Microsoft Entra PCI-DSS 指導
支付卡產業安全標準委員會 (PCI SSC) 負責開發和推廣資料安全性標準和資源,包括支付卡產業資料安全性標準 (PCI-DSS),以確保付款交易的安全性。 若要達到 PCI 合規性,使用 Microsoft Entra ID 的組織可以參考本文件中的指導。 不過,組織有責任確保其 PCI 合規性。 其 IT 小組、SecOps 小組及解決方案架構設計人員負責建立和維護安全系統、產品及網路,以操控、處理及儲存付款卡資訊。
雖然 Microsoft Entra ID 有助於符合一些 PCI-DSS 控制需求,並提供新式身分識別和持卡人資料環境存取通訊協定 (CDE) 資源,但它不應該是保護持卡人資料的唯一機制。 因此,請檢閱本文件組和所有 PCI-DSS 需求,以建立可保留客戶信任的完整安全性計畫。 如需完整的需求清單,請瀏覽官方 PCI 安全性標準委員會網站,網址為 pcisecuritystandards.org:官方 PCI 安全性標準委員會網站
控制的 PCI 需求
全球 PCI-DSS v4.0 會建立保護帳戶資料的技術和操作標準的基準。 它「旨在鼓勵和增強支付卡帳戶資料安全性,並促進全球廣泛採用一致的資料安全措施。 它提供保護帳戶資料技術和作業的需求基準。 雖然其設計目的是要專注於具有付款卡帳戶資料的環境,但PCI-DSS 也可以用來防範威脅,並保護付款生態系統中的其他元素。」
Microsoft Entra 設定和 PCI-DSS
本文件是負責管理身分識別和存取管理 (IAM) 且符合支付卡產業資料安全性標準 (PCI DSS) Microsoft Entra ID 的技術與商務領導者的完整指南。 依照本文件中概述的主要需求、最佳做法及方法,組織可以降低 PCI 不符合規範的範圍、複雜度及風險,同時提升安全性最佳做法和標準合規性。 本文件中提供的指導旨在協助組織以符合必要 PCI DSS 需求的方式設定 Microsoft Entra ID,並提升有效的 IAM 做法。
技術和商務領導者可以使用下列指導,以 Microsoft Entra ID 履行身分識別和存取管理 (IAM) 的責任。 如需其他 Microsoft 工作負載中 PCI-DSS 的詳細資訊,請參閱 Microsoft 雲端安全性效能評定 (v1) 概觀。
PCI-DSS 需求和測試程式包含 12 個主要需求,以確保支付卡資訊的安全處理。 這些需求是一個全面的架構,可協助組織保護付款卡交易和保護敏感性持卡人資料。
Microsoft Entra ID 是一項企業身分識別服務,可保護應用程式、系統及資源以支援 PCI-DSS 合規性。 下表列出 PCI 主體需求以及 Microsoft Entra ID 建議的 PCI-DSS 合規性控制措施的連結。
主體 PCI-DSS 需求
PCI-DSS 需求 3、4、9 及 12 不會由 Microsoft Entra ID 解決或符合,因此沒有對應的文章。 若要查看所有需求,請前往 pcisecuritystandards.org:官方 PCI 安全性標準委員會網站。
| PCI 資料安全性標準 - 高階概觀 | Microsoft Entra ID 建議的 PCI-DSS 控制 |
|---|---|
| 組建和維護安全網路與系統 | 1.安裝和維護網路安全性控制 措施 2。將安全設定套用至所有系統元件 |
| 保護帳戶資料 | 3.保護儲存的帳戶資料 4。 在透過公用網路傳輸期間,使用強式加密保護持卡人資料 |
| 弱點維修管理程式 | 5.保護所有系統和網路免於惡意軟體 6。開發和維護安全系統和軟體 |
| 實作強式存取控制量值 | 7.依商務需要限制 系統元件和持卡人數據的存取 8。識別和驗證系統元件 9的存取權。 限制對系統元件和持卡人資料的實體存取 |
| 定期監視和測試網路 | 10.記錄和監視系統元件和持卡人數據 11 的所有存取權。定期測試系統與網路的安全性 |
| 維護資訊安全性原則 | 12 個。透過組織原則和計畫支援資訊安全 |
PCI-DSS 適用性
PCI-DSS 適用於儲存、處理或傳輸持卡人資料 (CHD) 和/或敏感性驗證資料的組織 (SAD)。 這些資料元素會視為一起,稱為帳戶資料。 PCI-DSS 為影響持卡人資料環境 (CDE) 的組織提供安全性指導方針和需求。 保護 CDE 的實體可確保客戶付款資訊的機密性和安全性。
CHD 包含:
- 永久帳戶號碼 (PAN) - 識別簽發者和持卡人帳戶的唯一付款卡號碼 (信用卡、轉帳或預付卡等)
- 持卡人名稱 – 卡片擁有者
- 卡片到期日 – 卡片到期日和月份
- 服務代碼 - 磁條中的三位數或四位數值,緊接著追蹤資料上付款卡的到期日。 它會定義服務屬性、區分國際與國家/地區交換或識別使用限制。
SAD 包含用來驗證持卡人和/或授權付款卡交易的安全性相關資訊。 SAD 包含,但不限於:
- 完整軌道資料 - 磁條或晶片對等項目
- 卡片驗證碼/值 - 也稱為卡片驗證碼 (CVC) 或值 (CVV)。 這是付款卡正面或背面的三位數或四位數值。 它也稱為 CAV2、CVC2、CVN2、CVV2 或 CID,由參與付款品牌 (PPB) 決定。
- PIN - 個人識別碼
- PIN 區塊 - 在轉帳或信用卡交易中使用的 PIN 加密表示法。 它可確保交易期間機密資訊的安全傳輸
保護 CDE 對於客戶付款資訊的安全性和機密性至關重要,並有助於:
- 保留客戶信任 - 客戶預期其付款資訊會安全地處理並保密。 如果公司遇到導致客戶付款資料遭竊的資料外洩,可能會降低客戶對公司的信任,並造成信譽損害。
- 遵守規定 - 處理信用卡交易的公司必須符合 PCI-DSS。 不符合規定會導致罰款、法律責任及信譽損害。
- 財務風險降低 -資料外洩具有重大財務影響,包括法院調查的成本、法律費用,以及受影響客戶的賠償。
- 商務持續性 - 資料外洩會中斷商務營運,並可能會影響信用卡交易流程。 此案例可能會導致營收、營運中斷及信譽損害。
PCI 稽核範圍
PCI 稽核範圍與記憶體、處理或傳輸 CHD 和/或 SAD 中的系統、網路及流程有關。 如果在雲端環境中儲存、處理或傳輸帳戶資料,PCI-DSS 會套用至該環境,且合規性通常涉及雲端環境的驗證及其使用方式。 PCI 稽核的範圍中有五個基本元素:
- 持卡人資料環境 (CDE) - CHD 和/或 SAD 儲存、處理或傳輸的區域。 它包含連絡 CHD 的組織元件,例如網路和網路元件、資料庫、伺服器、應用程式及付款終端。
- 人員 -具有 CDE 的存取權,例如員工、承包商及第三方服務提供者,都在 PCI 稽核的範圍內。
- 流程 -涉及 CHD,例如任何格式的授權、驗證、加密及帳戶資料的記憶體,都在 PCI 稽核的範圍內。
- 技術 - 處理、儲存或傳輸 CHD,包括印表機等硬體,以及掃描、列印和傳真的多功能裝置、電腦、膝上型電腦工作站、系統管理工作站、平板電腦與行動裝置、軟體及其他 IT 系統等使用者裝置,都在 PCI 稽核的範圍內。
- 系統元件 – 這些元件可能不會儲存、處理或傳輸 CHD/SAD,但對儲存、處理或傳輸 CHD/SAD 的系統元件具有不受限制的連線,或可能會影響 CDE 的安全性。
如果 PCI 範圍最小化,組織可以有效地降低安全性事件的影響,並降低資料外洩的風險。 分割對於降低 PCI CDE 大小來說可能是一個寶貴的策略,因而降低組織的合規性成本和整體優點,包括但不限於:
- 成本節省 - 藉由限制稽核範圍,組織可減少進行稽核的時間、資源及費用,進而節省成本。
- 降低風險暴露 - 較小的 PCI 稽核範圍可降低與處理、儲存及傳輸持卡人資料相關的潛在風險。 如果受限於稽核的系統、網路及應用程式數目有限,組織會專注於保護其重要資產並降低其風險暴露。
- 簡化合規性 - 縮小稽核範圍可讓 PCI-DSS 合規性更容易管理和簡化。 結果更有效率的稽核、較少的合規性問題,以及產生不符合規範的處罰風險降低。
- 改善的安全性狀態 - 系統與程式子集合較小,組織會有效率地配置安全性資源和工作。 結果是更強大的安全性狀態,因為安全性小組專注於保護重要資產,並以有針對性且有效的方式識別弱點。
減少 PCI 稽核範圍的策略
組織的 CDE 定義決定 PCI 稽核範圍。 組織會記錄此定義,並將此定義傳達給執行稽核的 PCI-DSS 合格安全性評估者 (QSA)。 QSA 會評估 CDE 的控制,以判斷合規性。 遵循 PCI 標準並使用有效風險降低可協助企業保護客戶個人和財務資料,以維持其作業的信任。 下一節概述降低 PCI 稽核範圍風險的策略。
語彙基元化
Token 化是資料安全性技術。 使用 Token 化 來取代敏感性資訊,例如信用卡號碼,以儲存並用於交易的唯一權杖,而不公開敏感性資料。 權杖可減少 PCI 稽核的範圍,以符合下列需求:
- 需求 3:保護儲存的帳戶資料
- 需求 4:在透過開放、公用網路傳輸期間,使用強式加密保護持卡人資料
- 需求 9:限制對持卡人資料的實體存取
- 需求 10:記錄和監視系統元件和持卡人資料的所有存取權。
使用雲端式處理方法時,請考慮敏感資料和交易的相關風險。 若要降低這些風險,建議您實作相關的安全性措施和應變計畫,以保護資料並防止交易中斷。 最佳做法是使用付款 Token 化 作為解密資料的方法,並可能降低 CDE 的使用量。 使用付款Token 化,敏感性資料會取代為唯一識別碼,以降低資料竊取的風險,並限制 CDE 中敏感性資訊暴露的風險。
安全 CDE
PCI-DSS 需要組織維護安全的 CDE。 透過有效設定的 CDE,企業可以降低其風險暴露,並降低內部部署和雲端環境的相關成本。 這種方法有助於將 PCI 稽核的範圍降到最低,讓您更容易且更具成本效益地示範標準合規性。
若要設定 Microsoft Entra ID 來保護 CDE:
- 針對使用者使用無密碼認證:Windows Hello 企業版、FIDO2 安全性金鑰及 Microsoft Authenticator 應用程式
- 針對工作負載身分識別使用強認證:Azure 資源的憑證和受控身分識別。
- 視需要將 VPN、遠端桌面及網路存取點等存取技術與 Microsoft Entra ID 整合以進行驗證
- 針對 Microsoft Entra 角色、特殊權限存取群組和 Azure 資源啟用特殊權限身分識別管理和存取權檢閱
- 使用條件式存取原則來強制執行 PCI 需求控制:認證強度、裝置狀態,並根據位置、群組成員資格、應用程式及風險強制執行它們
- 針對 DCE 工作負載使用新式驗證
- 在安全性資訊和事件管理 (SIEM) 中封存 Microsoft Entra 記錄
當應用程式和資源使用 Microsoft Entra ID 進行身分識別和存取管理 (IAM) 時,Microsoft Entra 租用戶位於 PCI 稽核的範圍內,且此處的指導方針適用。 組織必須評估非 PCI 與 PCI 工作負載之間的身分識別和資源隔離需求,以判斷其最佳架構。
深入了解
- 委派管理和隔離式環境的簡介
- 如何使用 Microsoft Authenticator 應用程式
- 什麼是 Azure 資源受控識別?
- 什麼是存取權檢閱?
- 何謂條件式存取?
- 在 Microsoft Entra ID 中稽核記錄
建立責任矩陣
PCI 合規性是處理付款卡交易的實體責任,包括但不限於:
- 商家
- 卡片服務提供者
- 商家服務提供者
- 收購銀行
- 付款處理器
- 支付卡簽發者
- 硬體廠商
這些實體可確保安全地處理支付卡交易,且符合 PCI-DSS 規範。 支付卡交易所涉及的所有實體都有一個角色,可協助確保 PCI 合規性。
Azure PCI DSS 合規性狀態不會針對您在 Azure 上建置或裝載的服務自動轉譯為 PCI-DSS 驗證。 您確定符合 PCI-DSS 需求。
建立持續流程以維護合規性
持續流程需要持續監視和改善合規性狀態。 持續流程維護 PCI 合規性的優點:
- 降低安全性事件和不符合規範的風險
- 改善的資料安全性
- 更符合法規需求
- 提高客戶和利害關係人的信心
透過進行中的流程,組織會有效地回應法規環境中的變更,以及不斷演變的安全性威脅。
- 風險評估 – 進行此流程,以識別信用卡資料弱點和安全性風險。 識別潛在威脅、評估發生的可能性威脅,以及評估業務的潛在影響。
- 安全性意識訓練 - 處理信用卡資料的員工會收到定期的安全性意識訓練,以釐清保護持卡人資料的重要性和採取措施。
- 弱點管理 -進行定期弱點掃描和滲透測試,以識別攻擊者可惡意探索的網路或系統弱點。
- 監視和維護存取控制原則 - 信用卡資料的存取僅限於已授權的個人。 監視存取記錄,以識別未經授權的存取嘗試。
- 事件回應 – 事件回應計畫,可協助安全性小組在涉及信用卡資料的安全性事件期間採取行動。 識別事件原因、包含損毀,並及時還原正常作業。
- 合規性監視 - 然後進行稽核,以確保持續符合 PCI-DSS 需求。 檢閱安全性記錄、定期進行原則檢閱,並確保系統元件已正確設定和維護。
實作共用基礎結構的強式安全性
一般而言,Azure 之類的 Web 服務具有共用基礎結構,其中客戶資料可能會儲存在相同的實體伺服器或資料存放裝置上。 此案例會建立未經授權的客戶存取其未擁有的資料風險,以及以共用基礎結構為目標的惡意執行者的風險。 Microsoft Entra 安全性功能有助於降低與共用基礎結構相關聯的風險:
- 支援新式驗證通訊協定的網路存取技術的使用者驗證:虛擬私人網路 (VPN)、遠端桌面及網路存取點。
- 根據使用者內容、裝置、位置及風險等訊號強制執行強式驗證方法和裝置合規性的存取控制原則。
- 條件式存取提供身分識別驅動控制平面,並將訊號結合在一起,以做出決策並強制執行組織原則。
- 特殊權限角色控管 - 存取權檢閱、Just-In-Time (JIT) 啟用等。
深入瞭解:什麼是條件式存取?
資料落地
PCI-DSS 未列舉信用卡資料儲存的特定地理位置。 不過,它需要持卡人資料安全地儲存,這可能包括地理限制,視組織的安全性和法規需求而定。 不同的國家和地區都有資料保護和隱私權法。 請洽詢法律或合規性顧問,以判斷適用的資料落地需求。
深入瞭解: Microsoft Entra ID 和資料落地
第三方安全性風險
不符合 PCI 規範的第三方提供者會對 PCI 合規性造成風險。 定期評估及監視第三方廠商和服務提供者,以確保它們維持必要的控制,以保護持卡人資料。
資料落地中 Microsoft Entra 特性和功能有助於降低與第三方安全性相關聯的風險。
記錄和監視
實作精確的記錄和監視,以及時偵測及回應安全性事件。 Microsoft Entra ID 可協助管理 PCI 合規性與稽核和活動記錄,以及可與 SIEM 系統整合的報告。 Microsoft Entra ID 具有角色型存取控制 (RBAC) 和 MFA,以保護敏感性資源、加密及威脅防護功能的存取,以保護組織免於未經授權的存取和資料竊取。
深入了解:
多應用程式環境:CDE 外部主機
PCI-DSS 可確保接受、處理、儲存或傳輸信用卡資訊的公司會維護安全的環境。 在 CDE 外部裝載會帶來風險,例如:
- 存取控制和身分識別管理不佳可能會導致未經授權存取敏感性資料和系統
- 安全性事件的記錄和監視不足會妨礙偵測及回應安全性事件
- 加密和威脅防護不足會增加資料竊取和未經授權的存取風險
- 不良或沒有使用者的安全性意識和訓練可能會導致可避免的社交工程攻擊,例如網路釣魚
下一步
PCI-DSS 需求 3、4、9 及 12 不適用於 Microsoft Entra ID,因此沒有對應的文章。 若要查看所有需求,請前往 pcisecuritystandards.org:官方 PCI 安全性標準委員會網站。
若要設定 Microsoft Entra ID 以符合 PCI-DSS,請參閱下列文章。