Microsoft Entra ID i PCI-DSS Wymaganie 11
Wymaganie 11. Testowanie wymagań dotyczących zabezpieczeń systemów i sieci regularnie
zdefiniowanych wymagań dotyczących podejścia
11.1 Procesy i mechanizmy regularnego testowania zabezpieczeń systemów i sieci są definiowane i zrozumiałe.
| Wymagania dotyczące podejścia zdefiniowanego przez PCI-DSS | Microsoft Entra guidance and recommendations (Wskazówki i zalecenia firmy Microsoft) |
|---|---|
| 11.1.1 Wszystkie zasady zabezpieczeń i procedury operacyjne, które zostały zidentyfikowane w wymaganiach 11, to: Udokumentowano aktualną datę W użyciu znane wszystkim stronom, których dotyczy problem |
Skorzystaj ze wskazówek i linków w tym dokumencie, aby utworzyć dokumentację, aby spełnić wymagania na podstawie konfiguracji środowiska. |
| 11.1.2 Role i obowiązki związane z wykonywaniem działań w wymaganiach 11 są udokumentowane, przypisane i zrozumiałe. | Skorzystaj ze wskazówek i linków w tym dokumencie, aby utworzyć dokumentację, aby spełnić wymagania na podstawie konfiguracji środowiska. |
11.2 Punkty dostępu bezprzewodowego są identyfikowane i monitorowane, a nieautoryzowane punkty dostępu bezprzewodowego są adresowane.
| Wymagania dotyczące podejścia zdefiniowanego przez PCI-DSS | Microsoft Entra guidance and recommendations (Wskazówki i zalecenia firmy Microsoft) |
|---|---|
| 11.2.1 Autoryzowane i nieautoryzowane punkty dostępu bezprzewodowego są zarządzane w następujący sposób: Obecność punktów dostępu bezprzewodowego (Wi-Fi) jest testowana. Wszystkie autoryzowane i nieautoryzowane punkty dostępu bezprzewodowego są wykrywane i identyfikowane. Testowanie, wykrywanie i identyfikacja odbywa się co najmniej raz na trzy miesiące. Jeśli jest używane automatyczne monitorowanie, personel jest powiadamiany za pośrednictwem wygenerowanych alertów. |
Jeśli organizacja integruje punkty dostępu sieciowego z identyfikatorem Firmy Microsoft Entra do uwierzytelniania, zobacz Wymaganie 1: Instalowanie i obsługa mechanizmów kontroli zabezpieczeń sieci |
| 11.2.2 Spis autoryzowanych punktów dostępu bezprzewodowego jest utrzymywany, w tym udokumentowane uzasadnienie biznesowe. | Nie dotyczy identyfikatora Entra firmy Microsoft. |
11.3 Luki w zabezpieczeniach zewnętrznych i wewnętrznych są regularnie identyfikowane, priorytetowe i rozwiązane.
| Wymagania dotyczące podejścia zdefiniowanego przez PCI-DSS | Microsoft Entra guidance and recommendations (Wskazówki i zalecenia firmy Microsoft) |
|---|---|
| 11.3.1 Wewnętrzne skanowania luk w zabezpieczeniach są wykonywane w następujący sposób: Co najmniej raz na trzy miesiące. Usunięto luki w zabezpieczeniach o wysokim ryzyku i krytycznym (według klasyfikacji ryzyka luk w zabezpieczeniach jednostki zdefiniowanej na stronie Wymaganie 6.3.1). Operacje ponownego skanowania są wykonywane, aby potwierdzić, że wszystkie luki w zabezpieczeniach o wysokim ryzyku i krytycznym (jak wspomniano) zostały rozwiązane. Narzędzie do skanowania jest na bieżąco z najnowszymi informacjami o lukach w zabezpieczeniach. Skany są wykonywane przez wykwalifikowany personel i niezależność organizacyjną testera. |
Uwzględnij serwery, które obsługują funkcje hybrydowe firmy Microsoft Entra. Na przykład microsoft Entra Connect, łączniki serwera proxy aplikacji itp. w ramach skanowania wewnętrznych luk w zabezpieczeniach. Organizacje korzystające z uwierzytelniania federacyjnego: przejrzyj luki w zabezpieczeniach infrastruktury systemu federacyjnego i adresów. Co to jest federacja z identyfikatorem Entra firmy Microsoft? Przejrzyj i zniweluj wykrycia ryzyka zgłoszone przez Ochrona tożsamości Microsoft Entra. Zintegruj sygnały z rozwiązaniem SIEM, aby zintegrować więcej z przepływami pracy korygowania lub automatyzacją. Typy ryzyka i wykrywanie Regularnie uruchamiaj narzędzie do oceny entra firmy Microsoft i rozwiąż je. AzureADAssessmentOperacje zabezpieczeń infrastruktury Integrowanie dzienników firmy Microsoft z dziennikami usługi Azure Monitor |
| 11.3.1.1 Wszystkie inne stosowane luki w zabezpieczeniach (te, które nie są klasyfikowane jako wysokie ryzyko lub krytyczne dla klasyfikacji ryzyka luk w zabezpieczeniach określonej na stronie Wymaganie 6.3.1), są zarządzane w następujący sposób: Adresowane na podstawie ryzyka zdefiniowanego w docelowej analizie ryzyka jednostki, która jest wykonywana zgodnie ze wszystkimi elementami określonymi w wymaganiach 12.3.1. Skanowanie jest przeprowadzane zgodnie z potrzebami. |
Uwzględnij serwery, które obsługują funkcje hybrydowe firmy Microsoft Entra. Na przykład microsoft Entra Connect, łączniki serwera proxy aplikacji itp. w ramach skanowania wewnętrznych luk w zabezpieczeniach. Organizacje korzystające z uwierzytelniania federacyjnego: przejrzyj luki w zabezpieczeniach infrastruktury systemu federacyjnego i adresów. Co to jest federacja z identyfikatorem Entra firmy Microsoft? Przejrzyj i zniweluj wykrycia ryzyka zgłoszone przez Ochrona tożsamości Microsoft Entra. Zintegruj sygnały z rozwiązaniem SIEM, aby zintegrować więcej z przepływami pracy korygowania lub automatyzacją. Typy ryzyka i wykrywanie Regularnie uruchamiaj narzędzie do oceny entra firmy Microsoft i rozwiąż je. AzureAD/AzureADAssessmentOperacje zabezpieczeń infrastruktury Integrowanie dzienników firmy Microsoft z dziennikami usługi Azure Monitor |
| 11.3.1.2 Wewnętrzne skanowania luk w zabezpieczeniach są wykonywane za pośrednictwem uwierzytelnionego skanowania w następujący sposób: Systemy, które nie mogą zaakceptować poświadczeń do uwierzytelnionego skanowania, są udokumentowane. Wystarczające uprawnienia są używane dla tych systemów, które akceptują poświadczenia do skanowania. Jeśli konta używane do skanowania uwierzytelnionego mogą być używane do logowania interakcyjnego, są zarządzane zgodnie z wymaganiami 8.2.2. |
Uwzględnij serwery, które obsługują funkcje hybrydowe firmy Microsoft Entra. Na przykład microsoft Entra Connect, łączniki serwera proxy aplikacji itp. w ramach skanowania wewnętrznych luk w zabezpieczeniach. Organizacje korzystające z uwierzytelniania federacyjnego: przejrzyj luki w zabezpieczeniach infrastruktury systemu federacyjnego i adresów. Co to jest federacja z identyfikatorem Entra firmy Microsoft? Przejrzyj i zniweluj wykrycia ryzyka zgłoszone przez Ochrona tożsamości Microsoft Entra. Zintegruj sygnały z rozwiązaniem SIEM, aby zintegrować więcej z przepływami pracy korygowania lub automatyzacją. Typy ryzyka i wykrywanie Regularnie uruchamiaj narzędzie do oceny entra firmy Microsoft i rozwiąż je. AzureADAssessmentOperacje zabezpieczeń infrastruktury Integrowanie dzienników firmy Microsoft z dziennikami usługi Azure Monitor |
| 11.3.1.3 Wewnętrzne skanowania luk w zabezpieczeniach są przeprowadzane po każdej znaczącej zmianie w następujący sposób: luki w zabezpieczeniach wysokiego ryzyka i krytyczne (zgodnie z klasyfikacjami ryzyka luk w zabezpieczeniach jednostki zdefiniowanymi na stronie Wymaganie 6.3.1) zostały rozwiązane. Skanowanie jest przeprowadzane zgodnie z potrzebami. Skany są wykonywane przez kwalifikowany personel i niezależność organizacji testera (nie jest wymagane, aby być kwalifikowaną oceną zabezpieczeń (QSA) lub zatwierdzonym dostawcą skanowania (ASV). |
Uwzględnij serwery, które obsługują funkcje hybrydowe firmy Microsoft Entra. Na przykład microsoft Entra Connect, łączniki serwera proxy aplikacji itp. w ramach skanowania wewnętrznych luk w zabezpieczeniach. Organizacje korzystające z uwierzytelniania federacyjnego: przejrzyj luki w zabezpieczeniach infrastruktury systemu federacyjnego i adresów. Co to jest federacja z identyfikatorem Entra firmy Microsoft? Przejrzyj i zniweluj wykrycia ryzyka zgłoszone przez Ochrona tożsamości Microsoft Entra. Zintegruj sygnały z rozwiązaniem SIEM, aby zintegrować więcej z przepływami pracy korygowania lub automatyzacją. Typy ryzyka i wykrywanie Regularnie uruchamiaj narzędzie do oceny entra firmy Microsoft i rozwiąż je. AzureADAssessmentOperacje zabezpieczeń infrastruktury Integrowanie dzienników firmy Microsoft z dziennikami usługi Azure Monitor |
| 11.3.2 Zewnętrzne skanowania luk w zabezpieczeniach są wykonywane w następujący sposób: Co najmniej raz na trzy miesiące. Przez PCI SSC ASV. Luki w zabezpieczeniach zostały rozwiązane, a wymagania przewodnika po programie ASV dotyczące skanowania z przekazywaniem są spełnione. Operacje ponownego skanowania są wykonywane zgodnie z potrzebami, aby potwierdzić, że luki w zabezpieczeniach zostały rozwiązane zgodnie z wymaganiami przewodnika programu asv w przypadku skanowania z przekazywaniem. |
Nie dotyczy identyfikatora Entra firmy Microsoft. |
| 11.3.2.1 Zewnętrzne skanowania luk w zabezpieczeniach są wykonywane po każdej znaczącej zmianie w następujący sposób: Luki w zabezpieczeniach, które są oceniane 4.0 lub nowsze przez CVSS, zostaną rozwiązane. Skanowanie jest przeprowadzane zgodnie z potrzebami. Skany są wykonywane przez wykwalifikowany personel i niezależność organizacyjną testera (nie musi być QSA lub ASV). |
Nie dotyczy identyfikatora Entra firmy Microsoft. |
11.4 Zewnętrzne i wewnętrzne testy penetracyjne są regularnie przeprowadzane, a luki w zabezpieczeniach i słabe strony zabezpieczeń są poprawiane.
| Wymagania dotyczące podejścia zdefiniowanego przez PCI-DSS | Microsoft Entra guidance and recommendations (Wskazówki i zalecenia firmy Microsoft) |
|---|---|
| 11.4.1 Metodologia testowania penetracyjnego jest zdefiniowana, udokumentowana i wdrożona przez jednostkę oraz obejmuje: podejścia do testowania penetracyjnego zaakceptowane przez branżę. Pokrycie całego środowiska danych karty (CDE) obwodowych i krytycznych systemów. Testowanie zarówno wewnątrz, jak i poza siecią. Testowanie w celu zweryfikowania wszelkich kontrolek segmentacji i redukcji zakresu. Testy penetracyjne warstwy aplikacji w celu zidentyfikowania co najmniej luk w zabezpieczeniach wymienionych w wymaganiach 6.2.4. Testy penetracyjne warstwy sieciowej obejmujące wszystkie składniki obsługujące funkcje sieciowe i systemy operacyjne. Przejrzyj i rozważ zagrożenia i luki w zabezpieczeniach występujące w ciągu ostatnich 12 miesięcy. Udokumentowane podejście do oceny i eliminowania ryzyka stwarzanego przez luki w zabezpieczeniach i słabości zabezpieczeń występujących podczas testowania penetracyjnego. Przechowywanie wyników testów penetracyjnych i wyników działań korygujących przez co najmniej 12 miesięcy. |
Reguły testowania penetracyjnego zakontraktowania, Microsoft Cloud |
| 11.4.2 Wykonuje się wewnętrzne testy penetracyjne: zgodnie ze zdefiniowaną metodologią jednostki. Co najmniej raz na 12 miesięcy. Po każdym znaczącym uaktualnieniu lub zmianie infrastruktury lub aplikacji. Kwalifikowany zasób wewnętrzny lub kwalifikowana zewnętrzna firma zewnętrzna. Niezależność organizacyjna testera istnieje (nie musi być QSA lub ASV). |
Reguły testowania penetracyjnego zakontraktowania, Microsoft Cloud |
| 11.4.3 Zewnętrzne testy penetracyjne są wykonywane: zgodnie ze zdefiniowaną metodologią jednostki. Co najmniej raz na 12 miesięcy. Po każdym znaczącym uaktualnieniu lub zmianie infrastruktury lub aplikacji. Kwalifikowany zasób wewnętrzny lub kwalifikowana zewnętrzna firma zewnętrzna. Niezależność organizacyjna testera istnieje (nie musi być QSA lub ASV). |
Reguły testowania penetracyjnego zakontraktowania, Microsoft Cloud |
| 11.4.4 Luki w zabezpieczeniach i słabe punkty zabezpieczeń wykryte podczas testowania penetracyjnego są poprawiane w następujący sposób: zgodnie z oceną ryzyka stwarzanego przez problem z zabezpieczeniami, zgodnie z wymaganiami 6.3.1. Testy penetracyjne są powtarzane w celu zweryfikowania poprawek. |
Reguły testowania penetracyjnego zakontraktowania, Microsoft Cloud |
| 11.4.5 Jeśli segmentacja jest używana do izolowania cde z innych sieci, testy penetracyjne są wykonywane na kontrolkach segmentacji w następujący sposób: Co najmniej raz na 12 miesięcy i po wszelkich zmianach w kontrolkach/metodach segmentacji. Obejmuje wszystkie używane kontrolki/metody segmentacji. Zgodnie ze zdefiniowaną metodologią testowania penetracyjnego jednostki. Potwierdzenie, że kontrolki/metody segmentacji są operacyjne i skuteczne, izolują usługę CDE od wszystkich systemów poza zakresem. Potwierdzanie skuteczności dowolnego użycia izolacji w oddzielnych systemach z różnymi poziomami zabezpieczeń (zobacz Wymaganie 2.2.3). Wykonywane przez kwalifikowany zasób wewnętrzny lub kwalifikowaną zewnętrzną firmę zewnętrzną. Niezależność organizacyjna testera istnieje (nie musi być QSA lub ASV). |
Nie dotyczy identyfikatora Entra firmy Microsoft. |
| 11.4.6 Dodatkowe wymaganie tylko dla dostawców usług: Jeśli segmentacja jest używana do izolowania cde z innych sieci, testy penetracyjne są wykonywane na kontrolkach segmentacji w następujący sposób: Co najmniej raz na sześć miesięcy i po wszelkich zmianach w kontrolkach/metodach segmentacji. Obejmuje wszystkie używane kontrolki/metody segmentacji. Zgodnie ze zdefiniowaną metodologią testowania penetracyjnego jednostki. Potwierdzenie, że kontrolki/metody segmentacji są operacyjne i skuteczne, izolują usługę CDE od wszystkich systemów poza zakresem. Potwierdzanie skuteczności dowolnego użycia izolacji w oddzielnych systemach z różnymi poziomami zabezpieczeń (zobacz Wymaganie 2.2.3). Wykonywane przez kwalifikowany zasób wewnętrzny lub kwalifikowaną zewnętrzną firmę zewnętrzną. Niezależność organizacyjna testera istnieje (nie musi być QSA lub ASV). |
Nie dotyczy identyfikatora Entra firmy Microsoft. |
| 11.4.7 Dodatkowe wymaganie tylko dla dostawców usług wielodostępnych: Dostawcy usług wielodostępnych obsługują swoich klientów na potrzeby testów penetracyjnych zewnętrznych na wymaganie 11.4.3 i 11.4.4. | Reguły testowania penetracyjnego zakontraktowania, Microsoft Cloud |
11.5 Nieautoryzowane włamania do sieci i nieoczekiwane zmiany plików są wykrywane i odpowiadane.
| Wymagania dotyczące podejścia zdefiniowanego przez PCI-DSS | Microsoft Entra guidance and recommendations (Wskazówki i zalecenia firmy Microsoft) |
|---|---|
| 11.5.1 Techniki wykrywania nieautoryzowanego dostępu i/lub zapobiegania włamaniom są używane do wykrywania i/lub zapobiegania włamaniom do sieci w następujący sposób: cały ruch jest monitorowany na obwodzie usługi CDE. Cały ruch jest monitorowany w krytycznych punktach w usłudze CDE. Personel jest powiadamiany o podejrzanych naruszeniach. Wszystkie aparaty wykrywania i zapobiegania włamaniom, punkty odniesienia i podpisy są aktualne. |
Nie dotyczy identyfikatora Entra firmy Microsoft. |
| 11.5.1.1 Dodatkowe wymaganie tylko dla dostawców usług: Wykrywanie nieautoryzowane i/lub techniki zapobiegania włamaniom, wykrywanie, zgłaszanie alertów i zapobieganie złośliwym oprogramowaniem oraz rozwiązywanie problemów z zakrytymi kanałami komunikacyjnymi złośliwego oprogramowania. | Nie dotyczy identyfikatora Entra firmy Microsoft. |
| 11.5.2 Mechanizm wykrywania zmian (na przykład narzędzia do monitorowania integralności plików) jest wdrażany w następujący sposób: Aby powiadamiać pracowników o nieautoryzowanych modyfikacjach (w tym zmiany, dodatki i usunięcia) krytycznych plików. Aby wykonać porównania plików krytycznych co najmniej raz w tygodniu. |
Nie dotyczy identyfikatora Entra firmy Microsoft. |
11.6 Nieautoryzowane zmiany na stronach płatności są wykrywane i odpowiadane.
| Wymagania dotyczące podejścia zdefiniowanego przez PCI-DSS | Microsoft Entra guidance and recommendations (Wskazówki i zalecenia firmy Microsoft) |
|---|---|
| 11.6.1 Wdrożono mechanizm wykrywania zmian i naruszenia w następujący sposób: Aby powiadomić pracowników o nieautoryzowanych modyfikacjach (w tym wskaźniki naruszenia, zmiany, dodatki i usunięcia) do nagłówków HTTP i zawartości stron płatności odebranych przez przeglądarkę konsumenta. Mechanizm jest skonfigurowany do oceny odebranych nagłówków HTTP i strony płatności. Funkcje mechanizmu są wykonywane w następujący sposób: Co najmniej raz na siedem dni LUB Okresowo z częstotliwością zdefiniowaną w docelowej analizie ryzyka jednostki, która jest wykonywana zgodnie ze wszystkimi elementami |
Nie dotyczy identyfikatora Entra firmy Microsoft. |
Następne kroki
Wymagania PCI-DSS 3, 4, 9 i 12 nie mają zastosowania do identyfikatora Entra firmy Microsoft, dlatego nie ma odpowiednich artykułów. Aby zobaczyć wszystkie wymagania, przejdź do pcisecuritystandards.org: Oficjalna witryna Rady Standardów Bezpieczeństwa PCI.
Aby skonfigurować identyfikator Entra firmy Microsoft w celu zachowania zgodności z standardem PCI-DSS, zobacz następujące artykuły.
- Microsoft Entra PCI-DSS guidance (Wskazówki dotyczące rozwiązania Microsoft Entra PCI-DSS)
- Wymaganie 1: Instalowanie i obsługa mechanizmów kontroli zabezpieczeń sieci
- Wymaganie 2: Stosowanie bezpiecznych konfiguracji do wszystkich składników systemowych
- Wymaganie 5. Ochrona wszystkich systemów i sieci przed złośliwym oprogramowaniem
- Wymaganie 6. Opracowywanie i utrzymywanie bezpiecznych systemów i oprogramowania
- Wymaganie 7. Ograniczanie dostępu do składników systemowych i danych posiadaczy kart według potrzeb biznesowych
- Wymaganie 8. Identyfikowanie użytkowników i uwierzytelnianie dostępu do składników systemu
- Wymaganie 10: Rejestrowanie i monitorowanie całego dostępu do składników systemowych i danych karty
- Wymaganie 11: Regularnie testuj zabezpieczenia systemów i sieci (jesteś tutaj)
- Microsoft Entra PCI-DSS Multi-Factor Authentication guidance (Wskazówki dotyczące uwierzytelniania wieloskładnikowego firmy Microsoft Entra PCI-DSS)