Požadavek Microsoft Entra ID a PCI-DSS 11
Požadavek 11: Testování zabezpečení systémů a sítí, které jsou pravidelně
definované požadavky na přístup
11.1 Procesy a mechanismy pro pravidelné testování zabezpečení systémů a sítí jsou definovány a pochopeny.
| Požadavky na definovaný přístup PCI-DSS | Microsoft Entra – pokyny a doporučení |
|---|---|
| 11.1.1 Všechny zásady zabezpečení a provozní postupy, které jsou identifikovány v požadavku 11, jsou: Zdokumentováno v aktualizovaném stavu Při použití známé všem postiženým stranám |
Pokyny a odkazy zde použijte k vytvoření dokumentace pro splnění požadavků na základě konfigurace vašeho prostředí. |
| 11.1.2 Role a zodpovědnosti za provádění aktivit v požadavku 11 jsou zdokumentované, přiřazené a srozumitelné. | Pokyny a odkazy zde použijte k vytvoření dokumentace pro splnění požadavků na základě konfigurace vašeho prostředí. |
11.2 Bezdrátové přístupové body jsou identifikovány a monitorovány a jsou adresovány neoprávněné bezdrátové přístupové body.
| Požadavky na definovaný přístup PCI-DSS | Microsoft Entra – pokyny a doporučení |
|---|---|
| 11.2.1 Autorizované a neoprávněné bezdrátové přístupové body jsou spravovány takto: Přítomnost bezdrátových přístupových bodů (Wi-Fi) je testována pro. Jsou zjištěny a identifikovány všechny autorizované a neoprávněné bezdrátové přístupové body. Testování, detekce a identifikace probíhá aspoň jednou za tři měsíce. Pokud se používá automatizované monitorování, pracovníci jsou upozorněni prostřednictvím vygenerovaných výstrah. |
Pokud vaše organizace integruje síťové přístupové body s ID Microsoft Entra pro ověřování, přečtěte si téma Požadavek 1: Instalace a údržba bezpečnostních prvků sítě |
| 11.2.2 Inventář autorizovaných bezdrátových přístupových bodů je zachován, včetně zdokumentovaného obchodního odůvodnění. | Nevztahuje se na MICROSOFT Entra ID. |
11.3 Externí a interní ohrožení zabezpečení se pravidelně identifikují, upřednostňují a řeší.
| Požadavky na definovaný přístup PCI-DSS | Microsoft Entra – pokyny a doporučení |
|---|---|
| 11.3.1 Vnitřní kontroly ohrožení zabezpečení se provádějí takto: Alespoň jednou za tři měsíce. Řeší se vysoká rizika a kritická ohrožení zabezpečení (podle hodnocení rizik ohrožení zabezpečení definovaného podle požadavku 6.3.1). Provádí se opakované prohledání, které potvrdí, že byly vyřešeny všechny vysoce rizikové a kritické chyby zabezpečení (jak je uvedeno). Nástroj pro kontrolu je aktuální s nejnovějšími informacemi o ohrožení zabezpečení. Kontroly provádí kvalifikovaný personál a nezávislost testeru existuje. |
Zahrňte servery, které podporují hybridní funkce Microsoft Entra. Například Microsoft Entra Connect, konektory proxy aplikací atd. jako součást interní kontroly ohrožení zabezpečení. Organizace používající federované ověřování: Zkontrolujte a vyřešte ohrožení zabezpečení infrastruktury federačního systému. Co je federace s MICROSOFT Entra ID? Zkontrolujte a zmírníte detekce rizik hlášené službou Microsoft Entra ID Protection. Integrujte signály s řešením SIEM a integrujte více s pracovními postupy nápravy nebo automatizací. Typy rizik a detekce spouští nástroj Microsoft Entra assessment tool pravidelně a řeší zjištění. AzureADAssessmentOperace zabezpečení pro infrastrukturu integrují protokoly Microsoft Entra s protokoly služby Azure Monitor |
| 11.3.1.1 Všechny ostatní použitelné chyby zabezpečení (ty, které nejsou seřazené jako vysoce rizikové nebo kritické podle hodnocení rizik ohrožení zabezpečení entity definované v požadavku 6.3.1), se spravují takto: Řeší se na základě rizika definovaného v analýze cíleného rizika entity, která se provádí podle všech prvků uvedených v požadavku 12.3.1. Znovu prohledání probíhá podle potřeby. |
Zahrňte servery, které podporují hybridní funkce Microsoft Entra. Například Microsoft Entra Connect, konektory proxy aplikací atd. jako součást interní kontroly ohrožení zabezpečení. Organizace používající federované ověřování: Zkontrolujte a vyřešte ohrožení zabezpečení infrastruktury federačního systému. Co je federace s MICROSOFT Entra ID? Zkontrolujte a zmírníte detekce rizik hlášené službou Microsoft Entra ID Protection. Integrujte signály s řešením SIEM a integrujte více s pracovními postupy nápravy nebo automatizací. Typy rizik a detekce spouští nástroj Microsoft Entra assessment tool pravidelně a řeší zjištění. AzureAD/AzureADAssessmentOperace zabezpečení pro infrastrukturu integrují protokoly Microsoft Entra s protokoly služby Azure Monitor |
| 11.3.1.2 Interní kontroly ohrožení zabezpečení se provádějí prostřednictvím ověřené kontroly následujícím způsobem: Systémy, které nemůžou přijímat přihlašovací údaje pro ověření kontroly, jsou zdokumentované. Pro systémy, které přijímají přihlašovací údaje ke kontrole, se používají dostatečná oprávnění. Pokud se účty používané k ověření kontroly dají použít pro interaktivní přihlášení, spravují se v souladu s požadavkem 8.2.2. |
Zahrňte servery, které podporují hybridní funkce Microsoft Entra. Například Microsoft Entra Connect, konektory proxy aplikací atd. jako součást interní kontroly ohrožení zabezpečení. Organizace používající federované ověřování: Zkontrolujte a vyřešte ohrožení zabezpečení infrastruktury federačního systému. Co je federace s MICROSOFT Entra ID? Zkontrolujte a zmírníte detekce rizik hlášené službou Microsoft Entra ID Protection. Integrujte signály s řešením SIEM a integrujte více s pracovními postupy nápravy nebo automatizací. Typy rizik a detekce spouští nástroj Microsoft Entra assessment tool pravidelně a řeší zjištění. AzureADAssessmentOperace zabezpečení pro infrastrukturu integrují protokoly Microsoft Entra s protokoly služby Azure Monitor |
| 11.3.1.3 Vnitřní kontroly ohrožení zabezpečení se provádějí po jakékoli významné změně následujícím způsobem: Jsou vyřešena vysoká rizika a kritická ohrožení zabezpečení (podle pořadí rizik ohrožení zabezpečení definovaného v požadavku 6.3.1). Znovu prohledání probíhá podle potřeby. Kontroly provádějí kvalifikovaní pracovníci a nezávislost testeru na organizaci (nemusí se jednat o kvalifikovaný bezpečnostní posouzení (QSA) nebo schváleného dodavatele kontroly (ASV). |
Zahrňte servery, které podporují hybridní funkce Microsoft Entra. Například Microsoft Entra Connect, konektory proxy aplikací atd. jako součást interní kontroly ohrožení zabezpečení. Organizace používající federované ověřování: Zkontrolujte a vyřešte ohrožení zabezpečení infrastruktury federačního systému. Co je federace s MICROSOFT Entra ID? Zkontrolujte a zmírníte detekce rizik hlášené službou Microsoft Entra ID Protection. Integrujte signály s řešením SIEM a integrujte více s pracovními postupy nápravy nebo automatizací. Typy rizik a detekce spouští nástroj Microsoft Entra assessment tool pravidelně a řeší zjištění. AzureADAssessmentOperace zabezpečení pro infrastrukturu integrují protokoly Microsoft Entra s protokoly služby Azure Monitor |
| 11.3.2 Kontroly externích ohrožení zabezpečení se provádějí takto: Alespoň jednou za tři měsíce. Podle ASV PCI SSC. Vyřešují se chyby zabezpečení a požadavky průvodce programem ASV pro předávání kontrol jsou splněné. Opětovná kontrola se provádí podle potřeby, aby bylo možné ověřit, že chyby zabezpečení jsou vyřešené podle požadavků průvodce programem ASV pro předávání kontroly. |
Nevztahuje se na MICROSOFT Entra ID. |
| 11.3.2.1 Kontroly externích ohrožení zabezpečení se provádějí po jakékoli významné změně následujícím způsobem: Chyby zabezpečení, které jsou vyhodnoceny jako 4.0 nebo vyšší nástrojem CVSS, jsou vyřešeny. Znovu prohledání probíhá podle potřeby. Kontroly provádí kvalifikovaný personál a nezávislost testeru organizace (nemusí se jednat o QSA nebo ASV). |
Nevztahuje se na MICROSOFT Entra ID. |
11.4 Externí a interní penetrační testování se pravidelně provádí a zneužitelné chyby zabezpečení a slabá místa zabezpečení jsou opraveny.
| Požadavky na definovaný přístup PCI-DSS | Microsoft Entra – pokyny a doporučení |
|---|---|
| 11.4.1 Metodologie penetračního testování je definována, zdokumentována a implementována entitou a zahrnuje: Přístupy penetračního testování přijatého odvětvím. Pokrytí celého hraničního a kritického prostředí cde (cardholder data environment) a kritických systémů. Testování z vnitřní i vnější sítě. Testováním ověřte všechny segmentace a kontroly redukce rozsahu. Penetrační testování aplikační vrstvy k identifikaci minimálně ohrožení zabezpečení uvedených v požadavku 6.2.4. Penetrační testy síťové vrstvy, které zahrnují všechny komponenty podporující síťové funkce a operační systémy. Projděte si hrozby a ohrožení zabezpečení, ke které došlo za posledních 12 měsíců. Zdokumentovaný přístup k vyhodnocení a řešení rizika způsobeného zneužitelnými ohroženími zabezpečení a slabými místy zabezpečení zjištěnými během penetračního testování. Uchování výsledků penetračního testování a nápravných aktivit po dobu nejméně 12 měsíců. |
Pravidla penetračního testování zapojení, Microsoft Cloud |
| 11.4.2 Provádí se interní penetrační testování: Podle definované metodologie entity. Alespoň jednou za 12 měsíců. Po významném upgradu nebo změně infrastruktury nebo aplikace. Kvalifikovaným interním prostředkem nebo kvalifikovaným externím prostředkem. Organizační nezávislost testeru existuje (nemusí se jednat o QSA nebo ASV). |
Pravidla penetračního testování zapojení, Microsoft Cloud |
| 11.4.3 Provádí se externí penetrační testování: Podle definované metodologie entity. Alespoň jednou za 12 měsíců. Po významném upgradu nebo změně infrastruktury nebo aplikace. Kvalifikovaným interním prostředkem nebo kvalifikovaným externím externím prostředkem. Organizační nezávislost testeru existuje (nemusí se jednat o QSA nebo ASV). |
Pravidla penetračního testování zapojení, Microsoft Cloud |
| 11.4.4 Zneužitelné chyby zabezpečení a slabá místa zabezpečení zjištěná během penetračního testování jsou opraveny následujícím způsobem: V souladu s posouzením rizika, které představuje problém zabezpečení definovaný v požadavku 6.3.1. Penetrační testování se opakuje, aby se ověřily opravy. |
Pravidla penetračního testování zapojení, Microsoft Cloud |
| 11.4.5 Pokud se segmentace používá k izolaci CDE od jiných sítí, penetrační testy se provádějí na segmentačních kontrolách následujícím způsobem: Alespoň jednou za 12 měsíců a po jakýchkoli změnách segmentačních kontrol/metod. Pokrývání všech ovládacích prvků a metod segmentace, které se používají. Podle definované metodologie penetračního testování entity. Potvrzení provozu a metod segmentace a izolace CDE od všech systémů mimo rozsah. Potvrzení účinnosti jakéhokoli použití izolace k oddělení systémů s různými úrovněmi zabezpečení (viz požadavek 2.2.3). Provádí kvalifikovaný interní prostředek nebo kvalifikovaný externí třetí strana. Organizační nezávislost testeru existuje (nemusí se jednat o QSA nebo ASV). |
Nevztahuje se na MICROSOFT Entra ID. |
| 11.4.6 Další požadavek pouze pro poskytovatele služeb: Pokud se segmentace používá k izolaci CDE od jiných sítí, penetrační testy se provádějí na segmentačních kontrolách následujícím způsobem: Alespoň jednou za šest měsíců a po jakýchkoli změnách segmentačních kontrol/metod. Pokrývání všech ovládacích prvků a metod segmentace, které se používají. Podle definované metodologie penetračního testování entity. Potvrzení provozu a metod segmentace a izolace CDE od všech systémů mimo rozsah. Potvrzení účinnosti jakéhokoli použití izolace k oddělení systémů s různými úrovněmi zabezpečení (viz požadavek 2.2.3). Provádí kvalifikovaný interní prostředek nebo kvalifikovaný externí třetí strana. Organizační nezávislost testeru existuje (nemusí se jednat o QSA nebo ASV). |
Nevztahuje se na MICROSOFT Entra ID. |
| 11.4.7 Další požadavek pouze pro poskytovatele služeb s více tenanty: Poskytovatelé služeb s více tenanty podporují své zákazníky pro externí penetrační testování podle požadavku 11.4.3 a 11.4.4. | Pravidla penetračního testování zapojení, Microsoft Cloud |
11.5 Vniknutí sítě a neočekávané změny souborů se zjistí a odpoví na.
| Požadavky na definovaný přístup PCI-DSS | Microsoft Entra – pokyny a doporučení |
|---|---|
| 11.5.1 Techniky detekce neoprávněných vniknutí a/nebo prevence neoprávněných vniknutí se používají k detekci a/nebo prevenci neoprávněných vniknutí do sítě následujícím způsobem: Veškerý provoz se monitoruje v hraniční síti CDE. Veškerý provoz se monitoruje v kritických bodech cde. Pracovníci jsou upozorněni na podezření na ohrožení zabezpečení. Všechny moduly pro detekci vniknutí a prevence, směrné plány a podpisy jsou aktuální. |
Nevztahuje se na MICROSOFT Entra ID. |
| 11.5.1.1 Další požadavek pouze pro poskytovatele služeb: detekce neoprávněných vniknutí a/nebo techniky prevence neoprávněných vniknutí, upozornění na/prevence a adresování komunikačních kanálů pro skrytí malwaru. | Nevztahuje se na MICROSOFT Entra ID. |
| 11.5.2 Mechanismus detekce změn (například nástroje pro monitorování integrity souborů) se nasazuje takto: Chcete-li upozornit pracovníky na neoprávněné úpravy (včetně změn, doplňků a odstranění) důležitých souborů. Chcete-li provést kritická porovnání souborů alespoň jednou týdně. |
Nevztahuje se na MICROSOFT Entra ID. |
11.6 Neautorizované změny na platebních stránkách jsou zjištěny a zodpovězeny.
| Požadavky na definovaný přístup PCI-DSS | Microsoft Entra – pokyny a doporučení |
|---|---|
| 11.6.1 Mechanismus detekce změn a manipulace se nasazuje takto: Chcete-li upozornit pracovníky na neoprávněné úpravy (včetně indikátorů ohrožení, změn, doplňků a odstranění) hlaviček HTTP a obsahu platebních stránek přijatých prohlížečem příjemce. Mechanismus je nakonfigurovaný tak, aby vyhodnotil přijatou hlavičku HTTP a stránku platby. Funkce mechanismu se provádějí takto: Nejméně jednou za sedm dní nebo pravidelně s frekvencí definovanou v cílové analýze rizik entity, která se provádí podle všech prvků. |
Nevztahuje se na MICROSOFT Entra ID. |
Další kroky
Požadavky PCI-DSS 3, 4, 9 a 12 se nevztahují na ID Microsoft Entra, proto neexistují žádné odpovídající články. Pokud chcete zobrazit všechny požadavky, přejděte na pcisecuritystandards.org: oficiální web Rady bezpečnostních standardů PCI.
Pokud chcete nakonfigurovat ID Microsoft Entra tak, aby vyhovovalo PCI-DSS, přečtěte si následující články.
- Doprovodné materiály k Microsoft Entra PCI-DSS
- Požadavek 1: Instalace a údržba ovládacích prvků zabezpečení sítě
- Požadavek 2: Použití zabezpečených konfigurací u všech systémových komponent
- Požadavek 5: Ochrana všech systémů a sítí před škodlivým softwarem
- Požadavek 6: Vývoj a údržba zabezpečených systémů a softwaru
- Požadavek 7: Omezení přístupu k systémovým komponentám a datům držitelů karet podle obchodních potřeb
- Požadavek 8: Identifikace uživatelů a ověřování přístupu k systémovým komponentám
- Požadavek 10: Protokolování a monitorování veškerého přístupu k systémovým komponentám a datům držitelů karet
- Požadavek 11: Pravidelně testujte zabezpečení systémů a sítí (tady jste)
- Pokyny k vícefaktorovému ověřování Microsoft Entra PCI-DSS