Microsoft Entra PCI-DSS 指南
支付卡行业安全标准委员会(PCI SSC)负责开发和推广数据安全标准和资源(包括支付卡行业数据安全标准(PCI-DSS)),从而确保支付交易的安全性。 要实现 PCI 合规性,使用 Microsoft Entra ID 的组织可以参考本文档中的指南。 但是,组织有责任确保 PCI 合规性。 他们的 IT 团队、SecOps 团队和解决方案架构师负责创建和维护用于处理和存储支付卡信息的安全系统、产品和网络。
虽然 Microsoft Entra ID 有助于满足一些 PCI-DSS 控制要求,并为持卡人数据环境 (CDE) 资源提供新式身份验证和访问控制协议,但它不应是保护持卡人数据的唯一机制。 因此,请查看本文档集和所有 PCI-DSS 要求以创建全面的安全计划,从而维持客户信任。 有关完整的要求列表,请访问 PCI 安全标准委员会官方网站 pcisecuritystandards.org:PCI 安全标准委员会官方网站
控制的 PCI 要求
全球 PCI-DSS v4.0 建立了保护帐户数据的技术和操作标准的基线。 它“旨在鼓励和增强支付卡帐户数据安全,并推动在全球范围内广泛采用一致的数据安全措施。 它提供旨在保护帐户数据的技术和操作要求基线。 虽然 PCI-DSS 的设计重点是支付卡帐户数据的环境,但它也可用于防范威胁并保护支付生态系统中的其他元素。”
Microsoft Entra 配置和 PCI-DSS
本文档为负责按照支付卡行业数据安全标准 (PCI DSS),使用 Microsoft Entra ID 管理标识和访问管理 (IAM) 的技术和业务领导者提供了全面的指南。 通过遵循本文档中所述的关键要求、最佳做法和方法,组织可以降低 PCI 违规的范围、复杂性和风险,同时推广安全性最佳做法并提高标准合规性。 本文档中提供的指南旨在帮助组织以符合必要的 PCI DSS 要求并推广有效 IAM 做法的方式配置 Microsoft Entra ID。
技术和业务领导者可以使用以下指南以通过 Microsoft Entra ID 履行标识和访问管理 (IAM) 的责任。 有关其他 Microsoft 工作负载中的 PCI-DSS 的详细信息,请参阅 Microsoft 云安全基准(v1)概述 。
PCI-DSS 要求和测试过程包括 12 个主要要求,这些要求可确保安全处理支付卡信息。 这些要求共同构成全面的框架,可帮助组织保护支付卡交易和敏感的持卡人数据。
Microsoft Entra ID 是一项企业标识服务,可保护应用程序、系统和资源,从而支持 PCI-DSS 合规性。 下表包含 PCI 主要要求和指向 Microsoft Entra ID 推荐的 PCI-DSS 合规性控制措施的链接。
主要的 PCI-DSS 要求
Microsoft Entra ID 未解决或不满足 PCI-DSS 要求 3、4、9 和 12,因此没有相应的文章。 要查看所有要求,请转到 pcisecuritystandards.org:PCI 安全标准委员会官方网站。
| PCI 数据安全标准 - 高级概述 | Microsoft Entra ID 推荐的 PCI-DSS 控件 |
|---|---|
| 构建和维护安全的网络和系统 | 1.安装并维护网络安全控件 2.将安全配置应用于所有系统组件 |
| 保护帐户数据 | 3. 保护存储的帐户数据 4. 在通过公用网络传输期间使用强加密保护持卡人数据 |
| 维护漏洞管理程序 | 5.保护所有系统和网络免受恶意软件侵害 6.开发和维护安全系统及软件 |
| 实施强访问控制措施 | 7.按业务须知限制对系统组件和持卡人数据的访问 8.识别对系统组件的访问并对其进行身份验证 9. 限制对系统组件和持卡人数据的物理访问 |
| 定期监视和测试网络 | 10.记录和监视对系统组件和持卡人数据的所有访问 11.定期测试系统和网络的安全性 |
| 维护信息安全策略 | 12. 通过组织策略和计划支持信息安全 |
PCI-DSS 适用性
PCI DSS 适用于存储、处理或传输持卡人数据(CHD)和/或敏感的身份验证数据(SAD)的组织。 这些数据元素共同被视为帐户数据。 PCI-DSS 为影响持卡人数据环境(CDE)的组织提供了安全准则和要求。 保护 CDE 的实体可确保客户支付信息的机密性和安全性。
CHD 包括:
- 主帐号(PAN) - 唯一的支付卡号(信用卡、借记卡或预付卡等),用于识别颁发者和持卡人帐户
- 持卡人姓名 - 卡所有者
- 卡到期日期 - 卡到期日期和月份
- 服务代码 - 磁条中的三位数或四位数值,位于磁道数据上支付卡到期日期之后。 它定义服务属性,区分国际和国家/地区交换,或确定使用量限制。
SAD 包含用于对持卡人进行身份验证和/或授权支付卡交易的安全相关信息。 SAD 包括但不限于:
- 全磁道数据 - 磁条或等效芯片
- 信用卡验证码/值 - 也称为信用卡验证码(CVC),或信用卡验证值(CVV)。 它是支付卡正面或背面的三位数或四位数。 它也称为 CAV2、CVC2、CVN2、CVV2 或 CID,由参与的支付品牌(PPB)确定。
- PIN - 个人身份证号码
- PIN 块 - 借记卡或信用卡交易中使用的 PIN 的加密表示形式。 它可确保交易期间安全传输敏感信息
保护 CDE 对于客户支付信息的安全性和机密性至关重要,且有助于:
- 维持客户信任 - 客户希望支付信息得到安全处理和保密。 如果公司遇到导致客户支付数据被盗的数据泄露,可能会降低客户对公司的信任,造成声誉损失。
- 遵守法规 - 处理信用卡交易的公司必须遵守 PCI-DSS。 违反规定会导致罚款、法律责任和由此造成的声誉损失。
- 缓解财务风险 - 数据泄露具有重大的财务影响,包括取证调查成本、法律费用和对受影响客户的赔偿。
- 业务连续性 - 数据泄露会中断业务运营,并可能影响信用卡交易流程。 这种情况可能会导致收入损失、运营中断和声誉损失。
PCI 审核范围
PCI 审核范围涉及存储、处理或传输 CHD 和/或 SAD 中的系统、网络和流程。 如果在云环境中存储、处理或传输帐户数据,PCI-DSS 适用于该环境,且合规性通常涉及验证云环境及其使用量。 PCI 审核的范围有五个基本要素:
- 持卡人数据环境(CDE) - 存储、处理或传输 CHD 和/或 SAD 的区域。 它包括接触 CHD 的组织组件,例如网络、网络组件、数据库、服务器、应用程序和支付终端。
- 有权访问 CDE 的人员 - 例如员工、承包商和第三方服务提供商,都在 PCI 审核范围内。
- 涉及 CHD 的流程 - 例如授权、身份验证、加密和存储任何格式的帐户数据,都在 PCI 审核范围内。
- 处理、存储或传输 CHD 的技术 - 包括打印机等硬件、多功能设备(扫描、打印和传真)、计算机、笔记本电脑工作站、管理工作站、平板电脑和移动设备、软件和其他 IT 系统等最终用户设备,都在 PCI 审核范围内。
- 系统组件 – 它们可能不存储、处理或传输 CHD/SAD,但与存储、处理或传输 CHD/SAD 的系统组件建立了不受限制的连接,或者可能影响 CDE 安全性。
如果 PCI 范围最小化,组织可以有效降低安全事件的影响和数据泄露的风险。 分段可以成为减小 PCI CDE 大小的宝贵策略,从而降低合规性成本并为组织带来整体效益,包括但不限于:
- 节省成本 - 通过限制审核范围,组织可减少进行审核的时间、资源和费用,从而节省成本。
- 减少风险暴露 - 较小的 PCI 审核范围可降低与处理、存储和传输持卡人数据相关的潜在风险。 如果受审核的系统、网络和应用程序数量有限,组织可专注于保护关键资产并减少风险暴露。
- 简化合规性 - 缩小审核范围可使 PCI-DSS 合规性更易于管理和简化。 结果是审核效率更高、合规性问题更少,以及招致违规处罚的风险更少。
- 改进安全状况 - 使用较小的系统和流程子集,组织可以高效地分配安全资源和工作。 结果是安全态势提高,因为安全团队专注于保护关键资产,并以有针对性的有效方式识别漏洞。
缩小 PCI 审核范围的策略
组织对其 CDE 的定义确定了 PCI 的审核范围。 组织记录此定义并将其传达给执行审核的 PCI-DSS 合格安全评估员(QSA)。 QSA 评估 CDE 的控制措施以确定合规性。 遵守 PCI 标准并使用有效的风险缓解措施有助于企业保护客户的个人和财务数据,从而维持对其运营的信任。 以下部分概述了在 PCI 审核范围内降低风险的策略。
词汇切分
标记化是一种数据安全技术。 使用标记化将信用卡号等敏感信息替换为存储并用于交易的唯一标记,而不会公开敏感数据。 标记缩小了 PCI 审核的范围,满足以下要求:
- 要求 3 - 保护存储的帐户数据
- 要求 4 - 在通过开放公用网络传输期间使用强加密保护持卡人数据
- 要求 9 - 限制对持卡人数据的物理访问
- 要求 10 - 记录和监视对系统组件和持卡人数据的所有访问
使用基于云的处理方法时,请考虑敏感数据和交易的相关风险。 要缓解这些风险,建议实施相关的安全措施和应急计划,从而保护数据并防止交易中断。 最佳做法是将支付标记化用作解密数据的方法,并可能减少 CDE 的占用情况。 使用支付标记化,敏感数据会替换为唯一标识符,从而降低数据被盗的风险并限制 CDE 中敏感信息的泄露。
保护 CDE
PCI-DSS 要求组织维护 CDE 安全。 使用有效配置的 CDE,企业可以降低风险暴露以及本地和云环境的相关成本。 此方法有助于最小化 PCI 审核范围,使证明符合标准更轻松且更具成本效益。
若要配置 Microsoft Entra ID 来保护 CDE,请执行以下操作:
- 为用户使用无密码凭据:Windows Hello 企业版、FIDO2 安全密钥和 Microsoft Authenticator 应用
- 为工作负载标识使用强凭据:证书和 Azure 资源托管标识。
- 将 VPN、远程桌面和网络接入点等访问技术与 Microsoft Entra ID 集成以进行身份验证(如果适用)
- 为 Microsoft Entra 角色、特权访问组和 Azure 资源启用特权标识管理和访问评审
- 使用条件访问策略强制执行 PCI 要求控制措施:凭据强度、设备状态,并根据位置、组成员身份、应用程序和风险强制执行这些措施
- 对 DCE 工作负载使用新式身份验证
- 在安全信息和事件管理 (SIEM) 系统中存档 Microsoft Entra 日志
如果应用程序和资源使用 Microsoft Entra ID 进行标识和访问管理 (IAM),Microsoft Entra 租户在 PCI 审核范围内,且此处的指南适用。 组织必须评估非 PCI 和 PCI 工作负载之间的标识和资源隔离要求,从而确定最佳体系结构。
了解更多
- 委派管理和隔离环境简介
- 如何使用 Microsoft Authenticator 应用
- 什么是 Azure 资源的托管标识?
- 什么是访问评审?
- 什么是条件访问?
- Microsoft Entra ID 中的审核日志
建立责任矩阵
PCI 合规性是处理支付卡交易的实体的责任,包括但不限于:
- 商家
- 卡服务提供商
- 商家服务提供商
- 收单银行
- 支付处理者
- 支付卡颁发者
- 硬件供应商
这些实体可确保支付卡交易得到安全处理且符合 PCI-DSS。 支付卡交易涉及的所有实体都有帮助确保 PCI 合规性的角色。
对于在 Azure 上生成或托管的服务,Azure PCI DSS 合规性状态不会自动转换为 PCI-DSS 验证。 确保符合 PCI-DSS 要求。
建立持续流程以保持合规性
持续流程需要持续监视和改进合规性状况。 保持 PCI 合规性的持续过程的好处:
- 降低安全事件和违规的风险
- 改进数据安全
- 更好地符合法规要求
- 提高客户和利益干系人的信心
借助持续流程,组织可以有效地应对法规环境的变化和不断演变的安全威胁。
- 风险评估 - 执行此流程以识别信用卡数据漏洞和安全风险。 识别潜在威胁,评估威胁发生的可能性,并评估对业务的潜在影响。
- 安全意识培训 - 处理信用卡数据的员工定期接受安全意识培训,阐明保护持卡人数据的重要性和相关措施。
- 漏洞管理 - 定期进行漏洞扫描和渗透测试,从而识别攻击者可利用的网络或系统弱点。
- 监视和维护访问控制策略 - 对信用卡数据的访问权限仅限于授权的个人。 监视访问日志以识别未经授权的访问尝试。
- 事件响应 - 事件响应计划可帮助安全团队在涉及信用卡数据的安全事件期间采取措施。 确定事件原因、控制损失并及时恢复正常运营。
- 进行合规性监视和审核 - 从而确保持续符合 PCI-DSS 要求。 查看安全日志,定期进行策略评审,并确保准确配置和维护系统组件。
为共享基础结构实施强安全性
通常,Azure 等 Web 服务具有共享基础结构,其中客户数据可能存储在同一物理服务器或数据存储设备上。 这种情况会产生以下风险:未经授权的客户访问不属于他们的数据,恶意行动者针对共享的基础结构。 Microsoft Entra 安全功能有助于缓解与共享基础结构相关的风险:
- 支持新式身份验证协议的网络访问技术的用户身份验证:虚拟专用网络(VPN)、远程桌面和网络接入点。
- 基于用户上下文、设备、位置和风险等信号强制执行强身份验证方法和设备合规性的访问控制策略。
- 条件访问提供标识驱动的控制平面,将信号汇集在一起,从而做出决策并强制执行组织策略。
- 特权角色治理 - 访问评审、实时(JIT)激活等。
详细了解:什么是条件访问?
数据驻留
PCI-DSS 未引用信用卡数据存储的特定地理位置。 但是,它要求安全存储持卡人数据,这可能包括地理限制,具体取决于组织的安全和法规要求。 不同的国家和地区都有数据保护和隐私法律。 请咨询法律或合规性顾问,从而确定适用的数据驻留要求。
第三方安全风险
不符合 PCI 的第三方提供商会对 PCI 合规性造成风险。 定期评估和监视第三方供应商和服务提供商,从而确保他们保持必要的控制措施以保护持卡人数据。
数据驻留 中的 Microsoft Entra 特性和功能有助于缓解与第三方安全相关的风险。
日志记录和监视
实施准确的日志记录和监视,从而及时检测和响应安全事件。 Microsoft Entra ID 有助于通过与 SIEM 系统集成的审核、活动日志和报告管理 PCI 合规性。 Microsoft Entra ID 具有基于角色的访问控制(RBAC)和 MFA 以保护对敏感资源的访问、加密和威胁防护功能,从而保护组织免于未经授权的访问和数据盗窃。
了解详细信息:
多应用程序环境:在 CDE 外部托管
PCI-DSS 可确保接受、处理、存储或传输信用卡信息的公司维持环境安全。 在 CDE 外部托管会带来以下风险:
- 访问控制和标识管理不善可能会导致对敏感数据和系统进行未经授权的访问
- 安全事件的日志记录和监视不足会妨碍对安全事件的检测和响应
- 加密和威胁防护不足会增加数据被盗和未经授权的访问的风险
- 用户安全意识或培训不足或缺乏可能会导致可避免的社会工程攻击(例如网络钓鱼)
后续步骤
PCI-DSS 要求 3、4、9 和 12 不适用于 Microsoft Entra ID,因此没有相应的文章。 若要查看所有要求,请转到 pcisecuritystandards.org:官方 PCI 安全标准委员会网站。
要将 Microsoft Entra ID 配置为符合 PCI-DSS 要求,请参阅以下文章。