PCI-DSS-Leitfaden für Microsoft Entra
Das Payment Card Industry Security Standards Council (PCI SSC) ist verantwortlich für die Entwicklung und Förderung von Datensicherheitsstandards und -ressourcen, einschließlich dem PCI-Datensicherheitsstandard (Payment Card Industry Data Security Standard, PCI DSS), um die Sicherheit von Zahlungstransaktionen zu gewährleisten. Um PCI-Compliance zu erzielen, können Organisationen, die Microsoft Entra ID verwenden, die Anleitung in diesem Dokument konsultieren. Es liegt jedoch in der Verantwortung der Organisationen, ihre PCI-Konformität sicherzustellen. Ihre IT-Teams, SecOps-Teams und Fachkräfte für Lösungsarchitekturen sind für die Erstellung und Wartung sicherer Systeme, Produkte und Netzwerke verantwortlich, die Zahlungskarteninformationen verarbeiten und speichern.
Microsoft Entra ID hilft zwar bei der Erfüllung einiger PCI-DSS-Kontrollanforderungen und stellt moderne Identitäts- und Zugriffsprotokolle für CDE-Ressourcen (Cardholder Date Environment) bereit, sollte aber nicht der einzige Mechanismus zum Schutz von Karteninhaberdaten sein. Überprüfen Sie daher diesen Dokumentensatz und alle PCI DSS-Anforderungen, um ein umfassendes Sicherheitsprogramm einzurichten, welches das Vertrauen der Kunden bewahrt. Eine vollständige Liste der Anforderungen finden Sie auf der offiziellen Website des PCI Security Standards Council unter pcisecuritystandards.org: Offizielle Website des PCI Security Standards Council
PCI-Anforderungen für Kontrollen
Der globale PCI DSS v4.0 legt eine Baseline für technische und betriebliche Standards zum Schutz von Kontodaten fest. Er „wurde entwickelt, um die Sicherheit der Zahlungskartenkontodaten zu fördern und zu verbessern und die breite Einführung einheitlicher Datensicherheitsmaßnahmen weltweit zu unterstützen. Er bietet eine Baseline mit technischen und betrieblichen Anforderungen, die für den Schutz von Kontodaten entwickelt wurden. PCI DSS ist zwar für Umgebungen mit Zahlungskartenkontodaten konzipiert, kann aber auch verwendet werden, um sich vor Bedrohungen zu schützen und andere Elemente im Zahlungsökosystem zu sichern.“
Microsoft Entra-Konfiguration und PCI-DSS
Dieses Dokument dient als umfassender Leitfaden für technische und geschäftliche Führungskräfte, die für die Verwaltung der Identitäts- und Zugriffsverwaltung (Identity & Access Management, IAM) mit Microsoft Entra ID in Übereinstimmung mit dem PCI-Datensicherheitsstandard (Payment Card Industry Data Security Standard, PCI-DSS) verantwortlich sind. Durch Befolgen der wichtigsten Anforderungen, bewährten Methoden und Ansätze, die in diesem Dokument beschrieben sind, können Organisationen den Umfang, die Komplexität und das Risiko der PCI-Nichtkonformität verringern und gleichzeitig bewährte Sicherheitsmethoden und Konformität mit Standards fördern. Die in diesem Dokument bereitgestellten Anleitungen sollen Organisationen dabei unterstützen, Microsoft Entra ID so zu konfigurieren, dass die erforderlichen PCI-DSS-Anforderungen erfüllt und effektive IAM-Methoden gefördert werden.
Technische und geschäftliche Führungskräfte können die folgenden Anleitungen verwenden, um die Verantwortung für die Identitäts- und Zugriffsverwaltung (Identity & Access Management, IAM) mit Microsoft Entra ID zu erfüllen. Weitere Informationen zu PCI DSS in anderen Microsoft-Workloads finden Sie unter Übersicht über den Microsoft-Cloudsicherheitsbenchmark (v1).
PCI DSS-Anforderungen und Testprozeduren bestehen aus 12 Hauptanforderungen, die den sicheren Umgang mit Zahlungskarteninformationen gewährleisten. Zusammen stellen diese Anforderungen ein umfassendes Framework dar, das Organisationen dabei unterstützt, Zahlkartentransaktionen zu sichern und vertrauliche Karteninhaberdaten zu schützen.
Microsoft Entra ID ist ein Identitätsdienst für Unternehmen, der Anwendungen, Systeme und Ressourcen zur Unterstützung der PCI-DSS-Compliance schützt. Die folgende Tabelle enthält die PCI-Hauptanforderungen und Links zu empfohlenen Microsoft Entra ID-Kontrollen für PCI-DSS-Compliance.
PCI DSS-Hauptanforderungen
Die PCI-DSS-Anforderungen 3, 4, 9 und 12 werden von Microsoft Entra ID nicht adressiert oder eingehalten, daher gibt es keine entsprechenden Artikel. Um alle Anforderungen anzuzeigen, wechseln Sie zu pcisecuritystandards.org: Offizielle Website des PCI Security Standards Council.
PCI-Datensicherheitsstandard – Allgemeine Übersicht | Empfohlene PCI-DSS-Kontrollen in Microsoft Entra ID |
---|---|
Erstellen und Unterhalten eines sicheren Netzwerks und sicherer Systeme | 1. Installieren und Verwalten von Netzwerksicherheitskontrollen 2. Anwenden sicherer Konfigurationen auf alle Systemkomponenten |
Schutz von Kontodaten | 3. Schutz von gespeicherten Kontodaten 4. Schützen von Karteninhaberdaten mit starker Kryptografie während der Übertragung über offene, öffentliche Netzwerke |
Verwalten eines Programms zur Verwaltung von Sicherheitsrisiken | 5. Schutz aller Systeme und Netzwerke vor Schadsoftware 6. Entwicklung und Wartung sicherer Systeme und Software |
Implementieren starker Zugriffskontrollmaßnahmen | 7. Einschränken des Zugriffs auf Systemkomponenten und Karteninhaberdaten nach Geschäftsanforderungen 8. Erkennen und Authentifizieren des Zugriffs auf Systemkomponenten 9. Beschränkung des physischen Zugriffs auf Systemkomponenten und Karteninhaberdaten |
Regelmäßiges Überwachen und Testen von Netzwerken | 10. Protokollierung und Überwachung des gesamten Zugriffs auf Systemkomponenten und Karteninhaberdaten 11. Regelmäßiges Testen der Sicherheit von Systemen und Netzwerken |
Verwalten einer Informationssicherheitsrichtlinie | Anforderung 12: Unterstützung der Informationssicherheit durch organisatorische Richtlinien und Programme |
PCI DSS-Anwendbarkeit
PCI DSS gilt für Organisationen, die Daten von Karteninhabern (Cardholder Data, CHD) und/oder vertrauliche Authentifizierungsdaten (Sensitive Authentication Data, SAD) speichern, verarbeiten oder übertragen. Diese Datenelemente werden zusammengenommen als Kontodaten bezeichnet. PCI DSS stellt Sicherheitsrichtlinien und -anforderungen für Organisationen bereit, die sich auf die Karteninhaberdatenumgebung (Cardholder Data Environment, CDE) auswirken. Entitäten, welche die CDE schützen, gewährleisten die Vertraulichkeit und Sicherheit der Zahlungsinformationen der Kunden.
CHD bestehen aus:
- Primäre Kontonummer (Primary Account Number, PAN) – eine eindeutige Zahlkartennummer (Kredit-, Debit- oder Prepaidkarten usw.), die den Aussteller und das Karteninhaberkonto identifiziert
- Karteninhabername – der Kartenbesitzer
- Ablaufdatum der Karte – Monat und Jahr, an dem die Karte abläuft
- Dienstcode : Ein drei- oder vierstelliger Wert im Magnetstreifen, der auf das Ablaufdatum der Zahlkarte auf den Spurdaten folgt. Es definiert Dienstattribute, unterscheidet zwischen internationalem und nationalem/regionalem Austausch oder identifiziert Nutzungseinschränkungen.
SAD bestehen aus sicherheitsrelevanten Informationen, die zur Authentifizierung von Karteninhabern und/oder zur Autorisierung von Zahlkartentransaktionen verwendet werden. SAD umfassen, sind aber nicht beschränkt auf:
- Vollständige Spurdaten – Magnetstreifen oder äquivalente Chipdaten
- Kartenprüfnummer/-werte – auch als Kartenprüfcode (Card Verification Code, CVC) oder Kartenprüfwert (Card Verification Value, CVV) bezeichnet. Dabei handelt es sich um den drei- oder vierstelligen Wert auf der Vorder- oder Rückseite der Zahlkarte. Es wird auch als CAV2, CVC2, CVN2, CVV2 oder CID bezeichnet, die von den teilnehmenden Zahlungsmarken (Participating Payment Brands, PPB) bestimmt werden.
- PIN – Persönliche Identifikationsnummer
- PIN-Blöcke – Eine verschlüsselte Darstellung der PIN, die in einer Debit- oder Kreditkartentransaktion verwendet wird. Sie gewährleistet die sichere Übertragung vertraulicher Informationen während einer Transaktion
Der Schutz der CDE ist für die Sicherheit und Vertraulichkeit der Zahlungsinformationen von Kunden unerlässlich und hilft bei Folgendem:
- Kundenvertrauen bewahren – Kunden erwarten, dass ihre Zahlungsinformationen sicher und vertraulich behandelt werden. Wenn ein Unternehmen eine Datensicherheitsverletzung erfährt, die zum Diebstahl von Kundenzahlungsdaten führt, kann dies das Vertrauen der Kunden in das Unternehmen beeinträchtigen und zu Reputationsschäden führen.
- Einhaltung von Vorschriften – Unternehmen, die Kreditkartentransaktionen verarbeiten, sind verpflichtet, mit PCI DSS konform zu sein. Die Nichteinhaltung der Vorschriften führt zu Geldstrafen, rechtlicher Haftung und einem daraus resultierenden Reputationsschäden.
- Finanzielle Risikominderung – Datensicherheitsverletzungen haben erhebliche finanzielle Auswirkungen, einschließlich Kosten für forensische Untersuchungen, Anwaltskosten und Entschädigungen für betroffene Kunden.
- Geschäftskontinuität – Datensicherheitsverletzungen stören den Geschäftsbetrieb und können Kreditkartentransaktionsprozesse beeinträchtigen. Dieses Szenario kann zu Umsatzeinbußen, Betriebsunterbrechungen und Reputationsschäden führen.
PCI-Überprüfungsumfang
Der PCI-Überprüfungsumfang bezieht sich auf die Systeme, Netzwerke und Prozesse bei der Speicherung, Verarbeitung oder Übertragung von CHD und/oder SAD. Wenn Kontodaten in einer Cloudumgebung gespeichert, verarbeitet oder übertragen werden, gilt PCI DSS für diese Umgebung, und die Konformität umfasst in der Regel die Validierung der Cloudumgebung und deren Nutzung. Der Umfang einer PCI-Überprüfung umfasst fünf grundlegende Elemente:
- Karteninhaberdatenumgebung (Cardholder Data Environment, CDE) – der Bereich, in dem CHD und/oder SAD gespeichert, verarbeitet oder übertragen wird. Dies umfasst die Komponenten einer Organisation, die CHD berühren, z. B. Netzwerke und Netzwerkkomponenten, Datenbanken, Server, Anwendungen und Zahlungsterminals.
- Personen – Personen mit Zugriff auf CDE, z. B. Mitarbeiter, Auftragnehmer und Drittanbieter von Dienstleistungen fallen in den Umfang einer PCI-Überprüfung.
- Prozesse – Prozesse, die CHD betreffen, wie Autorisierung, Authentifizierung, Verschlüsselung und Speicherung von Kontodaten in einem beliebigen Format, fallen in den Umfang einer PCI-Überprüfung.
- Technologie – Technologie, die CHD verarbeitet, speichert oder überträgt, einschließlich Hardware wie Drucker und Multifunktionsgeräte, die Scannen, Drucken und Faxen, Endbenutzergeräte wie Computer, Laptops, administrative Arbeitsstationen, Tablets und mobile Geräte, Software und andere IT-Systeme, fallen in den Umfang einer PCI-Überprüfung.
- Systemkomponenten – Systemkomponenten, die möglicherweise keine CHD/SAD speichern, verarbeiten oder übertragen, aber über uneingeschränkte Konnektivität mit Systemkomponenten verfügen, die CHD/SAD speichern, verarbeiten oder übertragen, oder welche die Sicherheit der CDE beeinträchtigen könnten.
Wenn der PCI-Umfang minimiert wird, können Organisationen die Auswirkungen von Sicherheitsvorfällen effektiv reduzieren und das Risiko von Datensicherheitsverletzungen verringern. Die Segmentierung kann eine wertvolle Strategie sein, um die Größe der PCI-CDE zu reduzieren, was zu reduzierten Konformitätskosten und Gesamtvorteilen für die Organisation führt, einschließlich, aber nicht beschränkt auf:
- Kosteneinsparungen – durch die Begrenzung des Überwachungsumfangs reduzieren Organisationen Zeit, Ressourcen und Ausgaben für eine Überprüfung, was zu Kosteneinsparungen führt.
- Geringeres Risiko – ein kleinerer PCI-Überwachungsumfang verringert die potenziellen Risiken im Zusammenhang mit der Verarbeitung, Speicherung und Übermittlung von Karteninhaberdaten. Wenn die Anzahl der Systeme, Netzwerke und Anwendungen, die einer Überprüfung unterzogen werden, begrenzt ist, konzentrieren sich Organisationen auf die Sicherung ihrer kritischen Ressourcen und die Verringerung ihres Risikos.
- Optimierte Konformität – durch die Einschränkung des Überwachungsumfangs wird die PCI DSS-Konformität besser verwaltbar und optimiert. Die Ergebnisse sind effizientere Überprüfungen, weniger Konformitätsprobleme und ein geringeres Risiko, dass Strafen für Nichtkonformität anfallen.
- Verbesserter Sicherheitsstatus – mit einer kleineren Teilmenge von Systemen und Prozessen weisen Organisationen Sicherheitsressourcen und -aufwände effizient zu. Das Ergebnis ist ein stärkerer Sicherheitsstatus, da sich Sicherheitsteams darauf konzentrieren, kritische Ressourcen zu schützen und Sicherheitsrisiken gezielt und effektiv zu identifizieren.
Strategien zur Reduzierung des PCI-Überwachungsumfangs
Die Definition der CDE einer Organisation bestimmt den PCI-Überwachungsumfang. Organisationen dokumentieren diese Definition und teilen Sie dem PCI DSS-QSA (Qualified Security Assessor) mit, der die Überprüfung durchführt. Der QSA bewertet Kontrollen für die CDE, um die Konformität zu ermitteln. Die Einhaltung von PCI-Standards und die Verwendung einer effektiven Risikominderung hilft Unternehmen dabei, persönliche und finanzielle Kundendaten zu schützen, wodurch das Vertrauen in ihre Betriebsabläufe erhalten bleibt. Im folgenden Abschnitt werden Strategien zur Reduzierung des Risikos im PCI-Überwachungsbereich beschrieben.
Tokenisierung
Die Tokenisierung ist eine Datensicherheitsmethode. Verwenden Sie die Tokenisierung, um vertrauliche Informationen, z. B. Kreditkartennummern, durch ein eindeutiges Token zu ersetzen, das für Transaktionen gespeichert und verwendet wird, ohne vertrauliche Daten offenlegen zu müssen. Token reduzieren den Umfang einer PCI-Überwachung für die folgenden Anforderungen:
- Anforderung 3 – Schützen gespeicherter Kontodaten
- Anforderung 4 – Schützen von Karteninhaberdaten mit starker Kryptografie während der Übertragung über offene, öffentliche Netzwerke
- Anforderung 9 – Beschränken des physischen Zugriffs auf Karteninhaberdaten
- Anforderung 10 – Protokollierung und Überwachung des gesamten Zugriffs auf Systemkomponenten und Karteninhaberdaten.
Berücksichtigen Sie bei der Verwendung cloudbasierter Verarbeitungsmethoden die relevanten Risiken für vertrauliche Daten und Transaktionen. Um diese Risiken zu minimieren, wird empfohlen, relevante Sicherheitsmaßnahmen und Notfallpläne zu implementieren, um Daten zu schützen und Transaktionsunterbrechungen zu verhindern. Als bewährte Methode sollten Sie die Zahlungstokenisierung als Methodik verwenden, um Daten zu deklassifizieren und möglicherweise den Fußabdruck der CDE zu reduzieren. Bei der Zahlungstokenisierung werden vertrauliche Daten durch einen eindeutigen Bezeichner ersetzt, der das Risiko von Datendiebstahl reduziert und die Offenlegung vertraulicher Informationen in der CDE einschränkt.
Sichere CDE
PCI DSS erfordert, dass Organisationen eine sichere CDE aufrechterhalten. Mit einer effektiv konfigurierten CDE können Unternehmen ihr Risiko minimieren und die damit verbundenen Kosten sowohl für lokale als auch für Cloudumgebungen reduzieren. Dieser Ansatz trägt dazu bei, den Umfang einer PCI-Überwachung zu minimieren, sodass es einfacher und kostengünstiger ist, die Einhaltung des Standards nachzuweisen.
So konfigurieren Sie Microsoft Entra ID zum Schützen des CDE:
- Verwenden Sie kennwortlose Anmeldeinformationen für Benutzer: Windows Hello for Business, FIDO2-Sicherheitsschlüssel und Microsoft Authenticator-App
- Verwenden Sie starke Anmeldeinformationen für Workloadidentitäten: Zertifikate und verwaltete Identitäten für Azure-Ressourcen.
- Integrieren Sie Zugriffstechnologien wie VPN, Remotedesktop und Netzwerkzugriffspunkte in Microsoft Entra ID für die Authentifizierung, falls zutreffend.
- Aktivieren Sie die Verwaltung von privilegierten Identitäten und Zugriffsüberprüfungen für Microsoft Entra-Rollen, Gruppen mit privilegiertem Zugriff und Azure-Ressourcen.
- Verwenden Sie Richtlinien für bedingten Zugriff, um die PCI-Anforderungskontrollen Stärke von Anmeldeinformationen und Gerätestatus zu erzwingen und sie basierend auf Standort, Gruppenmitgliedschaft, Anwendungen und Risiken zu erzwingen
- Verwenden der modernen Authentifizierung für DCE-Workloads
- Archivieren Sie Microsoft Entra-Protokolle in SIEM-Systemen (Security Information & Event Management).
Wenn Anwendungen und Ressourcen Microsoft Entra ID für die Identitäts- und Zugriffsverwaltung (Identity & Access Management, IAM) verwenden, befinden sich der/die Microsoft Entra-Mandant(en) im Bereich der PCI-Überwachung, und die hier aufgeführten Anleitungen gelten. Organisationen müssen Isolationsanforderungen für Identitäten und Ressourcen zwischen Nicht-PCI- und PCI-Workloads auswerten, um die beste Architektur zu ermitteln.
Erfahren Sie mehr
- Einführung in delegierte Verwaltung und isolierte Umgebungen
- Verwenden der Microsoft Authenticator-App
- Was sind verwaltete Identitäten für Azure-Ressourcen?
- Worum handelt es sich bei Zugriffsüberprüfungen?
- Was ist bedingter Zugriff?
- Überwachungsprotokolle in Microsoft Entra ID
Erstellen einer Zuständigkeitsmatrix
Die PCI-Konformität liegt in der Verantwortung von Entitäten, die Zahlkartentransaktionen verarbeiten, einschließlich, aber nicht beschränkt auf:
- Händler
- Kartendienstanbieter
- Händlerdienstanbieter
- Acquiring-Banken
- Zahlungsverarbeiter
- Zahlungskartenaussteller
- Hardwareanbieter
Diese Entitäten stellen sicher, dass Zahlkartentransaktionen sicher verarbeitet werden und PCI DSS-konform sind. Alle Entitäten, die an Zahlkartentransaktionen beteiligt sind, haben eine Rolle, um die PCI-Konformität sicherzustellen.
Der Azure PCI DSS-Konformitätsstatus wird nicht automatisch in die PCI DSS-Validierung für die Dienste übersetzt, die Sie in Azure erstellen oder hosten. Sie stellen sicher, dass Sie die PCI DSS-Anforderungen erfüllen.
Einrichten kontinuierlicher Prozesse zur Aufrechterhaltung der Konformität
Kontinuierliche Prozesse beinhalten eine laufende Überwachung und Verbesserung des Konformitätsstatus. Vorteile kontinuierlicher Prozesse zur Aufrechterhaltung der PCI-Konformität:
- Geringeres Risiko von Sicherheitsvorfällen und Nichtkonformität
- Verbesserte Datensicherheit
- Bessere Ausrichtung an gesetzlichen Anforderungen
- Erhöhtes Vertrauen von Kunden und Projektbeteiligten
Mit fortlaufenden Prozessen reagieren Organisationen effektiv auf Änderungen im rechtlichen Umfeld und auf sich ständig weiterentwickelnde Sicherheitsbedrohungen.
- Risikobewertung – führen Sie diesen Prozess durch, um Sicherheitsrisiken und andere Sicherheitsrisikoereignisse für Kreditkartendaten zu identifizieren. Identifizieren Sie potenzielle Bedrohungen, bewerten Sie die Wahrscheinlichkeit, dass Bedrohungen auftreten, und bewerten Sie die potenziellen Auswirkungen auf das Geschäft.
- Training zum Sicherheitsbewusstsein – Mitarbeiter, die mit Kreditkartendaten umgehen, erhalten regelmäßige Sicherheitsbewusstseinsschulungen, um die Wichtigkeit des Schutzes von Karteninhaberdaten zu verdeutlichen und welche Maßnahmen dazu erforderlich sind.
- Sicherheitsrisikoverwaltung – führen Sie regelmäßige Sicherheitsrisikoscans und Penetrationstests durch, um Netzwerk- oder Systemschwächen zu identifizieren, die von Angreifern ausgenutzt werden können.
- Überwachen und Unterhalten von Zugriffssteuerungsrichtlinien – der Zugriff auf Kreditkartendaten ist auf autorisierte Personen beschränkt. Überwachen Sie Zugriffsprotokolle, um nicht autorisierte Zugriffsversuche zu identifizieren.
- Reaktion auf Vorfälle – ein Plan zur Reaktion auf Vorfälle unterstützt Sicherheitsteams bei der Ergreifung von Maßnahmen bei Sicherheitsvorfällen, die Kreditkartendaten betreffen. Identifizieren Sie die Ursache des Vorfalls, begrenzen Sie den Schaden, und stellen Sie den normalen Betrieb rechtzeitig wieder her.
- Konformitätsüberwachung – Konformitätsüberwachung und -überprüfung wird durchgeführt, um die kontinuierliche Einhaltung der PCI-DSS-Anforderungen sicherzustellen. Überprüfen Sie Sicherheitsprotokolle, führen Sie regelmäßige Richtlinienüberprüfungen durch, und stellen Sie sicher, dass Systemkomponenten korrekt konfiguriert und gewartet werden.
Implementieren einer starken Sicherheit für gemeinsam genutzte Infrastruktur
In der Regel verfügen Webdienste wie Azure über eine gemeinsam genutzte Infrastruktur, in der Kundendaten möglicherweise auf demselben physischen Server oder Datenspeichergerät gespeichert werden. Dieses Szenario birgt das Risiko, dass nicht autorisierte Kunden auf Daten zugreifen, die ihnen nicht gehören, sowie das Risiko, dass böswillige Akteure auf die freigegebene Infrastruktur abzielen. Microsoft Entra-Sicherheitsfeatures helfen, Risiken im Zusammenhang mit gemeinsam genutzter Infrastruktur zu minimieren:
- Benutzerauthentifizierung für Netzwerkzugriffstechnologien, die moderne Authentifizierungsprotokolle unterstützen: virtuelles privates Netzwerk (VPN), Remotedesktop und Netzwerkzugriffspunkte.
- Zugriffssteuerungsrichtlinien, die starke Authentifizierungsmethoden und Gerätekonformität basierend auf Signalen wie Benutzerkontext, Gerät, Standort und Risiko erzwingen.
- Bedingter Zugriff bietet eine identitätsgesteuerte Steuerungsebene und vereint Signale, um Entscheidungen zu treffen und Organisationsrichtlinien zu erzwingen.
- Governance für privilegierte Rollen – Zugriffsüberprüfungen, Just-in-Time (JIT)-Aktivierung usw.
Weitere Informationen: Was ist bedingter Zugriff?
Datenresidenz
PCI DSS nennt keinen bestimmten geografischen Standort für die Datenspeicherung von Kreditkarten. Es erfordert jedoch, dass Karteninhaberdaten sicher gespeichert werden, was abhängig von den Sicherheits- und gesetzlichen Anforderungen der Organisation geografische Einschränkungen umfassen kann. In verschiedenen Ländern und Regionen gibt es Gesetze zum Datenschutz und zum Schutz der Privatsphäre. Wenden Sie sich an einen Rechts- oder Konformitätsberater, um die geltenden Anforderungen für die Datenresidenz zu ermitteln.
Weitere Informationen: Microsoft Entra ID und Datenresidenz
Sicherheitsrisiken von Drittanbietern
Ein nicht PCI-konformer Drittanbieter stellt ein Risiko für die PCI-Konformität dar. Bewerten und überwachen Sie regelmäßig Drittanbieter und Dienstleistern, um sicherzustellen, dass diese die erforderlichen Kontrollen zum Schutz von Karteninhaberdaten beibehalten.
Microsoft Entra-Features und -Funktionen für die Datenresidenz helfen, Risiken im Zusammenhang mit der Sicherheit von Drittanbietern zu minimieren.
Protokollierung und Überwachung
Implementieren Sie eine genaue Protokollierung und Überwachung, um Sicherheitsvorfälle rechtzeitig zu erkennen und darauf zu reagieren. Microsoft Entra ID hilft bei der Verwaltung der PCI-Compliance mit Überwachungs- und Aktivitätsprotokollen sowie Berichten, die mit einem SIEM-System integriert werden können. Microsoft Entra ID verfügt über rollenbasierte Zugriffssteuerung (Role-Based Access Control, RBAC) und MFA, um den Zugriff auf vertrauliche Ressourcen zu schützen, sowie über Verschlüsselung und Bedrohungsschutzfunktionen, um Organisationen vor nicht autorisiertem Zugriff und Datendiebstahl zu schützen.
Weitere Informationen:
Umgebungen mit mehreren Anwendungen: Hosten außerhalb der CDE
PCI DSS stellt sicher, dass Unternehmen, die Kreditkarteninformationen akzeptieren, verarbeiten, speichern oder übertragen, eine sichere Umgebung aufrechterhalten. Das Hosting außerhalb der CDE birgt Risiken wie:
- Eine schlechte Zugriffssteuerung und Identitätsverwaltung kann zu nicht autorisiertem Zugriff auf vertrauliche Daten und Systeme führen
- Eine unzureichende Protokollierung und Überwachung von Sicherheitsereignissen behindert die Erkennung von und die Reaktion auf Sicherheitsvorfälle
- Eine unzureichende Verschlüsselung und ein unzureichender Bedrohungsschutz erhöhen das Risiko von Datendiebstahl und nicht autorisiertem Zugriff
- Ein schlechtes oder gar kein Sicherheitsbewusstsein und -training für Benutzer kann zu vermeidbaren Social Engineering-Angriffen wie Phishing führen
Nächste Schritte
Die Anforderungen des Datensicherheitsstandards der Zahlungskartenbranche (Payment Card Industry Data Security Standard, PCI-DSS) 3, 4, 9 und 12 gelten nicht für Microsoft Entra ID. Daher gibt es keine entsprechenden Artikel. Alle Anforderungen finden Sie auf pcisecuritystandards.org: Offizielle Website des PCI Security Standards Council.
Informationen zum Konfigurieren von Microsoft Entra ID zur Einhaltung der PCI-DSS-Anforderungen finden Sie in den folgenden Artikeln.
- PCI-DSS-Leitfaden für Microsoft Entra (Sie sind hier)
- Anforderung 1: Installieren und Verwalten von Netzwerksicherheitskontrollen
- Anforderung 2: Anwenden sicherer Konfigurationen auf alle Systemkomponenten
- Anforderung 5: Schutz aller Systeme und Netzwerke vor Schadsoftware
- Anforderung 6: Entwicklung und Wartung sicherer Systeme und Software
- Anforderung 7: Einschränken des Zugriffs auf Systemkomponenten und Karteninhaberdaten nach Geschäftsanforderungen
- Anforderung 8: Identifizierung von Benutzern und Authentisierung von Zugriff auf Systemkomponenten
- Anforderung 10: Protokollierung und Überwachung des gesamten Zugriffs auf Systemkomponenten und Karteninhaberdaten
- Anforderung 11: Regelmäßiges Testen der Sicherheit von Systemen und Netzwerken
- PCI-DSS-Leitfaden für die Multi-Faktor-Authentifizierung von Microsoft Entra