Microsoft Entra ID et l’exigence 8 de la norme PCI-DSS
Exigence 8 : identifier les utilisateurs, puis authentifier l’accès aux composants système
Exigences d’approche définie
8.1 Des processus et mécanismes destinés à identifier les utilisateurs, puis à authentifier l’accès aux composants système sont définis et compris.
Exigences d’approche définie par PCI-DSS | Aide et recommandations relatives à Microsoft Entra |
---|---|
8.1.1 Toutes les stratégies de sécurité et procédures opérationnelles qui sont identifiées dans l’exigence 8 sont : Documentées Tenues à jour En cours d’utilisation Connues de toutes les parties concernées |
Utilisez l’aide et les liens ci-dessous pour produire la documentation et répondre aux exigences en fonction de la configuration de votre environnement. |
8.1.2 Les rôles et responsabilités liés à l’exécution des activités mentionnées dans l’exigence 8 sont documentés, attribués et compris. | Utilisez l’aide et les liens ci-dessous pour produire la documentation et répondre aux exigences en fonction de la configuration de votre environnement. |
8.2 L’identification des utilisateurs et les comptes associés pour les utilisateurs et les administrateurs sont gérés de manière stricte tout au long du cycle de vie d’un compte.
Exigences d’approche définie par PCI-DSS | Aide et recommandations relatives à Microsoft Entra |
---|---|
8.2.1 Tous les utilisateurs se voient attribuer un ID unique avant l’autorisation d’accès aux composants système ou aux données des titulaires de carte. | Pour les applications CDE qui s’appuient sur Microsoft Entra ID, l’identifiant utilisateur unique est l’attribut de nom d’utilisateur principal (UPN). Alimentation du UserPrincipalName Microsoft Entra |
8.2.2 Les comptes de groupe, partagés ou génériques, ou d’autres informations d’identification d’authentification partagées ne sont utilisés qu’en cas de nécessité à titre d’exception et sont managés comme suit : blocage de l’utilisation du compte, sauf circonstance exceptionnelle. L’utilisation est limitée au temps nécessaire à la circonstance exceptionnelle. La justification métier de l’utilisation est documentée. L’utilisation est explicitement approuvée par la direction L’identité individuelle de l’utilisateur est confirmée avant l’octroi de l’accès à un compte. Chaque action effectuée est attribuable à un utilisateur individuel. |
Vérifiez que les environnements de données de titulaires de carte (CDE) qui utilisent Microsoft Entra ID pour l’accès aux applications ont des processus pour empêcher les comptes partagés. Créez-les en tant qu’exception qui nécessite une approbation. Pour les ressources CDE déployées dans Azure, utilisez des identités managées pour les ressources Azure afin de représenter l’identité de la charge de travail, au lieu de créer un compte de service partagé. Que sont les identités managées pour les ressources Azure ? Si vous ne pouvez pas utiliser d’identités managées et que les ressources consultées utilisent le protocole OAuth, utilisez les principaux de service pour représenter les identités de charge de travail. Accordez aux identités l’accès le moins privilégié via des étendues OAuth. Les administrateurs peuvent restreindre l’accès, puis définir des workflows d’approbation pour les créer. Que sont les identités de la charge de travail ? |
8.2.3 Exigence supplémentaire pour les fournisseurs de services uniquement : les fournisseurs de services disposant d’un accès à distance aux locaux du client utilisent des facteurs d’authentification uniques pour chaque local client. | Microsoft Entra ID dispose de connecteurs locaux pour activer les fonctionnalités hybrides. Les connecteurs sont identifiables et utilisent des informations d’identification générées de manière unique. Synchronisation Microsoft Entra Connect : comprendre et personnaliser la synchronisation Présentation approfondie de la synchronisation cloud Architecture d’approvisionnement d’applications locales Microsoft Entra Planifier l’application RH cloud pour l’approvisionnement d’utilisateurs Microsoft Entra Installer les agents d’intégrité Microsoft Entra Connect |
8.2.4 L’ajout, la suppression et la modification d’ID utilisateur, de facteurs d’authentification et d’autres objets d’identificateur sont managés comme suit : Autorisé avec l’approbation appropriée. Implémenté avec uniquement les privilèges spécifiés sur l’approbation documentée. |
Microsoft Entra ID dispose d’un approvisionnement automatisé des comptes d’utilisateur depuis les systèmes RH. Utilisez cette fonctionnalité pour créer un cycle de vie. Qu’est-ce que le provisionnement piloté par les RH ? Microsoft Entra ID dispose de workflows de cycle de vie pour activer une logique personnalisée pour les processus joiner, mover et leaver. Qu’est-ce que les workflows de cycle de vie ? Microsoft Entra ID dispose d’une interface programmatique pour gérer les méthodes d’authentification avec Microsoft Graph. Certaines méthodes d’authentification, telles que les clés Windows Hello Entreprise et FIDO2, nécessitent l’intervention de l’utilisateur pour s’inscrire. Démarrage avec l’API de méthodes d’authentification Graph Les administrateurs et/ou l’automatisation génèrent les informations d’identification du Passe d’accès temporaire à l’aide de l’API Graph. Utilisez ces informations d’identification pour l’intégration sans mot de passe. Configurer un Passe d’accès temporaire dans Microsoft Entra ID pour inscrire des méthodes d’authentification sans mot de passe |
8.2.5 L’accès des utilisateurs ayant terminé est immédiatement révoqué. | Pour révoquer l’accès à un compte, désactivez les comptes locaux des comptes hybrides synchronisés depuis Microsoft Entra ID, désactivez les comptes dans Microsoft Entra ID, puis révoquez les jetons. Révoquer l’accès utilisateur dans Microsoft Entra ID Utilisez l’Évaluation continue de l’accès (CAE) pour que les applications compatibles aient une conversation bidirectionnelle avec Microsoft Entra ID. Les applications peuvent être informées d’événements, tels que l’arrêt de compte et le rejet de jetons. Évaluation continue de l’accès |
8.2.6 Les comptes d’utilisateurs inactifs sont supprimés ou désactivés dans les 90 jours suivant l’inactivité. | Pour les comptes hybrides, les administrateurs vérifient l’activité dans Active Directory et Microsoft Entra tous les 90 jours. Pour Microsoft Entra ID, utilisez Microsoft Graph pour rechercher la dernière date de connexion. Comment gérer les comptes d’utilisateur inactifs dans Microsoft Entra ID |
8.2.7 Les comptes utilisés par des tiers pour accéder aux composants système, ou en assurer la maintenance à distance sont managés comme suit : Activés lorsqu’ils sont nécessaires et désactivés lorsqu’ils ne sont pas utilisés. L’utilisation est surveillée pour y rechercher toute activité inattendue. |
Microsoft Entra ID dispose de fonctionnalités de gestion des identités externes. Utilisez le cycle de vie d’invité régi avec la gestion des droits d’utilisation. Les utilisateurs externes sont intégrés dans le contexte des applications, des ressources et des packages d’accès. Vous pouvez accorder l’accès pendant une période limitée et exiger des révisions d’accès périodiques. Les révisions peuvent entraîner la suppression ou la désactivation du compte. Régir l’accès des utilisateurs externes dans la gestion des droits d’utilisation Microsoft Entra ID génère des évènements à risque au niveau utilisateur et session. Découvrez comment protéger, détecter les activités inattendues, puis y répondre. Qu’est-ce que le risque ? |
8.2.8 Si une session utilisateur est inactive depuis plus de 15 minutes, l’utilisateur doit se réauthentifier pour réactiver le terminal ou la session. | Utilisez des stratégies de gestion des points de terminaison avec Intune et Microsoft Endpoint Manager. Ensuite, utilisez l’accès conditionnel pour autoriser l’accès depuis des appareils conformes. Utilisez des stratégies de conformité pour définir des règles pour les appareils que vous gérez avec Intune Si votre environnement CDE s’appuie sur des objets de stratégie de groupe (GPO), configurez l’objet de stratégie de groupe pour définir un délai d’inactivité. Configurez Microsoft Entra ID pour autoriser l’accès depuis des périphériques hybrides joints Microsoft Entra. Périphériques hybrides joints Microsoft Entra |
8.3 L’authentification forte pour les utilisateurs et les administrateurs est établie et managée.
Si vous souhaitez en savoir plus d’informations sur les méthodes d’authentification Microsoft Entra qui répondent aux exigences PCI, consultez Supplément d’informations : authentification multifacteur.
Exigences d’approche définie par PCI-DSS | Aide et recommandations relatives à Microsoft Entra |
---|---|
8.3.1 Tous les accès des utilisateurs aux composants système pour les utilisateurs et les administrateurs sont authentifiés via au moins un des facteurs d’authentification suivants : quelque chose que vous connaissez, comme un mot de passe ou une phrase secrète. Un élément physique que vous possédez, comme un appareil à jeton ou une carte à puce. Un élément vous concernant particulièrement, comme un élément biométrique. |
Microsoft Entra ID nécessite des méthodes sans mot de passe pour répondre aux exigences PCI Consultez la rubrique Déploiement holistique sans mot de passe. Planifier un déploiement d’authentification sans mot de passe dans Microsoft Entra ID |
8.3.2 Un chiffrement fort permet de rendre tous les facteurs d’authentification illisibles pendant la transmission et le stockage sur tous les composants système. | Le chiffrement utilisé par Microsoft Entra ID est conforme à la Définition PCI du chiffrement fort. Considérations relatives à la protection des données Microsoft Entra |
8.3.3 L’identité de l’utilisateur est vérifiée avant modification de tout facteur d’authentification. | Microsoft Entra ID exige que les utilisateurs s’authentifient pour mettre à jour leurs méthodes d’authentification à l’aide du libre-service, comme le portail mysecurityinfo et le portail de réinitialisation de mot de passe en libre-service (SSPR). Configurer les informations de sécurité depuis une page de connexion Stratégie d’accès conditionnel commune : sécuriser l’inscription des informations de sécurité Réinitialisation de mot de passe en libre-service Microsoft Entra Les administrateurs disposant de rôles privilégiés peuvent modifier les facteurs d’authentification : global, mot de passe, utilisateur, authentification et authentification privilégiée. Rôles les moins privilégiés par tâche dans Microsoft Entra ID. Microsoft vous recommande d’activer l’accès et la gouvernance JAT pour un accès privilégié avec Microsoft Entra Privileged Identity Management |
8.3.4 Les tentatives d’authentification non valides sont limitées par : verrouillage de l’ID utilisateur après 10 tentatives au maximum. Définition de la durée du verrouillage sur un minimum de 30 minutes ou jusqu’à ce que l’identité de l’utilisateur soit confirmée. |
Déployez Windows Hello Entreprise pour les appareils Windows qui prennent en charge les modules de plateforme sécurisée (TPM) 2.0 ou ultérieurs. Pour Windows Hello Entreprise, le verrouillage concerne l’appareil. Le geste, le code PIN ou la biométrie déverrouille l’accès au module TPM local. Les administrateurs configurent le comportement de verrouillage avec des stratégies GPO ou Intune. Paramètres de stratégie de groupe TPM Gérer Windows Hello Entreprise sur les périphériques au moment où ils s’inscrivent avec Intune Principes TPM de base Windows Hello Entreprise fonctionne pour l’authentification locale auprès d’Active Directory et des ressources cloud sur Microsoft Entra ID. Pour les clés de sécurité FIDO2, la protection contre les attaques par force brute est liée à la clé. Le geste, le code PIN ou la biométrie déverrouille l’accès au stockage de locale. Les administrateurs configurent Microsoft Entra ID pour autoriser l’inscription de clés de sécurité FIDO2 auprès des fabricants qui s’alignent sur les exigences PCI. Activer la connexion par clé de sécurité sans mot de passe Application Microsoft Authenticator Pour atténuer les attaques par force brute à l’aide d’une connexion sans mot de passe par l’application Microsoft Authenticator, activez la correspondance de nombre et un contexte supplémentaire. Microsoft Entra ID génère un nombre aléatoire dans le flux d’authentification. L’utilisateur saisit ce nombre dans l’application d’authentification. L’invite d’authentification de l’application mobile affiche l’emplacement, l’adresse IP de la requête et l’application de requête. Utilisation de la correspondance de nombre dans les notifications MFA Utilisation d’un contexte supplémentaire dans les notifications Microsoft Authenticator |
8.3.5 Si les mots de passe/phrases secrètes sont utilisés comme facteurs d’authentification pour répondre à l’exigence 8.3.1, ils sont définis, puis réinitialisés pour chaque utilisateur comme suit : Définir sur une valeur unique pour la première utilisation et lors de la réinitialisation. Modification forcée immédiatement après la première utilisation. |
Non applicable à Microsoft Entra ID. |
8.3.6 Si les mots de passe/phrases secrètes sont utilisé(e)s comme facteurs d’authentification pour répondre à l’exigence 8.3.1, ils répondent au niveau de complexité minimal suivant : Longueur minimale de 12 caractères (ou si le système ne prend pas en charge 12 caractères, longueur minimale de huit caractères). Doit contenir des caractères alphabétiques et numériques. |
Non applicable à Microsoft Entra ID. |
8.3.7 Les utilisateurs ne sont pas autorisés à soumettre un nouveau mot de passe/une nouvelle phrase secrète identique à l’un des quatre derniers mots de passe/l’une des dernières phrases secrètes utilisé(e)s. | Non applicable à Microsoft Entra ID. |
8.3.8 Les stratégies et procédures d’authentification sont documentées, puis communiquées à tous les utilisateurs, notamment : Aide sur la sélection de facteurs d’authentification forts. Aide sur la manière dont les utilisateurs doivent protéger leurs facteurs d’authentification. Instructions pour la non-réutilisation des mots de passe/phrases secrètes précédemment utilisé(e)s. Instructions pour modifier les mots de passe/phrases secrètes en cas de suspicion ou de connaissance que le mot de passe/la phrase secrète a été compromis(e) et comment signaler l’incident. |
Documentez les stratégies et procédures, puis communiquez-les aux utilisateurs conformément à cette exigence. Microsoft fournit des modèles personnalisables dans le Centre de téléchargement. |
8.3.9 Si les mots de passe/phrases secrètes sont utilisé(e)s comme seul facteur d’authentification pour l’accès utilisateur (autrement dit, dans toute implémentation d’authentification à facteur unique), soit : les mots de passe/phrases secrètes sont modifié(e)s au moins une fois tous les 90 jours, SOIT la posture de sécurité des comptes est analysée de manière dynamique et l’accès en temps réel aux ressources est déterminé automatiquement en conséquence. |
Non applicable à Microsoft Entra ID. |
8.3.10 Exigence supplémentaire pour les fournisseurs de services uniquement : si les mots de passe/phrases secrètes sont utilisé(e)s comme seul facteur d’authentification pour l’accès des utilisateurs clients aux données de titulaires de carte (c’est-à-dire dans toute implémentation d’authentification à facteur unique), une aide est fournie aux utilisateurs clients, notamment : Aide aux clients pour modifier régulièrement leurs mots de passe/phrases secrètes. Aide qui indique quand et dans quelles circonstances les mots de passe/phrases secrètes doivent être modifi(é)s. |
Non applicable à Microsoft Entra ID. |
8.3.10.1 Exigence supplémentaire pour les fournisseurs de services uniquement : si les mots de passe/phrases secrètes sont utilisé(e)s comme seul facteur d’authentification pour l’accès utilisateur (autrement dit, dans toute implémentation d’authentification à facteur unique), soit : les mots de passe/phrases secrètes sont modifié(e)s au moins une fois tous les 90 jours, SOIT la posture de sécurité des comptes est analysée de manière dynamique et l’accès en temps réel aux ressources est déterminé automatiquement en conséquence. |
Non applicable à Microsoft Entra ID. |
8.3.11 Lorsque des facteurs d’authentification tels que des jetons de sécurité physiques ou logiques, des cartes à puce ou des certificats sont utilisés : les facteurs sont attribués à un utilisateur individuel, et non partagés par plusieurs utilisateurs. Les contrôles physiques et/ou logiques garantissent que seul l’utilisateur concerné peut utiliser ce facteur pour obtenir l’accès. |
Utilisez des méthodes d’authentification sans mot de passe telles que Windows Hello Entreprise, les clés de sécurité FIDO2 et l’application Microsoft Authenticator pour la connexion par téléphone. Utilisez des cartes à puce basées sur des paires de clés publiques ou privées associées aux utilisateurs pour empêcher la réutilisation. |
8.4 L’authentification multifacteur (MFA) est implémentée pour sécuriser l’accès à l’environnement de données des titulaires de carte (CDE).
Exigences d’approche définie par PCI-DSS | Aide et recommandations relatives à Microsoft Entra |
---|---|
8.4.1 L’authentification multifacteur est implémentée pour tous les accès sans console au CDE pour le personnel disposant d’un accès administratif. | Utilisez l’accès conditionnel pour exiger une authentification forte pour accéder aux ressources de l’environnement CDE. Définir des stratégies pour cibler un rôle administratif ou un groupe de sécurité représentant l’accès administratif à une application. Pour l’accès administratif, utilisez Microsoft Entra Privileged Identity Management (PIM) pour permettre l’activation juste-à-temps (JAT) des rôles privilégiés. Qu’est-ce que l’accès conditionnel ? Modèles d’accès conditionnel Commencer à utiliser PIM |
8.4.2 L’authentification multifacteur est implémentée pour tous les accès à l’environnement CDE. | Bloquez l’accès aux protocoles hérités qui ne prennent pas en charge l’authentification forte. Bloquer l’authentification héritée avec l’accès conditionnel Microsoft Entra ID |
8.4.3 L’authentification multifacteur est implémentée pour tous les accès réseau distants provenant de l’extérieur du réseau de l’entité qui pourraient accéder à l’environnement CDE ou avoir un impact sur celui-ci comme suit : tout l’accès à distance par tout le personnel, à la fois les utilisateurs et les administrateurs, provenant de l’extérieur du réseau de l’entité. Tous les accès à distance par des tiers et des fournisseurs. |
Intégrez des technologies d’accès telles que le réseau privé virtuel (VPN), le bureau à distance et les points d’accès réseau avec Microsoft Entra ID pour l’authentification et l’autorisation. Utilisez l’accès conditionnel pour exiger une authentification forte pour accéder aux applications d’accès à distance. Modèles d’accès conditionnel |
8.5 Des systèmes d’authentification multifacteur (MFA) sont configurés pour éviter toute utilisation incorrecte.
Exigences d’approche définie par PCI-DSS | Aide et recommandations relatives à Microsoft Entra |
---|---|
8.5.1 Des systèmes d’authentification multifacteur sont implémentés comme suit : le système d’authentification multifacteur n’est pas vulnérable aux attaques par relecture. Les systèmes d’authentification multifacteur ne peuvent être contournés par aucun utilisateur, y compris les utilisateurs administratifs, sauf s’ils sont spécifiquement documentés et autorisés par la direction sur une base d’exception, pendant une période limitée. Au moins deux types différents de facteurs d’authentification sont utilisés. La réussite de tous les facteurs d’authentification est requise avant l’octroi de l’accès. |
Les méthodes d’authentification Microsoft Entra recommandées utilisent des nonces ou des défis. Ces méthodes résistent aux attaques par relecture, car Microsoft Entra ID détecte facilement les transactions d’authentification relues. Windows Hello Entreprise, FIDO2 et l’application Microsoft Authenticator pour la connexion par téléphone sans mot de passe utilisent un nonce pour identifier la requête, puis détecter les tentatives de relecture. Utilisez des informations d’identification sans mot de passe pour les utilisateurs de l’environnement CDE. L’authentification basée sur les certificats utilise des défis pour détecter les tentatives de relecture. Niveau d’assurance 2 de l’authentificateur NIST avec Microsoft Entra ID Niveau d’assurance 3 de l’authentificateur NIST en utilisant Microsoft Entra ID |
8.6 L’utilisation des comptes d’application et des comptes système et des facteurs d’authentification associés est managée de façon stricte.
Exigences d’approche définie par PCI-DSS | Aide et recommandations relatives à Microsoft Entra |
---|---|
8.6.1 Si des comptes utilisés par des systèmes ou des applications peuvent être utilisés pour la connexion interactive, ils sont managés comme suit : l’utilisation interactive est évitée, sauf si nécessaire pour une circonstance exceptionnelle. L’utilisation interactive est limitée au temps nécessaire à la circonstance exceptionnelle. La justification métier de l’utilisation interactive est documentée. L’utilisation interactive est explicitement approuvée par la direction. L’identité de l’utilisateur individuel est confirmée avant l’octroi de l’accès au compte. Chaque action effectuée est attribuable à un utilisateur individuel. |
Pour les applications CDE avec une authentification moderne et pour les ressources CDE déployées dans Azure qui utilisent une authentification moderne, Microsoft Entra ID dispose de deux types de comptes de service pour les applications : identités managées et principaux de service. En savoir plus sur la gouvernance des comptes de service Microsoft Entra : planification, approvisionnement, cycle de vie, surveillance, révisions d’accès, etc. Administrer des comptes de service Microsoft Entra Pour sécuriser les comptes de service Microsoft Entra. Sécuriser les identités managées dans Microsoft Entra ID Sécuriser les principaux de service dans Microsoft Entra ID Pour les environnements CDE avec des ressources extérieures à Azure qui nécessitent un accès, configurez les fédérations d’identité de charge de travail sans gérer les secrets ou la connexion interactive. Fédération des identités de charge de travail Pour activer les processus d’approbation et de suivi afin de répondre aux exigences, orchestrez les workflows à l’aide de la gestion des services informatiques (ITSM) et des bases de données de gestion de la configuration (CMDB). Ces outils utilisent l’API MS Graph pour interagir avec Microsoft Entra ID et gérer le compte de service. Pour les environnement CDE qui nécessitent des comptes de service compatibles avec Active Directory local, utilisez des comptes de service gérés de groupe (GMSA) et des comptes de service gérés autonomes (sMSA), des comptes d’ordinateur ou des comptes d’utilisateur. Sécurisation des comptes de service locaux |
8.6.2 Les mots de passe/phrases secrètes de tous les comptes d’application et tous les comptes système qui permettent la connexion interactive ne sont pas codé(e)s en dur dans les scripts, dans les fichiers de configuration/de propriété ou dans du code source personnalisé et sur mesure. | Utilisez des comptes de service modernes tels que les identités managées Azure et les principaux de service qui ne nécessitent pas de mots de passe. Les informations d’identification des identités managées Microsoft Entra sont approvisionnées, puis pivotées dans le cloud, ce qui empêche l’utilisation de secrets partagés tels que les mots de passe et les phrases secrètes. Lorsque vous utilisez des identités managées affectées par le système, le cycle de vie est lié au cycle de vie des ressources Azure sous-jacent. Utilisez des principaux de service pour utiliser des certificats comme informations d’identification, ce qui empêche l’utilisation de secrets partagés tels que les mots de passe et les phrases secrètes. Si les certificats ne sont pas réalisables, utilisez Azure Key Vault pour stocker les secrets clients du principal de service. Meilleures pratiques d’utilisation d’Azure Key Vault Pour les environnements CDE avec des ressources extérieures à Azure qui nécessitent un accès, configurez les fédérations d’identité de charge de travail sans gérer de secrets ou de connexion interactive. Fédération des identités de charge de travail Déployez l’accès conditionnel des identités de charge de travail pour contrôler l’autorisation en fonction de l’emplacement et/ou du niveau de risque. Accès conditionnel pour les identités de charge de travail Outre l’aide précédente, utilisez des outils d’analyse du code pour détecter les secrets codés en dur dans les fichiers de code et de configuration. Détecter les secrets exposés dans le code Règles de sécurité |
8.6.3 Les mots de passe/phrases secrètes de tous les comptes d’application et tous les comptes système sont protégé(e)s contre toute utilisation incorrecte comme suit : les mots de passe/phrases secrètes sont modifi(é)s régulièrement à la fréquence définie dans l’analyse des risques ciblés de l’entité, analyse effectuée en fonction de tous les éléments spécifiés dans la condition 12.3.1 et en cas de suspicion ou de confirmation de compromission. Les mots de passe/phrases secrètes sont construit(e)s avec une complexité suffisante adaptée à la fréquence à laquelle l’entité modifie les mots de passe/phrases secrètes. |
Utilisez des comptes de service modernes tels que les identités managées Azure et les principaux de service qui ne nécessitent pas de mots de passe. Pour les exceptions qui nécessitent des principaux de service avec des secrets, le cycle de vie des secrets abstraits avec des flux de travail et des automatisations définissant des mots de passe aléatoires d’accès aux principaux de service les fait pivoter régulièrement, puis réagit aux événements à risque. Les équipes d’opérations de sécurité peuvent examiner, puis corriger les rapports générés par Microsoft Entra, tels que les identités de charge de travail à risque. Sécurisation des identités de charge de travail avec Microsoft Entra ID Protection |
Étapes suivantes
Les exigences 3, 4, 9 et 12 de la norme PCI-DSS ne s’appliquent pas à Microsoft Entra ID. Par conséquent, il n’existe aucun article correspondant. Pour consulter toutes les exigences, rendez-vous sur le site pcisecuritystandards.org : Site officiel du Conseil des normes de sécurité PCI.
Pour configurer Microsoft Entra ID pour qu'il soit conforme à PCI-DSS, consultez les articles suivants.
- Aide relative à Microsoft Entra et à la norme PCI-DSS
- Exigence 1 : installer et gérer des contrôles de sécurité réseau
- Exigence 2 : appliquer des configurations sécurisées à tous les composants système
- Exigence 5 : protéger tous les systèmes et réseaux contre des logiciels malveillants
- Exigence 6 : développer et gérer des systèmes et logiciels sécurisés
- Exigence 7 : restreindre l’accès aux composants système et aux données des titulaires de carte aux seuls individus qui doivent les connaître
- Exigence 8 : identifier des utilisateurs, puis authentifier l’accès aux composants système (vous êtes ici)
- Exigence 10 : Enregistrer et surveiller tous les accès aux composants système et aux données de titulaires de carte
- Exigence 11 : Tester régulièrement la sécurité des systèmes et des réseaux
- Aide relative à l’authentification multifacteur Microsoft Entra dans le cadre de la norme PCI-DSS