Pokyny k vícefaktorovému ověřování Microsoft Entra PCI-DSS
Dodatek k informacím: Multi-Factor Authentication v 1.0
Následující tabulka metod ověřování podporovaných id Microsoft Entra pro splnění požadavků v doplňku PCI Security Standards Council Information Supplement, Multi-Factor Authentication v 1.0.
| metoda | Splnění požadavků | Ochrana | MFA – element |
|---|---|---|---|
| Přihlášení k telefonu bez hesla pomocí Microsoft Authenticatoru | Něco, co máte (zařízení s klíčem), něco, co víte nebo jsou (PIN nebo biometrické) v iOSu, Authenticator Secure Element (SE) ukládá klíč do řetězce klíčů. Apple Platform Security, ochrana dat řetězce klíčů v Androidu používá Authenticator důvěryhodný prováděcí modul (TEE) uložením klíče do úložiště klíčů. Vývojáři, systém Android Keystore Když se uživatelé ověřují pomocí Microsoft Authenticatoru, Microsoft Entra ID vygeneruje náhodné číslo, které uživatel zadá do aplikace. Tato akce splňuje požadavek na vzdálené ověřování. |
Zákazníci konfigurovali zásady ochrany zařízení tak, aby zmírňovali riziko ohrožení zařízení. Například zásady dodržování předpisů v Microsoft Intune. | Uživatelé klíč odemknou gestem a pak Microsoft Entra ID ověří metodu ověřování. |
| Přehled požadavků nasazení Windows Hello pro firmy | Něco, co máte (zařízení s Windows s klíčem) a něco, co víte nebo jste (PIN nebo biometrické). Klíče se ukládají pomocí čipu TPM (Trusted Platform Module) zařízení. Zákazníci používají zařízení s hardwarem TPM 2.0 nebo novějším, aby splnili požadavky na nezávislost metody ověřování a požadavky mimo pásmo. Úrovně certifikovaného ověřování |
Nakonfigurujte zásady ochrany zařízení, které zmírní riziko ohrožení zařízení. Například zásady dodržování předpisů v Microsoft Intune. | Uživatelé klíč odemknou gestem pro přihlášení zařízení s Windows. |
| Povolení přihlášení bez hesla k klíči zabezpečení, povolení metody klíče zabezpečení FIDO2 | Něco, co máte (klíč zabezpečení FIDO2) a něco, co víte nebo jste (PIN nebo biometrické). Klíče se ukládají s hardwarovými kryptografickými funkcemi. Zákazníci používají klíče FIDO2, aspoň úroveň ověřování 2 (L2), aby splnili požadavky na nezávislost metody ověřování a požadavky na mimo rozsah. |
Pořizovat hardware s ochranou proti manipulaci a ohrožení zabezpečení. | Uživatelé klíč odemknou gestem a pak ID Microsoft Entra ověří přihlašovací údaje. |
| Přehled ověřování založeného na certifikátech Microsoft Entra | Něco, co máte (čipová karta) a něco, co znáte (PIN). Fyzické čipové karty nebo virtuální čipové karty uložené v čipu TPM 2.0 nebo novější jsou zabezpečeným prvkem (SE). Tato akce splňuje nezávislost metody ověřování a požadavek mimo pásmo. |
Pořizovat čipové karty s ochranou proti manipulaci a ohrožení zabezpečení. | Uživatelé odemknou privátní klíč certifikátu gestem nebo PIN kódem a pak ID Microsoft Entra ověří přihlašovací údaje. |
Další kroky
Požadavky PCI-DSS 3, 4, 9 a 12 se nevztahují na ID Microsoft Entra, proto neexistují žádné odpovídající články. Pokud chcete zobrazit všechny požadavky, přejděte na pcisecuritystandards.org: oficiální web Rady bezpečnostních standardů PCI.
Pokud chcete nakonfigurovat ID Microsoft Entra tak, aby vyhovovalo PCI-DSS, přečtěte si následující články.
- Doprovodné materiály k Microsoft Entra PCI-DSS
- Požadavek 1: Instalace a údržba ovládacích prvků zabezpečení sítě
- Požadavek 2: Použití zabezpečených konfigurací u všech systémových komponent
- Požadavek 5: Ochrana všech systémů a sítí před škodlivým softwarem
- Požadavek 6: Vývoj a údržba zabezpečených systémů a softwaru
- Požadavek 7: Omezení přístupu k systémovým komponentám a datům držitelů karet podle obchodních potřeb
- Požadavek 8: Identifikace uživatelů a ověřování přístupu k systémovým komponentám
- Požadavek 10: Protokolování a monitorování veškerého přístupu k systémovým komponentám a datům držitelů karet
- Požadavek 11: Pravidelné testování zabezpečení systémů a sítí
- Pokyny k vícefaktorovému ověřování Microsoft Entra PCI-DSS (tady jste)