.3.3 | Los registros de auditoría están protegidos frente a la destrucción y las modificaciones no autorizadas. (PCI-DSS-v4.0) | Compruebe que haya, al menos, un registro de seguimiento de AWS CloudTrail definido de acuerdo con las prácticas recomendadas de seguridad. Esta regla es COMPLIANT si hay al menos un registro de seguimiento que cumpla todos los requisitos siguientes: | |
| 10.3.3 | Los registros de auditoría están protegidos frente a la destrucción y las modificaciones no autorizadas. (PCI-DSS-v4.0) | Compruebe que las instancias de base de datos de RDS tengan habilitada la copia de seguridad. Opcionalmente, la regla comprueba el periodo de retención de copia de seguridad y el periodo de tiempo de la copia de seguridad. | |
| 10.3.3 | Los registros de auditoría están protegidos frente a la destrucción y las modificaciones no autorizadas. (PCI-DSS-v4.0) | Compruebe que se haya habilitado la recuperación en un momento dado (PITR) para las tablas de Amazon DynamoDB. La regla es NON_COMPLIANT si PITR no está habilitado para las tablas de DynamoDB. | |
| 10.3.4 | Los registros de auditoría están protegidos frente a la destrucción y las modificaciones no autorizadas. (PCI-DSS-v4.0) | Compruebe que la distribución de CloudFront con el tipo de origen de Amazon S3 tenga configurada la identidad de acceso de origen (OAI). La regla es NON_COMPLIANT si la distribución de CloudFront está respaldada por S3 y cualquier tipo de origen no está configurado para OAI o si el origen no es un bucket de S3. | |
| 10.3.4 | Los registros de auditoría están protegidos frente a la destrucción y las modificaciones no autorizadas. (PCI-DSS-v4.0) | Compruebe que haya una distribución de Amazon CloudFront con un tipo de origen de Amazon Simple Storage Service (Amazon S3) que tenga el control de acceso de origen (OAC) habilitado. La regla es NON_COMPLIANT para las distribuciones de CloudFront con orígenes de Amazon S3 que no tengan el OAC activado. | |
| 10.3.4 | Los registros de auditoría están protegidos frente a la destrucción y las modificaciones no autorizadas. (PCI-DSS-v4.0) | Compruebe que el bucket de S3 tenga habilitado el bloqueo de forma predeterminada. La regla es NON_COMPLIANT si el bloqueo no está habilitado. | |
| 10.3.4 | Los registros de auditoría están protegidos frente a la destrucción y las modificaciones no autorizadas. (PCI-DSS-v4.0) | Compruebe que se haya habilitado el control de versiones para los buckets de S3. Opcionalmente, la regla comprueba si la eliminación de MFA está habilitada para los buckets de S3. | |
| 10.3.4 | Los registros de auditoría están protegidos frente a la destrucción y las modificaciones no autorizadas. (PCI-DSS-v4.0) | Compruebe que haya, al menos, un registro de seguimiento de AWS CloudTrail definido de acuerdo con las prácticas recomendadas de seguridad. Esta regla es COMPLIANT si hay al menos un registro de seguimiento que cumpla todos los requisitos siguientes: | |
| 10.4.1 | Se revisan los registros de auditoría para identificar anomalías o actividades sospechosas. (PCI-DSS-v4.0) | Compruebe que el rastreo de AWS X-Ray esté habilitado en las API de REST de Amazon API Gateway. La regla es COMPLIANT si el rastreo de X-Ray está habilitado y NON_COMPLIANT cuando no lo está. | |
| 10.4.1 | Se revisan los registros de auditoría para identificar anomalías o actividades sospechosas. (PCI-DSS-v4.0) | Compruebe que se haya habilitado la monitorización detallada para las instancias de EC2. La regla es NON_COMPLIANT si la supervisión detallada no está habilitada. | |
| 10.4.1 | Se revisan los registros de auditoría para identificar anomalías o actividades sospechosas. (PCI-DSS-v4.0) | Compruebe que las alarmas de CloudWatch tengan una acción configurada para los estados ALARM, INSUFFICIENT_DATA u OK. Como factor opcional, compruebe que haya acciones que coincidan con un ARN indicado. La regla es NON_COMPLIANT si no se ha especificado ninguna acción para la alarma o el parámetro opcional. | |
| 10.4.1 | Se revisan los registros de auditoría para identificar anomalías o actividades sospechosas. (PCI-DSS-v4.0) | Compruebe que las alarmas de CloudWatch tengan una acción configurada para los estados ALARM, INSUFFICIENT_DATA u OK. Como factor opcional, compruebe que haya acciones que coincidan con un ARN indicado. La regla es NON_COMPLIANT si no se ha especificado ninguna acción para la alarma o el parámetro opcional. | |
| 10.4.1 | Se revisan los registros de auditoría para identificar anomalías o actividades sospechosas. (PCI-DSS-v4.0) | Compruebe que las alarmas de CloudWatch tengan una acción configurada para los estados ALARM, INSUFFICIENT_DATA u OK. Como factor opcional, compruebe que haya acciones que coincidan con un ARN indicado. La regla es NON_COMPLIANT si no se ha especificado ninguna acción para la alarma o el parámetro opcional. | |
| 10.4.1 | Se revisan los registros de auditoría para identificar anomalías o actividades sospechosas. (PCI-DSS-v4.0) | Compruebe que haya un tipo de recurso con una alarma de CloudWatch para la métrica indicada. Para el tipo de recurso, puede especificar volúmenes de EBS, instancias de EC2, clústeres de Amazon RDS o buckets de S3. La regla es COMPLIANT si la métrica indicada tiene un ID de recurso y una alarma de CloudWatch. | |
| 10.4.1 | Se revisan los registros de auditoría para identificar anomalías o actividades sospechosas. (PCI-DSS-v4.0) | Compruebe que se haya habilitado la recopilación de métricas de seguridad de Amazon CloudWatch en los grupos de reglas de AWS WAFv2. La regla es NON_COMPLIANT si el campo VisibilityConfig.CloudWatchMetricsEnabled está establecido en false. | |
| 10.4.1 | Se revisan los registros de auditoría para identificar anomalías o actividades sospechosas. (PCI-DSS-v4.0) | Compruebe que el registro de Amazon Simple Notification Service (SNS) esté habilitado para el estado de entrega de los mensajes de notificación enviados a un tema para los puntos de conexión. La regla es NON_COMPLIANT si la notificación del estado de entrega de los mensajes no está habilitada. | |
| 10.4.1.1 | Se revisan los registros de auditoría para identificar anomalías o actividades sospechosas. (PCI-DSS-v4.0) | Compruebe que el rastreo de AWS X-Ray esté habilitado en las API de REST de Amazon API Gateway. La regla es COMPLIANT si el rastreo de X-Ray está habilitado y NON_COMPLIANT cuando no lo está. | |
| 10.4.1.1 | Se revisan los registros de auditoría para identificar anomalías o actividades sospechosas. (PCI-DSS-v4.0) | Compruebe que se haya habilitado la monitorización detallada para las instancias de EC2. La regla es NON_COMPLIANT si la supervisión detallada no está habilitada. | |
| 10.4.1.1 | Se revisan los registros de auditoría para identificar anomalías o actividades sospechosas. (PCI-DSS-v4.0) | Compruebe que las alarmas de CloudWatch tengan una acción configurada para los estados ALARM, INSUFFICIENT_DATA u OK. Como factor opcional, compruebe que haya acciones que coincidan con un ARN indicado. La regla es NON_COMPLIANT si no se ha especificado ninguna acción para la alarma o el parámetro opcional. | |
| 10.4.1.1 | Se revisan los registros de auditoría para identificar anomalías o actividades sospechosas. (PCI-DSS-v4.0) | Compruebe que las alarmas de CloudWatch tengan una acción configurada para los estados ALARM, INSUFFICIENT_DATA u OK. Como factor opcional, compruebe que haya acciones que coincidan con un ARN indicado. La regla es NON_COMPLIANT si no se ha especificado ninguna acción para la alarma o el parámetro opcional. | |
| 10.4.1.1 | Se revisan los registros de auditoría para identificar anomalías o actividades sospechosas. (PCI-DSS-v4.0) | Compruebe que las alarmas de CloudWatch tengan una acción configurada para los estados ALARM, INSUFFICIENT_DATA u OK. Como factor opcional, compruebe que haya acciones que coincidan con un ARN indicado. La regla es NON_COMPLIANT si no se ha especificado ninguna acción para la alarma o el parámetro opcional. | |
| 10.4.1.1 | Se revisan los registros de auditoría para identificar anomalías o actividades sospechosas. (PCI-DSS-v4.0) | Compruebe que haya un tipo de recurso con una alarma de CloudWatch para la métrica indicada. Para el tipo de recurso, puede especificar volúmenes de EBS, instancias de EC2, clústeres de Amazon RDS o buckets de S3. La regla es COMPLIANT si la métrica indicada tiene un ID de recurso y una alarma de CloudWatch. | |
| 10.4.1.1 | Se revisan los registros de auditoría para identificar anomalías o actividades sospechosas. (PCI-DSS-v4.0) | Compruebe que se haya habilitado la recopilación de métricas de seguridad de Amazon CloudWatch en los grupos de reglas de AWS WAFv2. La regla es NON_COMPLIANT si el campo VisibilityConfig.CloudWatchMetricsEnabled está establecido en false. | |
| 10.4.1.1 | Se revisan los registros de auditoría para identificar anomalías o actividades sospechosas. (PCI-DSS-v4.0) | Compruebe que el registro de Amazon Simple Notification Service (SNS) esté habilitado para el estado de entrega de los mensajes de notificación enviados a un tema para los puntos de conexión. La regla es NON_COMPLIANT si la notificación del estado de entrega de los mensajes no está habilitada. | |
| 10.4.2 | Se revisan los registros de auditoría para identificar anomalías o actividades sospechosas. (PCI-DSS-v4.0) | Compruebe que el rastreo de AWS X-Ray esté habilitado en las API de REST de Amazon API Gateway. La regla es COMPLIANT si el rastreo de X-Ray está habilitado y NON_COMPLIANT cuando no lo está. | |
| 10.4.2 | Se revisan los registros de auditoría para identificar anomalías o actividades sospechosas. (PCI-DSS-v4.0) | Compruebe que se haya habilitado la monitorización detallada para las instancias de EC2. La regla es NON_COMPLIANT si la supervisión detallada no está habilitada. | |
| 10.4.2 | Se revisan los registros de auditoría para identificar anomalías o actividades sospechosas. (PCI-DSS-v4.0) | Compruebe que las alarmas de CloudWatch tengan una acción configurada para los estados ALARM, INSUFFICIENT_DATA u OK. Como factor opcional, compruebe que haya acciones que coincidan con un ARN indicado. La regla es NON_COMPLIANT si no se ha especificado ninguna acción para la alarma o el parámetro opcional. | |
| 10.4.2 | Se revisan los registros de auditoría para identificar anomalías o actividades sospechosas. (PCI-DSS-v4.0) | Compruebe que las alarmas de CloudWatch tengan una acción configurada para los estados ALARM, INSUFFICIENT_DATA u OK. Como factor opcional, compruebe que haya acciones que coincidan con un ARN indicado. La regla es NON_COMPLIANT si no se ha especificado ninguna acción para la alarma o el parámetro opcional. | |
| 10.4.2 | Se revisan los registros de auditoría para identificar anomalías o actividades sospechosas. (PCI-DSS-v4.0) | Compruebe que las alarmas de CloudWatch tengan una acción configurada para los estados ALARM, INSUFFICIENT_DATA u OK. Como factor opcional, compruebe que haya acciones que coincidan con un ARN indicado. La regla es NON_COMPLIANT si no se ha especificado ninguna acción para la alarma o el parámetro opcional. | |
| 10.4.2 | Se revisan los registros de auditoría para identificar anomalías o actividades sospechosas. (PCI-DSS-v4.0) | Compruebe que haya un tipo de recurso con una alarma de CloudWatch para la métrica indicada. Para el tipo de recurso, puede especificar volúmenes de EBS, instancias de EC2, clústeres de Amazon RDS o buckets de S3. La regla es COMPLIANT si la métrica indicada tiene un ID de recurso y una alarma de CloudWatch. | |
| 10.4.2 | Se revisan los registros de auditoría para identificar anomalías o actividades sospechosas. (PCI-DSS-v4.0) | Compruebe que se haya habilitado la recopilación de métricas de seguridad de Amazon CloudWatch en los grupos de reglas de AWS WAFv2. La regla es NON_COMPLIANT si el campo VisibilityConfig.CloudWatchMetricsEnabled está establecido en false. | |
| 10.4.2 | Se revisan los registros de auditoría para identificar anomalías o actividades sospechosas. (PCI-DSS-v4.0) | Compruebe que el registro de Amazon Simple Notification Service (SNS) esté habilitado para el estado de entrega de los mensajes de notificación enviados a un tema para los puntos de conexión. La regla es NON_COMPLIANT si la notificación del estado de entrega de los mensajes no está habilitada. | |
| 10.4.3 | Se revisan los registros de auditoría para identificar anomalías o actividades sospechosas. (PCI-DSS-v4.0) | Compruebe que las alarmas de CloudWatch tengan una acción configurada para los estados ALARM, INSUFFICIENT_DATA u OK. Como factor opcional, compruebe que haya acciones que coincidan con un ARN indicado. La regla es NON_COMPLIANT si no se ha especificado ninguna acción para la alarma o el parámetro opcional. | |
| 10.5.1 | Se conserva un historial del registro de auditoría y está disponible para el análisis. (PCI-DSS-v4.0) | Compruebe que haya, al menos, un registro de seguimiento de AWS CloudTrail definido de acuerdo con las prácticas recomendadas de seguridad. Esta regla es COMPLIANT si hay al menos un registro de seguimiento que cumpla todos los requisitos siguientes: | |
| 10.5.1 | Se conserva un historial del registro de auditoría y está disponible para el análisis. (PCI-DSS-v4.0) | Compruebe que los volúmenes de EBS estén asociados a instancias de EC2. Como factor opcional, compruebe que los volúmenes de EBS se marquen para eliminarlos cuando se finaliza una instancia. | |
| 10.5.1 | Se conserva un historial del registro de auditoría y está disponible para el análisis. (PCI-DSS-v4.0) | Compruebe que haya un repositorio privado de Amazon Elastic Container Registry (ECR) con, al menos, una política de ciclo de vida configurada. La regla es NON_COMPLIANT si no se ha configurado ninguna política de ciclo de vida para el repositorio privado de ECR. | |
| 10.5.1 | Se conserva un historial del registro de auditoría y está disponible para el análisis. (PCI-DSS-v4.0) | Compruebe que se haya habilitado la recuperación en un momento dado (PITR) para las tablas de Amazon DynamoDB. La regla es NON_COMPLIANT si PITR no está habilitado para las tablas de DynamoDB. | |
| 10.5.1 | Se conserva un historial del registro de auditoría y está disponible para el análisis. (PCI-DSS-v4.0) | Compruebe que el período de retención del grupo de registros de Amazon CloudWatch se haya configurado en más de 365 días o en un período de retención específico. La regla es NON_COMPLIANT si el período de retención es inferior a MinRetentionTime (si se ha especificado) o a 365 días. | |
| 10.6.3 | Los mecanismos de sincronización horaria permiten que la configuración horaria sea uniforme en todos los sistemas. (PCI-DSS-v4.0) | Compruebe que las etapas de Amazon API Gateway V2 tengan habilitado el registro de acceso. La regla es NON_COMPLIANT si accessLogSettings no está presente en la configuración de la etapa. | |
| 10.6.3 | Los mecanismos de sincronización horaria permiten que la configuración horaria sea uniforme en todos los sistemas. (PCI-DSS-v4.0) | Compruebe que el rastreo de AWS X-Ray esté habilitado en las API de REST de Amazon API Gateway. La regla es COMPLIANT si el rastreo de X-Ray está habilitado y NON_COMPLIANT cuando no lo está. | |
| 10.6.3 | Los mecanismos de sincronización horaria permiten que la configuración horaria sea uniforme en todos los sistemas. (PCI-DSS-v4.0) | Compruebe que las distribuciones de Amazon CloudFront estén configuradas para suministrar registros de acceso a un bucket de Amazon S3. La regla es NON_COMPLIANT si una distribución de CloudFront no tiene el registro configurado. | |
| 10.6.3 | Los mecanismos de sincronización horaria permiten que la configuración horaria sea uniforme en todos los sistemas. (PCI-DSS-v4.0) | Compruebe que haya una política de bucket de Amazon Simple Storage Service (Amazon S3) que no permita acciones, en el nivel de bucket y de objeto, incluidas en la lista de acciones no permitidas sobre recursos del bucket para las entidades principales de otras cuentas de AWS. Por ejemplo, la regla comprueba que la política de bucket de Amazon S3 no permita a otra cuenta de AWS llevar a cabo acciones s3:GetBucket* ni s3:DeleteObject en ningún objeto del bucket. La regla es NON_COMPLIANT si la política de buckets de Amazon S3 permite alguna acción incluida en la lista de bloqueo. | |
| 10.6.3 | Los mecanismos de sincronización horaria permiten que la configuración horaria sea uniforme en todos los sistemas. (PCI-DSS-v4.0) | Compruebe que las políticas del bucket de Amazon Simple Storage Service (S3) no otorguen permisos entre cuentas distintos a los de la política del bucket de Amazon S3 de control que se haya proporcionado. | |
| 10.6.3 | Los mecanismos de sincronización horaria permiten que la configuración horaria sea uniforme en todos los sistemas. (PCI-DSS-v4.0) | Compruebe que haya un clúster de Amazon Neptune con la exportación de registros de CloudWatch habilitada para los registros de auditoría. La regla es NON_COMPLIANT si un clúster de Neptune no tiene habilitada la exportación de registros de CloudWatch para los registros de auditoría. | |
| 10.6.3 | Los mecanismos de sincronización horaria permiten que la configuración horaria sea uniforme en todos los sistemas. (PCI-DSS-v4.0) | Compruebe que se haya habilitado la monitorización detallada para las instancias de EC2. La regla es NON_COMPLIANT si la supervisión detallada no está habilitada. | |
| 10.6.3 | Los mecanismos de sincronización horaria permiten que la configuración horaria sea uniforme en todos los sistemas. (PCI-DSS-v4.0) | Compruebe que logConfiguration esté configurado como activo en las definiciones de tareas de Amazon ECS. Esta regla es NON_COMPLIANT si una ECSTaskDefinition activa no tiene definido el recurso logConfiguration o si el valor de logConfiguration es nulo en al menos una definición de contenedor. | |
| 10.6.3 | Los mecanismos de sincronización horaria permiten que la configuración horaria sea uniforme en todos los sistemas. (PCI-DSS-v4.0) | Compruebe que las alarmas de CloudWatch tengan una acción configurada para los estados ALARM, INSUFFICIENT_DATA u OK. Como factor opcional, compruebe que haya acciones que coincidan con un ARN indicado. La regla es NON_COMPLIANT si no se ha especificado ninguna acción para la alarma o el parámetro opcional. | |
| 10.6.3 | Los mecanismos de sincronización horaria permiten que la configuración horaria sea uniforme en todos los sistemas. (PCI-DSS-v4.0) | Compruebe que las alarmas de CloudWatch tengan una acción configurada para los estados ALARM, INSUFFICIENT_DATA u OK. Como factor opcional, compruebe que haya acciones que coincidan con un ARN indicado. La regla es NON_COMPLIANT si no se ha especificado ninguna acción para la alarma o el parámetro opcional. | |
| 10.6.3 | Los mecanismos de sincronización horaria permiten que la configuración horaria sea uniforme en todos los sistemas. (PCI-DSS-v4.0) | Compruebe que las alarmas de CloudWatch tengan una acción configurada para los estados ALARM, INSUFFICIENT_DATA u OK. Como factor opcional, compruebe que haya acciones que coincidan con un ARN indicado. La regla es NON_COMPLIANT si no se ha especificado ninguna acción para la alarma o el parámetro opcional. | |
| 10.6.3 | Los mecanismos de sincronización horaria permiten que la configuración horaria sea uniforme en todos los sistemas. (PCI-DSS-v4.0) | Compruebe que haya un tipo de recurso con una alarma de CloudWatch para la métrica indicada. Para el tipo de recurso, puede especificar volúmenes de EBS, instancias de EC2, clústeres de Amazon RDS o buckets de S3. La regla es COMPLIANT si la métrica indicada tiene un ID de recurso y una alarma de CloudWatch. | |
| 10.6.3 | Los mecanismos de sincronización horaria permiten que la configuración horaria sea uniforme en todos los sistemas. (PCI-DSS-v4.0) | Nota: Para esta regla, el identificador de la regla (CLOUD_TRAIL_ENABLED) y el nombre de la regla (cloudtrail-enabled) son diferentes. Compruebe que haya un registro de seguimiento de AWS CloudTrail habilitado en su cuenta de AWS. La regla es NON_COMPLIANT si no hay ningún registro de seguimiento habilitado. De forma opcional, la regla comprueba un bucket de S3 específico, un tema de Amazon Simple Notification Service (Amazon SNS) y un grupo de registro de CloudWatch. | |
| 10.6.3 | Los mecanismos de sincronización horaria permiten que la configuración horaria sea uniforme en todos los sistemas. (PCI-DSS-v4.0) | Nota: Para esta regla, el identificador de la regla (MULTI_REGION_CLOUD_TRAIL_ENABLED) y el nombre de la regla (multi-region-cloudtrail-enabled) son diferentes. Compruebe que haya al menos un AWS CloudTrail multirregión. La regla es NON_COMPLIANT si los registros de seguimiento no coinciden con los parámetros de entrada. La regla es NON_COMPLIANT si el campo ExcludeManagementEventSources no está vacío o si AWS CloudTrail está configurado para excluir los eventos de administración, como los eventos AWS KMS o los eventos de la API de datos de Amazon RDS. | |
| 10.6.3 | Los mecanismos de sincronización horaria permiten que la configuración horaria sea uniforme en todos los sistemas. (PCI-DSS-v4.0) | Compruebe que haya una API de AWS AppSync con el registro habilitado. La regla es NON_COMPLIANT si el registro no está activado o si fieldLogLevel no es ERROR ni ALL. | |
| 10.6.3 | Los mecanismos de sincronización horaria permiten que la configuración horaria sea uniforme en todos los sistemas. (PCI-DSS-v4.0) | Compruebe que el registro esté habilitado en las listas globales de control de acceso a la web (ACL web) clásicas de AWS WAF. La regla es NON_COMPLIANT para una ACL web global si no tiene el registro activado. | |
| 10.6.3 | Los mecanismos de sincronización horaria permiten que la configuración horaria sea uniforme en todos los sistemas. (PCI-DSS-v4.0) | Compruebe que los agentes de Amazon MQ tengan habilitado el registro de auditoría de Amazon CloudWatch. La regla es NON_COMPLIANT si un agente no tiene activado el registro de auditoría. | |
| 10.6.3 | Los mecanismos de sincronización horaria permiten que la configuración horaria sea uniforme en todos los sistemas. (PCI-DSS-v4.0) | Compruebe que haya un agente de Amazon MQ que tenga habilitado el registro de auditoría de CloudWatch. La regla es NON_COMPLIANT si el agente no tiene habilitado el registro de auditoría. | |
| 10.6.3 | Los mecanismos de sincronización horaria permiten que la configuración horaria sea uniforme en todos los sistemas. (PCI-DSS-v4.0) | Compruebe que haya un clúster de Amazon Elastic Kubernetes Service (Amazon EKS) configurado y con el registro habilitado. La regla es NON_COMPLIANT si el registro de los clústeres de Amazon EKS no está habilitado para todos los tipos de registro. | |
| 10.6.3 | Los mecanismos de sincronización horaria permiten que la configuración horaria sea uniforme en todos los sistemas. (PCI-DSS-v4.0) | Compruebe que los entornos de AWS Elastic Beanstalk estén configurados para enviar registros a Registros de Amazon CloudWatch. La regla es NON_COMPLIANT si el valor de StreamLogs es false. | |
| 10.6.3 | Los mecanismos de sincronización horaria permiten que la configuración horaria sea uniforme en todos los sistemas. (PCI-DSS-v4.0) | Compruebe que se haya habilitado la recopilación de métricas de seguridad de Amazon CloudWatch en los grupos de reglas de AWS WAFv2. La regla es NON_COMPLIANT si el campo VisibilityConfig.CloudWatchMetricsEnabled está establecido en false. | |
| 10.6.3 | Los mecanismos de sincronización horaria permiten que la configuración horaria sea uniforme en todos los sistemas. (PCI-DSS-v4.0) | Compruebe que el registro de Amazon Simple Notification Service (SNS) esté habilitado para el estado de entrega de los mensajes de notificación enviados a un tema para los puntos de conexión. La regla es NON_COMPLIANT si la notificación del estado de entrega de los mensajes no está habilitada. | |
| 10.6.3 | Los mecanismos de sincronización horaria permiten que la configuración horaria sea uniforme en todos los sistemas. (PCI-DSS-v4.0) | Compruebe que la máquina de AWS Step Functions tenga habilitado el registro. La regla es NON_COMPLIANT si una máquina de estado no tiene el registro activado o si la configuración de registro no se encuentra en el nivel mínimo indicado. | |
| 10.6.3 | Los mecanismos de sincronización horaria permiten que la configuración horaria sea uniforme en todos los sistemas. (PCI-DSS-v4.0) | Compruebe que los firewalls de AWS Network Firewall tengan habilitado el registro. La regla es NON_COMPLIANT si el tipo de registro no está configurado. Puede especificar qué tipo de registro desea que compruebe la regla. | |
| 10.7.1 | Los fallos de los sistemas de control de seguridad críticos se detectan y se notifican, y se responde a ellos con prontitud. (PCI-DSS-v4.0) | Compruebe que el rastreo de AWS X-Ray esté habilitado en las API de REST de Amazon API Gateway. La regla es COMPLIANT si el rastreo de X-Ray está habilitado y NON_COMPLIANT cuando no lo está. | |
| 10.7.1 | Los fallos de los sistemas de control de seguridad críticos se detectan y se notifican, y se responde a ellos con prontitud. (PCI-DSS-v4.0) | Compruebe que las pilas de CloudFormation envíen notificaciones de eventos a un tema de Amazon SNS. Como característica opcional, compruebe que se estén utilizando los temas de Amazon SNS especificados. La regla es NON_COMPLIANT si las pilas de CloudFormation no envían notificaciones. | |
| 10.7.1 | Los fallos de los sistemas de control de seguridad críticos se detectan y se notifican, y se responde a ellos con prontitud. (PCI-DSS-v4.0) | Compruebe que se haya habilitado la monitorización detallada para las instancias de EC2. La regla es NON_COMPLIANT si la supervisión detallada no está habilitada. | |
| 10.7.1 | Los fallos de los sistemas de control de seguridad críticos se detectan y se notifican, y se responde a ellos con prontitud. (PCI-DSS-v4.0) | Compruebe que las alarmas de CloudWatch tengan una acción configurada para los estados ALARM, INSUFFICIENT_DATA u OK. Como factor opcional, compruebe que haya acciones que coincidan con un ARN indicado. La regla es NON_COMPLIANT si no se ha especificado ninguna acción para la alarma o el parámetro opcional. | |
| 10.7.1 | Los fallos de los sistemas de control de seguridad críticos se detectan y se notifican, y se responde a ellos con prontitud. (PCI-DSS-v4.0) | Compruebe que las alarmas de CloudWatch tengan una acción configurada para los estados ALARM, INSUFFICIENT_DATA u OK. Como factor opcional, compruebe que haya acciones que coincidan con un ARN indicado. La regla es NON_COMPLIANT si no se ha especificado ninguna acción para la alarma o el parámetro opcional. | |
| 10.7.1 | Los fallos de los sistemas de control de seguridad críticos se detectan y se notifican, y se responde a ellos con prontitud. (PCI-DSS-v4.0) | Compruebe que las alarmas de CloudWatch tengan una acción configurada para los estados ALARM, INSUFFICIENT_DATA u OK. Como factor opcional, compruebe que haya acciones que coincidan con un ARN indicado. La regla es NON_COMPLIANT si no se ha especificado ninguna acción para la alarma o el parámetro opcional. | |
| 10.7.1 | Los fallos de los sistemas de control de seguridad críticos se detectan y se notifican, y se responde a ellos con prontitud. (PCI-DSS-v4.0) | Compruebe que haya un tipo de recurso con una alarma de CloudWatch para la métrica indicada. Para el tipo de recurso, puede especificar volúmenes de EBS, instancias de EC2, clústeres de Amazon RDS o buckets de S3. La regla es COMPLIANT si la métrica indicada tiene un ID de recurso y una alarma de CloudWatch. | |
| 10.7.1 | Los fallos de los sistemas de control de seguridad críticos se detectan y se notifican, y se responde a ellos con prontitud. (PCI-DSS-v4.0) | Compruebe que se haya habilitado la recopilación de métricas de seguridad de Amazon CloudWatch en los grupos de reglas de AWS WAFv2. La regla es NON_COMPLIANT si el campo VisibilityConfig.CloudWatchMetricsEnabled está establecido en false. | |
| 10.7.1 | Los fallos de los sistemas de control de seguridad críticos se detectan y se notifican, y se responde a ellos con prontitud. (PCI-DSS-v4.0) | Compruebe que el registro de Amazon Simple Notification Service (SNS) esté habilitado para el estado de entrega de los mensajes de notificación enviados a un tema para los puntos de conexión. La regla es NON_COMPLIANT si la notificación del estado de entrega de los mensajes no está habilitada. | |
| 10.7.2 | Los fallos de los sistemas de control de seguridad críticos se detectan y se notifican, y se responde a ellos con prontitud. (PCI-DSS-v4.0) | Compruebe que el rastreo de AWS X-Ray esté habilitado en las API de REST de Amazon API Gateway. La regla es COMPLIANT si el rastreo de X-Ray está habilitado y NON_COMPLIANT cuando no lo está. | |
| 10.7.2 | Los fallos de los sistemas de control de seguridad críticos se detectan y se notifican, y se responde a ellos con prontitud. (PCI-DSS-v4.0) | Compruebe que las pilas de CloudFormation envíen notificaciones de eventos a un tema de Amazon SNS. Como característica opcional, compruebe que se estén utilizando los temas de Amazon SNS especificados. La regla es NON_COMPLIANT si las pilas de CloudFormation no envían notificaciones. | |
| 10.7.2 | Los fallos de los sistemas de control de seguridad críticos se detectan y se notifican, y se responde a ellos con prontitud. (PCI-DSS-v4.0) | Compruebe que se haya habilitado la monitorización detallada para las instancias de EC2. La regla es NON_COMPLIANT si la supervisión detallada no está habilitada. | |
| 10.7.2 | Los fallos de los sistemas de control de seguridad críticos se detectan y se notifican, y se responde a ellos con prontitud. (PCI-DSS-v4.0) | Compruebe que las alarmas de CloudWatch tengan una acción configurada para los estados ALARM, INSUFFICIENT_DATA u OK. Como factor opcional, compruebe que haya acciones que coincidan con un ARN indicado. La regla es NON_COMPLIANT si no se ha especificado ninguna acción para la alarma o el parámetro opcional. | |
| 10.7.2 | Los fallos de los sistemas de control de seguridad críticos se detectan y se notifican, y se responde a ellos con prontitud. (PCI-DSS-v4.0) | Compruebe que las alarmas de CloudWatch tengan una acción configurada para los estados ALARM, INSUFFICIENT_DATA u OK. Como factor opcional, compruebe que haya acciones que coincidan con un ARN indicado. La regla es NON_COMPLIANT si no se ha especificado ninguna acción para la alarma o el parámetro opcional. | |
| 10.7.2 | Los fallos de los sistemas de control de seguridad críticos se detectan y se notifican, y se responde a ellos con prontitud. (PCI-DSS-v4.0) | Compruebe que las alarmas de CloudWatch tengan una acción configurada para los estados ALARM, INSUFFICIENT_DATA u OK. Como factor opcional, compruebe que haya acciones que coincidan con un ARN indicado. La regla es NON_COMPLIANT si no se ha especificado ninguna acción para la alarma o el parámetro opcional. | |
| 10.7.2 | Los fallos de los sistemas de control de seguridad críticos se detectan y se notifican, y se responde a ellos con prontitud. (PCI-DSS-v4.0) | Compruebe que haya un tipo de recurso con una alarma de CloudWatch para la métrica indicada. Para el tipo de recurso, puede especificar volúmenes de EBS, instancias de EC2, clústeres de Amazon RDS o buckets de S3. La regla es COMPLIANT si la métrica indicada tiene un ID de recurso y una alarma de CloudWatch. | |
| 10.7.2 | Los fallos de los sistemas de control de seguridad críticos se detectan y se notifican, y se responde a ellos con prontitud. (PCI-DSS-v4.0) | Compruebe que se haya habilitado la recopilación de métricas de seguridad de Amazon CloudWatch en los grupos de reglas de AWS WAFv2. La regla es NON_COMPLIANT si el campo VisibilityConfig.CloudWatchMetricsEnabled está establecido en false. | |
| 10.7.2 | Los fallos de los sistemas de control de seguridad críticos se detectan y se notifican, y se responde a ellos con prontitud. (PCI-DSS-v4.0) | Compruebe que el registro de Amazon Simple Notification Service (SNS) esté habilitado para el estado de entrega de los mensajes de notificación enviados a un tema para los puntos de conexión. La regla es NON_COMPLIANT si la notificación del estado de entrega de los mensajes no está habilitada. | |
| 11.5.2 | Las intrusiones en la red y los cambios inesperados en los archivos se detectan y se proporciona una respuesta. (PCI-DSS-v4.0) | Compruebe que las pilas de CloudFormation envíen notificaciones de eventos a un tema de Amazon SNS. Como característica opcional, compruebe que se estén utilizando los temas de Amazon SNS especificados. La regla es NON_COMPLIANT si las pilas de CloudFormation no envían notificaciones. | |
| 11.5.2 | Las intrusiones en la red y los cambios inesperados en los archivos se detectan y se proporciona una respuesta. (PCI-DSS-v4.0) | Compruebe que las alarmas de CloudWatch tengan una acción configurada para los estados ALARM, INSUFFICIENT_DATA u OK. Como factor opcional, compruebe que haya acciones que coincidan con un ARN indicado. La regla es NON_COMPLIANT si no se ha especificado ninguna acción para la alarma o el parámetro opcional. | |
| 11.5.2 | Las intrusiones en la red y los cambios inesperados en los archivos se detectan y se proporciona una respuesta. (PCI-DSS-v4.0) | Compruebe que las alarmas de CloudWatch tengan una acción configurada para los estados ALARM, INSUFFICIENT_DATA u OK. Como factor opcional, compruebe que haya acciones que coincidan con un ARN indicado. La regla es NON_COMPLIANT si no se ha especificado ninguna acción para la alarma o el parámetro opcional. | |
| 11.5.2 | Las intrusiones en la red y los cambios inesperados en los archivos se detectan y se proporciona una respuesta. (PCI-DSS-v4.0) | Compruebe que las alarmas de CloudWatch con el nombre de métrica indicado tengan la configuración especificada. | |
| 11.5.2 | Las intrusiones en la red y los cambios inesperados en los archivos se detectan y se proporciona una respuesta. (PCI-DSS-v4.0) | Compruebe que el registro de Amazon Simple Notification Service (SNS) esté habilitado para el estado de entrega de los mensajes de notificación enviados a un tema para los puntos de conexión. La regla es NON_COMPLIANT si la notificación del estado de entrega de los mensajes no está habilitada. | |
| 11.6.1 | Los cambios no autorizados en las páginas de pago se detectan y se proporciona una respuesta. (PCI-DSS-v4.0) | Compruebe que las pilas de CloudFormation envíen notificaciones de eventos a un tema de Amazon SNS. Como característica opcional, compruebe que se estén utilizando los temas de Amazon SNS especificados. La regla es NON_COMPLIANT si las pilas de CloudFormation no envían notificaciones. | |
| 11.6.1 | Los cambios no autorizados en las páginas de pago se detectan y se proporciona una respuesta. (PCI-DSS-v4.0) | Compruebe que las alarmas de CloudWatch tengan una acción configurada para los estados ALARM, INSUFFICIENT_DATA u OK. Como factor opcional, compruebe que haya acciones que coincidan con un ARN indicado. La regla es NON_COMPLIANT si no se ha especificado ninguna acción para la alarma o el parámetro opcional. | |
| 11.6.1 | Los cambios no autorizados en las páginas de pago se detectan y se proporciona una respuesta. (PCI-DSS-v4.0) | Compruebe que las alarmas de CloudWatch tengan una acción configurada para los estados ALARM, INSUFFICIENT_DATA u OK. Como factor opcional, compruebe que haya acciones que coincidan con un ARN indicado. La regla es NON_COMPLIANT si no se ha especificado ninguna acción para la alarma o el parámetro opcional. | |
| 11.6.1 | Los cambios no autorizados en las páginas de pago se detectan y se proporciona una respuesta. (PCI-DSS-v4.0) | Compruebe que las alarmas de CloudWatch con el nombre de métrica indicado tengan la configuración especificada. | |
| 11.6.1 | Los cambios no autorizados en las páginas de pago se detectan y se proporciona una respuesta. (PCI-DSS-v4.0) | Compruebe que el registro de Amazon Simple Notification Service (SNS) esté habilitado para el estado de entrega de los mensajes de notificación enviados a un tema para los puntos de conexión. La regla es NON_COMPLIANT si la notificación del estado de entrega de los mensajes no está habilitada. | |
| 12.10.5 | Se responde inmediatamente a los incidentes de seguridad, sospechosos y confirmados, que puedan afectar al CDE. (PCI-DSS-v4.0) | Compruebe que las pilas de CloudFormation envíen notificaciones de eventos a un tema de Amazon SNS. Como característica opcional, compruebe que se estén utilizando los temas de Amazon SNS especificados. La regla es NON_COMPLIANT si las pilas de CloudFormation no envían notificaciones. | |
| 12.10.5 | Se responde inmediatamente a los incidentes de seguridad, sospechosos y confirmados, que puedan afectar al CDE. (PCI-DSS-v4.0) | Compruebe que las alarmas de CloudWatch tengan una acción configurada para los estados ALARM, INSUFFICIENT_DATA u OK. Como factor opcional, compruebe que haya acciones que coincidan con un ARN indicado. La regla es NON_COMPLIANT si no se ha especificado ninguna acción para la alarma o el parámetro opcional. | |
| 12.10.5 | Se responde inmediatamente a los incidentes de seguridad, sospechosos y confirmados, que puedan afectar al CDE. (PCI-DSS-v4.0) | Compruebe que las alarmas de CloudWatch tengan una acción configurada para los estados ALARM, INSUFFICIENT_DATA u OK. Como factor opcional, compruebe que haya acciones que coincidan con un ARN indicado. La regla es NON_COMPLIANT si no se ha especificado ninguna acción para la alarma o el parámetro opcional. | |
| 12.10.5 | Se responde inmediatamente a los incidentes de seguridad, sospechosos y confirmados, que puedan afectar al CDE. (PCI-DSS-v4.0) | Compruebe que las alarmas de CloudWatch con el nombre de métrica indicado tengan la configuración especificada. | |
| 12.10.5 | Se responde inmediatamente a los incidentes de seguridad, sospechosos y confirmados, que puedan afectar al CDE. (PCI-DSS-v4.0) | Compruebe que el registro de Amazon Simple Notification Service (SNS) esté habilitado para el estado de entrega de los mensajes de notificación enviados a un tema para los puntos de conexión. La regla es NON_COMPLIANT si la notificación del estado de entrega de los mensajes no está habilitada. | |
| 12.4.2.1 | El cumplimiento de PCI DSS está administrado. (PCI-DSS-v4.0) | Compruebe que AWS Service Catalog comparta las carteras con una organización (un conjunto de cuentas de AWS gestionadas como una sola unidad) cuando la integración esté habilitada con AWS Organizations. La regla es NON_COMPLIANT si el valor de Tipo al compartir es ACCOUNT. | |
| 2.2.5 | Los componentes del sistema se configuran y administran de forma segura. (PCI-DSS-v4.0) | Compruebe que las distribuciones de Amazon CloudFront utilicen una política de seguridad mínima y un conjunto de cifrado de TLSv1.2 o superior para las conexiones de los espectadores. Esta regla es NON_COMPLIANT con una distribución de CloudFront si la minimumProtocolVersion es inferior a TLSv1.2_2018. | |
| 2.2.5 | Los componentes del sistema se configuran y administran de forma segura. (PCI-DSS-v4.0) | Compruebe que las distribuciones de Amazon CloudFront utilicen un certificado SSL personalizado y estén configuradas para utilizar el SNI a fin de atender las solicitudes HTTPS. La regla es NON_COMPLIANT si se asocia un certificado SSL personalizado, pero el método de compatibilidad con SSL es una dirección IP dedicada. | |
| 2.2.5 | Los componentes del sistema se configuran y administran de forma segura. (PCI-DSS-v4.0) | Compruebe que haya un servidor creado con AWS Transfer Family que no utilice FTP para la conexión del punto de conexión. La regla es NON_COMPLIANT si el protocolo del servidor para la conexión del punto de conexión está habilitado para FTP. | |
| 2.2.5 | Los componentes del sistema se configuran y administran de forma segura. (PCI-DSS-v4.0) | Compruebe que las distribuciones de CloudFront no utilicen protocolos SSL obsoletos para la comunicación HTTPS entre las ubicaciones periféricas de CloudFront y los orígenes personalizados. Esta regla es NON_COMPLIANT para una distribución de CloudFront si algún OriginSslProtocols incluye SSLv3. | |
| 2.2.5 | Los componentes del sistema se configuran y administran de forma segura. (PCI-DSS-v4.0) | Compruebe que las distribuciones de Amazon CloudFront cifren el tráfico hacia orígenes personalizados. La regla es NON_COMPLIANT si OriginProtocolPolicy es “http-only” o si OriginProtocolPolicy es “match-viewer” y ViewerProtocolPolicy es “allow-all”. | |
| 2.2.5 | Los componentes del sistema se configuran y administran de forma segura. (PCI-DSS-v4.0) | Compruebe que las distribuciones de Amazon CloudFront utilicen HTTPS (directamente o a través de un redireccionamiento). La regla es NON_COMPLIANT si el valor de ViewerProtocolPolicy se establece en allow-all para DefaultCacheBehavior o para CacheBehaviors. | |
| 2.2.7 | Los componentes del sistema se configuran y administran de forma segura. (PCI-DSS-v4.0) | Compruebe que los puntos de conexión de AWS Database Migration Service (AWS DMS) de los almacenes de datos de Redis estén habilitados para el cifrado TLS/SSL de los datos comunicados con otros puntos de conexión. La regla es NON_COMPLIANT si el cifrado TLS/SSL no está habilitado. | |
| 2.2.7 | Los componentes del sistema se configuran y administran de forma segura. (PCI-DSS-v4.0) | Compruebe que las distribuciones de CloudFront no utilicen protocolos SSL obsoletos para la comunicación HTTPS entre las ubicaciones periféricas de CloudFront y los orígenes personalizados. Esta regla es NON_COMPLIANT para una distribución de CloudFront si algún OriginSslProtocols incluye SSLv3. | |
| 2.2.7 | Los componentes del sistema se configuran y administran de forma segura. (PCI-DSS-v4.0) | Compruebe que las distribuciones de Amazon CloudFront cifren el tráfico hacia orígenes personalizados. La regla es NON_COMPLIANT si OriginProtocolPolicy es “http-only” o si OriginProtocolPolicy es “match-viewer” y ViewerProtocolPolicy es “allow-all”. | |
| 2.2.7 | Los componentes del sistema se configuran y administran de forma segura. (PCI-DSS-v4.0) | Compruebe que las distribuciones de Amazon CloudFront utilicen HTTPS (directamente o a través de un redireccionamiento). La regla es NON_COMPLIANT si el valor de ViewerProtocolPolicy se establece en allow-all para DefaultCacheBehavior o para CacheBehaviors. | |
| 2.2.7 | Los componentes del sistema se configuran y administran de forma segura. (PCI-DSS-v4.0) | Compruebe que los equilibradores de carga clásicos utilicen los certificados SSL proporcionados por AWS Certificate Manager. Para usar esta regla, utilice un agente de escucha SSL o HTTPS con su Classic Load Balancer. Nota: Esta regla solo se aplica a los equilibradores de carga clásicos. Esta regla no comprueba los Application Load Balancers ni los Network Load Balancers. | |
| 2.2.7 | Los componentes del sistema se configuran y administran de forma segura. (PCI-DSS-v4.0) | Compruebe que el clúster del Acelerador de Amazon DynamoDB (DAX) tenga ClusterEndpointEncryptionType configurado en TLS. La regla es NON_COMPLIANT si hay un clúster de DAX que no está cifrado con seguridad de la capa de transporte (TLS). | |
| 2.2.7 | Los componentes del sistema se configuran y administran de forma segura. (PCI-DSS-v4.0) | Compruebe que haya un clúster de Amazon MSK que aplique el cifrado en tránsito con HTTPS (TLS) con los nodos de agente del clúster. La regla es NON_COMPLIANT si la comunicación de texto sin formato está habilitada para conexiones de nodo de agente dentro del clúster. | |
| 2.2.7 | Los componentes del sistema se configuran y administran de forma segura. (PCI-DSS-v4.0) | Compruebe que los puntos de conexión de AWS Database Migration Service (AWS DMS) estén configurados con una conexión SSL. La regla es NON_COMPLIANT si AWS DMS no tiene configurada una conexión SSL. | |
| 3.2.1 | El almacenamiento de los datos de la cuenta se reduce al mínimo. (PCI-DSS-v4.0) | Compruebe que los volúmenes de EBS estén asociados a instancias de EC2. Como factor opcional, compruebe que los volúmenes de EBS se marquen para eliminarlos cuando se finaliza una instancia. | |
| 3.2.1 | El almacenamiento de los datos de la cuenta se reduce al mínimo. (PCI-DSS-v4.0) | Compruebe que haya un repositorio privado de Amazon Elastic Container Registry (ECR) con, al menos, una política de ciclo de vida configurada. La regla es NON_COMPLIANT si no se ha configurado ninguna política de ciclo de vida para el repositorio privado de ECR. | |
| 3.2.1 | El almacenamiento de los datos de la cuenta se reduce al mínimo. (PCI-DSS-v4.0) | Compruebe que se haya habilitado la recuperación en un momento dado (PITR) para las tablas de Amazon DynamoDB. La regla es NON_COMPLIANT si PITR no está habilitado para las tablas de DynamoDB. | |
| 3.2.1 | El almacenamiento de los datos de la cuenta se reduce al mínimo. (PCI-DSS-v4.0) | Compruebe que el período de retención del grupo de registros de Amazon CloudWatch se haya configurado en más de 365 días o en un período de retención específico. La regla es NON_COMPLIANT si el período de retención es inferior a MinRetentionTime (si se ha especificado) o a 365 días. | |
| 3.3.1.1 | Los datos de autenticación confidenciales (SAD) no se almacenan después de la autorización. (PCI-DSS-v4.0) | Compruebe que los volúmenes de EBS estén asociados a instancias de EC2. Como factor opcional, compruebe que los volúmenes de EBS se marquen para eliminarlos cuando se finaliza una instancia. | |
| 3.3.1.1 | Los datos de autenticación confidenciales (SAD) no se almacenan después de la autorización. (PCI-DSS-v4.0) | Compruebe que haya un repositorio privado de Amazon Elastic Container Registry (ECR) con, al menos, una política de ciclo de vida configurada. La regla es NON_COMPLIANT si no se ha configurado ninguna política de ciclo de vida para el repositorio privado de ECR. | |
| 3.3.1.1 | Los datos de autenticación confidenciales (SAD) no se almacenan después de la autorización. (PCI-DSS-v4.0) | Compruebe que se haya habilitado la recuperación en un momento dado (PITR) para las tablas de Amazon DynamoDB. La regla es NON_COMPLIANT si PITR no está habilitado para las tablas de DynamoDB. | |
| 3.3.1.1 | Los datos de autenticación confidenciales (SAD) no se almacenan después de la autorización. (PCI-DSS-v4.0) | Compruebe que el período de retención del grupo de registros de Amazon CloudWatch se haya configurado en más de 365 días o en un período de retención específico. La regla es NON_COMPLIANT si el período de retención es inferior a MinRetentionTime (si se ha especificado) o a 365 días. | |
| 3.3.1.3 | Los datos de autenticación confidenciales (SAD) no se almacenan después de la autorización. (PCI-DSS-v4.0) | Compruebe que los volúmenes de EBS estén asociados a instancias de EC2. Como factor opcional, compruebe que los volúmenes de EBS se marquen para eliminarlos cuando se finaliza una instancia. | |
| 3.3.1.3 | Los datos de autenticación confidenciales (SAD) no se almacenan después de la autorización. (PCI-DSS-v4.0) | Compruebe que haya un repositorio privado de Amazon Elastic Container Registry (ECR) con, al menos, una política de ciclo de vida configurada. La regla es NON_COMPLIANT si no se ha configurado ninguna política de ciclo de vida para el repositorio privado de ECR. | |
| 3.3.1.3 | Los datos de autenticación confidenciales (SAD) no se almacenan después de la autorización. (PCI-DSS-v4.0) | Compruebe que se haya habilitado la recuperación en un momento dado (PITR) para las tablas de Amazon DynamoDB. La regla es NON_COMPLIANT si PITR no está habilitado para las tablas de DynamoDB. | |
| 3.3.1.3 | Los datos de autenticación confidenciales (SAD) no se almacenan después de la autorización. (PCI-DSS-v4.0) | Compruebe que el período de retención del grupo de registros de Amazon CloudWatch se haya configurado en más de 365 días o en un período de retención específico. La regla es NON_COMPLIANT si el período de retención es inferior a MinRetentionTime (si se ha especificado) o a 365 días. | |
| 3.3.2 | Los datos de autenticación confidenciales (SAD) no se almacenan después de la autorización. (PCI-DSS-v4.0) | Compruebe que los volúmenes de EBS estén asociados a instancias de EC2. Como factor opcional, compruebe que los volúmenes de EBS se marquen para eliminarlos cuando se finaliza una instancia. | |
| 3.3.2 | Los datos de autenticación confidenciales (SAD) no se almacenan después de la autorización. (PCI-DSS-v4.0) | Compruebe que haya un repositorio privado de Amazon Elastic Container Registry (ECR) con, al menos, una política de ciclo de vida configurada. La regla es NON_COMPLIANT si no se ha configurado ninguna política de ciclo de vida para el repositorio privado de ECR. | |
| 3.3.2 | Los datos de autenticación confidenciales (SAD) no se almacenan después de la autorización. (PCI-DSS-v4.0) | Compruebe que se haya habilitado la recuperación en un momento dado (PITR) para las tablas de Amazon DynamoDB. La regla es NON_COMPLIANT si PITR no está habilitado para las tablas de DynamoDB. | |
| 3.3.2 | Los datos de autenticación confidenciales (SAD) no se almacenan después de la autorización. (PCI-DSS-v4.0) | Compruebe que el período de retención del grupo de registros de Amazon CloudWatch se haya configurado en más de 365 días o en un período de retención específico. La regla es NON_COMPLIANT si el período de retención es inferior a MinRetentionTime (si se ha especificado) o a 365 días. | |
| 3.3.3 | Los datos de autenticación confidenciales (SAD) no se almacenan después de la autorización. (PCI-DSS-v4.0) | Compruebe que los volúmenes de EBS estén asociados a instancias de EC2. Como factor opcional, compruebe que los volúmenes de EBS se marquen para eliminarlos cuando se finaliza una instancia. | |
| 3.3.3 | Los datos de autenticación confidenciales (SAD) no se almacenan después de la autorización. (PCI-DSS-v4.0) | Compruebe que haya un repositorio privado de Amazon Elastic Container Registry (ECR) con, al menos, una política de ciclo de vida configurada. La regla es NON_COMPLIANT si no se ha configurado ninguna política de ciclo de vida para el repositorio privado de ECR. | |
| 3.3.3 | Los datos de autenticación confidenciales (SAD) no se almacenan después de la autorización. (PCI-DSS-v4.0) | Compruebe que se haya habilitado la recuperación en un momento dado (PITR) para las tablas de Amazon DynamoDB. La regla es NON_COMPLIANT si PITR no está habilitado para las tablas de DynamoDB. | |
| 3.3.3 | Los datos de autenticación confidenciales (SAD) no se almacenan después de la autorización. (PCI-DSS-v4.0) | Compruebe que el período de retención del grupo de registros de Amazon CloudWatch se haya configurado en más de 365 días o en un período de retención específico. La regla es NON_COMPLIANT si el período de retención es inferior a MinRetentionTime (si se ha especificado) o a 365 días. | |
| 3.5.1 | El número de cuenta principal (PAN) está protegido dondequiera que esté almacenado. (PCI-DSS-v4.0) | Compruebe que haya un grupo de trabajo de Amazon Athena cifrado en reposo. La regla es NON_COMPLIANT si el cifrado de datos en reposo no está habilitado para un grupo de trabajo de Athena. | |
| 3.5.1 | El número de cuenta principal (PAN) está protegido dondequiera que esté almacenado. (PCI-DSS-v4.0) | Compruebe que haya un clúster de base de datos de Amazon Neptune con instantáneas cifradas. La regla es NON_COMPLIANT si un clúster de Neptune no tiene las instantáneas cifradas. | |
| 3.5.1 | El número de cuenta principal (PAN) está protegido dondequiera que esté almacenado. (PCI-DSS-v4.0) | Compruebe que los clústeres de Amazon Redshift utilicen una clave de AWS Key Management Service (AWS KMS) especificada para el cifrado. La regla es COMPLIANT si el cifrado está habilitado y el clúster está cifrado con la clave proporcionada en el parámetro kmsKeyArn. La regla es NON_COMPLIANT si el clúster no está cifrado o está cifrado con otra clave. | |
| 3.5.1 | El número de cuenta principal (PAN) está protegido dondequiera que esté almacenado. (PCI-DSS-v4.0) | Compruebe que haya un proyecto de AWS CodeBuild con el cifrado habilitado para todos sus artefactos. La regla kms:DescribeKey si encryptionDisabled se establece en true para cualquier configuración de artefacto principal o secundario (si está presente). | |
| 3.5.1 | El número de cuenta principal (PAN) está protegido dondequiera que esté almacenado. (PCI-DSS-v4.0) | Compruebe que haya un proyecto de AWS CodeBuild configurado con registros de Amazon S3 que tenga el cifrado habilitado para sus registros. La regla es NON_COMPLIANT si encryptionDisabled se establece en “true” en un S3LogsConfig de un proyecto de CodeBuild. | |
| 3.5.1 | El número de cuenta principal (PAN) está protegido dondequiera que esté almacenado. (PCI-DSS-v4.0) | Compruebe que los clústeres del Acelerador de Amazon DynamoDB (DAX) estén cifrados. La regla es NON_COMPLIANT si el clúster de DAX no está cifrado. | |
| 3.5.1 | El número de cuenta principal (PAN) está protegido dondequiera que esté almacenado. (PCI-DSS-v4.0) | Compruebe que los clústeres de Amazon Elastic Kubernetes Service estén configurados para cifrar los secretos de Kubernetes con claves de AWS Key Management Service (KMS). | |
| 3.5.1 | El número de cuenta principal (PAN) está protegido dondequiera que esté almacenado. (PCI-DSS-v4.0) | Compruebe que todos los métodos de las etapas de Amazon API Gateway tengan memoria caché habilitada y cifrada. La regla es NON_COMPLIANT si algún método de una etapa de Amazon API Gateway no está configurada para el almacenamiento en caché o si la caché no está cifrada. | |
| 3.5.1 | El número de cuenta principal (PAN) está protegido dondequiera que esté almacenado. (PCI-DSS-v4.0) | Compruebe que el cifrado de almacenamiento esté habilitado en los clústeres de Amazon DocumentDB (compatible con MongoDB). La regla es NON_COMPLIANT si el cifrado de almacenamiento no está habilitado. | |
| 3.5.1 | El número de cuenta principal (PAN) está protegido dondequiera que esté almacenado. (PCI-DSS-v4.0) | Compruebe que la tabla de Amazon DynamoDB esté cifrada con AWS Key Management Service (KMS). La regla es NON_COMPLIANT si la tabla de Amazon DynamoDB no está cifrada con AWS KMS. La regla también es NON_COMPLIANT si la clave de AWS KMS cifrada no está en el parámetro de entrada kmsKeyArns. | |
| 3.5.1 | El número de cuenta principal (PAN) está protegido dondequiera que esté almacenado. (PCI-DSS-v4.0) | Compruebe que las tablas de Amazon DynamoDB estén cifradas y revise su estado. La regla es COMPLIANT si el estado indica que se han habilitado o se están habilitando. | |
| 3.5.1 | El número de cuenta principal (PAN) está protegido dondequiera que esté almacenado. (PCI-DSS-v4.0) | Compruebe que el proyecto NO contenga las variables de entorno AWS_ACCESS_KEY_ID ni AWS_SECRET_ACCESS_KEY. La regla es NON_COMPLIANT si las variables de entorno del proyecto contienen credenciales de texto no cifrado. | |
| 3.5.1 | El número de cuenta principal (PAN) está protegido dondequiera que esté almacenado. (PCI-DSS-v4.0) | Compruebe que los clústeres de Amazon EKS no estén configurados para cifrar los secretos de Kubernetes con AWS KMS. La regla es NON_COMPLIANT si hay un clúster de EKS sin un recurso de encryptionConfig o si encryptionConfig no designa secretos como un recurso. | |
| 3.5.1 | El número de cuenta principal (PAN) está protegido dondequiera que esté almacenado. (PCI-DSS-v4.0) | Compruebe que los flujos de Amazon Kinesis estén cifrados en reposo con el cifrado en el servidor. La regla es NON_COMPLIANT para un flujo de Kinesis si StreamEncryption no está presente. | |
| 3.5.1 | El número de cuenta principal (PAN) está protegido dondequiera que esté almacenado. (PCI-DSS-v4.0) | Compruebe que el cifrado de almacenamiento esté habilitado para los clústeres de base de datos de Amazon Neptune. La regla es NON_COMPLIANT si el cifrado de almacenamiento no está habilitado. | |
| 3.5.1.1 | El número de cuenta principal (PAN) está protegido dondequiera que esté almacenado. (PCI-DSS-v4.0) | Compruebe que AWS Private Certificate Authority (AWS Private CA) tenga una CA raíz deshabilitada. La regla es NON_COMPLIANT para las normas de las CA raíz cuyo estado no sea DISABLED. | |
| 3.5.1.1 | El número de cuenta principal (PAN) está protegido dondequiera que esté almacenado. (PCI-DSS-v4.0) | Compruebe que el certificado asociado a una distribución de Amazon CloudFront no sea el certificado SSL predeterminado. La regla es NON_COMPLIANT si una distribución de CloudFront utiliza el certificado SSL predeterminado. | |
| 3.5.1.1 | El número de cuenta principal (PAN) está protegido dondequiera que esté almacenado. (PCI-DSS-v4.0) | Compruebe que los equilibradores de carga clásicos utilicen los certificados SSL proporcionados por AWS Certificate Manager. Para usar esta regla, utilice un agente de escucha SSL o HTTPS con su Classic Load Balancer. Nota: Esta regla solo se aplica a los equilibradores de carga clásicos. Esta regla no comprueba los Application Load Balancers ni los Network Load Balancers. | |
| 3.5.1.3 | El número de cuenta principal (PAN) está protegido dondequiera que esté almacenado. (PCI-DSS-v4.0) | Compruebe que AWS Private Certificate Authority (AWS Private CA) tenga una CA raíz deshabilitada. La regla es NON_COMPLIANT para las normas de las CA raíz cuyo estado no sea DISABLED. | |
| 3.5.1.3 | El número de cuenta principal (PAN) está protegido dondequiera que esté almacenado. (PCI-DSS-v4.0) | Compruebe que el certificado asociado a una distribución de Amazon CloudFront no sea el certificado SSL predeterminado. La regla es NON_COMPLIANT si una distribución de CloudFront utiliza el certificado SSL predeterminado. | |
| 3.5.1.3 | El número de cuenta principal (PAN) está protegido dondequiera que esté almacenado. (PCI-DSS-v4.0) | Compruebe que haya una instantánea manual de un clúster de base de datos de Amazon Neptune que no sea pública. La regla es NON_COMPLIANT si las instantáneas de clústeres nuevas y existentes de Neptune son públicas. | |
| 3.5.1.3 | El número de cuenta principal (PAN) está protegido dondequiera que esté almacenado. (PCI-DSS-v4.0) | Compruebe que las instantáneas de clúster manual de Amazon DocumentDB no sean públicas. La regla es NON_COMPLIANT si alguna instantánea de clúster manual de Amazon DocumentDB es pública. | |
| 3.5.1.3 | El número de cuenta principal (PAN) está protegido dondequiera que esté almacenado. (PCI-DSS-v4.0) | Compruebe que haya un almacén de copia de seguridad con una política basada en recursos asociada que impida la eliminación de los puntos de recuperación. La regla es NON_COMPLIANT si el almacén de copias de seguridad no tiene políticas basadas en recursos o tiene políticas sin una instrucción Deny adecuada (instrucción con los permisos backup:DeleteRecoveryPoint, backup:UpdateRecoveryPointLifecycle y backup:PutBackupVaultAccessPolicy). | |
| 3.5.1.3 | El número de cuenta principal (PAN) está protegido dondequiera que esté almacenado. (PCI-DSS-v4.0) | Compruebe que los equilibradores de carga clásicos utilicen los certificados SSL proporcionados por AWS Certificate Manager. Para usar esta regla, utilice un agente de escucha SSL o HTTPS con su Classic Load Balancer. Nota: Esta regla solo se aplica a los equilibradores de carga clásicos. Esta regla no comprueba los Application Load Balancers ni los Network Load Balancers. | |
| 3.5.1.3 | El número de cuenta principal (PAN) está protegido dondequiera que esté almacenado. (PCI-DSS-v4.0) | Compruebe que haya una cuenta de Amazon EMR con la configuración de bloqueo de acceso público habilitada. La regla es NON_COMPLIANT si BlockPublicSecurityGroupRules es falso o, si es verdadero, los puertos que no sean el 22 aparecen en PermittedPublicSecurityGroupRuleRanges. | |
| 3.5.1.3 | El número de cuenta principal (PAN) está protegido dondequiera que esté almacenado. (PCI-DSS-v4.0) | Compruebe que los puntos de acceso de Amazon S3 tengan habilitada la configuración de bloqueo del acceso público. La regla NON_COMPLIANT si la configuración de bloqueo de acceso público no está habilitada para los puntos de acceso de S3. | |
| 3.5.1.3 | El número de cuenta principal (PAN) está protegido dondequiera que esté almacenado. (PCI-DSS-v4.0) | Compruebe que la configuración requerida del bloqueo de acceso público se haya configurado desde el nivel de cuenta. La regla sólo es NON_COMPLIANT cuando los campos establecidos a continuación no coinciden con los campos correspondientes en el elemento de configuración. | |
| 3.5.1.3 | El número de cuenta principal (PAN) está protegido dondequiera que esté almacenado. (PCI-DSS-v4.0) | Compruebe que la eliminación de la MFA esté habilitada en la configuración del control de versiones de buckets de Amazon Simple Storage Service (Amazon S3). La regla es NON_COMPLIANT si la eliminación de MFA no está habilitada. | |
| 3.6.1 | Las claves criptográficas utilizadas para proteger los datos de cuenta almacenados están protegidas. (PCI-DSS-v4.0) | Compruebe que AWS Private Certificate Authority (AWS Private CA) tenga una CA raíz deshabilitada. La regla es NON_COMPLIANT para las normas de las CA raíz cuyo estado no sea DISABLED. | |
| 3.6.1 | Las claves criptográficas utilizadas para proteger los datos de cuenta almacenados están protegidas. (PCI-DSS-v4.0) | Compruebe que el certificado asociado a una distribución de Amazon CloudFront no sea el certificado SSL predeterminado. La regla es NON_COMPLIANT si una distribución de CloudFront utiliza el certificado SSL predeterminado. | |
| 3.6.1 | Las claves criptográficas utilizadas para proteger los datos de cuenta almacenados están protegidas. (PCI-DSS-v4.0) | Compruebe que los equilibradores de carga clásicos utilicen los certificados SSL proporcionados por AWS Certificate Manager. Para usar esta regla, utilice un agente de escucha SSL o HTTPS con su Classic Load Balancer. Nota: Esta regla solo se aplica a los equilibradores de carga clásicos. Esta regla no comprueba los Application Load Balancers ni los Network Load Balancers. | |
| 3.6.1.2 | Las claves criptográficas utilizadas para proteger los datos de cuenta almacenados están protegidas. (PCI-DSS-v4.0) | Compruebe que AWS Private Certificate Authority (AWS Private CA) tenga una CA raíz deshabilitada. La regla es NON_COMPLIANT para las normas de las CA raíz cuyo estado no sea DISABLED. | |
| 3.6.1.2 | Las claves criptográficas utilizadas para proteger los datos de cuenta almacenados están protegidas. (PCI-DSS-v4.0) | Compruebe que el certificado asociado a una distribución de Amazon CloudFront no sea el certificado SSL predeterminado. La regla es NON_COMPLIANT si una distribución de CloudFront utiliza el certificado SSL predeterminado. | |
| 3.6.1.2 | Las claves criptográficas utilizadas para proteger los datos de cuenta almacenados están protegidas. (PCI-DSS-v4.0) | Compruebe que los equilibradores de carga clásicos utilicen los certificados SSL proporcionados por AWS Certificate Manager. Para usar esta regla, utilice un agente de escucha SSL o HTTPS con su Classic Load Balancer. Nota: Esta regla solo se aplica a los equilibradores de carga clásicos. Esta regla no comprueba los Application Load Balancers ni los Network Load Balancers. | |
| 3.6.1.3 | Las claves criptográficas utilizadas para proteger los datos de cuenta almacenados están protegidas. (PCI-DSS-v4.0) | Compruebe que AWS Private Certificate Authority (AWS Private CA) tenga una CA raíz deshabilitada. La regla es NON_COMPLIANT para las normas de las CA raíz cuyo estado no sea DISABLED. | |
| 3.6.1.3 | Las claves criptográficas utilizadas para proteger los datos de cuenta almacenados están protegidas. (PCI-DSS-v4.0) | Compruebe que el certificado asociado a una distribución de Amazon CloudFront no sea el certificado SSL predeterminado. La regla es NON_COMPLIANT si una distribución de CloudFront utiliza el certificado SSL predeterminado. | |
| 3.6.1.3 | Las claves criptográficas utilizadas para proteger los datos de cuenta almacenados están protegidas. (PCI-DSS-v4.0) | Compruebe que los equilibradores de carga clásicos utilicen los certificados SSL proporcionados por AWS Certificate Manager. Para usar esta regla, utilice un agente de escucha SSL o HTTPS con su Classic Load Balancer. Nota: Esta regla solo se aplica a los equilibradores de carga clásicos. Esta regla no comprueba los Application Load Balancers ni los Network Load Balancers. | |
| 3.6.1.4 | Las claves criptográficas utilizadas para proteger los datos de cuenta almacenados están protegidas. (PCI-DSS-v4.0) | Compruebe que AWS Private Certificate Authority (AWS Private CA) tenga una CA raíz deshabilitada. La regla es NON_COMPLIANT para las normas de las CA raíz cuyo estado no sea DISABLED. | |
| 3.6.1.4 | Las claves criptográficas utilizadas para proteger los datos de cuenta almacenados están protegidas. (PCI-DSS-v4.0) | Compruebe que el certificado asociado a una distribución de Amazon CloudFront no sea el certificado SSL predeterminado. La regla es NON_COMPLIANT si una distribución de CloudFront utiliza el certificado SSL predeterminado. | |
| 3.6.1.4 | Las claves criptográficas utilizadas para proteger los datos de cuenta almacenados están protegidas. (PCI-DSS-v4.0) | Compruebe que los equilibradores de carga clásicos utilicen los certificados SSL proporcionados por AWS Certificate Manager. Para usar esta regla, utilice un agente de escucha SSL o HTTPS con su Classic Load Balancer. Nota: Esta regla solo se aplica a los equilibradores de carga clásicos. Esta regla no comprueba los Application Load Balancers ni los Network Load Balancers. | |
| 3.7.1 | Cuando se utiliza la criptografía para proteger los datos de cuenta almacenados, se definen e implementan procesos y procedimientos de administración de claves que abarcan todos los aspectos del ciclo de vida de las claves. (PCI-DSS-v4.0) | Compruebe que los certificados RSA administrados por AWS Certificate Manager (ACM) tengan una longitud de clave de, al menos, 2048 bits. La regla es NON_COMPLIANT si la longitud mínima de la clave es inferior a 2048 bits. | |
| 3.7.1 | Cuando se utiliza la criptografía para proteger los datos de cuenta almacenados, se definen e implementan procesos y procedimientos de administración de claves que abarcan todos los aspectos del ciclo de vida de las claves. (PCI-DSS-v4.0) | Compruebe que AWS Private Certificate Authority (AWS Private CA) tenga una CA raíz deshabilitada. La regla es NON_COMPLIANT para las normas de las CA raíz cuyo estado no sea DISABLED. | |
| 3.7.1 | Cuando se utiliza la criptografía para proteger los datos de cuenta almacenados, se definen e implementan procesos y procedimientos de administración de claves que abarcan todos los aspectos del ciclo de vida de las claves. (PCI-DSS-v4.0) | Compruebe que el certificado asociado a una distribución de Amazon CloudFront no sea el certificado SSL predeterminado. La regla es NON_COMPLIANT si una distribución de CloudFront utiliza el certificado SSL predeterminado. | |
| 3.7.1 | Cuando se utiliza la criptografía para proteger los datos de cuenta almacenados, se definen e implementan procesos y procedimientos de administración de claves que abarcan todos los aspectos del ciclo de vida de las claves. (PCI-DSS-v4.0) | Compruebe que los equilibradores de carga clásicos utilicen los certificados SSL proporcionados por AWS Certificate Manager. Para usar esta regla, utilice un agente de escucha SSL o HTTPS con su Classic Load Balancer. Nota: Esta regla solo se aplica a los equilibradores de carga clásicos. Esta regla no comprueba los Application Load Balancers ni los Network Load Balancers. | |
| 3.7.2 | Cuando se utiliza la criptografía para proteger los datos de cuenta almacenados, se definen e implementan procesos y procedimientos de administración de claves que abarcan todos los aspectos del ciclo de vida de las claves. (PCI-DSS-v4.0) | Compruebe que AWS Private Certificate Authority (AWS Private CA) tenga una CA raíz deshabilitada. La regla es NON_COMPLIANT para las normas de las CA raíz cuyo estado no sea DISABLED. | |
| 3.7.2 | Cuando se utiliza la criptografía para proteger los datos de cuenta almacenados, se definen e implementan procesos y procedimientos de administración de claves que abarcan todos los aspectos del ciclo de vida de las claves. (PCI-DSS-v4.0) | Compruebe que el certificado asociado a una distribución de Amazon CloudFront no sea el certificado SSL predeterminado. La regla es NON_COMPLIANT si una distribución de CloudFront utiliza el certificado SSL predeterminado. | |
| 3.7.2 | Cuando se utiliza la criptografía para proteger los datos de cuenta almacenados, se definen e implementan procesos y procedimientos de administración de claves que abarcan todos los aspectos del ciclo de vida de las claves. (PCI-DSS-v4.0) | Compruebe que los equilibradores de carga clásicos utilicen los certificados SSL proporcionados por AWS Certificate Manager. Para usar esta regla, utilice un agente de escucha SSL o HTTPS con su Classic Load Balancer. Nota: Esta regla solo se aplica a los equilibradores de carga clásicos. Esta regla no comprueba los Application Load Balancers ni los Network Load Balancers. | |
| 3.7.4 | Cuando se utiliza la criptografía para proteger los datos de cuenta almacenados, se definen e implementan procesos y procedimientos de administración de claves que abarcan todos los aspectos del ciclo de vida de las claves. (PCI-DSS-v4.0) | Compruebe que AWS Private Certificate Authority (AWS Private CA) tenga una CA raíz deshabilitada. La regla es NON_COMPLIANT para las normas de las CA raíz cuyo estado no sea DISABLED. | |
| 3.7.4 | Cuando se utiliza la criptografía para proteger los datos de cuenta almacenados, se definen e implementan procesos y procedimientos de administración de claves que abarcan todos los aspectos del ciclo de vida de las claves. (PCI-DSS-v4.0) | Compruebe que el certificado asociado a una distribución de Amazon CloudFront no sea el certificado SSL predeterminado. La regla es NON_COMPLIANT si una distribución de CloudFront utiliza el certificado SSL predeterminado. | |
| 3.7.4 | Cuando se utiliza la criptografía para proteger los datos de cuenta almacenados, se definen e implementan procesos y procedimientos de administración de claves que abarcan todos los aspectos del ciclo de vida de las claves. (PCI-DSS-v4.0) | Compruebe que los equilibradores de carga clásicos utilicen los certificados SSL proporcionados por AWS Certificate Manager. Para usar esta regla, utilice un agente de escucha SSL o HTTPS con su Classic Load Balancer. Nota: Esta regla solo se aplica a los equilibradores de carga clásicos. Esta regla no comprueba los Application Load Balancers ni los Network Load Balancers. | |
| 3.7.6 | Cuando se utiliza la criptografía para proteger los datos de cuenta almacenados, se definen e implementan procesos y procedimientos de administración de claves que abarcan todos los aspectos del ciclo de vida de las claves. (PCI-DSS-v4.0) | Compruebe que AWS Private Certificate Authority (AWS Private CA) tenga una CA raíz deshabilitada. La regla es NON_COMPLIANT para las normas de las CA raíz cuyo estado no sea DISABLED. | |
| 3.7.6 | Cuando se utiliza la criptografía para proteger los datos de cuenta almacenados, se definen e implementan procesos y procedimientos de administración de claves que abarcan todos los aspectos del ciclo de vida de las claves. (PCI-DSS-v4.0) | Compruebe que el certificado asociado a una distribución de Amazon CloudFront no sea el certificado SSL predeterminado. La regla es NON_COMPLIANT si una distribución de CloudFront utiliza el certificado SSL predeterminado. | |
| 3.7.6 | Cuando se utiliza la criptografía para proteger los datos de cuenta almacenados, se definen e implementan procesos y procedimientos de administración de claves que abarcan todos los aspectos del ciclo de vida de las claves. (PCI-DSS-v4.0) | Compruebe que los equilibradores de carga clásicos utilicen los certificados SSL proporcionados por AWS Certificate Manager. Para usar esta regla, utilice un agente de escucha SSL o HTTPS con su Classic Load Balancer. Nota: Esta regla solo se aplica a los equilibradores de carga clásicos. Esta regla no comprueba los Application Load Balancers ni los Network Load Balancers. | |
| 3.7.7 | Cuando se utiliza la criptografía para proteger los datos de cuenta almacenados, se definen e implementan procesos y procedimientos de administración de claves que abarcan todos los aspectos del ciclo de vida de las claves. (PCI-DSS-v4.0) | Compruebe que AWS Private Certificate Authority (AWS Private CA) tenga una CA raíz deshabilitada. La regla es NON_COMPLIANT para las normas de las CA raíz cuyo estado no sea DISABLED. | |
| 3.7.7 | Cuando se utiliza la criptografía para proteger los datos de cuenta almacenados, se definen e implementan procesos y procedimientos de administración de claves que abarcan todos los aspectos del ciclo de vida de las claves. (PCI-DSS-v4.0) | Compruebe que el certificado asociado a una distribución de Amazon CloudFront no sea el certificado SSL predeterminado. La regla es NON_COMPLIANT si una distribución de CloudFront utiliza el certificado SSL predeterminado. | |
| 3.7.7 | Cuando se utiliza la criptografía para proteger los datos de cuenta almacenados, se definen e implementan procesos y procedimientos de administración de claves que abarcan todos los aspectos del ciclo de vida de las claves. (PCI-DSS-v4.0) | Compruebe que los equilibradores de carga clásicos utilicen los certificados SSL proporcionados por AWS Certificate Manager. Para usar esta regla, utilice un agente de escucha SSL o HTTPS con su Classic Load Balancer. Nota: Esta regla solo se aplica a los equilibradores de carga clásicos. Esta regla no comprueba los Application Load Balancers ni los Network Load Balancers. | |
| 4.2.1 | Durante la transmisión, el PAN está protegido con un potente método criptográfico. (PCI-DSS-v4.0) | Compruebe que los puntos de conexión de AWS Database Migration Service (AWS DMS) de los almacenes de datos de Redis estén habilitados para el cifrado TLS/SSL de los datos comunicados con otros puntos de conexión. La regla es NON_COMPLIANT si el cifrado TLS/SSL no está habilitado. | |
| 4.2.1 | Durante la transmisión, el PAN está protegido con un potente método criptográfico. (PCI-DSS-v4.0) | Compruebe que las distribuciones de CloudFront no utilicen protocolos SSL obsoletos para la comunicación HTTPS entre las ubicaciones periféricas de CloudFront y los orígenes personalizados. Esta regla es NON_COMPLIANT para una distribución de CloudFront si algún OriginSslProtocols incluye SSLv3. | |
| 4.2.1 | Durante la transmisión, el PAN está protegido con un potente método criptográfico. (PCI-DSS-v4.0) | Compruebe que las distribuciones de Amazon CloudFront cifren el tráfico hacia orígenes personalizados. La regla es NON_COMPLIANT si OriginProtocolPolicy es “http-only” o si OriginProtocolPolicy es “match-viewer” y ViewerProtocolPolicy es “allow-all”. | |
| 4.2.1 | Durante la transmisión, el PAN está protegido con un potente método criptográfico. (PCI-DSS-v4.0) | Compruebe que las distribuciones de Amazon CloudFront utilicen HTTPS (directamente o a través de un redireccionamiento). La regla es NON_COMPLIANT si el valor de ViewerProtocolPolicy se establece en allow-all para DefaultCacheBehavior o para CacheBehaviors. | |
| 4.2.1 | Durante la transmisión, el PAN está protegido con un potente método criptográfico. (PCI-DSS-v4.0) | Compruebe que los equilibradores de carga clásicos utilicen los certificados SSL proporcionados por AWS Certificate Manager. Para usar esta regla, utilice un agente de escucha SSL o HTTPS con su Classic Load Balancer. Nota: Esta regla solo se aplica a los equilibradores de carga clásicos. Esta regla no comprueba los Application Load Balancers ni los Network Load Balancers. | |
| 4.2.1 | Durante la transmisión, el PAN está protegido con un potente método criptográfico. (PCI-DSS-v4.0) | Compruebe que el clúster del Acelerador de Amazon DynamoDB (DAX) tenga ClusterEndpointEncryptionType configurado en TLS. La regla es NON_COMPLIANT si hay un clúster de DAX que no está cifrado con seguridad de la capa de transporte (TLS). | |
| 4.2.1 | Durante la transmisión, el PAN está protegido con un potente método criptográfico. (PCI-DSS-v4.0) | Compruebe que haya un clúster de Amazon MSK que aplique el cifrado en tránsito con HTTPS (TLS) con los nodos de agente del clúster. La regla es NON_COMPLIANT si la comunicación de texto sin formato está habilitada para conexiones de nodo de agente dentro del clúster. | |
| 4.2.1 | Durante la transmisión, el PAN está protegido con un potente método criptográfico. (PCI-DSS-v4.0) | Compruebe que los puntos de conexión de AWS Database Migration Service (AWS DMS) estén configurados con una conexión SSL. La regla es NON_COMPLIANT si AWS DMS no tiene configurada una conexión SSL. | |
| 4.2.1.1 | Durante la transmisión, el PAN está protegido con un potente método criptográfico. (PCI-DSS-v4.0) | Compruebe que AWS Private Certificate Authority (AWS Private CA) tenga una CA raíz deshabilitada. La regla es NON_COMPLIANT para las normas de las CA raíz cuyo estado no sea DISABLED. | |
| 4.2.1.1 | Durante la transmisión, el PAN está protegido con un potente método criptográfico. (PCI-DSS-v4.0) | Compruebe que el certificado asociado a una distribución de Amazon CloudFront no sea el certificado SSL predeterminado. La regla es NON_COMPLIANT si una distribución de CloudFront utiliza el certificado SSL predeterminado. | |
| 4.2.1.1 | Durante la transmisión, el PAN está protegido con un potente método criptográfico. (PCI-DSS-v4.0) | Compruebe que los puntos de conexión de AWS Database Migration Service (AWS DMS) de los almacenes de datos de Redis estén habilitados para el cifrado TLS/SSL de los datos comunicados con otros puntos de conexión. La regla es NON_COMPLIANT si el cifrado TLS/SSL no está habilitado. | |
| 4.2.1.1 | Durante la transmisión, el PAN está protegido con un potente método criptográfico. (PCI-DSS-v4.0) | Compruebe que las distribuciones de CloudFront no utilicen protocolos SSL obsoletos para la comunicación HTTPS entre las ubicaciones periféricas de CloudFront y los orígenes personalizados. Esta regla es NON_COMPLIANT para una distribución de CloudFront si algún OriginSslProtocols incluye SSLv3. | |
| 4.2.1.1 | Durante la transmisión, el PAN está protegido con un potente método criptográfico. (PCI-DSS-v4.0) | Compruebe que las distribuciones de Amazon CloudFront cifren el tráfico hacia orígenes personalizados. La regla es NON_COMPLIANT si OriginProtocolPolicy es “http-only” o si OriginProtocolPolicy es “match-viewer” y ViewerProtocolPolicy es “allow-all”. | |
| 4.2.1.1 | Durante la transmisión, el PAN está protegido con un potente método criptográfico. (PCI-DSS-v4.0) | Compruebe que las distribuciones de Amazon CloudFront utilicen HTTPS (directamente o a través de un redireccionamiento). La regla es NON_COMPLIANT si el valor de ViewerProtocolPolicy se establece en allow-all para DefaultCacheBehavior o para CacheBehaviors. | |
| 4.2.1.1 | Durante la transmisión, el PAN está protegido con un potente método criptográfico. (PCI-DSS-v4.0) | Compruebe que los equilibradores de carga clásicos utilicen los certificados SSL proporcionados por AWS Certificate Manager. Para usar esta regla, utilice un agente de escucha SSL o HTTPS con su Classic Load Balancer. Nota: Esta regla solo se aplica a los equilibradores de carga clásicos. Esta regla no comprueba los Application Load Balancers ni los Network Load Balancers. | |
| 4.2.1.1 | Durante la transmisión, el PAN está protegido con un potente método criptográfico. (PCI-DSS-v4.0) | Compruebe que el clúster del Acelerador de Amazon DynamoDB (DAX) tenga ClusterEndpointEncryptionType configurado en TLS. La regla es NON_COMPLIANT si hay un clúster de DAX que no está cifrado con seguridad de la capa de transporte (TLS). | |
| 4.2.1.1 | Durante la transmisión, el PAN está protegido con un potente método criptográfico. (PCI-DSS-v4.0) | Compruebe que haya un clúster de Amazon MSK que aplique el cifrado en tránsito con HTTPS (TLS) con los nodos de agente del clúster. La regla es NON_COMPLIANT si la comunicación de texto sin formato está habilitada para conexiones de nodo de agente dentro del clúster. | |
| 4.2.1.1 | Durante la transmisión, el PAN está protegido con un potente método criptográfico. (PCI-DSS-v4.0) | Compruebe que los puntos de conexión de AWS Database Migration Service (AWS DMS) estén configurados con una conexión SSL. La regla es NON_COMPLIANT si AWS DMS no tiene configurada una conexión SSL. | |
| 5.3.4 | Los mecanismos y procesos antimalware están activos, supervisados y bajo mantenimiento. (PCI-DSS-v4.0) | Compruebe que las etapas de Amazon API Gateway V2 tengan habilitado el registro de acceso. La regla es NON_COMPLIANT si accessLogSettings no está presente en la configuración de la etapa. | |
| 5.3.4 | Los mecanismos y procesos antimalware están activos, supervisados y bajo mantenimiento. (PCI-DSS-v4.0) | Compruebe que el rastreo de AWS X-Ray esté habilitado en las API de REST de Amazon API Gateway. La regla es COMPLIANT si el rastreo de X-Ray está habilitado y NON_COMPLIANT cuando no lo está. | |
| 5.3.4 | Los mecanismos y procesos antimalware están activos, supervisados y bajo mantenimiento. (PCI-DSS-v4.0) | Compruebe que las distribuciones de Amazon CloudFront estén configuradas para suministrar registros de acceso a un bucket de Amazon S3. La regla es NON_COMPLIANT si una distribución de CloudFront no tiene el registro configurado. | |
| 5.3.4 | Los mecanismos y procesos antimalware están activos, supervisados y bajo mantenimiento. (PCI-DSS-v4.0) | Compruebe que haya, al menos, un registro de seguimiento de AWS CloudTrail definido de acuerdo con las prácticas recomendadas de seguridad. Esta regla es COMPLIANT si hay al menos un registro de seguimiento que cumpla todos los requisitos siguientes: | |
| 5.3.4 | Los mecanismos y procesos antimalware están activos, supervisados y bajo mantenimiento. (PCI-DSS-v4.0) | Compruebe que haya un clúster de Amazon Neptune con la exportación de registros de CloudWatch habilitada para los registros de auditoría. La regla es NON_COMPLIANT si un clúster de Neptune no tiene habilitada la exportación de registros de CloudWatch para los registros de auditoría. | |
| 5.3.4 | Los mecanismos y procesos antimalware están activos, supervisados y bajo mantenimiento. (PCI-DSS-v4.0) | Compruebe que logConfiguration esté configurado como activo en las definiciones de tareas de Amazon ECS. Esta regla es NON_COMPLIANT si una ECSTaskDefinition activa no tiene definido el recurso logConfiguration o si el valor de logConfiguration es nulo en al menos una definición de contenedor. | |
| 5.3.4 | Los mecanismos y procesos antimalware están activos, supervisados y bajo mantenimiento. (PCI-DSS-v4.0) | Nota: Para esta regla, el identificador de la regla (CLOUD_TRAIL_ENABLED) y el nombre de la regla (cloudtrail-enabled) son diferentes. Compruebe que haya un registro de seguimiento de AWS CloudTrail habilitado en su cuenta de AWS. La regla es NON_COMPLIANT si no hay ningún registro de seguimiento habilitado. De forma opcional, la regla comprueba un bucket de S3 específico, un tema de Amazon Simple Notification Service (Amazon SNS) y un grupo de registro de CloudWatch. | |
| 5.3.4 | Los mecanismos y procesos antimalware están activos, supervisados y bajo mantenimiento. (PCI-DSS-v4.0) | Nota: Para esta regla, el identificador de la regla (MULTI_REGION_CLOUD_TRAIL_ENABLED) y el nombre de la regla (multi-region-cloudtrail-enabled) son diferentes. Compruebe que haya al menos un AWS CloudTrail multirregión. La regla es NON_COMPLIANT si los registros de seguimiento no coinciden con los parámetros de entrada. La regla es NON_COMPLIANT si el campo ExcludeManagementEventSources no está vacío o si AWS CloudTrail está configurado para excluir los eventos de administración, como los eventos AWS KMS o los eventos de la API de datos de Amazon RDS. | |
| 5.3.4 | Los mecanismos y procesos antimalware están activos, supervisados y bajo mantenimiento. (PCI-DSS-v4.0) | Compruebe que haya una API de AWS AppSync con el registro habilitado. La regla es NON_COMPLIANT si el registro no está activado o si fieldLogLevel no es ERROR ni ALL. | |
| 5.3.4 | Los mecanismos y procesos antimalware están activos, supervisados y bajo mantenimiento. (PCI-DSS-v4.0) | Compruebe que el registro esté habilitado en las listas globales de control de acceso a la web (ACL web) clásicas de AWS WAF. La regla es NON_COMPLIANT para una ACL web global si no tiene el registro activado. | |
| 5.3.4 | Los mecanismos y procesos antimalware están activos, supervisados y bajo mantenimiento. (PCI-DSS-v4.0) | Compruebe que los agentes de Amazon MQ tengan habilitado el registro de auditoría de Amazon CloudWatch. La regla es NON_COMPLIANT si un agente no tiene activado el registro de auditoría. | |
| 5.3.4 | Los mecanismos y procesos antimalware están activos, supervisados y bajo mantenimiento. (PCI-DSS-v4.0) | Compruebe que haya un agente de Amazon MQ que tenga habilitado el registro de auditoría de CloudWatch. La regla es NON_COMPLIANT si el agente no tiene habilitado el registro de auditoría. | |
| 5.3.4 | Los mecanismos y procesos antimalware están activos, supervisados y bajo mantenimiento. (PCI-DSS-v4.0) | Compruebe que haya un clúster de Amazon Elastic Kubernetes Service (Amazon EKS) configurado y con el registro habilitado. La regla es NON_COMPLIANT si el registro de los clústeres de Amazon EKS no está habilitado para todos los tipos de registro. | |
| 5.3.4 | Los mecanismos y procesos antimalware están activos, supervisados y bajo mantenimiento. (PCI-DSS-v4.0) | Compruebe que los entornos de AWS Elastic Beanstalk estén configurados para enviar registros a Registros de Amazon CloudWatch. La regla es NON_COMPLIANT si el valor de StreamLogs es false. | |
| 5.3.4 | Los mecanismos y procesos antimalware están activos, supervisados y bajo mantenimiento. (PCI-DSS-v4.0) | Compruebe que la máquina de AWS Step Functions tenga habilitado el registro. La regla es NON_COMPLIANT si una máquina de estado no tiene el registro activado o si la configuración de registro no se encuentra en el nivel mínimo indicado. | |
| 5.3.4 | Los mecanismos y procesos antimalware están activos, supervisados y bajo mantenimiento. (PCI-DSS-v4.0) | Compruebe que los firewalls de AWS Network Firewall tengan habilitado el registro. La regla es NON_COMPLIANT si el tipo de registro no está configurado. Puede especificar qué tipo de registro desea que compruebe la regla. | |
| 5.3.4 | Los mecanismos y procesos antimalware están activos, supervisados y bajo mantenimiento. (PCI-DSS-v4.0) | Compruebe que el período de retención del grupo de registros de Amazon CloudWatch se haya configurado en más de 365 días o en un período de retención específico. La regla es NON_COMPLIANT si el período de retención es inferior a MinRetentionTime (si se ha especificado) o a 365 días. | |
| 6.3.3 | Las vulnerabilidades de seguridad se identifican y se gestionan. (PCI-DSS-v4.0) | Compruebe que la configuración de la función de AWS Lambda para el tiempo de ejecución, el rol, el tiempo de espera y el tamaño de la memoria coincida con los valores esperados. La regla ignora las funciones con el tipo de paquete “Image” y las funciones con el tiempo de ejecución establecido en Tiempo de ejecución exclusivo del sistema operativo. La regla es NON_COMPLIANT si la configuración de la función de Lambda no coincide con los valores esperados. | |
| 6.3.3 | Las vulnerabilidades de seguridad se identifican y se gestionan. (PCI-DSS-v4.0) | Compruebe que haya un clúster de Amazon Elastic Kubernetes Service (EKS) que no ejecute la versión compatible más antigua. La regla es NON_COMPLIANT si un clúster de EKS ejecuta la versión compatible más antigua (igual al parámetro oldestVersionSupported). | |
| 6.4.1 | Las aplicaciones web orientadas al público están protegidas frente a ataques. (PCI-DSS-v4.0) | Compruebe que las distribuciones de Amazon CloudFront estén asociadas a un firewall de aplicaciones web (WAF) o a las listas de control de acceso (ACL) web de WAFv2. La regla es NON_COMPLIANT si una distribución de CloudFront no está asociada a una ACL web de WAF. | |
| 6.4.1 | Las aplicaciones web orientadas al público están protegidas frente a ataques. (PCI-DSS-v4.0) | Compruebe que las API de AWS AppSync estén asociadas a las listas de control de acceso (ACL) web de AWS WAFv2. La regla es NON_COMPLIANT para una API de AWS AppSync si no está asociada a una ACL web. | |
| 6.4.1 | Las aplicaciones web orientadas al público están protegidas frente a ataques. (PCI-DSS-v4.0) | Compruebe que haya una ACL web de WAFv2 que contenga alguna regla o algún grupo de reglas de WAF. Esta regla NON_COMPLIANT si una ACL web no contiene reglas de WAF ni grupos de reglas de WAF. | |
| 6.4.1 | Las aplicaciones web orientadas al público están protegidas frente a ataques. (PCI-DSS-v4.0) | Compruebe que los grupos de reglas de WAFv2 contengan reglas. La regla es NON_COMPLIANT si no hay reglas en un grupo de reglas de WAFv2. | |
| 6.4.1 | Las aplicaciones web orientadas al público están protegidas frente a ataques. (PCI-DSS-v4.0) | Compruebe que haya una ACL web de WAF Global que contenga reglas o grupos de reglas de WAF. Esta regla es NON_COMPLIANT si una ACL web no contiene reglas ni grupos de reglas de WAF. | |
| 6.4.1 | Las aplicaciones web orientadas al público están protegidas frente a ataques. (PCI-DSS-v4.0) | Compruebe que haya un grupo de reglas de AWS WAF Classic que contenga algunas reglas. La regla es NON_COMPLIANT si no hay reglas en un grupo de reglas. | |
| 6.4.1 | Las aplicaciones web orientadas al público están protegidas frente a ataques. (PCI-DSS-v4.0) | Compruebe que haya un grupo de reglas de AWS WAF Classic que contenga algunas reglas. La regla es NON_COMPLIANT si no hay reglas en un grupo de reglas. | |
| 6.4.1 | Las aplicaciones web orientadas al público están protegidas frente a ataques. (PCI-DSS-v4.0) | Compruebe que haya una regla global de AWS WAF que contenga algunas condiciones. La regla es NON_COMPLIANT si no hay condiciones presentes en la regla global de WAF. | |
| 6.4.2 | Las aplicaciones web orientadas al público están protegidas frente a ataques. (PCI-DSS-v4.0) | Compruebe que las distribuciones de Amazon CloudFront estén asociadas a un firewall de aplicaciones web (WAF) o a las listas de control de acceso (ACL) web de WAFv2. La regla es NON_COMPLIANT si una distribución de CloudFront no está asociada a una ACL web de WAF. | |
| 6.4.2 | Las aplicaciones web orientadas al público están protegidas frente a ataques. (PCI-DSS-v4.0) | Compruebe que las API de AWS AppSync estén asociadas a las listas de control de acceso (ACL) web de AWS WAFv2. La regla es NON_COMPLIANT para una API de AWS AppSync si no está asociada a una ACL web. | |
| 6.4.2 | Las aplicaciones web orientadas al público están protegidas frente a ataques. (PCI-DSS-v4.0) | Compruebe que haya una ACL web de WAFv2 que contenga alguna regla o algún grupo de reglas de WAF. Esta regla NON_COMPLIANT si una ACL web no contiene reglas de WAF ni grupos de reglas de WAF. | |
| 6.4.2 | Las aplicaciones web orientadas al público están protegidas frente a ataques. (PCI-DSS-v4.0) | Compruebe que los grupos de reglas de WAFv2 contengan reglas. La regla es NON_COMPLIANT si no hay reglas en un grupo de reglas de WAFv2. | |
| 6.4.2 | Las aplicaciones web orientadas al público están protegidas frente a ataques. (PCI-DSS-v4.0) | Compruebe que haya una ACL web de WAF Global que contenga reglas o grupos de reglas de WAF. Esta regla es NON_COMPLIANT si una ACL web no contiene reglas ni grupos de reglas de WAF. | |
| 6.4.2 | Las aplicaciones web orientadas al público están protegidas frente a ataques. (PCI-DSS-v4.0) | Compruebe que haya un grupo de reglas de AWS WAF Classic que contenga algunas reglas. La regla es NON_COMPLIANT si no hay reglas en un grupo de reglas. | |
| 6.4.2 | Las aplicaciones web orientadas al público están protegidas frente a ataques. (PCI-DSS-v4.0) | Compruebe que haya un grupo de reglas de AWS WAF Classic que contenga algunas reglas. La regla es NON_COMPLIANT si no hay reglas en un grupo de reglas. | |
| 6.4.2 | Las aplicaciones web orientadas al público están protegidas frente a ataques. (PCI-DSS-v4.0) | Compruebe que haya una regla global de AWS WAF que contenga algunas condiciones. La regla es NON_COMPLIANT si no hay condiciones presentes en la regla global de WAF. | |
| 6.5.5 | Los cambios en todos los componentes del sistema se administran de forma segura. (PCI-DSS-v4.0) | Compruebe que el grupo de implementación de la plataforma de computación Lambda no utilice la configuración de implementación predeterminada. La regla es NON_COMPLIANT si el grupo de implementación usa la configuración de implementación CodeDeployDefault.LambdaAllAtOnce. | |
| 6.5.5 | Los cambios en todos los componentes del sistema se administran de forma segura. (PCI-DSS-v4.0) | Compruebe que la primera etapa de implementación de AWS CodePipeline lleve a cabo, al menos, una implementación. Esto permite supervisar la actividad continua de implementación para garantizar que haya actualizaciones periódicas y para identificar las canalizaciones inactivas o infrautilizadas, lo que puede indicar la existencia de problemas en el proceso de desarrollo o implementación. Como característica opcional, compruebe que todas las etapas restantes posteriores se implementen en un número mayor al especificado (deploymentLimit). | |
| 6.5.6 | Los cambios en todos los componentes del sistema se administran de forma segura. (PCI-DSS-v4.0) | Compruebe que el grupo de implementación de la plataforma de computación Lambda no utilice la configuración de implementación predeterminada. La regla es NON_COMPLIANT si el grupo de implementación usa la configuración de implementación CodeDeployDefault.LambdaAllAtOnce. | |
| 6.5.6 | Los cambios en todos los componentes del sistema se administran de forma segura. (PCI-DSS-v4.0) | Compruebe que la primera etapa de implementación de AWS CodePipeline lleve a cabo, al menos, una implementación. Esto permite supervisar la actividad continua de implementación para garantizar que haya actualizaciones periódicas y para identificar las canalizaciones inactivas o infrautilizadas, lo que puede indicar la existencia de problemas en el proceso de desarrollo o implementación. Como característica opcional, compruebe que todas las etapas restantes posteriores se implementen en un número mayor al especificado (deploymentLimit). | |
| 7.2.1 | El acceso a los componentes y datos del sistema está definido y asignado adecuadamente. (PCI-DSS-v4.0) | Compruebe que haya una política de bucket de Amazon Simple Storage Service (Amazon S3) que no permita acciones, en el nivel de bucket y de objeto, incluidas en la lista de acciones no permitidas sobre recursos del bucket para las entidades principales de otras cuentas de AWS. Por ejemplo, la regla comprueba que la política de bucket de Amazon S3 no permita a otra cuenta de AWS llevar a cabo acciones s3:GetBucket* ni s3:DeleteObject en ningún objeto del bucket. La regla es NON_COMPLIANT si la política de buckets de Amazon S3 permite alguna acción incluida en la lista de bloqueo. | |
| 7.2.1 | El acceso a los componentes y datos del sistema está definido y asignado adecuadamente. (PCI-DSS-v4.0) | Compruebe que las políticas del bucket de Amazon Simple Storage Service (S3) no otorguen permisos entre cuentas distintos a los de la política del bucket de Amazon S3 de control que se haya proporcionado. | |
| 7.2.1 | El acceso a los componentes y datos del sistema está definido y asignado adecuadamente. (PCI-DSS-v4.0) | Compruebe que el equipo de respuesta de Shield (SRT) pueda acceder a su cuenta de AWS. La regla es NON_COMPLIANT si AWS Shield Avanzado está habilitado, pero el rol para el acceso del SRT no está configurado. | |
| 7.2.1 | El acceso a los componentes y datos del sistema está definido y asignado adecuadamente. (PCI-DSS-v4.0) | Compruebe que el ARN de la política de IAM esté asociado a un usuario de IAM, o a un grupo con uno o varios usuarios de IAM, o a un rol de IAM con una o varias entidades de confianza. | |
| 7.2.1 | El acceso a los componentes y datos del sistema está definido y asignado adecuadamente. (PCI-DSS-v4.0) | Compruebe que haya un clúster de Amazon Neptune con la autenticación de base de datos de AWS Identity and Access Management (IAM) habilitada. La regla es NON_COMPLIANT si un clúster de Amazon Neptune no tiene habilitada la autenticación de base de datos de IAM. | |
| 7.2.1 | El acceso a los componentes y datos del sistema está definido y asignado adecuadamente. (PCI-DSS-v4.0) | Compruebe que haya un clúster de Amazon Relational Database Service (Amazon RDS) con la autenticación de AWS Identity and Access Management (IAM) habilitada. La regla es NON_COMPLIANT si un clúster de Amazon RDS no tiene habilitada la autenticación de IAM. | |
| 7.2.1 | El acceso a los componentes y datos del sistema está definido y asignado adecuadamente. (PCI-DSS-v4.0) | Compruebe que haya una instancia de EC2 con un perfil de AWS Identity and Access Management (IAM) asociado. La regla es NON_COMPLIANT si no hay ningún perfil de IAM asociado a la instancia de EC2. | |
| 7.2.1 | El acceso a los componentes y datos del sistema está definido y asignado adecuadamente. (PCI-DSS-v4.0) | Compruebe que haya un almacén de copia de seguridad con una política basada en recursos asociada que impida la eliminación de los puntos de recuperación. La regla es NON_COMPLIANT si el almacén de copias de seguridad no tiene políticas basadas en recursos o tiene políticas sin una instrucción Deny adecuada (instrucción con los permisos backup:DeleteRecoveryPoint, backup:UpdateRecoveryPointLifecycle y backup:PutBackupVaultAccessPolicy). | |
| 7.2.1 | El acceso a los componentes y datos del sistema está definido y asignado adecuadamente. (PCI-DSS-v4.0) | Compruebe que haya una instancia de Amazon Relational Database Service (Amazon RDS) con la autenticación de AWS Identity and Access Management (IAM) habilitada. La regla es NON_COMPLIANT si una instancia de Amazon RDS no tiene habilitada la autenticación de IAM. | |
| 7.2.2 | El acceso a los componentes y datos del sistema está definido y asignado adecuadamente. (PCI-DSS-v4.0) | Compruebe que haya una política de bucket de Amazon Simple Storage Service (Amazon S3) que no permita acciones, en el nivel de bucket y de objeto, incluidas en la lista de acciones no permitidas sobre recursos del bucket para las entidades principales de otras cuentas de AWS. Por ejemplo, la regla comprueba que la política de bucket de Amazon S3 no permita a otra cuenta de AWS llevar a cabo acciones s3:GetBucket* ni s3:DeleteObject en ningún objeto del bucket. La regla es NON_COMPLIANT si la política de buckets de Amazon S3 permite alguna acción incluida en la lista de bloqueo. | |
| 7.2.2 | El acceso a los componentes y datos del sistema está definido y asignado adecuadamente. (PCI-DSS-v4.0) | Compruebe que las políticas del bucket de Amazon Simple Storage Service (S3) no otorguen permisos entre cuentas distintos a los de la política del bucket de Amazon S3 de control que se haya proporcionado. | |
| 7.2.2 | El acceso a los componentes y datos del sistema está definido y asignado adecuadamente. (PCI-DSS-v4.0) | Compruebe que el equipo de respuesta de Shield (SRT) pueda acceder a su cuenta de AWS. La regla es NON_COMPLIANT si AWS Shield Avanzado está habilitado, pero el rol para el acceso del SRT no está configurado. | |
| 7.2.2 | El acceso a los componentes y datos del sistema está definido y asignado adecuadamente. (PCI-DSS-v4.0) | Compruebe que el ARN de la política de IAM esté asociado a un usuario de IAM, o a un grupo con uno o varios usuarios de IAM, o a un rol de IAM con una o varias entidades de confianza. | |
| 7.2.2 | El acceso a los componentes y datos del sistema está definido y asignado adecuadamente. (PCI-DSS-v4.0) | Compruebe que haya un clúster de Amazon Neptune con la autenticación de base de datos de AWS Identity and Access Management (IAM) habilitada. La regla es NON_COMPLIANT si un clúster de Amazon Neptune no tiene habilitada la autenticación de base de datos de IAM. | |
| 7.2.2 | El acceso a los componentes y datos del sistema está definido y asignado adecuadamente. (PCI-DSS-v4.0) | Compruebe que haya un clúster de Amazon Relational Database Service (Amazon RDS) con la autenticación de AWS Identity and Access Management (IAM) habilitada. La regla es NON_COMPLIANT si un clúster de Amazon RDS no tiene habilitada la autenticación de IAM. | |
| 7.2.2 | El acceso a los componentes y datos del sistema está definido y asignado adecuadamente. (PCI-DSS-v4.0) | Compruebe que haya una instancia de EC2 con un perfil de AWS Identity and Access Management (IAM) asociado. La regla es NON_COMPLIANT si no hay ningún perfil de IAM asociado a la instancia de EC2. | |
| 7.2.2 | El acceso a los componentes y datos del sistema está definido y asignado adecuadamente. (PCI-DSS-v4.0) | Compruebe que haya un almacén de copia de seguridad con una política basada en recursos asociada que impida la eliminación de los puntos de recuperación. La regla es NON_COMPLIANT si el almacén de copias de seguridad no tiene políticas basadas en recursos o tiene políticas sin una instrucción Deny adecuada (instrucción con los permisos backup:DeleteRecoveryPoint, backup:UpdateRecoveryPointLifecycle y backup:PutBackupVaultAccessPolicy). | |
| 7.2.2 | El acceso a los componentes y datos del sistema está definido y asignado adecuadamente. (PCI-DSS-v4.0) | Compruebe que haya una instancia de Amazon Relational Database Service (Amazon RDS) con la autenticación de AWS Identity and Access Management (IAM) habilitada. La regla es NON_COMPLIANT si una instancia de Amazon RDS no tiene habilitada la autenticación de IAM. | |
| 7.2.4 | El acceso a los componentes y datos del sistema está definido y asignado adecuadamente. (PCI-DSS-v4.0) | Compruebe si se ha accedido a los secretos de AWS Secrets Manager durante un determinado número de días. La regla es NON_COMPLIANT si no se ha accedido a un secreto durante un número de días unusedForDays. El valor predeterminado es 90 días. | |
| 7.2.5 | El acceso a los componentes y datos del sistema está definido y asignado adecuadamente. (PCI-DSS-v4.0) | Compruebe que haya una política de bucket de Amazon Simple Storage Service (Amazon S3) que no permita acciones, en el nivel de bucket y de objeto, incluidas en la lista de acciones no permitidas sobre recursos del bucket para las entidades principales de otras cuentas de AWS. Por ejemplo, la regla comprueba que la política de bucket de Amazon S3 no permita a otra cuenta de AWS llevar a cabo acciones s3:GetBucket* ni s3:DeleteObject en ningún objeto del bucket. La regla es NON_COMPLIANT si la política de buckets de Amazon S3 permite alguna acción incluida en la lista de bloqueo. | |
| 7.2.5 | El acceso a los componentes y datos del sistema está definido y asignado adecuadamente. (PCI-DSS-v4.0) | Compruebe que las políticas del bucket de Amazon Simple Storage Service (S3) no otorguen permisos entre cuentas distintos a los de la política del bucket de Amazon S3 de control que se haya proporcionado. | |
| 7.2.5 | El acceso a los componentes y datos del sistema está definido y asignado adecuadamente. (PCI-DSS-v4.0) | Compruebe que el equipo de respuesta de Shield (SRT) pueda acceder a su cuenta de AWS. La regla es NON_COMPLIANT si AWS Shield Avanzado está habilitado, pero el rol para el acceso del SRT no está configurado. | |
| 7.2.5 | El acceso a los componentes y datos del sistema está definido y asignado adecuadamente. (PCI-DSS-v4.0) | Compruebe que el ARN de la política de IAM esté asociado a un usuario de IAM, o a un grupo con uno o varios usuarios de IAM, o a un rol de IAM con una o varias entidades de confianza. | |
| 7.2.5 | El acceso a los componentes y datos del sistema está definido y asignado adecuadamente. (PCI-DSS-v4.0) | Compruebe que haya un clúster de Amazon Neptune con la autenticación de base de datos de AWS Identity and Access Management (IAM) habilitada. La regla es NON_COMPLIANT si un clúster de Amazon Neptune no tiene habilitada la autenticación de base de datos de IAM. | |
| 7.2.5 | El acceso a los componentes y datos del sistema está definido y asignado adecuadamente. (PCI-DSS-v4.0) | Compruebe que haya un clúster de Amazon Relational Database Service (Amazon RDS) con la autenticación de AWS Identity and Access Management (IAM) habilitada. La regla es NON_COMPLIANT si un clúster de Amazon RDS no tiene habilitada la autenticación de IAM. | |
| 7.2.5 | El acceso a los componentes y datos del sistema está definido y asignado adecuadamente. (PCI-DSS-v4.0) | Compruebe que haya una instancia de EC2 con un perfil de AWS Identity and Access Management (IAM) asociado. La regla es NON_COMPLIANT si no hay ningún perfil de IAM asociado a la instancia de EC2. | |
| 7.2.5 | El acceso a los componentes y datos del sistema está definido y asignado adecuadamente. (PCI-DSS-v4.0) | Compruebe que haya un almacén de copia de seguridad con una política basada en recursos asociada que impida la eliminación de los puntos de recuperación. La regla es NON_COMPLIANT si el almacén de copias de seguridad no tiene políticas basadas en recursos o tiene políticas sin una instrucción Deny adecuada (instrucción con los permisos backup:DeleteRecoveryPoint, backup:UpdateRecoveryPointLifecycle y backup:PutBackupVaultAccessPolicy). | |
| 7.2.5 | El acceso a los componentes y datos del sistema está definido y asignado adecuadamente. (PCI-DSS-v4.0) | Compruebe que haya una instancia de Amazon Relational Database Service (Amazon RDS) con la autenticación de AWS Identity and Access Management (IAM) habilitada. La regla es NON_COMPLIANT si una instancia de Amazon RDS no tiene habilitada la autenticación de IAM. | |
| 7.2.5.1 | El acceso a los componentes y datos del sistema está definido y asignado adecuadamente. (PCI-DSS-v4.0) | Compruebe si se ha accedido a los secretos de AWS Secrets Manager durante un determinado número de días. La regla es NON_COMPLIANT si no se ha accedido a un secreto durante un número de días unusedForDays. El valor predeterminado es 90 días. | |
| 7.2.6 | El acceso a los componentes y datos del sistema está definido y asignado adecuadamente. (PCI-DSS-v4.0) | Compruebe que haya una política de bucket de Amazon Simple Storage Service (Amazon S3) que no permita acciones, en el nivel de bucket y de objeto, incluidas en la lista de acciones no permitidas sobre recursos del bucket para las entidades principales de otras cuentas de AWS. Por ejemplo, la regla comprueba que la política de bucket de Amazon S3 no permita a otra cuenta de AWS llevar a cabo acciones s3:GetBucket* ni s3:DeleteObject en ningún objeto del bucket. La regla es NON_COMPLIANT si la política de buckets de Amazon S3 permite alguna acción incluida en la lista de bloqueo. | |
| 7.2.6 | El acceso a los componentes y datos del sistema está definido y asignado adecuadamente. (PCI-DSS-v4.0) | Compruebe que las políticas del bucket de Amazon Simple Storage Service (S3) no otorguen permisos entre cuentas distintos a los de la política del bucket de Amazon S3 de control que se haya proporcionado. | |
| 7.3.1 | El acceso a los componentes y datos del sistema se administra a través de sistemas de control de acceso. (PCI-DSS-v4.0) | Compruebe que haya una política de bucket de Amazon Simple Storage Service (Amazon S3) que no permita acciones, en el nivel de bucket y de objeto, incluidas en la lista de acciones no permitidas sobre recursos del bucket para las entidades principales de otras cuentas de AWS. Por ejemplo, la regla comprueba que la política de bucket de Amazon S3 no permita a otra cuenta de AWS llevar a cabo acciones s3:GetBucket* ni s3:DeleteObject en ningún objeto del bucket. La regla es NON_COMPLIANT si la política de buckets de Amazon S3 permite alguna acción incluida en la lista de bloqueo. | |
| 7.3.1 | El acceso a los componentes y datos del sistema se administra a través de sistemas de control de acceso. (PCI-DSS-v4.0) | Compruebe que las políticas del bucket de Amazon Simple Storage Service (S3) no otorguen permisos entre cuentas distintos a los de la política del bucket de Amazon S3 de control que se haya proporcionado. | |
| 7.3.1 | El acceso a los componentes y datos del sistema se administra a través de sistemas de control de acceso. (PCI-DSS-v4.0) | Compruebe que el equipo de respuesta de Shield (SRT) pueda acceder a su cuenta de AWS. La regla es NON_COMPLIANT si AWS Shield Avanzado está habilitado, pero el rol para el acceso del SRT no está configurado. | |
| 7.3.1 | El acceso a los componentes y datos del sistema se administra a través de sistemas de control de acceso. (PCI-DSS-v4.0) | Compruebe que el ARN de la política de IAM esté asociado a un usuario de IAM, o a un grupo con uno o varios usuarios de IAM, o a un rol de IAM con una o varias entidades de confianza. | |
| 7.3.1 | El acceso a los componentes y datos del sistema se administra a través de sistemas de control de acceso. (PCI-DSS-v4.0) | Compruebe que haya un clúster de Amazon Neptune con la autenticación de base de datos de AWS Identity and Access Management (IAM) habilitada. La regla es NON_COMPLIANT si un clúster de Amazon Neptune no tiene habilitada la autenticación de base de datos de IAM. | |
| 7.3.1 | El acceso a los componentes y datos del sistema se administra a través de sistemas de control de acceso. (PCI-DSS-v4.0) | Compruebe que haya un clúster de Amazon Relational Database Service (Amazon RDS) con la autenticación de AWS Identity and Access Management (IAM) habilitada. La regla es NON_COMPLIANT si un clúster de Amazon RDS no tiene habilitada la autenticación de IAM. | |
| 7.3.1 | El acceso a los componentes y datos del sistema se administra a través de sistemas de control de acceso. (PCI-DSS-v4.0) | Compruebe que haya una instancia de EC2 con un perfil de AWS Identity and Access Management (IAM) asociado. La regla es NON_COMPLIANT si no hay ningún perfil de IAM asociado a la instancia de EC2. | |
| 7.3.1 | El acceso a los componentes y datos del sistema se administra a través de sistemas de control de acceso. (PCI-DSS-v4.0) | Compruebe que haya un almacén de copia de seguridad con una política basada en recursos asociada que impida la eliminación de los puntos de recuperación. La regla es NON_COMPLIANT si el almacén de copias de seguridad no tiene políticas basadas en recursos o tiene políticas sin una instrucción Deny adecuada (instrucción con los permisos backup:DeleteRecoveryPoint, backup:UpdateRecoveryPointLifecycle y backup:PutBackupVaultAccessPolicy). | |
| 7.3.1 | El acceso a los componentes y datos del sistema se administra a través de sistemas de control de acceso. (PCI-DSS-v4.0) | Compruebe que haya una instancia de Amazon Relational Database Service (Amazon RDS) con la autenticación de AWS Identity and Access Management (IAM) habilitada. La regla es NON_COMPLIANT si una instancia de Amazon RDS no tiene habilitada la autenticación de IAM. | |
| 7.3.2 | El acceso a los componentes y datos del sistema se administra a través de sistemas de control de acceso. (PCI-DSS-v4.0) | Compruebe que haya una política de bucket de Amazon Simple Storage Service (Amazon S3) que no permita acciones, en el nivel de bucket y de objeto, incluidas en la lista de acciones no permitidas sobre recursos del bucket para las entidades principales de otras cuentas de AWS. Por ejemplo, la regla comprueba que la política de bucket de Amazon S3 no permita a otra cuenta de AWS llevar a cabo acciones s3:GetBucket* ni s3:DeleteObject en ningún objeto del bucket. La regla es NON_COMPLIANT si la política de buckets de Amazon S3 permite alguna acción incluida en la lista de bloqueo. | |
| 7.3.2 | El acceso a los componentes y datos del sistema se administra a través de sistemas de control de acceso. (PCI-DSS-v4.0) | Compruebe que las políticas del bucket de Amazon Simple Storage Service (S3) no otorguen permisos entre cuentas distintos a los de la política del bucket de Amazon S3 de control que se haya proporcionado. | |
| 7.3.2 | El acceso a los componentes y datos del sistema se administra a través de sistemas de control de acceso. (PCI-DSS-v4.0) | Compruebe que el equipo de respuesta de Shield (SRT) pueda acceder a su cuenta de AWS. La regla es NON_COMPLIANT si AWS Shield Avanzado está habilitado, pero el rol para el acceso del SRT no está configurado. | |
| 7.3.2 | El acceso a los componentes y datos del sistema se administra a través de sistemas de control de acceso. (PCI-DSS-v4.0) | Compruebe que el ARN de la política de IAM esté asociado a un usuario de IAM, o a un grupo con uno o varios usuarios de IAM, o a un rol de IAM con una o varias entidades de confianza. | |
| 7.3.2 | El acceso a los componentes y datos del sistema se administra a través de sistemas de control de acceso. (PCI-DSS-v4.0) | Compruebe que haya un clúster de Amazon Neptune con la autenticación de base de datos de AWS Identity and Access Management (IAM) habilitada. La regla es NON_COMPLIANT si un clúster de Amazon Neptune no tiene habilitada la autenticación de base de datos de IAM. | |
| 7.3.2 | El acceso a los componentes y datos del sistema se administra a través de sistemas de control de acceso. (PCI-DSS-v4.0) | Compruebe que haya un clúster de Amazon Relational Database Service (Amazon RDS) con la autenticación de AWS Identity and Access Management (IAM) habilitada. La regla es NON_COMPLIANT si un clúster de Amazon RDS no tiene habilitada la autenticación de IAM. | |
| 7.3.2 | El acceso a los componentes y datos del sistema se administra a través de sistemas de control de acceso. (PCI-DSS-v4.0) | Compruebe que haya una instancia de EC2 con un perfil de AWS Identity and Access Management (IAM) asociado. La regla es NON_COMPLIANT si no hay ningún perfil de IAM asociado a la instancia de EC2. | |
| 7.3.2 | El acceso a los componentes y datos del sistema se administra a través de sistemas de control de acceso. (PCI-DSS-v4.0) | Compruebe que haya un almacén de copia de seguridad con una política basada en recursos asociada que impida la eliminación de los puntos de recuperación. La regla es NON_COMPLIANT si el almacén de copias de seguridad no tiene políticas basadas en recursos o tiene políticas sin una instrucción Deny adecuada (instrucción con los permisos backup:DeleteRecoveryPoint, backup:UpdateRecoveryPointLifecycle y backup:PutBackupVaultAccessPolicy). | |
| 7.3.2 | El acceso a los componentes y datos del sistema se administra a través de sistemas de control de acceso. (PCI-DSS-v4.0) | Compruebe que haya una instancia de Amazon Relational Database Service (Amazon RDS) con la autenticación de AWS Identity and Access Management (IAM) habilitada. La regla es NON_COMPLIANT si una instancia de Amazon RDS no tiene habilitada la autenticación de IAM. | |
| 7.3.3 | El acceso a los componentes y datos del sistema se administra a través de sistemas de control de acceso. (PCI-DSS-v4.0) | Compruebe que haya una política de bucket de Amazon Simple Storage Service (Amazon S3) que no permita acciones, en el nivel de bucket y de objeto, incluidas en la lista de acciones no permitidas sobre recursos del bucket para las entidades principales de otras cuentas de AWS. Por ejemplo, la regla comprueba que la política de bucket de Amazon S3 no permita a otra cuenta de AWS llevar a cabo acciones s3:GetBucket* ni s3:DeleteObject en ningún objeto del bucket. La regla es NON_COMPLIANT si la política de buckets de Amazon S3 permite alguna acción incluida en la lista de bloqueo. | |
| 7.3.3 | El acceso a los componentes y datos del sistema se administra a través de sistemas de control de acceso. (PCI-DSS-v4.0) | Compruebe que las políticas del bucket de Amazon Simple Storage Service (S3) no otorguen permisos entre cuentas distintos a los de la política del bucket de Amazon S3 de control que se haya proporcionado. | |
| 7.3.3 | El acceso a los componentes y datos del sistema se administra a través de sistemas de control de acceso. (PCI-DSS-v4.0) | Compruebe que el equipo de respuesta de Shield (SRT) pueda acceder a su cuenta de AWS. La regla es NON_COMPLIANT si AWS Shield Avanzado está habilitado, pero el rol para el acceso del SRT no está configurado. | |
| 7.3.3 | El acceso a los componentes y datos del sistema se administra a través de sistemas de control de acceso. (PCI-DSS-v4.0) | Compruebe que el ARN de la política de IAM esté asociado a un usuario de IAM, o a un grupo con uno o varios usuarios de IAM, o a un rol de IAM con una o varias entidades de confianza. | |
| 7.3.3 | El acceso a los componentes y datos del sistema se administra a través de sistemas de control de acceso. (PCI-DSS-v4.0) | Compruebe que haya un clúster de Amazon Neptune con la autenticación de base de datos de AWS Identity and Access Management (IAM) habilitada. La regla es NON_COMPLIANT si un clúster de Amazon Neptune no tiene habilitada la autenticación de base de datos de IAM. | |
| 7.3.3 | El acceso a los componentes y datos del sistema se administra a través de sistemas de control de acceso. (PCI-DSS-v4.0) | Compruebe que haya un clúster de Amazon Relational Database Service (Amazon RDS) con la autenticación de AWS Identity and Access Management (IAM) habilitada. La regla es NON_COMPLIANT si un clúster de Amazon RDS no tiene habilitada la autenticación de IAM. | |
| 7.3.3 | El acceso a los componentes y datos del sistema se administra a través de sistemas de control de acceso. (PCI-DSS-v4.0) | Compruebe que haya una instancia de EC2 con un perfil de AWS Identity and Access Management (IAM) asociado. La regla es NON_COMPLIANT si no hay ningún perfil de IAM asociado a la instancia de EC2. | |
| 7.3.3 | El acceso a los componentes y datos del sistema se administra a través de sistemas de control de acceso. (PCI-DSS-v4.0) | Compruebe que haya un almacén de copia de seguridad con una política basada en recursos asociada que impida la eliminación de los puntos de recuperación. La regla es NON_COMPLIANT si el almacén de copias de seguridad no tiene políticas basadas en recursos o tiene políticas sin una instrucción Deny adecuada (instrucción con los permisos backup:DeleteRecoveryPoint, backup:UpdateRecoveryPointLifecycle y backup:PutBackupVaultAccessPolicy). | |
| 7.3.3 | El acceso a los componentes y datos del sistema se administra a través de sistemas de control de acceso. (PCI-DSS-v4.0) | Compruebe que haya una instancia de Amazon Relational Database Service (Amazon RDS) con la autenticación de AWS Identity and Access Management (IAM) habilitada. La regla es NON_COMPLIANT si una instancia de Amazon RDS no tiene habilitada la autenticación de IAM. | |
| 8.2.1 | La identificación de usuario y las cuentas relacionadas para los usuarios y administradores se administran estrictamente durante todo el ciclo de vida de la cuenta. (PCI-DSS-v4.0) | Compruebe que el ARN de la política de IAM esté asociado a un usuario de IAM, o a un grupo con uno o varios usuarios de IAM, o a un rol de IAM con una o varias entidades de confianza. | |
| 8.2.1 | La identificación de usuario y las cuentas relacionadas para los usuarios y administradores se administran estrictamente durante todo el ciclo de vida de la cuenta. (PCI-DSS-v4.0) | Compruebe que las instancias de Amazon Elastic Compute Cloud (EC2) en ejecución no se inicialicen con pares de claves de Amazon. La regla es NON_COMPLIANT si se lanza una instancia de EC2 en ejecución con un par de claves. | |
| 8.2.2 | La identificación de usuario y las cuentas relacionadas para los usuarios y administradores se administran estrictamente durante todo el ciclo de vida de la cuenta. (PCI-DSS-v4.0) | Compruebe que el ARN de la política de IAM esté asociado a un usuario de IAM, o a un grupo con uno o varios usuarios de IAM, o a un rol de IAM con una o varias entidades de confianza. | |
| 8.2.2 | La identificación de usuario y las cuentas relacionadas para los usuarios y administradores se administran estrictamente durante todo el ciclo de vida de la cuenta. (PCI-DSS-v4.0) | Compruebe que las instancias de Amazon Elastic Compute Cloud (EC2) en ejecución no se inicialicen con pares de claves de Amazon. La regla es NON_COMPLIANT si se lanza una instancia de EC2 en ejecución con un par de claves. | |
| 8.2.2 | La identificación de usuario y las cuentas relacionadas para los usuarios y administradores se administran estrictamente durante todo el ciclo de vida de la cuenta. (PCI-DSS-v4.0) | Compruebe que el proyecto NO contenga las variables de entorno AWS_ACCESS_KEY_ID ni AWS_SECRET_ACCESS_KEY. La regla es NON_COMPLIANT si las variables de entorno del proyecto contienen credenciales de texto no cifrado. | |
| 8.2.2 | La identificación de usuario y las cuentas relacionadas para los usuarios y administradores se administran estrictamente durante todo el ciclo de vida de la cuenta. (PCI-DSS-v4.0) | Compruebe que los secretos de AWS Secrets Manager roten correctamente y de acuerdo con el programa de rotación. Secrets Manager calcula la fecha en que debe producirse la rotación. La regla es NON_COMPLIANT si pasa la fecha y el secreto no rota. | |
| 8.2.2 | La identificación de usuario y las cuentas relacionadas para los usuarios y administradores se administran estrictamente durante todo el ciclo de vida de la cuenta. (PCI-DSS-v4.0) | Compruebe que los secretos de AWS Secrets Manager hayan rotado en el último número de días especificado. La regla es NON_COMPLIANT si un secreto no ha rotado durante más de un número de días maxDaysSinceRotation. El valor predeterminado es 90 días. | |
| 8.2.2 | La identificación de usuario y las cuentas relacionadas para los usuarios y administradores se administran estrictamente durante todo el ciclo de vida de la cuenta. (PCI-DSS-v4.0) | Compruebe si se ha accedido a los secretos de AWS Secrets Manager durante un determinado número de días. La regla es NON_COMPLIANT si no se ha accedido a un secreto durante un número de días unusedForDays. El valor predeterminado es 90 días. | |
| 8.2.4 | La identificación de usuario y las cuentas relacionadas para los usuarios y administradores se administran estrictamente durante todo el ciclo de vida de la cuenta. (PCI-DSS-v4.0) | Compruebe que el ARN de la política de IAM esté asociado a un usuario de IAM, o a un grupo con uno o varios usuarios de IAM, o a un rol de IAM con una o varias entidades de confianza. | |
| 8.2.4 | La identificación de usuario y las cuentas relacionadas para los usuarios y administradores se administran estrictamente durante todo el ciclo de vida de la cuenta. (PCI-DSS-v4.0) | Compruebe que las instancias de Amazon Elastic Compute Cloud (EC2) en ejecución no se inicialicen con pares de claves de Amazon. La regla es NON_COMPLIANT si se lanza una instancia de EC2 en ejecución con un par de claves. | |
| 8.2.5 | La identificación de usuario y las cuentas relacionadas para los usuarios y administradores se administran estrictamente durante todo el ciclo de vida de la cuenta. (PCI-DSS-v4.0) | Compruebe que el ARN de la política de IAM esté asociado a un usuario de IAM, o a un grupo con uno o varios usuarios de IAM, o a un rol de IAM con una o varias entidades de confianza. | |
| 8.2.5 | La identificación de usuario y las cuentas relacionadas para los usuarios y administradores se administran estrictamente durante todo el ciclo de vida de la cuenta. (PCI-DSS-v4.0) | Compruebe que las instancias de Amazon Elastic Compute Cloud (EC2) en ejecución no se inicialicen con pares de claves de Amazon. La regla es NON_COMPLIANT si se lanza una instancia de EC2 en ejecución con un par de claves. | |
| 8.2.6 | La identificación de usuario y las cuentas relacionadas para los usuarios y administradores se administran estrictamente durante todo el ciclo de vida de la cuenta. (PCI-DSS-v4.0) | Compruebe si se ha accedido a los secretos de AWS Secrets Manager durante un determinado número de días. La regla es NON_COMPLIANT si no se ha accedido a un secreto durante un número de días unusedForDays. El valor predeterminado es 90 días. | |
| 8.2.7 | La identificación de usuario y las cuentas relacionadas para los usuarios y administradores se administran estrictamente durante todo el ciclo de vida de la cuenta. (PCI-DSS-v4.0) | Compruebe que haya una política de bucket de Amazon Simple Storage Service (Amazon S3) que no permita acciones, en el nivel de bucket y de objeto, incluidas en la lista de acciones no permitidas sobre recursos del bucket para las entidades principales de otras cuentas de AWS. Por ejemplo, la regla comprueba que la política de bucket de Amazon S3 no permita a otra cuenta de AWS llevar a cabo acciones s3:GetBucket* ni s3:DeleteObject en ningún objeto del bucket. La regla es NON_COMPLIANT si la política de buckets de Amazon S3 permite alguna acción incluida en la lista de bloqueo. | |
| 8.2.7 | La identificación de usuario y las cuentas relacionadas para los usuarios y administradores se administran estrictamente durante todo el ciclo de vida de la cuenta. (PCI-DSS-v4.0) | Compruebe que las políticas del bucket de Amazon Simple Storage Service (S3) no otorguen permisos entre cuentas distintos a los de la política del bucket de Amazon S3 de control que se haya proporcionado. | |
| 8.2.7 | La identificación de usuario y las cuentas relacionadas para los usuarios y administradores se administran estrictamente durante todo el ciclo de vida de la cuenta. (PCI-DSS-v4.0) | Compruebe que el equipo de respuesta de Shield (SRT) pueda acceder a su cuenta de AWS. La regla es NON_COMPLIANT si AWS Shield Avanzado está habilitado, pero el rol para el acceso del SRT no está configurado. | |
| 8.2.7 | La identificación de usuario y las cuentas relacionadas para los usuarios y administradores se administran estrictamente durante todo el ciclo de vida de la cuenta. (PCI-DSS-v4.0) | Compruebe que el ARN de la política de IAM esté asociado a un usuario de IAM, o a un grupo con uno o varios usuarios de IAM, o a un rol de IAM con una o varias entidades de confianza. | |
| 8.2.7 | La identificación de usuario y las cuentas relacionadas para los usuarios y administradores se administran estrictamente durante todo el ciclo de vida de la cuenta. (PCI-DSS-v4.0) | Compruebe que haya un clúster de Amazon Neptune con la autenticación de base de datos de AWS Identity and Access Management (IAM) habilitada. La regla es NON_COMPLIANT si un clúster de Amazon Neptune no tiene habilitada la autenticación de base de datos de IAM. | |
| 8.2.7 | La identificación de usuario y las cuentas relacionadas para los usuarios y administradores se administran estrictamente durante todo el ciclo de vida de la cuenta. (PCI-DSS-v4.0) | Compruebe que haya un clúster de Amazon Relational Database Service (Amazon RDS) con la autenticación de AWS Identity and Access Management (IAM) habilitada. La regla es NON_COMPLIANT si un clúster de Amazon RDS no tiene habilitada la autenticación de IAM. | |
| 8.2.7 | La identificación de usuario y las cuentas relacionadas para los usuarios y administradores se administran estrictamente durante todo el ciclo de vida de la cuenta. (PCI-DSS-v4.0) | Compruebe que haya una instancia de EC2 con un perfil de AWS Identity and Access Management (IAM) asociado. La regla es NON_COMPLIANT si no hay ningún perfil de IAM asociado a la instancia de EC2. | |
| 8.2.7 | La identificación de usuario y las cuentas relacionadas para los usuarios y administradores se administran estrictamente durante todo el ciclo de vida de la cuenta. (PCI-DSS-v4.0) | Compruebe que haya un almacén de copia de seguridad con una política basada en recursos asociada que impida la eliminación de los puntos de recuperación. La regla es NON_COMPLIANT si el almacén de copias de seguridad no tiene políticas basadas en recursos o tiene políticas sin una instrucción Deny adecuada (instrucción con los permisos backup:DeleteRecoveryPoint, backup:UpdateRecoveryPointLifecycle y backup:PutBackupVaultAccessPolicy). | |
| 8.2.7 | La identificación de usuario y las cuentas relacionadas para los usuarios y administradores se administran estrictamente durante todo el ciclo de vida de la cuenta. (PCI-DSS-v4.0) | Compruebe que haya una instancia de Amazon Relational Database Service (Amazon RDS) con la autenticación de AWS Identity and Access Management (IAM) habilitada. La regla es NON_COMPLIANT si una instancia de Amazon RDS no tiene habilitada la autenticación de IAM. | |
| 8.2.8 | La identificación de usuario y las cuentas relacionadas para los usuarios y administradores se administran estrictamente durante todo el ciclo de vida de la cuenta. (PCI-DSS-v4.0) | Compruebe que haya una política de bucket de Amazon Simple Storage Service (Amazon S3) que no permita acciones, en el nivel de bucket y de objeto, incluidas en la lista de acciones no permitidas sobre recursos del bucket para las entidades principales de otras cuentas de AWS. Por ejemplo, la regla comprueba que la política de bucket de Amazon S3 no permita a otra cuenta de AWS llevar a cabo acciones s3:GetBucket* ni s3:DeleteObject en ningún objeto del bucket. La regla es NON_COMPLIANT si la política de buckets de Amazon S3 permite alguna acción incluida en la lista de bloqueo. | |
| 8.2.8 | La identificación de usuario y las cuentas relacionadas para los usuarios y administradores se administran estrictamente durante todo el ciclo de vida de la cuenta. (PCI-DSS-v4.0) | Compruebe que las políticas del bucket de Amazon Simple Storage Service (S3) no otorguen permisos entre cuentas distintos a los de la política del bucket de Amazon S3 de control que se haya proporcionado. | |
| 8.2.8 | La identificación de usuario y las cuentas relacionadas para los usuarios y administradores se administran estrictamente durante todo el ciclo de vida de la cuenta. (PCI-DSS-v4.0) | Compruebe que el equipo de respuesta de Shield (SRT) pueda acceder a su cuenta de AWS. La regla es NON_COMPLIANT si AWS Shield Avanzado está habilitado, pero el rol para el acceso del SRT no está configurado. | |
| 8.2.8 | La identificación de usuario y las cuentas relacionadas para los usuarios y administradores se administran estrictamente durante todo el ciclo de vida de la cuenta. (PCI-DSS-v4.0) | Compruebe que el ARN de la política de IAM esté asociado a un usuario de IAM, o a un grupo con uno o varios usuarios de IAM, o a un rol de IAM con una o varias entidades de confianza. | |
| 8.2.8 | La identificación de usuario y las cuentas relacionadas para los usuarios y administradores se administran estrictamente durante todo el ciclo de vida de la cuenta. (PCI-DSS-v4.0) | Compruebe que haya un clúster de Amazon Neptune con la autenticación de base de datos de AWS Identity and Access Management (IAM) habilitada. La regla es NON_COMPLIANT si un clúster de Amazon Neptune no tiene habilitada la autenticación de base de datos de IAM. | |
| 8.2.8 | La identificación de usuario y las cuentas relacionadas para los usuarios y administradores se administran estrictamente durante todo el ciclo de vida de la cuenta. (PCI-DSS-v4.0) | Compruebe que haya un clúster de Amazon Relational Database Service (Amazon RDS) con la autenticación de AWS Identity and Access Management (IAM) habilitada. La regla es NON_COMPLIANT si un clúster de Amazon RDS no tiene habilitada la autenticación de IAM. | |
| 8.2.8 | La identificación de usuario y las cuentas relacionadas para los usuarios y administradores se administran estrictamente durante todo el ciclo de vida de la cuenta. (PCI-DSS-v4.0) | Compruebe que la versión de metadatos de las instancias de Amazon Elastic Compute Cloud (Amazon EC2) esté configurada con la versión 2 del servicio de metadatos de instancias (IMDSv2). La regla es NON_COMPLIANT si los HttpTokens están configurados como opcionales. | |
| 8.2.8 | La identificación de usuario y las cuentas relacionadas para los usuarios y administradores se administran estrictamente durante todo el ciclo de vida de la cuenta. (PCI-DSS-v4.0) | Compruebe que haya una instancia de EC2 con un perfil de AWS Identity and Access Management (IAM) asociado. La regla es NON_COMPLIANT si no hay ningún perfil de IAM asociado a la instancia de EC2. | |
| 8.2.8 | La identificación de usuario y las cuentas relacionadas para los usuarios y administradores se administran estrictamente durante todo el ciclo de vida de la cuenta. (PCI-DSS-v4.0) | Compruebe que solo esté habilitado IMDSv2. Esta regla es NON_COMPLIANT si la versión de metadatos no está incluida en la configuración de lanzamiento o si los metadatos V1 y V2 están habilitados. | |
| 8.2.8 | La identificación de usuario y las cuentas relacionadas para los usuarios y administradores se administran estrictamente durante todo el ciclo de vida de la cuenta. (PCI-DSS-v4.0) | Compruebe que haya un almacén de copia de seguridad con una política basada en recursos asociada que impida la eliminación de los puntos de recuperación. La regla es NON_COMPLIANT si el almacén de copias de seguridad no tiene políticas basadas en recursos o tiene políticas sin una instrucción Deny adecuada (instrucción con los permisos backup:DeleteRecoveryPoint, backup:UpdateRecoveryPointLifecycle y backup:PutBackupVaultAccessPolicy). | |
| 8.2.8 | La identificación de usuario y las cuentas relacionadas para los usuarios y administradores se administran estrictamente durante todo el ciclo de vida de la cuenta. (PCI-DSS-v4.0) | Compruebe que haya una instancia de Amazon Relational Database Service (Amazon RDS) con la autenticación de AWS Identity and Access Management (IAM) habilitada. La regla es NON_COMPLIANT si una instancia de Amazon RDS no tiene habilitada la autenticación de IAM. | |
| 8.3.10.1 | Se ha establecido y administrado una autenticación sólida para los usuarios y los administradores. (PCI-DSS-v4.0) | Compruebe que las claves de acceso de IAM activas roten (se modifiquen) en el número de días especificado en maxAccessKeyAge. La regla es NON_COMPLIANT si las claves de acceso no se rotan dentro del período de tiempo especificado. El valor predeterminado es 90 días. | |
| 8.3.10.1 | Se ha establecido y administrado una autenticación sólida para los usuarios y los administradores. (PCI-DSS-v4.0) | Compruebe que los secretos de AWS Secrets Manager roten correctamente y de acuerdo con el programa de rotación. Secrets Manager calcula la fecha en que debe producirse la rotación. La regla es NON_COMPLIANT si pasa la fecha y el secreto no rota. | |
| 8.3.10.1 | Se ha establecido y administrado una autenticación sólida para los usuarios y los administradores. (PCI-DSS-v4.0) | Compruebe que los secretos de AWS Secrets Manager hayan rotado en el último número de días especificado. La regla es NON_COMPLIANT si un secreto no ha rotado durante más de un número de días maxDaysSinceRotation. El valor predeterminado es 90 días. | |
| 8.3.11 | Se ha establecido y administrado una autenticación sólida para los usuarios y los administradores. (PCI-DSS-v4.0) | Compruebe que el ARN de la política de IAM esté asociado a un usuario de IAM, o a un grupo con uno o varios usuarios de IAM, o a un rol de IAM con una o varias entidades de confianza. | |
| 8.3.11 | Se ha establecido y administrado una autenticación sólida para los usuarios y los administradores. (PCI-DSS-v4.0) | Compruebe que las instancias de Amazon Elastic Compute Cloud (EC2) en ejecución no se inicialicen con pares de claves de Amazon. La regla es NON_COMPLIANT si se lanza una instancia de EC2 en ejecución con un par de claves. | |
| 8.3.2 | Se ha establecido y administrado una autenticación sólida para los usuarios y los administradores. (PCI-DSS-v4.0) | Compruebe que haya un grupo de trabajo de Amazon Athena cifrado en reposo. La regla es NON_COMPLIANT si el cifrado de datos en reposo no está habilitado para un grupo de trabajo de Athena. | |
| 8.3.2 | Se ha establecido y administrado una autenticación sólida para los usuarios y los administradores. (PCI-DSS-v4.0) | Compruebe que haya un clúster de base de datos de Amazon Neptune con instantáneas cifradas. La regla es NON_COMPLIANT si un clúster de Neptune no tiene las instantáneas cifradas. | |
| 8.3.2 | Se ha establecido y administrado una autenticación sólida para los usuarios y los administradores. (PCI-DSS-v4.0) | Compruebe que los clústeres de Amazon Redshift utilicen una clave de AWS Key Management Service (AWS KMS) especificada para el cifrado. La regla es COMPLIANT si el cifrado está habilitado y el clúster está cifrado con la clave proporcionada en el parámetro kmsKeyArn. La regla es NON_COMPLIANT si el clúster no está cifrado o está cifrado con otra clave. | |
| 8.3.2 | Se ha establecido y administrado una autenticación sólida para los usuarios y los administradores. (PCI-DSS-v4.0) | Compruebe que haya un proyecto de AWS CodeBuild con el cifrado habilitado para todos sus artefactos. La regla kms:DescribeKey si encryptionDisabled se establece en true para cualquier configuración de artefacto principal o secundario (si está presente). | |
| 8.3.2 | Se ha establecido y administrado una autenticación sólida para los usuarios y los administradores. (PCI-DSS-v4.0) | Compruebe que haya un proyecto de AWS CodeBuild configurado con registros de Amazon S3 que tenga el cifrado habilitado para sus registros. La regla es NON_COMPLIANT si encryptionDisabled se establece en “true” en un S3LogsConfig de un proyecto de CodeBuild. | |
| 8.3.2 | Se ha establecido y administrado una autenticación sólida para los usuarios y los administradores. (PCI-DSS-v4.0) | Compruebe que los clústeres del Acelerador de Amazon DynamoDB (DAX) estén cifrados. La regla es NON_COMPLIANT si el clúster de DAX no está cifrado. | |
| 8.3.2 | Se ha establecido y administrado una autenticación sólida para los usuarios y los administradores. (PCI-DSS-v4.0) | Compruebe que los puntos de conexión de AWS Database Migration Service (AWS DMS) de los almacenes de datos de Redis estén habilitados para el cifrado TLS/SSL de los datos comunicados con otros puntos de conexión. La regla es NON_COMPLIANT si el cifrado TLS/SSL no está habilitado. | |
| 8.3.2 | Se ha establecido y administrado una autenticación sólida para los usuarios y los administradores. (PCI-DSS-v4.0) | Compruebe que los clústeres de Amazon Elastic Kubernetes Service estén configurados para cifrar los secretos de Kubernetes con claves de AWS Key Management Service (KMS). | |
| 8.3.2 | Se ha establecido y administrado una autenticación sólida para los usuarios y los administradores. (PCI-DSS-v4.0) | Compruebe que todos los métodos de las etapas de Amazon API Gateway tengan memoria caché habilitada y cifrada. La regla es NON_COMPLIANT si algún método de una etapa de Amazon API Gateway no está configurada para el almacenamiento en caché o si la caché no está cifrada. | |
| 8.3.2 | Se ha establecido y administrado una autenticación sólida para los usuarios y los administradores. (PCI-DSS-v4.0) | Compruebe que el cifrado de almacenamiento esté habilitado en los clústeres de Amazon DocumentDB (compatible con MongoDB). La regla es NON_COMPLIANT si el cifrado de almacenamiento no está habilitado. | |
| 8.3.2 | Se ha establecido y administrado una autenticación sólida para los usuarios y los administradores. (PCI-DSS-v4.0) | Compruebe que la tabla de Amazon DynamoDB esté cifrada con AWS Key Management Service (KMS). La regla es NON_COMPLIANT si la tabla de Amazon DynamoDB no está cifrada con AWS KMS. La regla también es NON_COMPLIANT si la clave de AWS KMS cifrada no está en el parámetro de entrada kmsKeyArns. | |
| 8.3.2 | Se ha establecido y administrado una autenticación sólida para los usuarios y los administradores. (PCI-DSS-v4.0) | Compruebe que las tablas de Amazon DynamoDB estén cifradas y revise su estado. La regla es COMPLIANT si el estado indica que se han habilitado o se están habilitando. | |
| 8.3.2 | Se ha establecido y administrado una autenticación sólida para los usuarios y los administradores. (PCI-DSS-v4.0) | Compruebe que las distribuciones de CloudFront no utilicen protocolos SSL obsoletos para la comunicación HTTPS entre las ubicaciones periféricas de CloudFront y los orígenes personalizados. Esta regla es NON_COMPLIANT para una distribución de CloudFront si algún OriginSslProtocols incluye SSLv3. | |
| 8.3.2 | Se ha establecido y administrado una autenticación sólida para los usuarios y los administradores. (PCI-DSS-v4.0) | Compruebe que las distribuciones de Amazon CloudFront cifren el tráfico hacia orígenes personalizados. La regla es NON_COMPLIANT si OriginProtocolPolicy es “http-only” o si OriginProtocolPolicy es “match-viewer” y ViewerProtocolPolicy es “allow-all”. | |
| 8.3.2 | Se ha establecido y administrado una autenticación sólida para los usuarios y los administradores. (PCI-DSS-v4.0) | Compruebe que las distribuciones de Amazon CloudFront utilicen HTTPS (directamente o a través de un redireccionamiento). La regla es NON_COMPLIANT si el valor de ViewerProtocolPolicy se establece en allow-all para DefaultCacheBehavior o para CacheBehaviors. | |
| 8.3.2 | Se ha establecido y administrado una autenticación sólida para los usuarios y los administradores. (PCI-DSS-v4.0) | Compruebe que el proyecto NO contenga las variables de entorno AWS_ACCESS_KEY_ID ni AWS_SECRET_ACCESS_KEY. La regla es NON_COMPLIANT si las variables de entorno del proyecto contienen credenciales de texto no cifrado. | |
| 8.3.2 | Se ha establecido y administrado una autenticación sólida para los usuarios y los administradores. (PCI-DSS-v4.0) | Compruebe que los equilibradores de carga clásicos utilicen los certificados SSL proporcionados por AWS Certificate Manager. Para usar esta regla, utilice un agente de escucha SSL o HTTPS con su Classic Load Balancer. Nota: Esta regla solo se aplica a los equilibradores de carga clásicos. Esta regla no comprueba los Application Load Balancers ni los Network Load Balancers. | |
| 8.3.2 | Se ha establecido y administrado una autenticación sólida para los usuarios y los administradores. (PCI-DSS-v4.0) | Compruebe que el clúster del Acelerador de Amazon DynamoDB (DAX) tenga ClusterEndpointEncryptionType configurado en TLS. La regla es NON_COMPLIANT si hay un clúster de DAX que no está cifrado con seguridad de la capa de transporte (TLS). | |
| 8.3.2 | Se ha establecido y administrado una autenticación sólida para los usuarios y los administradores. (PCI-DSS-v4.0) | Compruebe que los clústeres de Amazon EKS no estén configurados para cifrar los secretos de Kubernetes con AWS KMS. La regla es NON_COMPLIANT si hay un clúster de EKS sin un recurso de encryptionConfig o si encryptionConfig no designa secretos como un recurso. | |
| 8.3.2 | Se ha establecido y administrado una autenticación sólida para los usuarios y los administradores. (PCI-DSS-v4.0) | Compruebe que los flujos de Amazon Kinesis estén cifrados en reposo con el cifrado en el servidor. La regla es NON_COMPLIANT para un flujo de Kinesis si StreamEncryption no está presente. | |
| 8.3.2 | Se ha establecido y administrado una autenticación sólida para los usuarios y los administradores. (PCI-DSS-v4.0) | Compruebe que haya un clúster de Amazon MSK que aplique el cifrado en tránsito con HTTPS (TLS) con los nodos de agente del clúster. La regla es NON_COMPLIANT si la comunicación de texto sin formato está habilitada para conexiones de nodo de agente dentro del clúster. | |
| 8.3.2 | Se ha establecido y administrado una autenticación sólida para los usuarios y los administradores. (PCI-DSS-v4.0) | Compruebe que el cifrado de almacenamiento esté habilitado para los clústeres de base de datos de Amazon Neptune. La regla es NON_COMPLIANT si el cifrado de almacenamiento no está habilitado. | |
| 8.3.2 | Se ha establecido y administrado una autenticación sólida para los usuarios y los administradores. (PCI-DSS-v4.0) | Compruebe que los puntos de conexión de AWS Database Migration Service (AWS DMS) estén configurados con una conexión SSL. La regla es NON_COMPLIANT si AWS DMS no tiene configurada una conexión SSL. | |
| 8.3.4 | Se ha establecido y administrado una autenticación sólida para los usuarios y los administradores. (PCI-DSS-v4.0) | Compruebe que haya una política de bucket de Amazon Simple Storage Service (Amazon S3) que no permita acciones, en el nivel de bucket y de objeto, incluidas en la lista de acciones no permitidas sobre recursos del bucket para las entidades principales de otras cuentas de AWS. Por ejemplo, la regla comprueba que la política de bucket de Amazon S3 no permita a otra cuenta de AWS llevar a cabo acciones s3:GetBucket* ni s3:DeleteObject en ningún objeto del bucket. La regla es NON_COMPLIANT si la política de buckets de Amazon S3 permite alguna acción incluida en la lista de bloqueo. | |
| 8.3.4 | Se ha establecido y administrado una autenticación sólida para los usuarios y los administradores. (PCI-DSS-v4.0) | Compruebe que las políticas del bucket de Amazon Simple Storage Service (S3) no otorguen permisos entre cuentas distintos a los de la política del bucket de Amazon S3 de control que se haya proporcionado. | |
| 8.3.4 | Se ha establecido y administrado una autenticación sólida para los usuarios y los administradores. (PCI-DSS-v4.0) | Compruebe que el equipo de respuesta de Shield (SRT) pueda acceder a su cuenta de AWS. La regla es NON_COMPLIANT si AWS Shield Avanzado está habilitado, pero el rol para el acceso del SRT no está configurado. | |
| 8.3.4 | Se ha establecido y administrado una autenticación sólida para los usuarios y los administradores. (PCI-DSS-v4.0) | Compruebe que el ARN de la política de IAM esté asociado a un usuario de IAM, o a un grupo con uno o varios usuarios de IAM, o a un rol de IAM con una o varias entidades de confianza. | |
| 8.3.4 | Se ha establecido y administrado una autenticación sólida para los usuarios y los administradores. (PCI-DSS-v4.0) | Compruebe que haya un clúster de Amazon Neptune con la autenticación de base de datos de AWS Identity and Access Management (IAM) habilitada. La regla es NON_COMPLIANT si un clúster de Amazon Neptune no tiene habilitada la autenticación de base de datos de IAM. | |
| 8.3.4 | Se ha establecido y administrado una autenticación sólida para los usuarios y los administradores. (PCI-DSS-v4.0) | Compruebe que haya un clúster de Amazon Relational Database Service (Amazon RDS) con la autenticación de AWS Identity and Access Management (IAM) habilitada. La regla es NON_COMPLIANT si un clúster de Amazon RDS no tiene habilitada la autenticación de IAM. | |
| 8.3.4 | Se ha establecido y administrado una autenticación sólida para los usuarios y los administradores. (PCI-DSS-v4.0) | Compruebe que haya una instancia de EC2 con un perfil de AWS Identity and Access Management (IAM) asociado. La regla es NON_COMPLIANT si no hay ningún perfil de IAM asociado a la instancia de EC2. | |
| 8.3.4 | Se ha establecido y administrado una autenticación sólida para los usuarios y los administradores. (PCI-DSS-v4.0) | Compruebe que haya un almacén de copia de seguridad con una política basada en recursos asociada que impida la eliminación de los puntos de recuperación. La regla es NON_COMPLIANT si el almacén de copias de seguridad no tiene políticas basadas en recursos o tiene políticas sin una instrucción Deny adecuada (instrucción con los permisos backup:DeleteRecoveryPoint, backup:UpdateRecoveryPointLifecycle y backup:PutBackupVaultAccessPolicy). | |
| 8.3.4 | Se ha establecido y administrado una autenticación sólida para los usuarios y los administradores. (PCI-DSS-v4.0) | Compruebe que haya una instancia de Amazon Relational Database Service (Amazon RDS) con la autenticación de AWS Identity and Access Management (IAM) habilitada. La regla es NON_COMPLIANT si una instancia de Amazon RDS no tiene habilitada la autenticación de IAM. | |
| 8.3.5 | Se ha establecido y administrado una autenticación sólida para los usuarios y los administradores. (PCI-DSS-v4.0) | Compruebe que las claves de acceso de IAM activas roten (se modifiquen) en el número de días especificado en maxAccessKeyAge. La regla es NON_COMPLIANT si las claves de acceso no se rotan dentro del período de tiempo especificado. El valor predeterminado es 90 días. | |
| 8.3.5 | Se ha establecido y administrado una autenticación sólida para los usuarios y los administradores. (PCI-DSS-v4.0) | Compruebe que los secretos de AWS Secrets Manager roten correctamente y de acuerdo con el programa de rotación. Secrets Manager calcula la fecha en que debe producirse la rotación. La regla es NON_COMPLIANT si pasa la fecha y el secreto no rota. | |
| 8.3.5 | Se ha establecido y administrado una autenticación sólida para los usuarios y los administradores. (PCI-DSS-v4.0) | Compruebe que los secretos de AWS Secrets Manager hayan rotado en el último número de días especificado. La regla es NON_COMPLIANT si un secreto no ha rotado durante más de un número de días maxDaysSinceRotation. El valor predeterminado es 90 días. | |
| 8.3.7 | Se ha establecido y administrado una autenticación sólida para los usuarios y los administradores. (PCI-DSS-v4.0) | Compruebe que las claves de acceso de IAM activas roten (se modifiquen) en el número de días especificado en maxAccessKeyAge. La regla es NON_COMPLIANT si las claves de acceso no se rotan dentro del período de tiempo especificado. El valor predeterminado es 90 días. | |
| 8.3.7 | Se ha establecido y administrado una autenticación sólida para los usuarios y los administradores. (PCI-DSS-v4.0) | Compruebe que los secretos de AWS Secrets Manager roten correctamente y de acuerdo con el programa de rotación. Secrets Manager calcula la fecha en que debe producirse la rotación. La regla es NON_COMPLIANT si pasa la fecha y el secreto no rota. | |
| 8.3.7 | Se ha establecido y administrado una autenticación sólida para los usuarios y los administradores. (PCI-DSS-v4.0) | Compruebe que los secretos de AWS Secrets Manager hayan rotado en el último número de días especificado. La regla es NON_COMPLIANT si un secreto no ha rotado durante más de un número de días maxDaysSinceRotation. El valor predeterminado es 90 días. | |
| 8.3.9 | Se ha establecido y administrado una autenticación sólida para los usuarios y los administradores. (PCI-DSS-v4.0) | Compruebe que las claves de acceso de IAM activas roten (se modifiquen) en el número de días especificado en maxAccessKeyAge. La regla es NON_COMPLIANT si las claves de acceso no se rotan dentro del período de tiempo especificado. El valor predeterminado es 90 días. | |
| 8.3.9 | Se ha establecido y administrado una autenticación sólida para los usuarios y los administradores. (PCI-DSS-v4.0) | Compruebe que los secretos de AWS Secrets Manager roten correctamente y de acuerdo con el programa de rotación. Secrets Manager calcula la fecha en que debe producirse la rotación. La regla es NON_COMPLIANT si pasa la fecha y el secreto no rota. | |
| 8.3.9 | Se ha establecido y administrado una autenticación sólida para los usuarios y los administradores. (PCI-DSS-v4.0) | Compruebe que los secretos de AWS Secrets Manager hayan rotado en el último número de días especificado. La regla es NON_COMPLIANT si un secreto no ha rotado durante más de un número de días maxDaysSinceRotation. El valor predeterminado es 90 días. | |
| 8.4.1 | Se ha implementado la autenticación multifactor (MFA) para proteger el acceso al CDE. (PCI-DSS-v4.0) | Compruebe que la eliminación de la MFA esté habilitada en la configuración del control de versiones de buckets de Amazon Simple Storage Service (Amazon S3). La regla es NON_COMPLIANT si la eliminación de MFA no está habilitada. | |
| 8.4.2 | Se ha implementado la autenticación multifactor (MFA) para proteger el acceso al CDE. (PCI-DSS-v4.0) | Compruebe que la eliminación de la MFA esté habilitada en la configuración del control de versiones de buckets de Amazon Simple Storage Service (Amazon S3). La regla es NON_COMPLIANT si la eliminación de MFA no está habilitada. | |
| 8.4.3 | Se ha implementado la autenticación multifactor (MFA) para proteger el acceso al CDE. (PCI-DSS-v4.0) | Compruebe que la eliminación de la MFA esté habilitada en la configuración del control de versiones de buckets de Amazon Simple Storage Service (Amazon S3). La regla es NON_COMPLIANT si la eliminación de MFA no está habilitada. | |
| 8.6.3 | El uso de las cuentas de aplicación y sistema, y de los factores de autenticación asociados, se gestiona de forma rigurosa. (PCI-DSS-v4.0) | Compruebe que las claves de acceso de IAM activas roten (se modifiquen) en el número de días especificado en maxAccessKeyAge. La regla es NON_COMPLIANT si las claves de acceso no se rotan dentro del período de tiempo especificado. El valor predeterminado es 90 días. | |
| 8.6.3 | El uso de las cuentas de aplicación y sistema, y de los factores de autenticación asociados, se gestiona de forma rigurosa. (PCI-DSS-v4.0) | Compruebe que los secretos de AWS Secrets Manager roten correctamente y de acuerdo con el programa de rotación. Secrets Manager calcula la fecha en que debe producirse la rotación. La regla es NON_COMPLIANT si pasa la fecha y el secreto no rota. | |
| 8.6.3 | El uso de las cuentas de aplicación y sistema, y de los factores de autenticación asociados, se gestiona de forma rigurosa. (PCI-DSS-v4.0) | Compruebe que los secretos de AWS Secrets Manager hayan rotado en el último número de días especificado. La regla es NON_COMPLIANT si un secreto no ha rotado durante más de un número de días maxDaysSinceRotation. El valor predeterminado es 90 días. | |
| A1.1.2 | Los proveedores de servicio multinquilino protegen y separan todos los entornos y datos de los clientes. (PCI-DSS-v4.0) | Compruebe que haya una instantánea manual de un clúster de base de datos de Amazon Neptune que no sea pública. La regla es NON_COMPLIANT si las instantáneas de clústeres nuevas y existentes de Neptune son públicas. | |
| A1.1.2 | Los proveedores de servicio multinquilino protegen y separan todos los entornos y datos de los clientes. (PCI-DSS-v4.0) | Compruebe que las instantáneas de clúster manual de Amazon DocumentDB no sean públicas. La regla es NON_COMPLIANT si alguna instantánea de clúster manual de Amazon DocumentDB es pública. | |
| A1.1.2 | Los proveedores de servicio multinquilino protegen y separan todos los entornos y datos de los clientes. (PCI-DSS-v4.0) | Compruebe que haya un almacén de copia de seguridad con una política basada en recursos asociada que impida la eliminación de los puntos de recuperación. La regla es NON_COMPLIANT si el almacén de copias de seguridad no tiene políticas basadas en recursos o tiene políticas sin una instrucción Deny adecuada (instrucción con los permisos backup:DeleteRecoveryPoint, backup:UpdateRecoveryPointLifecycle y backup:PutBackupVaultAccessPolicy). | |
| A1.1.2 | Los proveedores de servicio multinquilino protegen y separan todos los entornos y datos de los clientes. (PCI-DSS-v4.0) | Compruebe que haya una cuenta de Amazon EMR con la configuración de bloqueo de acceso público habilitada. La regla es NON_COMPLIANT si BlockPublicSecurityGroupRules es falso o, si es verdadero, los puertos que no sean el 22 aparecen en PermittedPublicSecurityGroupRuleRanges. | |
| A1.1.2 | Los proveedores de servicio multinquilino protegen y separan todos los entornos y datos de los clientes. (PCI-DSS-v4.0) | Compruebe que los puntos de acceso de Amazon S3 tengan habilitada la configuración de bloqueo del acceso público. La regla NON_COMPLIANT si la configuración de bloqueo de acceso público no está habilitada para los puntos de acceso de S3. | |
| A1.1.2 | Los proveedores de servicio multinquilino protegen y separan todos los entornos y datos de los clientes. (PCI-DSS-v4.0) | Compruebe que la configuración requerida del bloqueo de acceso público se haya configurado desde el nivel de cuenta. La regla sólo es NON_COMPLIANT cuando los campos establecidos a continuación no coinciden con los campos correspondientes en el elemento de configuración. | |
| A1.1.2 | Los proveedores de servicio multinquilino protegen y separan todos los entornos y datos de los clientes. (PCI-DSS-v4.0) | Compruebe que la eliminación de la MFA esté habilitada en la configuración del control de versiones de buckets de Amazon Simple Storage Service (Amazon S3). La regla es NON_COMPLIANT si la eliminación de MFA no está habilitada. | |
| A1.1.3 | Los proveedores de servicio multinquilino protegen y separan todos los entornos y datos de los clientes. (PCI-DSS-v4.0) | Compruebe que las API de Amazon API Gateway sean del tipo especificado en el parámetro de regla endpointConfigurationType. La regla devuelve NON_COMPLIANT si la API REST no coincide con el tipo de punto de enlace configurado en el parámetro de regla. | |
| A1.1.3 | Los proveedores de servicio multinquilino protegen y separan todos los entornos y datos de los clientes. (PCI-DSS-v4.0) | Compruebe que las distribuciones de Amazon CloudFront estén asociadas a un firewall de aplicaciones web (WAF) o a las listas de control de acceso (ACL) web de WAFv2. La regla es NON_COMPLIANT si una distribución de CloudFront no está asociada a una ACL web de WAF. | |
| A1.1.3 | Los proveedores de servicio multinquilino protegen y separan todos los entornos y datos de los clientes. (PCI-DSS-v4.0) | Compruebe que el certificado asociado a una distribución de Amazon CloudFront no sea el certificado SSL predeterminado. La regla es NON_COMPLIANT si una distribución de CloudFront utiliza el certificado SSL predeterminado. | |
| A1.1.3 | Los proveedores de servicio multinquilino protegen y separan todos los entornos y datos de los clientes. (PCI-DSS-v4.0) | Compruebe si se ha configurado una política de AWS Network Firewall con una acción predeterminada, sin estado y definida por el usuario para los paquetes fragmentados. La regla es NON_COMPLIANT si la acción predeterminada sin estado para los paquetes fragmentados no coincide con la acción predeterminada definida por el usuario. | |
| A1.1.3 | Los proveedores de servicio multinquilino protegen y separan todos los entornos y datos de los clientes. (PCI-DSS-v4.0) | Compruebe que los grupos de seguridad de base de datos de Amazon Relational Database Service (Amazon RDS) sean los predeterminados. La regla es NON_COMPLIANT si hay algún grupo de seguridad de base de datos que no sea el grupo de seguridad de base de datos predeterminado. | |
| A1.1.3 | Los proveedores de servicio multinquilino protegen y separan todos los entornos y datos de los clientes. (PCI-DSS-v4.0) | Compruebe que las puertas de enlace de tránsito de Amazon Elastic Compute Cloud (Amazon EC2) no tengan habilitada la opción AutoAcceptSharedAttachments. La regla es NON_COMPLIANT para una puerta de enlace de tránsito si AutoAcceptSharedAttachments está establecido como enable. | |
| A1.1.3 | Los proveedores de servicio multinquilino protegen y separan todos los entornos y datos de los clientes. (PCI-DSS-v4.0) | Compruebe que el punto de conexión de Amazon Elastic Kubernetes Service (Amazon EKS) no sea de acceso público. La regla es NON_COMPLIANT si el punto de conexión es de acceso público. | |
| A1.1.3 | Los proveedores de servicio multinquilino protegen y separan todos los entornos y datos de los clientes. (PCI-DSS-v4.0) | Nota: Para esta regla, el identificador de la regla (INCOMING_SSH_DISABLED) y el nombre de la regla (restricted-ssh) son diferentes. Compruebe que el tráfico SSH entrante de los grupos de seguridad sea accesible. La regla es COMPLIANT si las direcciones IP del tráfico SSH entrante en los grupos de seguridad están restringidas (un CIDR distinto de 0.0.0.0/0 o ::/0). De lo contrario, es NON_COMPLIANT. | |
| A1.1.3 | Los proveedores de servicio multinquilino protegen y separan todos los entornos y datos de los clientes. (PCI-DSS-v4.0) | Compruebe que las API de AWS AppSync estén asociadas a las listas de control de acceso (ACL) web de AWS WAFv2. La regla es NON_COMPLIANT para una API de AWS AppSync si no está asociada a una ACL web. | |
| A1.1.3 | Los proveedores de servicio multinquilino protegen y separan todos los entornos y datos de los clientes. (PCI-DSS-v4.0) | Compruebe que las instantáneas de clúster manual de Amazon DocumentDB no sean públicas. La regla es NON_COMPLIANT si alguna instantánea de clúster manual de Amazon DocumentDB es pública. | |
| A1.1.3 | Los proveedores de servicio multinquilino protegen y separan todos los entornos y datos de los clientes. (PCI-DSS-v4.0) | Compruebe que la URL del repositorio fuente de Bitbucket NO contenga credenciales de inicio de sesión. La regla es NON_COMPLIANT si la URL contiene información de inicio de sesión y COMPLIANT si no la contiene. | |
| A1.1.3 | Los proveedores de servicio multinquilino protegen y separan todos los entornos y datos de los clientes. (PCI-DSS-v4.0) | Compruebe que los equilibradores de carga clásicos utilicen los certificados SSL proporcionados por AWS Certificate Manager. Para usar esta regla, utilice un agente de escucha SSL o HTTPS con su Classic Load Balancer. Nota: Esta regla solo se aplica a los equilibradores de carga clásicos. Esta regla no comprueba los Application Load Balancers ni los Network Load Balancers. | |
| A1.1.3 | Los proveedores de servicio multinquilino protegen y separan todos los entornos y datos de los clientes. (PCI-DSS-v4.0) | Compruebe que haya una cuenta de Amazon EMR con la configuración de bloqueo de acceso público habilitada. La regla es NON_COMPLIANT si BlockPublicSecurityGroupRules es falso o, si es verdadero, los puertos que no sean el 22 aparecen en PermittedPublicSecurityGroupRuleRanges. | |
| A1.1.3 | Los proveedores de servicio multinquilino protegen y separan todos los entornos y datos de los clientes. (PCI-DSS-v4.0) | Compruebe que los puertos predeterminados para el tráfico de entrada de SSH/RDP para las listas de control de acceso a la red (NACL) no estén restringidos. La regla es NON_COMPLIANT si una entrada entrante de la NACL permite un bloque CIDR TCP o UDP de origen para los puertos 22 o 3389. | |
| A1.1.3 | Los proveedores de servicio multinquilino protegen y separan todos los entornos y datos de los clientes. (PCI-DSS-v4.0) | Compruebe que haya una ACL web de WAF Global que contenga reglas o grupos de reglas de WAF. Esta regla es NON_COMPLIANT si una ACL web no contiene reglas ni grupos de reglas de WAF. | |
| A1.1.3 | Los proveedores de servicio multinquilino protegen y separan todos los entornos y datos de los clientes. (PCI-DSS-v4.0) | Compruebe que haya un grupo de reglas de AWS WAF Classic que contenga algunas reglas. La regla es NON_COMPLIANT si no hay reglas en un grupo de reglas. | |
| A1.1.3 | Los proveedores de servicio multinquilino protegen y separan todos los entornos y datos de los clientes. (PCI-DSS-v4.0) | Compruebe que haya una regla global de AWS WAF que contenga algunas condiciones. La regla es NON_COMPLIANT si no hay condiciones presentes en la regla global de WAF. | |
| A1.1.3 | Los proveedores de servicio multinquilino protegen y separan todos los entornos y datos de los clientes. (PCI-DSS-v4.0) | Compruebe que las reglas de autorización de AWS Client VPN no autoricen el acceso de conexión para todos los clientes. La regla es NON_COMPLIANT si aparece AccessAll y se establece en true. | |
| A1.1.3 | Los proveedores de servicio multinquilino protegen y separan todos los entornos y datos de los clientes. (PCI-DSS-v4.0) | Compruebe que las puertas de enlace de Internet estén asociadas a una nube privada virtual autorizada (Amazon VPC). La regla es NON_COMPLIANT si las puertas de enlace de Internet están conectadas a una VPC no autorizada. | |
| A1.1.3 | Los proveedores de servicio multinquilino protegen y separan todos los entornos y datos de los clientes. (PCI-DSS-v4.0) | Compruebe que los puntos de acceso de Amazon S3 tengan habilitada la configuración de bloqueo del acceso público. La regla NON_COMPLIANT si la configuración de bloqueo de acceso público no está habilitada para los puntos de acceso de S3. | |
| A1.1.3 | Los proveedores de servicio multinquilino protegen y separan todos los entornos y datos de los clientes. (PCI-DSS-v4.0) | Compruebe que la configuración requerida del bloqueo de acceso público se haya configurado desde el nivel de cuenta. La regla sólo es NON_COMPLIANT cuando los campos establecidos a continuación no coinciden con los campos correspondientes en el elemento de configuración. | |
| A1.2.1 | Los proveedores de servicios multinquilino facilitan el registro y la respuesta a los incidentes para todos los clientes. (PCI-DSS-v4.0) | Compruebe que las etapas de Amazon API Gateway V2 tengan habilitado el registro de acceso. La regla es NON_COMPLIANT si accessLogSettings no está presente en la configuración de la etapa. | |
| A1.2.1 | Los proveedores de servicios multinquilino facilitan el registro y la respuesta a los incidentes para todos los clientes. (PCI-DSS-v4.0) | Compruebe que el rastreo de AWS X-Ray esté habilitado en las API de REST de Amazon API Gateway. La regla es COMPLIANT si el rastreo de X-Ray está habilitado y NON_COMPLIANT cuando no lo está. | |
| A1.2.1 | Los proveedores de servicios multinquilino facilitan el registro y la respuesta a los incidentes para todos los clientes. (PCI-DSS-v4.0) | Compruebe que las distribuciones de Amazon CloudFront estén configuradas para suministrar registros de acceso a un bucket de Amazon S3. La regla es NON_COMPLIANT si una distribución de CloudFront no tiene el registro configurado. | |
| A1.2.1 | Los proveedores de servicios multinquilino facilitan el registro y la respuesta a los incidentes para todos los clientes. (PCI-DSS-v4.0) | Compruebe que haya, al menos, un registro de seguimiento de AWS CloudTrail definido de acuerdo con las prácticas recomendadas de seguridad. Esta regla es COMPLIANT si hay al menos un registro de seguimiento que cumpla todos los requisitos siguientes: | |
| A1.2.1 | Los proveedores de servicios multinquilino facilitan el registro y la respuesta a los incidentes para todos los clientes. (PCI-DSS-v4.0) | Compruebe que haya un clúster de Amazon Neptune con la exportación de registros de CloudWatch habilitada para los registros de auditoría. La regla es NON_COMPLIANT si un clúster de Neptune no tiene habilitada la exportación de registros de CloudWatch para los registros de auditoría. | |
| A1.2.1 | Los proveedores de servicios multinquilino facilitan el registro y la respuesta a los incidentes para todos los clientes. (PCI-DSS-v4.0) | Compruebe que logConfiguration esté configurado como activo en las definiciones de tareas de Amazon ECS. Esta regla es NON_COMPLIANT si una ECSTaskDefinition activa no tiene definido el recurso logConfiguration o si el valor de logConfiguration es nulo en al menos una definición de contenedor. | |
| A1.2.1 | Los proveedores de servicios multinquilino facilitan el registro y la respuesta a los incidentes para todos los clientes. (PCI-DSS-v4.0) | Nota: Para esta regla, el identificador de la regla (CLOUD_TRAIL_ENABLED) y el nombre de la regla (cloudtrail-enabled) son diferentes. Compruebe que haya un registro de seguimiento de AWS CloudTrail habilitado en su cuenta de AWS. La regla es NON_COMPLIANT si no hay ningún registro de seguimiento habilitado. De forma opcional, la regla comprueba un bucket de S3 específico, un tema de Amazon Simple Notification Service (Amazon SNS) y un grupo de registro de CloudWatch. | |
| A1.2.1 | Los proveedores de servicios multinquilino facilitan el registro y la respuesta a los incidentes para todos los clientes. (PCI-DSS-v4.0) | Nota: Para esta regla, el identificador de la regla (MULTI_REGION_CLOUD_TRAIL_ENABLED) y el nombre de la regla (multi-region-cloudtrail-enabled) son diferentes. Compruebe que haya al menos un AWS CloudTrail multirregión. La regla es NON_COMPLIANT si los registros de seguimiento no coinciden con los parámetros de entrada. La regla es NON_COMPLIANT si el campo ExcludeManagementEventSources no está vacío o si AWS CloudTrail está configurado para excluir los eventos de administración, como los eventos AWS KMS o los eventos de la API de datos de Amazon RDS. | |
| A1.2.1 | Los proveedores de servicios multinquilino facilitan el registro y la respuesta a los incidentes para todos los clientes. (PCI-DSS-v4.0) | Compruebe que haya una API de AWS AppSync con el registro habilitado. La regla es NON_COMPLIANT si el registro no está activado o si fieldLogLevel no es ERROR ni ALL. | |
| A1.2.1 | Los proveedores de servicios multinquilino facilitan el registro y la respuesta a los incidentes para todos los clientes. (PCI-DSS-v4.0) | Compruebe que el registro esté habilitado en las listas globales de control de acceso a la web (ACL web) clásicas de AWS WAF. La regla es NON_COMPLIANT para una ACL web global si no tiene el registro activado. | |
| A1.2.1 | Los proveedores de servicios multinquilino facilitan el registro y la respuesta a los incidentes para todos los clientes. (PCI-DSS-v4.0) | Compruebe que los agentes de Amazon MQ tengan habilitado el registro de auditoría de Amazon CloudWatch. La regla es NON_COMPLIANT si un agente no tiene activado el registro de auditoría. | |
| A1.2.1 | Los proveedores de servicios multinquilino facilitan el registro y la respuesta a los incidentes para todos los clientes. (PCI-DSS-v4.0) | Compruebe que haya un agente de Amazon MQ que tenga habilitado el registro de auditoría de CloudWatch. La regla es NON_COMPLIANT si el agente no tiene habilitado el registro de auditoría. | |
| A1.2.1 | Los proveedores de servicios multinquilino facilitan el registro y la respuesta a los incidentes para todos los clientes. (PCI-DSS-v4.0) | Compruebe que haya un clúster de Amazon Elastic Kubernetes Service (Amazon EKS) configurado y con el registro habilitado. La regla es NON_COMPLIANT si el registro de los clústeres de Amazon EKS no está habilitado para todos los tipos de registro. | |
| A1.2.1 | Los proveedores de servicios multinquilino facilitan el registro y la respuesta a los incidentes para todos los clientes. (PCI-DSS-v4.0) | Compruebe que los entornos de AWS Elastic Beanstalk estén configurados para enviar registros a Registros de Amazon CloudWatch. La regla es NON_COMPLIANT si el valor de StreamLogs es false. | |
| A1.2.1 | Los proveedores de servicios multinquilino facilitan el registro y la respuesta a los incidentes para todos los clientes. (PCI-DSS-v4.0) | Compruebe que la máquina de AWS Step Functions tenga habilitado el registro. La regla es NON_COMPLIANT si una máquina de estado no tiene el registro activado o si la configuración de registro no se encuentra en el nivel mínimo indicado. | |
| A1.2.1 | Los proveedores de servicios multinquilino facilitan el registro y la respuesta a los incidentes para todos los clientes. (PCI-DSS-v4.0) | Compruebe que los firewalls de AWS Network Firewall tengan habilitado el registro. La regla es NON_COMPLIANT si el tipo de registro no está configurado. Puede especificar qué tipo de registro desea que compruebe la regla. | |
| A1.2.3 | Los proveedores de servicios multinquilino facilitan el registro y la respuesta a los incidentes para todos los clientes. (PCI-DSS-v4.0) | Compruebe que haya proporcionado información de contacto de seguridad para los contactos de cuentas de AWS. La regla es NON_COMPLIANT si no se proporciona la información de contacto de seguridad de la cuenta. | |
| A3.2.5.1 | El ámbito del PCI DSS está documentado y validado. (PCI-DSS-v4.0) | Compruebe que la detección automatizada de datos confidenciales esté habilitada en Amazon Macie. La regla es NON_COMPLIANT si la detección automatizada de datos confidenciales está deshabilitada. La regla es APPLICABLE para las cuentas de administrador y NOT_APPLICABLE para las cuentas de los miembros. | |
| A3.2.5.1 | El ámbito del PCI DSS está documentado y validado. (PCI-DSS-v4.0) | Compruebe que Amazon Macie esté activado en su cuenta por región. La regla es NON_COMPLIANT si el atributo Status no se ha definido como ENABLED. | |
| A3.2.5.2 | El ámbito del PCI DSS está documentado y validado. (PCI-DSS-v4.0) | Compruebe que la detección automatizada de datos confidenciales esté habilitada en Amazon Macie. La regla es NON_COMPLIANT si la detección automatizada de datos confidenciales está deshabilitada. La regla es APPLICABLE para las cuentas de administrador y NOT_APPLICABLE para las cuentas de los miembros. | |
| A3.2.5.2 | El ámbito del PCI DSS está documentado y validado. (PCI-DSS-v4.0) | Compruebe que Amazon Macie esté activado en su cuenta por región. La regla es NON_COMPLIANT si el atributo Status no se ha definido como ENABLED. | |
| A3.3.1 | El PCI DSS está incorporado en las actividades comerciales habituales (BAU). (PCI-DSS-v4.0) | Compruebe que el rastreo de AWS X-Ray esté habilitado en las API de REST de Amazon API Gateway. La regla es COMPLIANT si el rastreo de X-Ray está habilitado y NON_COMPLIANT cuando no lo está. | |
| A3.3.1 | El PCI DSS está incorporado en las actividades comerciales habituales (BAU). (PCI-DSS-v4.0) | Compruebe que las pilas de CloudFormation envíen notificaciones de eventos a un tema de Amazon SNS. Como característica opcional, compruebe que se estén utilizando los temas de Amazon SNS especificados. La regla es NON_COMPLIANT si las pilas de CloudFormation no envían notificaciones. | |
| A3.3.1 | El PCI DSS está incorporado en las actividades comerciales habituales (BAU). (PCI-DSS-v4.0) | Compruebe que se haya habilitado la monitorización detallada para las instancias de EC2. La regla es NON_COMPLIANT si la supervisión detallada no está habilitada. | |
| A3.3.1 | El PCI DSS está incorporado en las actividades comerciales habituales (BAU). (PCI-DSS-v4.0) | Compruebe que las alarmas de CloudWatch tengan una acción configurada para los estados ALARM, INSUFFICIENT_DATA u OK. Como factor opcional, compruebe que haya acciones que coincidan con un ARN indicado. La regla es NON_COMPLIANT si no se ha especificado ninguna acción para la alarma o el parámetro opcional. | |
| A3.3.1 | El PCI DSS está incorporado en las actividades comerciales habituales (BAU). (PCI-DSS-v4.0) | Compruebe que las alarmas de CloudWatch tengan una acción configurada para los estados ALARM, INSUFFICIENT_DATA u OK. Como factor opcional, compruebe que haya acciones que coincidan con un ARN indicado. La regla es NON_COMPLIANT si no se ha especificado ninguna acción para la alarma o el parámetro opcional. | |
| A3.3.1 | El PCI DSS está incorporado en las actividades comerciales habituales (BAU). (PCI-DSS-v4.0) | Compruebe que las alarmas de CloudWatch tengan una acción configurada para los estados ALARM, INSUFFICIENT_DATA u OK. Como factor opcional, compruebe que haya acciones que coincidan con un ARN indicado. La regla es NON_COMPLIANT si no se ha especificado ninguna acción para la alarma o el parámetro opcional. | |
| A3.3.1 | El PCI DSS está incorporado en las actividades comerciales habituales (BAU). (PCI-DSS-v4.0) | Compruebe que las alarmas de CloudWatch tengan una acción configurada para los estados ALARM, INSUFFICIENT_DATA u OK. Como factor opcional, compruebe que haya acciones que coincidan con un ARN indicado. La regla es NON_COMPLIANT si no se ha especificado ninguna acción para la alarma o el parámetro opcional. | |
| A3.3.1 | El PCI DSS está incorporado en las actividades comerciales habituales (BAU). (PCI-DSS-v4.0) | Compruebe que haya un tipo de recurso con una alarma de CloudWatch para la métrica indicada. Para el tipo de recurso, puede especificar volúmenes de EBS, instancias de EC2, clústeres de Amazon RDS o buckets de S3. La regla es COMPLIANT si la métrica indicada tiene un ID de recurso y una alarma de CloudWatch. | |
| A3.3.1 | El PCI DSS está incorporado en las actividades comerciales habituales (BAU). (PCI-DSS-v4.0) | Compruebe que las alarmas de CloudWatch con el nombre de métrica indicado tengan la configuración especificada. | |
| A3.3.1 | El PCI DSS está incorporado en las actividades comerciales habituales (BAU). (PCI-DSS-v4.0) | Compruebe que se haya habilitado la recopilación de métricas de seguridad de Amazon CloudWatch en los grupos de reglas de AWS WAFv2. La regla es NON_COMPLIANT si el campo VisibilityConfig.CloudWatchMetricsEnabled está establecido en false. | |
| A3.3.1 | El PCI DSS está incorporado en las actividades comerciales habituales (BAU). (PCI-DSS-v4.0) | Compruebe que el registro de Amazon Simple Notification Service (SNS) esté habilitado para el estado de entrega de los mensajes de notificación enviados a un tema para los puntos de conexión. La regla es NON_COMPLIANT si la notificación del estado de entrega de los mensajes no está habilitada. | |
| A3.4.1 | El acceso lógico al entorno de datos del titular de la tarjeta está controlado y administrado. (PCI-DSS-v4.0) | Compruebe que haya una instantánea manual de un clúster de base de datos de Amazon Neptune que no sea pública. La regla es NON_COMPLIANT si las instantáneas de clústeres nuevas y existentes de Neptune son públicas. | |
| A3.4.1 | El acceso lógico al entorno de datos del titular de la tarjeta está controlado y administrado. (PCI-DSS-v4.0) | Compruebe que las instantáneas de clúster manual de Amazon DocumentDB no sean públicas. La regla es NON_COMPLIANT si alguna instantánea de clúster manual de Amazon DocumentDB es pública. | |
| A3.4.1 | El acceso lógico al entorno de datos del titular de la tarjeta está controlado y administrado. (PCI-DSS-v4.0) | Compruebe que haya un almacén de copia de seguridad con una política basada en recursos asociada que impida la eliminación de los puntos de recuperación. La regla es NON_COMPLIANT si el almacén de copias de seguridad no tiene políticas basadas en recursos o tiene políticas sin una instrucción Deny adecuada (instrucción con los permisos backup:DeleteRecoveryPoint, backup:UpdateRecoveryPointLifecycle y backup:PutBackupVaultAccessPolicy). | |
| A3.4.1 | El acceso lógico al entorno de datos del titular de la tarjeta está controlado y administrado. (PCI-DSS-v4.0) | Compruebe que haya una cuenta de Amazon EMR con la configuración de bloqueo de acceso público habilitada. La regla es NON_COMPLIANT si BlockPublicSecurityGroupRules es falso o, si es verdadero, los puertos que no sean el 22 aparecen en PermittedPublicSecurityGroupRuleRanges. | |
| A3.4.1 | El acceso lógico al entorno de datos del titular de la tarjeta está controlado y administrado. (PCI-DSS-v4.0) | Compruebe si se ha accedido a los secretos de AWS Secrets Manager durante un determinado número de días. La regla es NON_COMPLIANT si no se ha accedido a un secreto durante un número de días unusedForDays. El valor predeterminado es 90 días. | |
| A3.4.1 | El acceso lógico al entorno de datos del titular de la tarjeta está controlado y administrado. (PCI-DSS-v4.0) | Compruebe que los puntos de acceso de Amazon S3 tengan habilitada la configuración de bloqueo del acceso público. La regla NON_COMPLIANT si la configuración de bloqueo de acceso público no está habilitada para los puntos de acceso de S3. | |
| A3.4.1 | El acceso lógico al entorno de datos del titular de la tarjeta está controlado y administrado. (PCI-DSS-v4.0) | Compruebe que la configuración requerida del bloqueo de acceso público se haya configurado desde el nivel de cuenta. La regla sólo es NON_COMPLIANT cuando los campos establecidos a continuación no coinciden con los campos correspondientes en el elemento de configuración. | |
| A3.4.1 | El acceso lógico al entorno de datos del titular de la tarjeta está controlado y administrado. (PCI-DSS-v4.0) | Compruebe que la eliminación de la MFA esté habilitada en la configuración del control de versiones de buckets de Amazon Simple Storage Service (Amazon S3). La regla es NON_COMPLIANT si la eliminación de MFA no está habilitada. | |
| A3.5.1 | Los eventos sospechosos se identifican y se responde a ellos. (PCI-DSS-v4.0) | Compruebe que el rastreo de AWS X-Ray esté habilitado en las API de REST de Amazon API Gateway. La regla es COMPLIANT si el rastreo de X-Ray está habilitado y NON_COMPLIANT cuando no lo está. | |
| A3.5.1 | Los eventos sospechosos se identifican y se responde a ellos. (PCI-DSS-v4.0) | Compruebe que las pilas de CloudFormation envíen notificaciones de eventos a un tema de Amazon SNS. Como característica opcional, compruebe que se estén utilizando los temas de Amazon SNS especificados. La regla es NON_COMPLIANT si las pilas de CloudFormation no envían notificaciones. | |
| A3.5.1 | Los eventos sospechosos se identifican y se responde a ellos. (PCI-DSS-v4.0) | Compruebe que se haya habilitado la monitorización detallada para las instancias de EC2. La regla es NON_COMPLIANT si la supervisión detallada no está habilitada. | |
| A3.5.1 | Los eventos sospechosos se identifican y se responde a ellos. (PCI-DSS-v4.0) | Compruebe que las alarmas de CloudWatch tengan una acción configurada para los estados ALARM, INSUFFICIENT_DATA u OK. Como factor opcional, compruebe que haya acciones que coincidan con un ARN indicado. La regla es NON_COMPLIANT si no se ha especificado ninguna acción para la alarma o el parámetro opcional. | |
| A3.5.1 | Los eventos sospechosos se identifican y se responde a ellos. (PCI-DSS-v4.0) | Compruebe que las alarmas de CloudWatch tengan una acción configurada para los estados ALARM, INSUFFICIENT_DATA u OK. Como factor opcional, compruebe que haya acciones que coincidan con un ARN indicado. La regla es NON_COMPLIANT si no se ha especificado ninguna acción para la alarma o el parámetro opcional. | |
| A3.5.1 | Los eventos sospechosos se identifican y se responde a ellos. (PCI-DSS-v4.0) | Compruebe que las alarmas de CloudWatch tengan una acción configurada para los estados ALARM, INSUFFICIENT_DATA u OK. Como factor opcional, compruebe que haya acciones que coincidan con un ARN indicado. La regla es NON_COMPLIANT si no se ha especificado ninguna acción para la alarma o el parámetro opcional. | |
| A3.5.1 | Los eventos sospechosos se identifican y se responde a ellos. (PCI-DSS-v4.0) | Compruebe que las alarmas de CloudWatch tengan una acción configurada para los estados ALARM, INSUFFICIENT_DATA u OK. Como factor opcional, compruebe que haya acciones que coincidan con un ARN indicado. La regla es NON_COMPLIANT si no se ha especificado ninguna acción para la alarma o el parámetro opcional. | |
| A3.5.1 | Los eventos sospechosos se identifican y se responde a ellos. (PCI-DSS-v4.0) | Compruebe que haya un tipo de recurso con una alarma de CloudWatch para la métrica indicada. Para el tipo de recurso, puede especificar volúmenes de EBS, instancias de EC2, clústeres de Amazon RDS o buckets de S3. La regla es COMPLIANT si la métrica indicada tiene un ID de recurso y una alarma de CloudWatch. | |
| A3.5.1 | Los eventos sospechosos se identifican y se responde a ellos. (PCI-DSS-v4.0) | Compruebe que las alarmas de CloudWatch con el nombre de métrica indicado tengan la configuración especificada. | |
| A3.5.1 | Los eventos sospechosos se identifican y se responde a ellos. (PCI-DSS-v4.0) | Compruebe que se haya habilitado la recopilación de métricas de seguridad de Amazon CloudWatch en los grupos de reglas de AWS WAFv2. La regla es NON_COMPLIANT si el campo VisibilityConfig.CloudWatchMetricsEnabled está establecido en false. | |
| A3.5.1 | Los eventos sospechosos se identifican y se responde a ellos. (PCI-DSS-v4.0) | Compruebe que el registro de Amazon Simple Notification Service (SNS) esté habilitado para el estado de entrega de los mensajes de notificación enviados a un tema para los puntos de conexión. La regla es NON_COMPLIANT si la notificación del estado de entrega de los mensajes no está habilitada. |
Plantilla
La plantilla está disponible en GitHub: Operational Best Practices for PCI DSS 4.0 (Including global resource types)
