Crie seus relatórios para conformidade (como PCI-DSS)

Conformidade na Nuvem AWS

Audit Shared Responsiblity

PCI Compliance

Organizações que precisam cumprir com o padrão de segurança de dados (Data Security Standard - DSS) da indústria de cartões de pagamento (Payment Card Industry - PCI) possuem requerimentos adicionais a serem aplicados para poderem implementar cargas de trabalho que gerenciam dados de cartão de crédio.

Para demonstrar aos auditores a conformidade referente a “Segurança DA nuvem” (ou seja, da responsabilidade da AWS no modelo de responsabilidade compartilhada), disponibilizamos o relatório de PCI-DSS no AWS Artifact .

Está disponível também um AWS Quickstart que implementa uma arquitetura padrão para atender as necessidades do PCI-DSS.

No documento Payment Card Industry Data Security Standard (PCI DSS) 3.2.1 on AWS (em inglês) poderá encontrar informações detalhadas sobre o cumprimento de cada requisito na AWS.

Em Serviços da AWS no escopo pelo programa de conformidade encontrará o detalhe dos serviços que foram certificados com diferentes padrões e programas de conformidade, entre eles PCI-DSS. Para cargas que requerem o cumprimento com PCI-DSS deverá limitar-se aos serviços validados. Felizmente, para PCI-DSS são a grande maioria.

Para entregar a conformidade em cargas de trabalho na nuvem, recomendamos realizar (além das recomendadas por sua equipe de auditoria) as seguintes tarefas:

  • Limitar o escopo: o quanto mais puder limitar o escopo da certificação isolando as cargas que tenham fluxos de dados de cartões de crédito em diferentes contas, mais se reduz a carga para a conformidade, o risco, a área de impacto em caso de comprometimento de credenciais, além de ser uma boa prática em muitos aspectos. Veja Architecting for PCI DSS Scoping and Segmentation on AWS (em inglês);

  • Habilitar o AWS Security Hub com o padrão de segurança para PCI-DSS. Os padrões CIS AWS Foundation e AWS Foundational Best Practices também são recomendados para reforçar sua postura de segurança, ainda que possam haver recomendações que não sejam necessárias para o PCI-DSS;

  • O uso de serviços abstratos (Serverless) para reduzir o escopo da revisão do PCI-DSS e apoiar-se mais nas certificações obtidas pela AWS;

  • Criptografar qualquer dado relacionado a cargas de trabalho PCI. O AWS KMS permite com que tenha e gerencie (rotacionar, desabilitar ou remover) suas próprias chaves de criptografia. O que é geralmente requerido pelos auditores. O AWS CloudHSM também permite cumprir com estes requerimentos;

  • Habilitar o Amazon GuardDuty e revisar as descobertas (Intrusion Detection);

  • Habilitar o Amazon GuardDuty S3 Protection (para detectar possiveis vazamentos de dados);

  • Habilitar o Amazon Macie para detectar possíveis políticas de acesso mal configuradas e garantir que seus dados de cartões de crédito estejam criptografados com chaves privadas (AWS KMS);

  • Usar o Amazon Macie para executar tarefas de descoberta e classificação de dados, podendo assim demonstrar ao auditor que não existem dados confidenciais armazenados e garantir o controle de acesso ao mínimo necessário (least privilege);

  • Utilizar Web Application Firewalls como o AWS WAF nas aplicações (o que remove o requerimento de pentesting nas aplicações expostas à internet). Outros requerimentos de desenvolvimento seguro seguem sendo necessários, como por exemplo os treinamentos anuais;

  • Se disponibilizar serviços fora do que é protegido pelo WAF (portas 80/443), é recomendado a implementação de um Network Intrusion Prevension System. Existem diversas soluções no AWS Marketplace para isto.

Também existe uma página específica com as perguntas frequentes relacionadas ao cumprimento do PCI-DSS e demais recursos: FAQ PCI-DSS.

O AWS Professional Services fornece diversas ofertas de serviços, dentre elas os Serviços de Security Assurance para alinhar suas cargas de trabalho na nuvem com os requerimentos de PCI-DSS. Os serviços são oferecidos por QSAs (certificados também em segurança AWS). Assim poderão ajudá-los a estarem prontos para a revisão final com seu auditor. Contacte seu Account Manager da AWS se deseja conhecer mais sobre esta oferta e como contratá-la.

Sempre é recomendado consultar com um especialista em PCI para garantir que suas cargas de trabalho na nuvem estão em conformidade com o PCI-DSS.

#### AWS Audit Manager Mindmap https://www.xmind.net/m/AY2Rgu