Tema ini menjelaskan informasi latar belakang, skenario, dan aturan default dari paket kepatuhan Standar Keamanan Data Industri Kartu Pembayaran.
Informasi Latar Belakang
Standar Keamanan Data Industri Kartu Pembayaran (PCI DSS) adalah standar keamanan data yang digunakan oleh industri kartu pembayaran untuk membantu pemegang kartu meningkatkan keamanan data kartu pembayaran mereka. Organisasi kartu pembayaran menggunakan standar ini untuk menyediakan langkah-langkah keamanan data yang konsisten secara global. Standar ini mencakup serangkaian teknologi untuk melindungi data pemegang kartu serta garis dasar operasional.
Berdasarkan baseline PCI DSS V4.0, paket kepatuhan yang dibuat dari template dapat melindungi data akun dan memberikan saran serta pemeriksaan kepatuhan spesifik berdasarkan penggunaan dan manajemen sumber daya cloud.
Untuk informasi lebih lanjut tentang PCI DSS, kunjungi situs resmi PCI DSS.
Skenario
Paket kepatuhan Standar Keamanan Data Industri Kartu Pembayaran cocok untuk industri keuangan dan perusahaan dengan persyaratan tinggi terhadap keamanan data.
Aturan
Template paket kepatuhan menyediakan kerangka kerja umum. Anda dapat menggunakan template untuk membuat paket kepatuhan yang memenuhi kebutuhan Anda dalam skenario bisnis tertentu secara efisien. Jika suatu sumber daya dievaluasi sebagai sesuai menggunakan suatu aturan, sumber daya tersebut hanya memenuhi persyaratan kepatuhan dari aturan tersebut. Sumber daya tersebut mungkin tidak sesuai dengan persyaratan hukum atau peraturan, atau standar industri.
Nama Aturan | Deskripsi |
Memeriksa apakah fitur pengumpulan log diaktifkan untuk setiap nama domain yang dilindungi oleh Web Application Firewall (WAF). Jika ya, hasil evaluasi adalah Sesuai. | |
Memeriksa apakah fitur log aliran diaktifkan untuk setiap virtual private cloud (VPC). Jika ya, hasil evaluasi adalah Sesuai. | |
Memeriksa apakah grup API dari API Gateway diikat ke setiap nama domain kustom dan nama domain ditambahkan ke WAF. Jika ya, hasil evaluasi adalah Sesuai. | |
Memeriksa apakah fitur perlindungan tertentu diaktifkan untuk setiap nama domain yang dilindungi oleh WAF. Jika ya, hasil evaluasi adalah Sesuai. | |
Memeriksa apakah kebijakan otorisasi arah masuk dari setiap grup keamanan disetel ke Mengizinkan dan rentang port disetel ke -1/-1 atau alamat IP yang diotorisasi disetel ke 0.0.0.0/0, atau kebijakan otorisasi dengan prioritas lebih tinggi dikonfigurasikan. Jika ya, hasil evaluasi adalah Sesuai. Jika grup keamanan digunakan oleh layanan cloud atau operator jaringan virtual, hasil evaluasi adalah Tidak Berlaku. | |
Memeriksa apakah 0.0.0.0/0 ditambahkan ke daftar putih alamat IP dari setiap grup keamanan dan port berisiko tinggi dinonaktifkan. Jika ya, hasil evaluasi adalah Sesuai. Jika 0.0.0.0/0 tidak ditambahkan ke daftar putih alamat IP dari grup keamanan, hasil evaluasi adalah Sesuai tanpa memedulikan apakah port berisiko tinggi dinonaktifkan. Jika port berisiko tinggi ditolak oleh kebijakan otorisasi dengan prioritas lebih tinggi, hasil evaluasi adalah Sesuai. Jika grup keamanan digunakan oleh layanan cloud atau operator jaringan virtual, hasil evaluasi adalah Tidak Berlaku. | |
Memeriksa apakah setiap aturan arah masuk dalam grup keamanan hanya mengizinkan akses dari port dalam rentang tertentu ketika parameter Objek Otorisasi dari aturan arah masuk disetel ke 0.0.0.0/0. Jika ya, hasil evaluasi adalah Sesuai. Jika grup keamanan digunakan oleh layanan cloud atau operator jaringan virtual, hasil evaluasi adalah Tidak Berlaku. | |
Memeriksa apakah kebijakan bucket dikonfigurasikan untuk setiap Bucket Object Storage Service (OSS) yang parameter Bucket ACL-nya disetel ke Baca/Tulis Publik, dan tidak ada izin baca atau tulis yang diberikan kepada akun anonim dalam kebijakan otorisasi. Jika ya, hasil evaluasi adalah Sesuai. Aturan ini tidak berlaku untuk Bucket OSS yang parameter Bucket ACL-nya disetel ke Privat. | |
Memeriksa apakah alamat IPv4 publik atau EIP ditentukan untuk setiap Instance ECS. Jika tidak, hasil evaluasi adalah Sesuai. | |
Memeriksa apakah akses Internet diaktifkan untuk setiap instance ApsaraDB RDS dan blok CIDR 0.0.0.0/0 ditambahkan ke daftar putih. Jika ya, hasil evaluasi adalah Tidak Sesuai. | |
Memeriksa apakah akses Internet diaktifkan dan akses Internet apa pun diizinkan untuk setiap instance PolarDB. Jika ya, hasil evaluasi adalah Tidak Sesuai. | |
Memeriksa apakah fitur perlindungan diaktifkan untuk setiap aset di Cloud Firewall. Jika ya, hasil evaluasi adalah Sesuai. Aturan ini hanya berlaku untuk pengguna yang telah membeli layanan Cloud Firewall. Untuk pengguna yang belum membeli layanan atau menggunakannya secara gratis, hasil evaluasi adalah Sesuai. | |
Memeriksa apakah agen Security Center diinstal di setiap Instance ECS. Jika ya, hasil evaluasi adalah Sesuai. Agen Security Center membantu melindungi keamanan Instance ECS. Aturan ini tidak berlaku untuk Instance ECS yang tidak berjalan. | |
Memeriksa apakah Security Center Edisi Perusahaan atau edisi yang lebih canggih digunakan. Jika ya, hasil evaluasi adalah Sesuai. | |
Memeriksa apakah kerentanan yang belum diperbaiki dari tipe tertentu atau tingkat tertentu terdeteksi oleh Security Center pada Instance ECS. Aturan ini tidak berlaku untuk Instance ECS yang tidak berjalan. | |
Memeriksa apakah fitur eksplorasi SQL dan audit diaktifkan. Jika ya, hasil evaluasi adalah Sesuai. | |
Memeriksa apakah jejak aktif ada di ActionTrail dan semua jenis peristiwa yang dihasilkan di semua wilayah dilacak. Jika ya, hasil evaluasi adalah Sesuai. Jika administrator setiap direktori sumber daya telah membuat jejak yang berlaku untuk semua akun anggota, hasil evaluasi juga Sesuai. | |
Memeriksa apakah fitur eksplorasi SQL dan audit diaktifkan untuk setiap instance ApsaraDB RDS for MySQL dan apakah jumlah hari penyimpanan log audit SQL lebih besar dari atau sama dengan jumlah hari tertentu. Jika ya, hasil evaluasi adalah Sesuai. Nilai default: 180. | |
Memeriksa apakah snapshot otomatis dari Instance ECS disimpan selama periode yang lebih lama dari atau sama dengan jumlah hari tertentu. Jika ya, hasil evaluasi adalah Sesuai. Nilai default: 7. | |
Memeriksa apakah periode retensi untuk cadangan level-1 dari setiap kluster PolarDB lebih besar dari atau sama dengan jumlah hari tertentu. Jika ya, hasil evaluasi adalah Sesuai. Nilai default: 7. | |
Memeriksa apakah fitur Enkripsi Data Transparan (TDE) diaktifkan dalam pengaturan keamanan data dari setiap kluster PolarDB. Jika ya, hasil evaluasi adalah Sesuai. | |
Memeriksa apakah fitur rotasi otomatis diaktifkan untuk rahasia Key Management Service (KMS). Jika ya, hasil evaluasi adalah Sesuai. | |
Memeriksa apakah fitur rotasi otomatis diaktifkan untuk kunci master pelanggan (CMK) di KMS. Jika ya, hasil evaluasi adalah Sesuai. | |
Memeriksa apakah fitur perlindungan penghapusan diaktifkan untuk setiap CMK KMS. Jika ya, hasil evaluasi adalah Sesuai. | |
Memeriksa apakah kunci KMS kustom digunakan untuk mengenkripsi data dari setiap Bucket OSS. Jika ya, hasil evaluasi adalah Sesuai. | |
Memeriksa apakah kunci kustom digunakan untuk mengaktifkan TDE untuk setiap instance ApsaraDB RDS. Jika ya, hasil evaluasi adalah Sesuai. | |
Memeriksa apakah kunci kustom digunakan untuk mengaktifkan TDE untuk setiap instance ApsaraDB for Redis. Jika ya, hasil evaluasi adalah Sesuai. | |
Memeriksa apakah enkripsi HTTPS diaktifkan untuk setiap nama domain yang dipercepat oleh Alibaba Cloud CDN. Jika ya, hasil evaluasi adalah Sesuai. | |
Memeriksa apakah metode permintaan dari setiap API yang mengizinkan akses Internet di API Gateway disetel ke HTTPS. Jika ya, hasil evaluasi adalah Sesuai. Untuk API yang hanya mengizinkan akses internal, hasil evaluasi adalah Tidak Berlaku. | |
Memeriksa apakah HTTPS diaktifkan untuk setiap instance Elasticsearch. Jika ya, hasil evaluasi adalah Sesuai. | |
Memeriksa apakah kebijakan bucket dari setiap Bucket OSS mengizinkan operasi baca dan tulis melalui HTTPS dan menolak akses melalui HTTP. Jika ya, hasil evaluasi adalah Sesuai. Untuk Bucket OSS tanpa kebijakan bucket, hasil evaluasi adalah Tidak Berlaku. | |
Memeriksa apakah pendengar HTTPS dari setiap instance Server Load Balanced (SLB) menggunakan versi suite kebijakan keamanan tertentu. Jika ya, hasil evaluasi adalah Sesuai. Untuk instance SLB tanpa pendengar HTTPS, hasil evaluasi adalah Tidak Berlaku. | |
Memeriksa apakah setiap fungsi Function Compute diikat ke nama domain kustom dan HTTPS diaktifkan untuk fungsi tersebut. Jika ya, hasil evaluasi adalah Sesuai. | |
Memeriksa apakah agen Security Center diinstal di setiap Instance ECS yang dimiliki oleh akun saat ini. Jika ya, hasil evaluasi adalah Sesuai. | |
Memeriksa apakah pemindaian kerentanan untuk risiko tingkat tertentu dikonfigurasikan di konsol Security Center. Jika ya, hasil evaluasi adalah Sesuai. | |
Memeriksa apakah metode notifikasi ditentukan untuk setiap item notifikasi Security Center. Jika ya, hasil evaluasi adalah Sesuai. | |
Memeriksa apakah periode pemeliharaan dari setiap instance RDS sesuai dengan salah satu rentang waktu yang ditentukan. Jika ya, hasil evaluasi adalah Sesuai. Jika jam sibuk bisnis Anda bertepatan dengan periode pemeliharaan, bisnis Anda mungkin terpengaruh. | |
Memeriksa apakah periode pemeliharaan dari setiap kluster PolarDB sesuai dengan salah satu rentang waktu yang ditentukan. Jika ya, hasil evaluasi adalah Sesuai. Jika jam sibuk bisnis Anda bertepatan dengan periode pemeliharaan, bisnis Anda mungkin terpengaruh. | |
Memeriksa apakah kebijakan yang memenuhi kondisi tertentu dan mencakup izin yang diwarisi dari grup pengguna tertentu dilampirkan ke setiap pengguna RAM. Jika tidak, hasil evaluasi adalah Sesuai. Jika pengguna RAM memiliki izin administrator, hasil evaluasi adalah Tidak Sesuai. | |
Memeriksa apakah parameter Resource dan Action dari setiap pengguna RAM, grup pengguna RAM, dan peran RAM disetel ke *. Jika tidak, hasil evaluasi adalah Sesuai. Jika kedua parameter disetel ke *, identitas tersebut memiliki izin super administrator. | |
Memeriksa apakah waktu pembuatan pasangan AccessKey dari setiap pengguna RAM lebih awal dari jumlah hari tertentu sebelum waktu pemeriksaan. Jika ya, hasil evaluasi adalah Sesuai. Nilai default: 90. | |
Memeriksa apakah setiap pengguna RAM termasuk dalam grup pengguna RAM. Jika ya, hasil evaluasi adalah Sesuai. | |
Memeriksa apakah salah satu fitur akses konsol atau akses API diaktifkan untuk setiap pengguna RAM. Jika ya, hasil evaluasi adalah Sesuai. | |
Memeriksa apakah pasangan AccessKey dibuat untuk setiap akun Alibaba Cloud. Jika tidak, hasil evaluasi adalah Sesuai. | |
Memeriksa apakah fitur Single Sign-On (SSO) diaktifkan untuk setiap pengguna RAM. Jika ya, hasil evaluasi adalah Sesuai. | |
Memeriksa apakah waktu penggunaan pasangan AccessKey dari setiap pengguna RAM lebih awal dari jumlah hari tertentu sebelum hari saat ini. Jika ya, hasil evaluasi adalah Sesuai. Nilai default: 90. | |
Memeriksa apakah setiap pengguna RAM telah masuk dalam 90 hari terakhir. Jika ya, hasil evaluasi adalah Sesuai. Jika pengguna RAM diperbarui dalam 90 hari terakhir, hasil evaluasi adalah Sesuai tanpa memedulikan apakah pengguna RAM baru-baru ini masuk. Untuk pengguna RAM yang tidak memiliki akses konsol, hasil evaluasi adalah Tidak Berlaku. | |
Memeriksa apakah setiap kebijakan dilampirkan ke setidaknya satu grup pengguna RAM, peran RAM, atau pengguna RAM. Jika ya, hasil evaluasi adalah Sesuai. | |
Memeriksa apakah setiap grup pengguna RAM berisi setidaknya satu pengguna RAM. Jika ya, hasil evaluasi adalah Sesuai. | |
Memeriksa apakah pengaturan kebijakan kata sandi yang dikonfigurasikan untuk setiap pengguna RAM memenuhi nilai yang ditentukan. Jika ya, hasil evaluasi adalah Sesuai. | |
Memeriksa apakah otentikasi multi-faktor (MFA) diaktifkan untuk akun Alibaba Cloud saat ini. Jika ya, hasil evaluasi adalah Sesuai. | |
Memeriksa apakah MFA diaktifkan dalam pengaturan masuk dari setiap pengguna RAM yang fitur akses konsolnya diaktifkan. Jika ya, hasil evaluasi adalah Sesuai. | |
Memeriksa apakah pasangan AccessKey yang bocor terdeteksi di konsol Security Center. Jika tidak, hasil evaluasi adalah Sesuai. | |
Memeriksa apakah fitur audit SQL diaktifkan untuk setiap kluster PolarDB. Jika ya, hasil evaluasi adalah Sesuai. | |
Memeriksa apakah fitur pencadangan log diaktifkan untuk setiap instance ApsaraDB RDS. Jika ya, hasil evaluasi adalah Sesuai. Jika pencadangan log dinonaktifkan, log lokal yang hilang tidak dapat dipulihkan. | |
Memeriksa apakah rencana cadangan dibuat untuk setiap sistem file File Storage NAS. Jika ya, hasil evaluasi adalah Sesuai. | |
Memeriksa apakah periode retensi untuk cadangan level-1 dari setiap kluster PolarDB lebih besar dari atau sama dengan jumlah hari tertentu. Jika ya, hasil evaluasi adalah Sesuai. Nilai default: 30. Jika pencadangan log tidak diaktifkan atau periode retensi cadangan kurang dari jumlah hari tertentu, hasil evaluasi adalah Tidak Sesuai. | |
Memeriksa apakah fitur penyimpanan redundansi zona (ZRS) diaktifkan untuk setiap Bucket OSS. Jika ya, hasil evaluasi adalah Sesuai. Jika fitur ZRS dinonaktifkan, OSS tidak dapat menyediakan layanan yang konsisten dan menjamin pemulihan data ketika pusat data menjadi tidak tersedia. | |
Memeriksa apakah enkripsi data diaktifkan untuk setiap Logstore di Simple Log Service. Jika ya, hasil evaluasi adalah Sesuai. | |
Memeriksa apakah parameter Metode Enkripsi dari fitur enkripsi sisi server disetel ke OSS-Managed untuk setiap Bucket OSS. Jika ya, hasil evaluasi adalah Sesuai. | |
Memeriksa apakah fitur riwayat peristiwa diaktifkan untuk setiap instance ApsaraDB RDS. Jika ya, hasil evaluasi adalah Sesuai. | |
Memeriksa apakah nilai parameter | |
Memeriksa apakah nama sistem operasi dari setiap Instance ECS muncul dalam daftar putih tertentu atau tidak muncul dalam daftar hitam tertentu. Jika ya, hasil evaluasi adalah Sesuai. Perusahaan dapat menstandarisasi versi sistem operasi di dalam perusahaan, dan meningkatkan sistem operasi yang tidak lagi dipelihara tepat waktu untuk mencegah kerentanan keamanan. | |
Memeriksa apakah agen CloudMonitor diinstal di setiap Instance ECS yang sedang berjalan, dan agen tersebut berjalan seperti yang diharapkan. Jika ya, hasil evaluasi adalah Sesuai. Aturan ini tidak berlaku untuk Instance ECS yang tidak berjalan. | |
Memeriksa apakah setidaknya satu aturan peringatan dikonfigurasikan di konsol CloudMonitor untuk setiap layanan Alibaba Cloud dari namespace tertentu. Jika ya, hasil evaluasi adalah Sesuai. | |
Memeriksa apakah enkripsi disk diaktifkan untuk setiap Instance ECS. Jika ya, hasil evaluasi adalah Sesuai. | |
Memeriksa apakah enkripsi disk diaktifkan untuk setiap instance ApsaraDB RDS. Jika ya, hasil evaluasi adalah Sesuai. |