Organizações que precisam cumprir com o padrão de segurança de dados (Data Security Standard - DSS) da indústria de cartões de pagamento (Payment Card Industry - PCI) possuem requerimentos adicionais a serem aplicados para poderem implementar cargas de trabalho que gerenciam dados de cartão de crédio.
Para demonstrar aos auditores a conformidade referente a “Segurança DA nuvem” (ou seja, da responsabilidade da AWS no modelo de responsabilidade compartilhada), disponibilizamos o relatório de PCI-DSS no AWS Artifact .
Está disponível também um AWS Quickstart que implementa uma arquitetura padrão para atender as necessidades do PCI-DSS.
No documento Payment Card Industry Data Security Standard (PCI DSS) 3.2.1 on AWS (em inglês) poderá encontrar informações detalhadas sobre o cumprimento de cada requisito na AWS.
Em Serviços da AWS no escopo pelo programa de conformidade encontrará o detalhe dos serviços que foram certificados com diferentes padrões e programas de conformidade, entre eles PCI-DSS. Para cargas que requerem o cumprimento com PCI-DSS deverá limitar-se aos serviços validados. Felizmente, para PCI-DSS são a grande maioria.
Para entregar a conformidade em cargas de trabalho na nuvem, recomendamos realizar (além das recomendadas por sua equipe de auditoria) as seguintes tarefas:
Limitar o escopo: o quanto mais puder limitar o escopo da certificação isolando as cargas que tenham fluxos de dados de cartões de crédito em diferentes contas, mais se reduz a carga para a conformidade, o risco, a área de impacto em caso de comprometimento de credenciais, além de ser uma boa prática em muitos aspectos. Veja Architecting for PCI DSS Scoping and Segmentation on AWS (em inglês);
Habilitar o AWS Security Hub com o padrão de segurança para PCI-DSS. Os padrões CIS AWS Foundation e AWS Foundational Best Practices também são recomendados para reforçar sua postura de segurança, ainda que possam haver recomendações que não sejam necessárias para o PCI-DSS;
O uso de serviços abstratos (Serverless) para reduzir o escopo da revisão do PCI-DSS e apoiar-se mais nas certificações obtidas pela AWS;
Criptografar qualquer dado relacionado a cargas de trabalho PCI. O AWS KMS permite com que tenha e gerencie (rotacionar, desabilitar ou remover) suas próprias chaves de criptografia. O que é geralmente requerido pelos auditores. O AWS CloudHSM também permite cumprir com estes requerimentos;
Habilitar o Amazon GuardDuty e revisar as descobertas (Intrusion Detection);
Habilitar o Amazon GuardDuty S3 Protection (para detectar possiveis vazamentos de dados);
Habilitar o Amazon Macie para detectar possíveis políticas de acesso mal configuradas e garantir que seus dados de cartões de crédito estejam criptografados com chaves privadas (AWS KMS);
Usar o Amazon Macie para executar tarefas de descoberta e classificação de dados, podendo assim demonstrar ao auditor que não existem dados confidenciais armazenados e garantir o controle de acesso ao mínimo necessário (least privilege);
Utilizar Web Application Firewalls como o AWS WAF nas aplicações (o que remove o requerimento de pentesting nas aplicações expostas à internet). Outros requerimentos de desenvolvimento seguro seguem sendo necessários, como por exemplo os treinamentos anuais;
Se disponibilizar serviços fora do que é protegido pelo WAF (portas 80/443), é recomendado a implementação de um Network Intrusion Prevension System. Existem diversas soluções no AWS Marketplace para isto.
Também existe uma página específica com as perguntas frequentes relacionadas ao cumprimento do PCI-DSS e demais recursos: FAQ PCI-DSS.
O AWS Professional Services fornece diversas ofertas de serviços, dentre elas os Serviços de Security Assurance para alinhar suas cargas de trabalho na nuvem com os requerimentos de PCI-DSS. Os serviços são oferecidos por QSAs (certificados também em segurança AWS). Assim poderão ajudá-los a estarem prontos para a revisão final com seu auditor. Contacte seu Account Manager da AWS se deseja conhecer mais sobre esta oferta e como contratá-la.
Sempre é recomendado consultar com um especialista em PCI para garantir que suas cargas de trabalho na nuvem estão em conformidade com o PCI-DSS.