PCI-DSS数据安全标准合规包

本文为您介绍PCI-DSS数据安全标准合规包的业务背景、应用场景,以及合规包中的默认规则。

业务背景

PCI DSS(Payment Card Industry Data Security Standard)是支付卡产业数据安全标准,用于提高持卡人的数据安全,是支付卡组织采用的全球化一致性的数据安全措施。PCI DSS提供了一套保护持卡人数据的技术,以及操作基线。

PCI DSS数据安全标准合规包基于PCI DSS V4.0对账号数据保护的基线标准,从云上资源使用和管控方面提供部分建议的合规性检测。

关于PCI DSS合规标准的更多信息,请参见PCI安全标准官网

应用场景

PCI DSS数据安全标准合规包应用于金融行业及对数据安全要求较高的企业。

默认规则

说明

合规包模板为您提供通用的合规性框架,帮助您快速创建符合目标场景的合规包。规则的“合规”仅指资源符合规则定义本身的合规性描述,不确保符合特定法规或行业标准的所有要求。

规则名称

规则描述

WAF实例开启日志采集

已接入WAF2.0进行防护的域名均开启日志采集,视为“合规”。

VPC开启流日志记录

VPC已开启流日志(Flowlog)记录功能,视为“合规”。

API网关中API分组绑定域名接入WAF

API网关中的API分组绑定自定义域名且域名接入了WAF防护,视为“合规”。

WAF防护域名开启指定防护功能

WAF防护域名开启指定防护功能模块,视为“合规”。

安全组入网设置有效

安全组入方向授权策略为允许,当端口范围-1/-1和授权对象0.0.0.0/0未同时出现,或者被优先级更高的授权策略拒绝,视为“合规”。云产品或虚商所使用的安全组视为“不适用”。

安全组指定协议不允许对全部网段开启风险端口

当安全组入网网段设置为0.0.0.0/0时,指定协议的端口范围不包含指定风险端口,视为“合规”。若入网网段未设置为0.0.0.0/0时,即使端口范围包含指定的风险端口,也视为“合规”。如果检测到的风险端口被优先级更高的授权策略拒绝,视为“合规”。云产品或虚商所使用的安全组,视为“不适用”。

安全组非白名单端口入网设置有效

除指定的白名单端口外,其余端口不能有授权策略设置为允许而且来源为0.0.0.0/0的入方向规则,视为“合规”。云产品或虚商所使用的安全组不适用本规则,视为“不适用”。

OSS公开存储空间设置权限策略且不能为匿名账号授予任何权限

为读写权限公开的OSS存储空间设置授权策略,并且授权策略中不能为匿名账号授予任何读写的操作权限,视为“合规”。读写权限为私有的OSS存储空间,视为“不适用”。

ECS实例禁止绑定公网地址

ECS实例没有直接绑定IPv4公网IP或弹性公网IP,视为“合规”。

RDS实例未开公网且IP白名单未设置为全网段

RDS实例开启公网且白名单设置为0.0.0.0/0,同时满足视为“不合规”。

PolarDB实例未开启公网或IP白名单未设置为全网段

检测账号下PolarDB实例开启公网且允许任意来源公网访问,同时满足视为“不合规”。

云防火墙中不存在未开启防护的资产

云防火墙中不存在未开启防护的资产,视为“合规”。本规则只对云防火墙付费用户有效,未开通云防火墙或者免费用户默认,视为“合规”。

运行中的ECS实例开启云安全中心防护

通过在主机上安装云安全中心插件,提供主机的安全防护服务。如果有安装云安全中心插件,视为"合规"。非运行中状态的实例不适用本规则,视为“不适用”。

使用云安全中心企业版

使用云安全中心企业版或者更高级别的版本,视为“合规”。

运行中的ECS实例无待修复漏洞

ECS实例在云安全中心无指定类型和等级的待修复漏洞,视为“合规”。非运行中状态的实例不适用本规则,视为“不适用”。

RDS实例开启SQL审计

RDS实例的SQL审计状态为开启,视为“合规”。

开启操作审计全量日志跟踪

操作审计中存在开启状态的跟踪,且跟踪全部地域和全部事件类型,视为“合规”。如果是资源目录成员账号,当管理员有创建应用到所有成员账号的跟踪时,视为“合规”。

RDS实例SQL审计日志保留天数满足指定要求

RDS Mysql类型实例开启SQL审计且日志保留天数大于等于指定值,视为“合规”。默认值:180天。

ECS自动快照保留天数满足指定要求

ECS自动快照策略设置快照保留天数大于设置的天数,视为“合规”。默认值:7天。

PolarDB集群的数据一级备份保留周期满足指定要求

PolarDB集群一级备份保留周期大于等于指定天数,视为“合规”。参数默认值7天。

PolarDB集群开启TDE

PolarDB集群开启TDE,视为“合规”。

密钥管理服务设置凭据自动轮转

密钥管理服务中的凭据设置自动轮转,视为“合规”。

密钥管理服务设置主密钥自动轮转

对密钥管理服务中的用户主密钥设置自动轮转,视为“合规”。

KMS主密钥开启删除保护

KMS主密钥开启删除保护,视为“合规”。

OSS存储空间使用自定义KMS密钥加密

OSS存储空间使用了自定义的KMS密钥加密,视为“合规”。

RDS实例使用自定义密钥开启TDE

RDS实例使用自定义密钥开启TDE,视为“合规”。

Redis实例使用自定义密钥开启TDE加密

Redis实例使用自定义密钥开启TDE加密,视为”合规“。

CDN域名开启HTTPS加密

CDN域名开启HTTPS协议加密,视为“合规”。

API网关中开启公网访问的API请求方式为HTTPS

API网关中开启公网访问的API请求方式设置为HTTPS,视为“合规”。只限制内网调用的API不适用此规则,视为“不适用”。

Elasticsearch实例使用HTTPS传输协议

Elasticsearch实例使用HTTPS传输协议,视为“合规”。

OSS存储空间权限策略设置安全访问

OSS存储空间权限策略中包含了读写操作的访问方式设置为HTTPS,或者拒绝访问的访问方式设置为HTTP,视为“合规”。权限策略为空的OSS存储空间,视为“不适用”。

SLB实例的HTTPS监听使用指定的安全策略套件

SLB实例的所有HTTPS类型监听使用参数指定的安全策略套件版本,视为“合规”。未设置HTTPS类型监听的SLB实例,视为“不适用”。

函数计算函数绑定到自定义域名且开启TLS指定版本

函数计算函数绑定到自定义域名且开启TLS指定版本,视为“合规”。

账号下所有ECS实例已安装云安全中心代理

账号下所有ECS实例均已安装云安全中心代理,视为“合规”。

在云安全中心设置指定等级的漏洞扫描

在云安全中心设置指定风险等级的漏洞扫描,视为“合规”。

云安全中心通知项目已设置通知方式

云安全中心通知项目均已设置通知方式,视为“合规”。

为RDS实例设置合理的可维护时间段

RDS实例的可维护时间段在参数指定的其中一个时间段范围内,视为“合规”。如果企业业务高峰时段与维护时间段有重叠,可能会对业务造成影响。

为PolarDB集群设置合理的维护时间段

PolarDB集群的可维护时间段在参数指定的其中一个时间段范围内,视为“合规”。如果企业业务高峰时段与维护时间段有重叠,可能会对业务造成影响。

RAM用户及所属用户组未绑定指定条件的权限策略

RAM用户未绑定符合参数条件的权限策略,包括继承自用户组的权限,视为“合规”。参数默认值表示管理员的权限配置,表示拥有管理员权限,视为“不合规”。

不存在超级管理员

RAM用户、RAM用户组、RAM角色均未拥有Resource*Action*的超级管理员权限,视为“合规”。

RAM用户的AccessKey在指定时间内轮换

RAM用户下AccessKey的创建时间距离检查时间不超过指定天数,视为“合规”。默认值:90天。

RAM用户归属用户组

所有RAM用户均归属于RAM用户组,视为“合规”。

RAM用户访问设置人员和程序分离

RAM用户未同时开启控制台访问和API调用访问,视为“合规”。

阿里云账号不存在AccessKey

阿里云账号不存在任何状态的AccessKey,视为“合规”。

RAM用户开启SSO

RAM用户开启SSO,视为“合规”。

RAM用户不存在闲置AccessKey

RAM用户AccessKey的最后使用时间距今天数小于参数设置的天数,视为“合规”。默认值:90天。

RAM用户在指定时间内有登录行为

如果RAM用户在最近90天有登录行为,视为“合规”。如果RAM用户的最近登录时间为空,则检查更新时间,当更新时间小于等于90天时,视为“合规”。未开启控制台访问的用户,视为“不适用”。

不存在闲置的RAM权限策略

RAM权限策略至少绑定一个RAM用户组、RAM角色或RAM用户,视为“合规”。

RAM用户组非空

RAM用户组至少包含一个RAM用户,视为“合规”。

RAM用户密码策略符合要求

RAM用户密码策略中各项配置满足参数设置的值,视为“合规”。

阿里云账号开启MFA

阿里云账号开启MFA,视为“合规”。

RAM用户开启MFA

开启控制台访问功能的RAM用户登录设置中必须开启多因素认证或者已启用MFA,视为“合规”。

云安全中心未发现已泄露的AccessKey

云安全中心未发现已泄露的AccessKey信息,视为“合规”。

PolarDB集群开启SQL审计

PolarDB集群SQL审计状态为开启,视为“合规”。

RDS实例开启日志备份

如果没有开启日志备份,当本地日志丢失会出现无法恢复数据的风险。如果RDS实例开启日志备份,则视为"合规"。

为NAS文件系统创建备份计划

为NAS文件系统创建备份计划,视为“合规”。

PolarDB集群日志备份保留周期满足指定要求

PolarDB集群日志备份保留周期大于等于指定天数,视为“合规”。参数默认值30天。未开启日志备份或备份保留周期小于指定天数视为“不合规”。

OSS存储空间开启同城冗余存储

如果没有开启同城冗余存储,会导致当出现某个机房不可用时,OSS服务无法提供一致性服务,影响数据恢复目标。OSS存储空间开启同城冗余存储,视为“合规”。

日志服务日志库设置数据加密

日志服务日志库设置了数据加密,视为“合规”。

OSS存储空间开启服务端加密

OSS存储空间开启服务端OSS完全托管加密,视为“合规”。

RDS实例开启历史事件

RDS实例开启历史事件日志,视为“合规”。

PolarDB集群默认时区参数值非System

PolarDB集群参数default_time_zone不等于System,视为“合规”。建议指定为明确的时区设置,保障数据库时区配置一致。

ECS实例使用指定版本的操作系统

企业可以规范企业内部的OS版本,要求生产环境的主机都必须统一操作系统版本。同时对于那些官方停止维护的操作系统需要及时升级,以免出现安全漏洞。ECS实例使用的操作系统英文名称在指定的白名单范围中,或者操作系统英文名称不在指定的黑名单范围中,视为“合规”。

运行中的ECS实例安装了云监控插件

运行中的ECS实例安装云监控插件而且插件状态为运行中,视为“合规”。非运行中状态的实例不适用本规则,视为“不适用”。

为指定云产品设置云监控报警规则

在云监控为指定命名空间的云服务设置了至少一条报警规则,视为“合规”。

ECS数据磁盘开启加密

ECS数据磁盘已开启加密,视为“合规”。

RDS实例开启云盘加密

RDS实例开启了云盘加密,视为”合规“。