Microsoft Entra ID 和 PCI-DSS 需求 6
需求 6:開發及維護安全系統和軟體
定義的方法需求
6.1 定義並瞭解開發和維護安全系統與軟體的程序和機制。
| PCI-DSS 定義的方法需求 | Microsoft Entra 指導和建議 |
|---|---|
| 6.1.1 需求 6 中識別的所有安全策略和作業程序均為: 已記錄 保持最新狀態 使用中 所有受影響的合作方均已知曉 |
使用此處的指導和連結來產生文件,以滿足依據您環境設定的需求。 |
| 6.1.2 需求 6 中執行活動的角色和責任會予以記載、指派及瞭解。 | 使用此處的指導和連結來產生文件,以滿足依據您環境設定的需求。 |
6.2 定製和自訂軟體會以安全的方式進行開發。
| PCI-DSS 定義的方法需求 | Microsoft Entra 指導和建議 |
|---|---|
| 6.2.1 定製和自訂軟體的安全開發,如下所示: 根據業界標準和/或安全開發的最佳做法。 符合 PCI DSS (例如,安全驗證及記錄)。 在軟體開發生命週期的每個階段納入資訊安全問題的考慮。 |
採購並開發使用新式驗證通訊協定的應用程式,例如 OAuth2 和 OpenID Connect (OIDC),其與 Microsoft Entra ID 整合。 使用 Microsoft 身分識別平台建置軟體。 Microsoft 身分識別平台最佳做法和建議 (部分機器翻譯) |
| 6.2.2 從事定製和自訂軟體的軟體開發人員至少每 12 個月訓練一次,如下所示: 與其工作功能和開發語言相關的軟體安全性。 包括安全軟體設計和安全編碼技術。 包括,如果使用安全性測試工具,如何使用工具來偵測軟體中的弱點。 |
使用下列測驗提供 Microsoft 身分識別平台的熟練程度證明:測驗 MS-600:使用 Microsoft 365 核心服務建置應用程式和解決方案使用下列訓練來準備測驗:MS-600:實作Microsoft 身分識別 |
| 6.2.3 定製和自訂軟體,再發行到生產環境或客戶,以識別並更正潛在的編碼弱點,如下所示: 程式碼檢閱可確保程式碼是根據安全的編碼指導方針所開發。 程式代碼檢閱會尋找現有和新興的軟體弱點。 發行前實作適當的修正。 |
不適用於 Microsoft Entra ID。 |
| 6.2.3.1 如果在生產環境發行前針對定製和自訂軟體執行手動程式碼檢閱,則程式碼變更為: 由原始程式碼作者以外的個人檢閱,以及瞭解程式碼檢閱技術和安全編碼做法的人員。 發行前由管理檢閱並核准。 |
不適用於 Microsoft Entra ID。 |
| 6.2.4 軟體工程技術或其他方法是由軟體開發人員定義及使用,以防止或減輕定製和自訂軟體中常見的軟體攻擊和相關弱點,包括但不限於下列各項: 插入式攻擊,包括 SQL、LDAP、XPath 或其他命令,參數、物件、錯誤或插入類型缺陷。 資料與資料結構的攻擊,包括嘗試操作緩衝區、指標、輸入資料或共享資料。 密碼編譯使用攻擊,包括嘗試利用弱點、不安全或不適當的密碼編譯實作、演算法、加密套件或作業模式。 商業規則的攻擊,包括嘗試透過操作 API、通訊協定和通道、用戶端功能或其他系統/應用程式函式和資源來濫用或略過應用程式特性和功能。 這包括跨網站指令碼 (XSS) 和跨網站偽造要求 (CSRF)。 存取控制機制的攻擊,包括嘗試略過或濫用識別、驗證或授權機制,或嘗試利用這類機制實作中的弱點。 透過弱點識別流程中識別的任何「高風險」弱點的攻擊,如需求 6.3.1 中所定義。 |
不適用於 Microsoft Entra ID。 |
6.3 識別並解决安全性弱點。
| PCI-DSS 定義的方法需求 | Microsoft Entra 指導和建議 |
|---|---|
| 6.3.1 安全性弱點的識別和管理方式如下: 使用業界認可的安全性弱點來源來識別安全性弱點資訊,包括來自國際和國家/地區電腦緊急回應小組 (CERT) 的警示。 弱點會根據產業最佳做法和考慮潛在影響來指派風險排名。 風險排名至少可識別視為高風險或對環境至關重要的所有弱點。 定製和自訂的弱點,以及第三方軟體 (例如作業系統和資料庫) 涵蓋。 |
瞭解弱點。 MSRC | 安全性更新、安全性更新指南 |
| 6.3.2 定製和自訂軟體的清查,併入定製和自訂軟體的第三方軟體元件,以利於弱點和修補程式管理。 | 使用 Microsoft Entra ID 來產生應用程式的報告,以進行清查的驗證。 applicationSignInDetailedSummary 資源類型 企業應用程式中所列的應用程式 |
| 6.3.3 所有系統元件都會藉由安裝適用的安全性修補程式/更新來保護已知弱點,如下所示: 重大或高安全性修補程式/更新 (根據需求 6.3.1 的風險排名流程識別) 會在發行後的一個月內安裝。 所有其他適用的安全性修補程式/更新都會在實體決定的適當時間範圍內安裝 (例如,在發行後的三個月內)。 |
不適用於 Microsoft Entra ID。 |
6.4 對外公開的 Web 應用程式受到保護,免受攻擊。
| PCI-DSS 定義的方法需求 | Microsoft Entra 指導和建議 |
|---|---|
| 6.4.1 針對公開的 Web 應用程式、新的威脅及弱點會持續解決,而且這些應用程式會受到已知的攻擊保護,如下所示:透過手動或自動化應用程式弱點安全性評估工具或方法檢閱公開 Web 應用程式,如下所示: – 至少每 12 個月一次,並在重大變更之後檢閱公開 Web 應用程式。 - 專門處理應用程式安全性的實體。 - 在需求 6.2.4 中至少包括所有常見的軟體攻擊。 - 所有弱點都會根據需求 6.3.1 進行排名。 - 所有弱點都已修正。 - 應用程式會在修正 或 安裝持續偵測及防止 Web 型攻擊的自動化技術解決方案之後重新評估,如下所示: - 安裝在公開的 Web 應用程式前面,以偵測及防止 Web 型攻擊。 - 主動執行,並視需要更新。 - 產生稽核記錄。 - 設定為封鎖 Web 型攻擊,或產生立即調查的警示。 |
不適用於 Microsoft Entra ID。 |
| 6.4.2 針對公開的 Web 應用程式,會部署一個自動化的技術解決方案,持續偵測並防止 Web 型攻擊,至少具有下列項目: 安裝在公開 Web 應用程式前面,並設定為偵測及防止 Web 型攻擊。 主動執行,並視需要更新。 產生稽核記錄。 設定為封鎖 Web 型攻擊,或產生立即調查的警示。 |
不適用於 Microsoft Entra ID。 |
| 6.4.3 在取用者瀏覽器中載入並執行的所有付款頁面指令碼,如下所示: 實作 A 方法以確認每個指令碼都已獲得授權。 實作方法以確保每個指令碼的完整性。 所有指令碼的清查都會以書面理由維護,以說明每個指令碼為何是必要的。 |
不適用於 Microsoft Entra ID。 |
6.5 安全地管理對所有系統元件的變更。
| PCI-DSS 定義的方法需求 | Microsoft Entra 指導和建議 |
|---|---|
| 6.5.1 生產環境中所有系統元件的變更都是根據已建立的程序進行,包括: 原因和變更的描述。 安全性影響的文件。 由已授權之合作對象核准的記載變更。 測試以確認變更不會對系統安全性造成負面影響。 針對定製和自訂軟體變更,所有更新都會在部署至生產環境之前測試是否符合需求 6.2.4。 解決失敗並返回安全狀態的程序。 |
在變更控制程式中包含 Microsoft Entra 設定的變更。 |
| 6.5.2 完成重大變更後,所有適用的 PCI-DSS 需求都會在所有新的或已變更的系統與網路上確認就緒,並視需要更新文件。 | 不適用於 Microsoft Entra ID。 |
| 6.5.3 生產前環境會與生產環境分開,並使用存取控制強制執行分隔。 | 根據組織需求來分隔生產前環境與生產環境的方法。 具有多個租用戶的單一租 用戶資源隔離中的資源隔離 |
| 6.5.4 角色和函式會在生產和生產前環境之間分隔,以提供責任,以便只部署已檢閱和核准的變更。 | 瞭解特殊權限角色和專用生產前租用戶。 Microsoft Entra 角色的最佳做法 |
| 6.5.5 Live PAN 不會用於生產前環境中,除非這些環境包含在 CDE 中,並根據所有適用的 PCI-DSS 需求受到保護。 | 不適用於 Microsoft Entra ID。 |
| 6.5.6 測試資料和測試帳戶會在系統進入生產環境之前,從系統元件中移除。 | 不適用於 Microsoft Entra ID。 |
下一步
PCI-DSS 需求 3、4、9 及 12 不適用於 Microsoft Entra ID,因此沒有對應的文章。 若要查看所有需求,請前往 pcisecuritystandards.org:官方 PCI 安全性標準委員會網站。
若要設定 Microsoft Entra ID 以符合 PCI-DSS,請參閱下列文章。