Požadavek Microsoft Entra ID a PCI-DSS 6
Požadavek 6: Vývoj a údržba zabezpečených systémů a požadavků na softwarově
definovaný přístup
6.1 Procesy a mechanismy pro vývoj a údržbu zabezpečených systémů a softwaru jsou definovány a pochopeny.
| Požadavky na definovaný přístup PCI-DSS | Microsoft Entra – pokyny a doporučení |
|---|---|
| 6.1.1 Všechny zásady zabezpečení a provozní postupy, které jsou identifikovány v požadavku 6, jsou: Zdokumentované v aktualizovaném stavu Při použití známé všem postiženým stranám |
Pokyny a odkazy zde použijte k vytvoření dokumentace pro splnění požadavků na základě konfigurace vašeho prostředí. |
| 6.1.2 Role a odpovědnosti za provádění aktivit v požadavku 6 jsou zdokumentované, přiřazené a srozumitelné. | Pokyny a odkazy zde použijte k vytvoření dokumentace pro splnění požadavků na základě konfigurace vašeho prostředí. |
6.2 Bespoke a vlastní software jsou vyvinuty bezpečně.
| Požadavky na definovaný přístup PCI-DSS | Microsoft Entra – pokyny a doporučení |
|---|---|
| 6.2.1 Bespoke a vlastní software jsou vyvinuty bezpečně, jak je znázorněno na základě oborových standardů a/nebo osvědčených postupů pro zabezpečený vývoj. V souladu s PCI-DSS (například zabezpečené ověřování a protokolování). Zahrnutí aspektů problémů se zabezpečením informací během každé fáze životního cyklu vývoje softwaru |
Pořizovat a vyvíjet aplikace, které používají moderní ověřovací protokoly, jako jsou OAuth2 a OpenID Connect (OIDC), které se integrují s Microsoft Entra ID. Sestavte software pomocí platformy Microsoft Identity Platform. Osvědčené postupy a doporučení pro Microsoft Identity Platform |
| 6.2.2 Pracovníci pro vývoj softwaru pracující na zakázku a vlastní software se vytrénují alespoň jednou za 12 měsíců následujícím způsobem: Na zabezpečení softwaru relevantních pro jejich pracovní funkce a vývojové jazyky. Včetně zabezpečených technik návrhu softwaru a bezpečného kódování. Včetně toho, pokud se používají nástroje pro testování zabezpečení, jak používat nástroje pro detekci ohrožení zabezpečení v softwaru. |
Pomocí následující zkoušky můžete poskytnout doklad o odbornosti na platformě Microsoft Identity Platform: Zkouška MS-600: Vytváření aplikací a řešení pomocí Microsoft 365 Core Services Pomocí následujícího školení se připravte na zkoušku: MS-600: Implementace identity Microsoftu |
| 6.2.3 Bespoke a vlastní software se kontroluje před vydáním do produkčního prostředí nebo zákazníkům, aby identifikovali a opravili potenciální ohrožení zabezpečení kódování následujícím způsobem: Kontroly kódu zajišťují, aby byl kód vyvinut podle pokynů pro bezpečné kódování. Kontroly kódu hledají existující i vznikající ohrožení zabezpečení softwaru. Před vydáním se implementují příslušné opravy. |
Nevztahuje se na MICROSOFT Entra ID. |
| 6.2.3.1 Pokud se před vydáním do produkčního prostředí provádějí ruční revize kódu a vlastní software před vydáním do produkčního prostředí, jsou změny kódu: Zkontrolovány jinými osobami než původním autorem kódu a kteří jsou zkušení o technikách kontroly kódu a zabezpečených postupech kódování. Zkontrolováno a schváleno správou před vydáním. |
Nevztahuje se na MICROSOFT Entra ID. |
| 6.2.4 Techniky softwarového inženýrství nebo jiné metody jsou definovány a používány pracovníky vývoje softwaru, aby se zabránilo běžným softwarovým útokům a souvisejícím ohrožením zabezpečení v spoke a vlastním softwaru, včetně mimo jiné: útoky prostřednictvím injektáže, včetně útoků prostřednictvím injektáže, včetně útoků SQL, LDAP, XPath nebo jiných příkazů, parametrů, objektů, chyb nebo chyb typu injektáže. Útoky na data a datové struktury, včetně pokusů o manipulaci s vyrovnávacími paměťmi, ukazateli, vstupními daty nebo sdílenými daty Útoky na použití kryptografie, včetně pokusů o zneužití slabých, nezabezpečených nebo nevhodných kryptografických implementací, algoritmů, šifrovacích sad nebo režimů operace. Útoky na obchodní logiku, včetně pokusů o zneužití nebo obejití funkcí aplikací prostřednictvím manipulace s rozhraními API, komunikačními protokoly a kanály, funkcemi na straně klienta nebo jinými systémovými a aplikačními funkcemi a prostředky. To zahrnuje skriptování mezi weby (XSS) a padělání požadavků mezi weby (CSRF). Útoky na mechanismy řízení přístupu, včetně pokusů o obejití identifikace, ověřování nebo autorizační mechanismy nebo pokusy o zneužití slabých stránek při implementaci těchto mechanismů. Útoky prostřednictvím jakýchkoli "vysoce rizikových" ohrožení zabezpečení zjištěných v procesu identifikace ohrožení zabezpečení, jak je definováno v požadavku 6.3.1. |
Nevztahuje se na MICROSOFT Entra ID. |
6.3 Ohrožení zabezpečení jsou identifikována a vyřešena.
| Požadavky na definovaný přístup PCI-DSS | Microsoft Entra – pokyny a doporučení |
|---|---|
| 6.3.1 Ohrožení zabezpečení jsou identifikována a spravována následujícím způsobem: Nová ohrožení zabezpečení jsou identifikována pomocí zdrojů rozpoznaných v oboru pro informace o ohrožení zabezpečení, včetně výstrah z mezinárodních a regionálních týmů pro reakci na tísňové volání počítačů (CERT). Ohrožení zabezpečení se přiřazují hodnocení rizik na základě osvědčených postupů v odvětví a zvážení potenciálního dopadu. Hodnocení rizik identifikují minimálně všechna ohrožení zabezpečení, která jsou pro prostředí vysoce riziková nebo kritická. Jsou pokryty chyby zabezpečení pro vlastní a vlastní software a software třetích stran (například operační systémy a databáze). |
Přečtěte si informace o ohroženích zabezpečení. MSRC | Aktualizace zabezpečení, průvodce aktualizací zabezpečení |
| 6.3.2 Inventarizace vlastního softwaru a softwarových komponent třetích stran začleněných do vlastních a vlastních softwaru se udržuje, aby se usnadnila správa ohrožení zabezpečení a oprav. | Generování sestav pro aplikace pomocí Microsoft Entra ID pro ověřování inventáře applicationSignInDetailedSummary typ zdroje Aplikace uvedené v podnikových aplikacích |
| 6.3.3 Všechny systémové komponenty jsou chráněny před známými ohroženími zabezpečení instalací příslušných oprav zabezpečení nebo aktualizací následujícím způsobem: Kritické opravy nebo opravy/aktualizace s vysokým zabezpečením (identifikované podle procesu hodnocení rizik v požadavku 6.3.1) se instalují do jednoho měsíce od vydání. Všechny ostatní použitelné opravy nebo aktualizace zabezpečení se instalují v příslušném časovém rámci určeném entitou (například do tří měsíců od vydání). |
Nevztahuje se na MICROSOFT Entra ID. |
6.4 Veřejné webové aplikace jsou chráněné proti útokům.
| Požadavky na definovaný přístup PCI-DSS | Microsoft Entra – pokyny a doporučení |
|---|---|
| 6.4.1 U veřejně přístupných webových aplikací se nové hrozby a ohrožení zabezpečení řeší průběžně a tyto aplikace jsou chráněné proti známým útokům následujícím způsobem: Kontrola veřejných webových aplikací prostřednictvím ručních nebo automatizovaných nástrojů nebo metod posouzení ohrožení zabezpečení aplikací následujícím způsobem: – Alespoň jednou za 12 měsíců a po významných změnách. – Entita, která se specializuje na zabezpečení aplikace. – Včetně alespoň všech běžných softwarových útoků v požadavku 6.2.4. – Všechna ohrožení zabezpečení jsou seřazená podle požadavku 6.3.1. – Všechna ohrožení zabezpečení jsou opravena. – Aplikace se znovu zhodnotí po opravách NEBO instalaci automatizovaných technických řešení, která nepřetržitě detekují a brání webovým útokům následujícím způsobem: – Nainstalováno před veřejnými webovými aplikacemi, aby bylo možné detekovat a zabránit webovým útokům. – Aktivně běží a je aktuální, jak je to možné. – Generování protokolů auditu. – Nakonfigurované tak, aby blokovaly webové útoky nebo vygenerovaly výstrahu, která se okamžitě prošetřuje. |
Nevztahuje se na MICROSOFT Entra ID. |
| 6.4.2 U veřejně přístupných webových aplikací se nasazuje automatizované technické řešení, které nepřetržitě detekuje a brání webovým útokům, a to alespoň s následujícími funkcemi: Je nainstalován před veřejně přístupnými webovými aplikacemi a je nakonfigurovaný tak, aby detekoval a zabránil webovým útokům. Aktivně běží a je aktuální podle potřeby. Generování protokolů auditu Nakonfigurované tak, aby blokovaly webové útoky nebo vygenerovaly výstrahu, která se okamžitě prošetřuje. |
Nevztahuje se na MICROSOFT Entra ID. |
| 6.4.3 Všechny skripty stránky platby, které jsou načteny a spouštěny v prohlížeči příjemce jsou spravovány následujícím způsobem: Metoda je implementována k potvrzení, že každý skript je autorizovaný. Implementuje se metoda, která zajistí integritu každého skriptu. Inventář všech skriptů se udržuje s písemným odůvodněním, proč je každý z nich nezbytný. |
Nevztahuje se na MICROSOFT Entra ID. |
6.5 Změny všech systémových komponent se spravují bezpečně.
| Požadavky na definovaný přístup PCI-DSS | Microsoft Entra – pokyny a doporučení |
|---|---|
| 6.5.1 Změny všech systémových komponent v produkčním prostředí jsou provedeny podle zavedených postupů, které zahrnují: Důvod a popis změny. Dokumentace k dopadu na zabezpečení Zdokumentované schválení změn autorizovanými stranami Testováním ověřte, že změna nemá nepříznivý vliv na zabezpečení systému. U vlastních změn softwaru a vlastních aktualizací se před nasazením do produkčního prostředí testují všechny aktualizace, které vyhovují požadavkům 6.2.4. Postupy pro řešení selhání a návrat do zabezpečeného stavu |
Do procesu řízení změn zahrňte změny konfigurace Microsoft Entra. |
| 6.5.2 Po dokončení významné změny jsou všechny příslušné požadavky PCI-DSS potvrzeny, že jsou zavedeny ve všech nových nebo změněných systémech a sítích a podle potřeby se aktualizují dokumentace. | Nevztahuje se na MICROSOFT Entra ID. |
| 6.5.3 Předprodukční prostředí jsou oddělená od produkčních prostředí a oddělení se vynucuje pomocí řízení přístupu. | Přístupy k odděleným předprodukčním a produkčním prostředím na základě požadavků organizace. Izolace prostředků v jedné izolaci prostředků tenanta s více tenanty |
| 6.5.4 Role a funkce jsou oddělené mezi produkčním a předprodukčním prostředím, aby poskytovaly odpovědnost za to, že se nasazují pouze kontrolované a schválené změny. | Seznamte se s privilegovanými rolemi a vyhrazenými předprodukčními tenanty. Osvědčené postupy pro role Microsoft Entra |
| 6.5.5 Live PAN se nepoužívají v předprodukčních prostředích, s výjimkou případů, kdy jsou tato prostředí zahrnutá v CDE a chráněná v souladu se všemi příslušnými požadavky PCI-DSS. | Nevztahuje se na MICROSOFT Entra ID. |
| 6.5.6 Testovací data a testovací účty se odeberou ze systémových komponent předtím, než systém přejde do produkčního prostředí. | Nevztahuje se na MICROSOFT Entra ID. |
Další kroky
Požadavky PCI-DSS 3, 4, 9 a 12 nejsou použitelné pro Microsoft Entra ID, proto neexistují žádné odpovídající články. Pokud chcete zobrazit všechny požadavky, přejděte na pcisecuritystandards.org: oficiální web Rady bezpečnostních standardů PCI.
Pokud chcete nakonfigurovat ID Microsoft Entra tak, aby vyhovovalo PCI-DSS, přečtěte si následující články.
- Doprovodné materiály k Microsoft Entra PCI-DSS
- Požadavek 1: Instalace a údržba ovládacích prvků zabezpečení sítě
- Požadavek 2: Použití zabezpečených konfigurací u všech systémových komponent
- Požadavek 5: Ochrana všech systémů a sítí před škodlivým softwarem
- Požadavek 6: Vývoj a údržba zabezpečených systémů a softwaru (tady jste)
- Požadavek 7: Omezení přístupu k systémovým komponentám a datům držitelů karet podle obchodních potřeb
- Požadavek 8: Identifikace uživatelů a ověřování přístupu k systémovým komponentám
- Požadavek 10: Protokolování a monitorování veškerého přístupu k systémovým komponentám a datům držitelů karet
- Požadavek 11: Pravidelné testování zabezpečení systémů a sítí
- Pokyny k vícefaktorovému ověřování Microsoft Entra PCI-DSS