Požadavek Microsoft Entra ID a PCI-DSS 2
Požadavek 2: Použití zabezpečených konfigurací u všech požadavků definovaných komponent systému
2.1 Procesy a mechanismy pro použití zabezpečených konfigurací pro všechny systémové komponenty jsou definovány a pochopeny.
| Požadavky na definovaný přístup PCI-DSS | Microsoft Entra – pokyny a doporučení |
|---|---|
| 2.1.1 Všechny zásady zabezpečení a provozní postupy, které jsou identifikovány v požadavku 2, jsou: Zdokumentováno v aktualizovaném stavu Při použití známé všem postiženým stranám |
Pokyny a odkazy zde použijte k vytvoření dokumentace pro splnění požadavků na základě konfigurace vašeho prostředí. |
| 2.1.2 Role a odpovědnosti za provádění aktivit v požadavku 2 jsou zdokumentované, přiřazené a srozumitelné. | Pokyny a odkazy zde použijte k vytvoření dokumentace pro splnění požadavků na základě konfigurace vašeho prostředí. |
2.2 Systémové komponenty jsou nakonfigurovány a spravovány bezpečně.
| Požadavky na definovaný přístup PCI-DSS | Microsoft Entra – pokyny a doporučení |
|---|---|
| 2.2.1 Standardy konfigurace jsou vyvíjeny, implementovány a udržovány tak, aby: Pokrytí všech systémových komponent. Vyřešte všechna známá ohrožení zabezpečení. Buďte konzistentní s oborovými standardy posílení zabezpečení systému nebo doporučeními na posílení zabezpečení dodavatelů. Aktualizujte se, protože se identifikují nové problémy s ohrožením zabezpečení, jak je definováno v požadavku 6.3.1. Použijí se, když jsou nové systémy nakonfigurované a ověřené jako na místě před nebo bezprostředně po připojení systémové komponenty k produkčnímu prostředí. |
Viz příručka k operacím zabezpečení Microsoft Entra |
| 2.2.2 Výchozí účty dodavatele se spravují takto: Pokud se použijí výchozí účty dodavatele, změní se výchozí heslo podle požadavku 8.3.6. Pokud se výchozí účty dodavatele nepoužijí, účet se odebere nebo zakáže. |
Nevztahuje se na MICROSOFT Entra ID. |
| 2.2.3 Primární funkce vyžadující různé úrovně zabezpečení jsou spravovány následujícím způsobem: Na systémové komponentě existuje pouze jedna primární funkce NEBO Primární funkce s různými úrovněmi zabezpečení, které existují ve stejné systémové komponentě, jsou navzájem izolované, NEBO Primární funkce s různými úrovněmi zabezpečení na stejné systémové součásti jsou všechny zabezpečeny na úrovni požadované funkcí s nejvyšší potřebou zabezpečení. |
Přečtěte si informace o určování nejméně privilegovaných rolí. Nejméně privilegované role podle úlohy v Microsoft Entra ID |
| 2.2.4 Jsou povoleny pouze nezbytné služby, protokoly, démony a funkce a všechny nepotřebné funkce jsou odebrány nebo zakázány. | Zkontrolujte nastavení Microsoft Entra a zakažte nepoužívané funkce. Pět kroků zabezpečení infrastruktury identit v Průvodci operacemi zabezpečení Microsoft Entra |
| 2.2.5 Pokud existují nějaké nezabezpečené služby, protokoly nebo démony: Obchodní odůvodnění je zdokumentované. Další funkce zabezpečení jsou zdokumentované a implementované, které snižují riziko používání nezabezpečených služeb, protokolů nebo démonů. |
Zkontrolujte nastavení Microsoft Entra a zakažte nepoužívané funkce. Pět kroků zabezpečení infrastruktury identit v Průvodci operacemi zabezpečení Microsoft Entra |
| 2.2.6 Parametry zabezpečení systému jsou nakonfigurovány tak, aby se zabránilo zneužití. | Zkontrolujte nastavení Microsoft Entra a zakažte nepoužívané funkce. Pět kroků zabezpečení infrastruktury identit v Průvodci operacemi zabezpečení Microsoft Entra |
| 2.2.7 Veškerý nekonsoleový přístup pro správu je šifrovaný pomocí silné kryptografie. | Rozhraní Microsoft Entra ID, jako je portál pro správu, Microsoft Graph a PowerShell, se šifrují při přenosu pomocí protokolu TLS. Povolení podpory protokolu TLS 1.2 ve vašem prostředí pro vyřazení protokolu Microsoft Entra TLS 1.1 a 1.0 |
2.3 Bezdrátová prostředí jsou nakonfigurována a spravována bezpečně.
| Požadavky na definovaný přístup PCI-DSS | Microsoft Entra – pokyny a doporučení |
|---|---|
| 2.3.1 V případě bezdrátových prostředí připojených k CDE nebo přenosu dat účtu se při instalaci změní všechny výchozí nastavení bezdrátového dodavatele nebo jsou potvrzeny, že jsou zabezpečené, včetně, ale nikoli pouze: Výchozí nastavení bezdrátových šifrovacích klíčů Hesla bezdrátových šifrovacích klíčů v bezdrátovýchpřístupchch |
Pokud vaše organizace integruje síťové přístupové body s ID Microsoft Entra pro ověřování, přečtěte si téma Požadavek 1: Instalace a údržba ovládacích prvků zabezpečení sítě. |
| 2.3.2 Pro bezdrátová prostředí připojená k CDE nebo přenosu dat účtu se šifrovací klíče bezdrátového šifrování mění takto: Kdykoli pracovníci se znalostmi klíče opustí společnost nebo roli, pro kterou byly znalosti nezbytné. Vždy, když je klíč podezřelý nebo známý, že je ohrožen. |
Nevztahuje se na MICROSOFT Entra ID. |
Další kroky
Požadavky PCI-DSS 3, 4, 9 a 12 se nevztahují na ID Microsoft Entra, proto neexistují žádné odpovídající články. Pokud chcete zobrazit všechny požadavky, přejděte na pcisecuritystandards.org: oficiální web Rady bezpečnostních standardů PCI.
Pokud chcete nakonfigurovat ID Microsoft Entra tak, aby vyhovovalo PCI-DSS, přečtěte si následující články.
- Doprovodné materiály k Microsoft Entra PCI-DSS
- Požadavek 1: Instalace a údržba ovládacích prvků zabezpečení sítě
- Požadavek 2: Použití zabezpečených konfigurací u všech systémových komponent (tady jste)
- Požadavek 5: Ochrana všech systémů a sítí před škodlivým softwarem
- Požadavek 6: Vývoj a údržba zabezpečených systémů a softwaru
- Požadavek 7: Omezení přístupu k systémovým komponentám a datům držitelů karet podle obchodních potřeb
- Požadavek 8: Identifikace uživatelů a ověřování přístupu k systémovým komponentám
- Požadavek 10: Protokolování a monitorování veškerého přístupu k systémovým komponentám a datům držitelů karet
- Požadavek 11: Pravidelné testování zabezpečení systémů a sítí
- Pokyny k vícefaktorovému ověřování Microsoft Entra PCI-DSS