Microsoft Entra ID i PCI-DSS Wymaganie 2
Wymaganie 2: Stosowanie bezpiecznych konfiguracji do wszystkich wymagań dotyczących podejścia zdefiniowanego przez składniki
systemowe
2.1 Procesy i mechanizmy stosowania bezpiecznych konfiguracji do wszystkich składników systemu są definiowane i zrozumiałe.
| Wymagania dotyczące podejścia zdefiniowanego przez PCI-DSS | Microsoft Entra guidance and recommendations (Wskazówki i zalecenia firmy Microsoft) |
|---|---|
| 2.1.1 Wszystkie zasady zabezpieczeń i procedury operacyjne, które zostały zidentyfikowane w wymaganiach 2, to: Udokumentowano aktualną datę W użyciu znane wszystkim stronom, których dotyczy problem |
Skorzystaj ze wskazówek i linków w tym dokumencie, aby utworzyć dokumentację, aby spełnić wymagania na podstawie konfiguracji środowiska. |
| 2.1.2 Role i obowiązki związane z wykonywaniem działań w wymaganiach 2 są udokumentowane, przypisane i zrozumiałe. | Skorzystaj ze wskazówek i linków w tym dokumencie, aby utworzyć dokumentację, aby spełnić wymagania na podstawie konfiguracji środowiska. |
2.2 Składniki systemowe są konfigurowane i zarządzane bezpiecznie.
| Wymagania dotyczące podejścia zdefiniowanego przez PCI-DSS | Microsoft Entra guidance and recommendations (Wskazówki i zalecenia firmy Microsoft) |
|---|---|
| 2.2.1 Standardy konfiguracji są opracowywane, implementowane i obsługiwane w celu: Obejmują wszystkie składniki systemu. Rozwiąż wszystkie znane luki w zabezpieczeniach. Bądź zgodny ze standardami wzmacniania zabezpieczeń systemu lub zaleceniami dotyczącymi wzmacniania zabezpieczeń dostawców. Należy zaktualizować w miarę identyfikowania nowych problemów z lukami w zabezpieczeniach zgodnie z definicją w wymaganiach 6.3.1. Należy stosować, gdy nowe systemy są konfigurowane i weryfikowane tak jak wcześniej lub bezpośrednio po połączeniu składnika systemu ze środowiskiem produkcyjnym. |
Zobacz Przewodnik po operacjach zabezpieczeń firmy Microsoft Entra |
| 2.2.2 Konta domyślne dostawcy są zarządzane w następujący sposób: Jeśli zostaną użyte domyślne konta dostawcy, domyślne hasło zostanie zmienione zgodnie z wymaganiami 8.3.6. Jeśli konta domyślne dostawcy nie będą używane, konto zostanie usunięte lub wyłączone. |
Nie dotyczy identyfikatora Entra firmy Microsoft. |
| 2.2.3 Podstawowe funkcje wymagające różnych poziomów zabezpieczeń są zarządzane w następujący sposób: Tylko jedna funkcja podstawowa istnieje w składniku systemu LUB Funkcje podstawowe o różnych poziomach zabezpieczeń, które istnieją w tym samym składniku systemu, są odizolowane od siebie, LUB Funkcje podstawowe o różnych poziomach zabezpieczeń na tym samym składniku systemu są zabezpieczone na poziomie wymaganym przez funkcję z najwyższymi potrzebami zabezpieczeń. |
Dowiedz się więcej o określaniu ról z najniższymi uprawnieniami. Role o najniższych uprawnieniach według zadania w usłudze Microsoft Entra ID |
| 2.2.4 Włączone są tylko niezbędne usługi, protokoły, demony i funkcje, a wszystkie niepotrzebne funkcje są usuwane lub wyłączone. | Przejrzyj ustawienia usługi Microsoft Entra i wyłącz nieużywane funkcje. Pięć kroków zabezpieczania infrastruktury tożsamości — przewodnik po operacjach zabezpieczeń firmy Microsoft Entra |
| 2.2.5 Jeśli istnieją niezabezpieczone usługi, protokoły lub demony: uzasadnienie biznesowe jest udokumentowane. Dodatkowe funkcje zabezpieczeń są udokumentowane i zaimplementowane, które zmniejszają ryzyko korzystania z niezabezpieczonych usług, protokołów lub demonów. |
Przejrzyj ustawienia usługi Microsoft Entra i wyłącz nieużywane funkcje. Pięć kroków zabezpieczania infrastruktury tożsamości — przewodnik po operacjach zabezpieczeń firmy Microsoft Entra |
| 2.2.6 Parametry zabezpieczeń systemu są skonfigurowane w celu zapobiegania niewłaściwemu używaniu. | Przejrzyj ustawienia usługi Microsoft Entra i wyłącz nieużywane funkcje. Pięć kroków zabezpieczania infrastruktury tożsamości — przewodnik po operacjach zabezpieczeń firmy Microsoft Entra |
| 2.2.7 Cały niekonseksowy dostęp administracyjny jest szyfrowany przy użyciu silnej kryptografii. | Interfejsy microsoft Entra ID, takie jak portal zarządzania, Program Microsoft Graph i program PowerShell, są szyfrowane podczas przesyłania przy użyciu protokołu TLS. Włączanie obsługi protokołu TLS 1.2 w środowisku w przypadku wycofania protokołu Microsoft Entra TLS 1.1 i 1.0 |
2.3 Środowiska bezprzewodowe są konfigurowane i zarządzane bezpiecznie.
| Wymagania dotyczące podejścia zdefiniowanego przez PCI-DSS | Microsoft Entra guidance and recommendations (Wskazówki i zalecenia firmy Microsoft) |
|---|---|
| 2.3.1 W przypadku środowisk bezprzewodowych podłączonych do sieci CDE lub przesyłania danych konta, wszystkie ustawienia domyślne dostawcy sieci bezprzewodowej są zmieniane podczas instalacji lub są potwierdzane jako bezpieczne, w tym, ale nie tylko: Domyślne klucze szyfrowania bezprzewodowego Hasła w punktach dostępu bezprzewodowego SNMP domyślne Wszelkie inne ustawienia domyślne dostawcy bezprzewodowego związane z zabezpieczeniami |
Jeśli twoja organizacja integruje punkty dostępu sieciowego z identyfikatorem Firmy Microsoft Entra na potrzeby uwierzytelniania, zobacz Wymaganie 1: Instalowanie i obsługa mechanizmów kontroli zabezpieczeń sieci. |
| 2.3.2 W przypadku środowisk bezprzewodowych połączonych z usługą CDE lub przesyłania danych konta, klucze szyfrowania bezprzewodowego są zmieniane w następujący sposób: Za każdym razem, gdy pracownicy znający klucz opuszczają firmę lub rolę, dla której wiedza była niezbędna. Zawsze, gdy klucz jest podejrzany lub znany z naruszenia zabezpieczeń. |
Nie dotyczy identyfikatora Entra firmy Microsoft. |
Następne kroki
Wymagania PCI-DSS 3, 4, 9 i 12 nie mają zastosowania do identyfikatora Entra firmy Microsoft, dlatego nie ma odpowiednich artykułów. Aby zobaczyć wszystkie wymagania, przejdź do pcisecuritystandards.org: Oficjalna witryna Rady Standardów Bezpieczeństwa PCI.
Aby skonfigurować identyfikator Entra firmy Microsoft w celu zachowania zgodności z standardem PCI-DSS, zobacz następujące artykuły.
- Microsoft Entra PCI-DSS guidance (Wskazówki dotyczące rozwiązania Microsoft Entra PCI-DSS)
- Wymaganie 1: Instalowanie i obsługa mechanizmów kontroli zabezpieczeń sieci
- Wymaganie 2: Stosowanie bezpiecznych konfiguracji do wszystkich składników systemowych (jesteś tutaj)
- Wymaganie 5. Ochrona wszystkich systemów i sieci przed złośliwym oprogramowaniem
- Wymaganie 6. Opracowywanie i utrzymywanie bezpiecznych systemów i oprogramowania
- Wymaganie 7. Ograniczanie dostępu do składników systemowych i danych posiadaczy kart według potrzeb biznesowych
- Wymaganie 8. Identyfikowanie użytkowników i uwierzytelnianie dostępu do składników systemu
- Wymaganie 10: Rejestrowanie i monitorowanie całego dostępu do składników systemowych i danych karty
- Wymaganie 11: Regularne testowanie zabezpieczeń systemów i sieci
- Microsoft Entra PCI-DSS Multi-Factor Authentication guidance (Wskazówki dotyczące uwierzytelniania wieloskładnikowego firmy Microsoft Entra PCI-DSS)