PCI-DSS na AWS
Para as empresas que precisam obedecer ao PCI-DSS (Payment Card Industry Data Security Standard, ou Padrão de Segurança de Dados da Indústria de Cartões de Pagamento), ou PCI, uma configuração especial de contas seria a opção mais vantajosa. No PCI, o termo dados contagiosos (infectious data) refere-se ao CHD (Cardholder Data, ou Dados do Portador do Cartão), que contém informações sigilosas, por exemplo, os números dos cartões, CEPS e assim por diante. O PCI classifica esses dados como Categoria 1. Qualquer sistema que armazene, transmita ou processe dados de portadores de cartões é um sistema de Categoria 1 e estará no escopo de uma auditoria de PCI. Os sistemas de Categoria 1 podem se tornar contagiosos se outros sistemas tiverem acesso irrestrito de rede a esses sistemas.
Se você colocasse sistemas PCI de Categoria 1 em seu ambiente de produção, isso aumentaria o escopo de sua auditoria de PCI e, desse modo, elevaria seus custos com auditorias. Se você está prestando atenção no que vem sendo dito sobre a aborda- gem de menor privilégio, talvez esteja se perguntando por que colocar um sistema PCI de Categoria 1 no ambiente de produção expandiria o escopo. A abordagem de menor privilégio garantiria que esses servidores fossem segmentados por meio de grupos de segurança e não teriam acesso aos sistemas de PCI. Infelizmente, os auditores vão querer que você prove que eles não têm acesso aos servidores. Fazer uma prova negativa não é uma experiência agradável. Você deve mostrar que cada servidor de produção que não esteja no escopo do PCI tenha as regras de grupo de segurança apropriadas para impedir o acesso aos sistemas de CHD. Se você tiver dezenas ou centenas de servidores nessa conta, essa tarefa custará muito caro e consumirá bastante tempo.
A melhor solução é criar uma conta PCI separada para armazenar os sistemas de CHD de Categoria 1. Ao criar outra conta para armazenar esses sistemas, você criará uma barreira entre os servidores, a qual será mais fácil de ser comprovada e manterá o escopo de seu PCI limitado. Parabéns, você acabou de reduzir signi- ficativamente o custo de sua auditoria. Sugiro dar um passo além para reduzir as despesas implantando um novo diretório gerenciado para executar o ambiente AWS oferece serviços gerenciados de AD (Active Directory) que reduzirão a car de gerenciamento. A AWS cuida das atualizações e do patching de segurança, su empresa só precisará se preocupar com a política de grupos e os controles de usua rios. Ao criar um diretório gerenciado explícito para o seu ambiente de PCI, voc reduzirá bastante o escopo de sua auditoria. Um diretório separado faz isso, poi remove do escopo todos os usuários, grupos e políticas que estão em seu diretório corporativo principal. Essa segmentação permite que os auditores façam explicitamente a verificação dos controles e dos usuários para a conta e o gerenciamento dos servidores de PCI. A segmentação de contas na AWS e os serviços de diretórios gerenciados fazem com que seja muito mais barato gerenciar seu ambiente de PCI, em comparação com o que seria possível em instalações on-premises.
Fonte: Migrando para AWS — O’Reilly por Jeff Armstrong
Fonte: AWS Security Blog — https://aws.amazon.com/pt/blogs/security/tag/pci-dss/
