Sdílet prostřednictvím

Doprovodné materiály k Microsoft Entra PCI-DSS

  • Článek

Rada pci SSC (Payment Card Industry Security Standards Council) zodpovídá za vývoj a podporu standardů zabezpečení dat a zdrojů, včetně standardu PCI-DSS (Payment Card Industry Data Security Standard), aby se zajistilo zabezpečení platebních transakcí. Pokud chcete dosáhnout dodržování předpisů PCI, můžou organizace používající ID Microsoft Entra odkazovat na pokyny v tomto dokumentu. Je ale zodpovědností organizací, aby zajistily dodržování předpisů PCI. Jejich IT týmy, týmy SecOps a architekti řešení zodpovídají za vytváření a údržbu zabezpečených systémů, produktů a sítí, které zpracovávají, zpracovávají a ukládají informace o platebních kartách.

I když Microsoft Entra ID pomáhá splňovat některé požadavky na kontrolu PCI-DSS a poskytuje moderní protokoly identit a přístupu pro prostředky datového prostředí karet (CDE), neměl by to být jediný mechanismus pro ochranu dat držitelů karet. Proto si projděte tuto sadu dokumentů a všechny požadavky PCI-DSS na vytvoření komplexního programu zabezpečení, který zachovává důvěru zákazníků. Úplný seznam požadavků najdete na oficiální webové stránce Rady bezpečnostních standardů PCI na pcisecuritystandards.org: Oficiální web Rady bezpečnostních standardů PCI

Požadavky na PCI pro ovládací prvky

Globální PCI-DSS v4.0 vytváří základní hodnoty technických a provozních standardů pro ochranu dat účtů. Byla vyvinuta tak, aby podporovala a zlepšila zabezpečení dat platebních karet a usnadnila široké přijetí konzistentních bezpečnostních opatření pro data v globálním měřítku. Poskytuje základní informace o technických a provozních požadavcích navržených k ochraně dat účtu. I když je navržený tak, aby se zaměřoval na prostředí s daty platebních karet, pcI-DSS lze také použít k ochraně před hrozbami a zabezpečení dalších prvků v ekosystému plateb."

Konfigurace Microsoft Entra a PCI-DSS

Tento dokument slouží jako komplexní průvodce pro technické a obchodní vedoucí pracovníky, kteří zodpovídají za správu správy identit a přístupu (IAM) s Microsoft Entra ID v souladu se standardem PCI DSS (Payment Card Industry Data Security Standard). Podle klíčových požadavků, osvědčených postupů a přístupů popsaných v tomto dokumentu můžou organizace omezit rozsah, složitost a riziko nedodržení předpisů PCI a současně podporovat osvědčené postupy zabezpečení a dodržování standardů. Pokyny uvedené v tomto dokumentu pomáhají organizacím konfigurovat ID Microsoft Entra způsobem, který splňuje nezbytné požadavky PCI DSS a podporuje efektivní postupy IAM.

Technické a obchodní vedoucí pracovníci můžou pomocí následujících doprovodných materiálů plnit odpovědnosti za správu identit a přístupu (IAM) pomocí Microsoft Entra ID. Další informace o PCI-DSS v jiných úlohách Microsoftu najdete v tématu Přehled srovnávacího testu zabezpečení cloudu Microsoftu (v1).

Požadavky a testovací postupy PCI-DSS se skládají z 12 hlavních požadavků, které zajišťují zabezpečené zpracování informací o platebních kartách. Tyto požadavky jsou komplexním rámcem, který organizacím pomáhá zabezpečit transakce platebních karet a chránit citlivá data držitelů karet.

Microsoft Entra ID je služba podnikové identity, která zabezpečuje aplikace, systémy a prostředky pro podporu dodržování předpisů PCI-DSS. Následující tabulka obsahuje hlavní požadavky na PCI a odkazy na doporučené ovládací prvky Microsoft Entra ID pro dodržování předpisů PCI-DSS.

Hlavní požadavky PCI-DSS

Požadavky PCI-DSS 3, 4, 9 a 12 nejsou adresovány ani splněny ID Microsoft Entra, proto neexistují žádné odpovídající články. Pokud chcete zobrazit všechny požadavky, přejděte na pcisecuritystandards.org: oficiální web Rady bezpečnostních standardů PCI.

PcI Data Security Standard – základní přehled Doporučené ovládací prvky PCI-DSS pro Microsoft Entra ID
Sestavování a údržba zabezpečených sítí a systémů 1. Instalace a údržba bezpečnostních prvků
sítě 2. Použití zabezpečených konfigurací u všech systémových komponent
Ochrana dat účtu 3. Chraňte uložená data
účtu 4. Ochrana dat držitelů karet pomocí silné kryptografie během přenosu přes veřejné sítě
Údržba programu pro správu ohrožení zabezpečení 5. Chraňte všechny systémy a sítě před škodlivým softwarem
6. Vývoj a údržba zabezpečených systémů a softwaru
Implementace měr silného řízení přístupu 7. Omezte přístup k systémovým komponentám a datům držitelů karet podle obchodních potřeb znát
8. Identifikujte a ověřte přístup k systémovým komponentám
9. Omezení fyzického přístupu k systémovým komponentám a datům držitelů karet
Pravidelné monitorování a testování sítí 10. Protokolujte a monitorujte veškerý přístup k systémovým komponentám a datům
držitelů karet 11. Pravidelné testování zabezpečení systémů a sítí
Údržba zásad zabezpečení informací 12. Podpora zabezpečení informací pomocí zásad a programů organizace

Použitelnost PCI-DSS

PCI-DSS se vztahuje na organizace, které ukládají, zpracovávají nebo přenášejí data držitelů karet (CHD) nebo citlivá ověřovací data (SAD). Tyto datové prvky, které jsou považované za dohromady, se označují jako data účtu. PCI-DSS poskytuje pokyny a požadavky na zabezpečení pro organizace, které ovlivňují datové prostředí karet (CDE). Entity, které chrání CDE, zajišťují důvěrnost a zabezpečení platebních údajů zákazníka.

CHD se skládá z:

  • Číslo primárního účtu (PAN) – jedinečné číslo platební karty (kreditní, debetní nebo předplacené karty atd.), které identifikuje vystavitele a účet držitele karty
  • Jméno vlastníka karty – vlastník karty
  • Datum vypršení platnosti karty – den a měsíc, kdy platnost karty vyprší
  • Kód služby – tříciferná nebo čtyřciferná hodnota v magnetickém pruhu, která následuje po datu vypršení platnosti platební karty na datech sledování. Definuje atributy služby, liší se mezi mezinárodní a národní nebo regionální výměnou nebo identifikuje omezení použití.

SAD se skládá z informací souvisejících se zabezpečením sloužících k ověřování karet a/nebo autorizace transakcí platebních karet. Sad SAD zahrnuje, ale neomezuje se na:

  • Úplná sledování dat – magnetický pruh nebo ekvivalent čipu
  • Ověřovací kódy/hodnoty karty – označuje se také jako ověřovací kód karty (CVC) nebo hodnota (CVV). Jedná se o třímístnou nebo čtyřcifernou hodnotu na přední nebo zadní straně platební karty. Označuje se také jako CAV2, CVC2, CVN2, CVV2 nebo CID určené zúčastněnými platebními značkami (PPB).
  • PIN – osobní identifikační číslo
    • Bloky PIN – šifrovaná reprezentace KÓDU PIN použitého v debetní nebo kreditní transakci. Zajišťuje zabezpečený přenos citlivých informací během transakce.

Ochrana CDE je nezbytná pro zabezpečení a důvěrnost platebních údajů zákazníků a pomáhá:

  • Zachovat důvěru zákazníků – zákazníci očekávají, že se budou informace o platbách zpracovávat bezpečně a budou důvěrné. Pokud společnost zaznamená porušení zabezpečení dat, které vede k krádeži platebních dat zákazníka, může snížit důvěru zákazníků ve společnosti a způsobit poškození pověsti.
  • V souladu s předpisy - společnosti zpracovávající transakce platební karty jsou vyžadovány, aby byly v souladu s PCI-DSS. Nedodržení předpisů vede k pokutám, právním závazkům a výsledným škodám na pověsti.
  • Zmírnění finančních rizik – porušení zabezpečení dat mají významné finanční účinky, včetně nákladů na forenzní šetření, právní poplatky a kompenzace ovlivněných zákazníků.
  • Kontinuita podnikových procesů – Porušení zabezpečení dat ruší obchodní operace a můžou mít vliv na procesy transakcí platební karty. Tento scénář může vést ke ztrátě výnosů, přerušení provozu a poškození reputace.

Rozsah auditu PCI

Rozsah auditu PCI se vztahuje k systémům, sítím a procesům v úložišti, zpracování nebo přenosu CHD a/nebo SAD. Pokud se data účtu ukládají, zpracovávají nebo přenášejí v cloudovém prostředí, pcI-DSS se na toto prostředí vztahuje a dodržování předpisů obvykle zahrnuje ověření cloudového prostředí a jeho použití. Audit PCI má pět základních prvků:

  • Datové prostředí cardholderu (CDE) – oblast, kde je uložená, zpracovávaná nebo přenášená data CHD nebo SAD. Zahrnuje součásti organizace, které se dotýknou CHD, jako jsou sítě a síťové komponenty, databáze, servery, aplikace a platební terminály.
  • Lidé – s přístupem k CDE, jako jsou zaměstnanci, dodavatelé a poskytovatelé služeb třetích stran, jsou v rozsahu auditu PCI.
  • Procesy , které zahrnují CHD, jako je autorizace, ověřování, šifrování a ukládání dat účtu v libovolném formátu, jsou v rámci auditu PCI.
  • Technologie , která zpracovává, ukládá nebo přenáší CHD, včetně hardwaru, jako jsou tiskárny, a zařízení s více funkcemi, která skenují, tisknout a faxují, zařízení koncových uživatelů, jako jsou počítače, pracovní stanice přenosných počítačů, pracovní stanice pro správu, tablety a mobilní zařízení, software a další IT systémy, jsou v oboru auditu PCI.
  • Systémové komponenty – které nemusí ukládat, zpracovávat nebo přenášet CHD/SAD, ale mají neomezené připojení k systémovým komponentám, které ukládají, zpracovávají nebo přenášejí CHD/SAD, nebo které by mohly ovlivnit zabezpečení CDE.

Pokud je rozsah PCI minimalizován, mohou organizace účinně snížit účinky incidentů zabezpečení a snížit riziko porušení zabezpečení. Segmentace může být cennou strategií pro zmenšení velikosti CDE PCI, což vede ke snížení nákladů na dodržování předpisů a celkových výhod pro organizaci, včetně mimo jiné:

  • Úspora nákladů – omezením rozsahu auditu, zkrácením času, zdrojů a výdajů pro účely auditu, což vede k úsporám nákladů.
  • Menší rozsah auditu PCI snižuje potenciální rizika spojená se zpracováním, ukládáním a přenosem dat držitelů karet. Pokud je počet systémů, sítí a aplikací, na které se vztahuje audit, omezený, organizace se zaměřují na zabezpečení důležitých prostředků a snížení rizika.
  • Zjednodušené dodržování předpisů – zužování rozsahu auditu usnadňuje správu a zjednodušení dodržování předpisů PCI-DSS. Výsledky jsou efektivnější audity, menší počet problémů s dodržováním předpisů a nižší riziko, že dojde k nedodržení sankcí.
  • Vylepšený stav zabezpečení – s menší podmnožinou systémů a procesů, organizace přidělují prostředky zabezpečení a efektivně se snaží. Výsledky jsou silnějším stavem zabezpečení, protože bezpečnostní týmy se zaměřují na zabezpečení důležitých prostředků a identifikaci ohrožení zabezpečení cíleným a efektivním způsobem.

Strategie snížení rozsahu auditu PCI

Definice organizace cde určuje obor auditu PCI. Organizace dokumentují a komunikují tuto definici s kvalifikovaným posouzením zabezpečení PCI-DSS (QSA) provádějícím audit. QSA vyhodnocuje kontroly CDE za účelem určení dodržování předpisů. Dodržování standardů PCI a použití efektivního zmírnění rizik pomáhá podnikům chránit osobní a finanční údaje zákazníků, které udržují důvěru v jejich provoz. Následující část popisuje strategie pro snížení rizika v oboru auditu PCI.

Tokenizace

Tokenizace je technika zabezpečení dat. Pomocí tokenizace můžete nahradit citlivé informace, jako jsou čísla platebních karet, jedinečným tokenem uloženým a používaným pro transakce, aniž byste museli vystavit citlivá data. Tokeny snižují rozsah auditu PCI pro následující požadavky:

  • Požadavek 3 – Ochrana uložených dat účtu
  • Požadavek 4 – Ochrana dat držitelů karet pomocí silné kryptografie během přenosu přes otevřené veřejné sítě
  • Požadavek 9 – Omezení fyzického přístupu k datům držitelů karet
  • Požadavek 10 – Protokolování a monitorování veškerého přístupu k komponentám systémů a datům držitelů karet

Při používání cloudových metodik zpracování zvažte příslušná rizika pro citlivá data a transakce. Pokud chcete tato rizika zmírnit, doporučujeme implementovat příslušná bezpečnostní opatření a plány nepředvídaných událostí, které chrání data a brání přerušení transakcí. Osvědčeným postupem je použití tokenizace plateb jako metodologie k odtřídění dat a potenciálnímu snížení nároků CDE. Při platební tokenizaci se citlivá data nahradí jedinečným identifikátorem, který snižuje riziko krádeže dat a omezuje vystavení citlivých informací v CDE.

Zabezpečení CDE

PCI-DSS vyžaduje, aby organizace udržovaly zabezpečenou službu CDE. Díky efektivní konfiguraci CDE můžou firmy zmírnit rizika a snížit související náklady na místní i cloudová prostředí. Tento přístup pomáhá minimalizovat rozsah auditu PCI, což usnadňuje a nákladově efektivnější předvedení souladu se standardem.

Konfigurace ID Microsoft Entra pro zabezpečení CDE:

  • Použití přihlašovacích údajů bez hesla pro uživatele: Windows Hello pro firmy, klíče zabezpečení FIDO2 a aplikace Microsoft Authenticator
  • Pro identity úloh používejte silné přihlašovací údaje: certifikáty a spravované identity pro prostředky Azure.
    • Integrace přístupových technologií, jako jsou VPN, vzdálená plocha a síťové přístupové body, s ID Microsoft Entra pro ověřování, pokud je to možné
  • Povolení správy privilegovaných identit a kontrol přístupu pro role Microsoft Entra, skupiny privilegovaného přístupu a prostředky Azure
  • Použití zásad podmíněného přístupu k vynucení kontrolních mechanismů požadavků NA PCI: síla přihlašovacích údajů, stav zařízení a jejich vynucení na základě umístění, členství ve skupinách, aplikací a rizik
  • Použití moderního ověřování pro úlohy DCE
  • Archivace protokolů Microsoft Entra v systémech zabezpečení a správy událostí (SIEM)

Pokud aplikace a prostředky používají Microsoft Entra ID pro správu identit a přístupu (IAM), jsou tenanti Microsoft Entra v rozsahu auditu PCI a příslušné pokyny. Aby bylo možné určit nejlepší architekturu, musí organizace vyhodnotit požadavky na identitu a izolaci prostředků mezi úlohami bez PCI a PCI.

Další informace

Vytvoření matice odpovědnosti

Dodržování předpisů PCI je odpovědností entit, které zpracovávají transakce platební karty, včetně mimo jiné:

  • Obchodníci
  • Poskytovatelé služeb karet
  • Poskytovatelé obchodních služeb
  • Získávání bank
  • Zpracovatelé plateb
  • Vydavatelé platebních karet
  • Dodavatelé hardwaru

Tyto entity zajišťují bezpečné zpracování transakcí platební karty a jsou kompatibilní se standardem PCI-DSS. Všechny entity zapojené do transakcí platebních karet mají roli, která pomáhá zajistit dodržování předpisů PCI.

Stav dodržování předpisů Azure PCI DSS se automaticky nepřeloží na ověřování PCI-DSS pro služby, které sestavujete nebo hostujete v Azure. Ujistěte se, že dosáhnete souladu s požadavky PCI-DSS.

Vytvoření průběžných procesů pro zachování dodržování předpisů

Průběžné procesy zahrnují průběžné monitorování a zlepšení stavu dodržování předpisů. Výhody průběžných procesů pro zachování dodržování předpisů PCI:

  • Snížené riziko incidentů zabezpečení a nedodržování předpisů
  • Vylepšené zabezpečení dat
  • Lepší soulad se zákonnými požadavky
  • Vyšší spolehlivost zákazníků a zúčastněných stran

Díky probíhajícím procesům reagují organizace efektivně na změny v regulačním prostředí a neustále se vyvíjejí bezpečnostní hrozby.

  • Posouzení rizik – tento proces proveďte za účelem identifikace ohrožení zabezpečení dat platební karty a bezpečnostních rizik. Identifikujte potenciální hrozby, vyhodnoťte pravděpodobnost výskyty hrozeb a vyhodnoťte potenciální účinky na firmu.
  • Školení k informovanosti o zabezpečení – zaměstnanci, kteří zpracovávají údaje o platebních kartách, obdrží pravidelné školení o povědomí o zabezpečení, aby bylo jasné, jak je důležité chránit data o držitelích karet a opatření k tomu.
  • Správa ohrožení zabezpečení – proveďte pravidelné kontroly ohrožení zabezpečení a penetrační testování za účelem identifikace slabých míst sítě nebo systému zneužitelných útočníky.
  • Monitorování a údržba zásad řízení přístupu – přístup k datům platební karty je omezený na autorizované jednotlivce. Monitorujte protokoly přístupu a identifikujte neoprávněné pokusy o přístup.
  • Reakce na incidenty – plán reakce na incidenty pomáhá bezpečnostním týmům provádět akce během incidentů zabezpečení zahrnujících data platebních karet. Identifikujte příčinu incidentu, obsahují poškození a obnovte normální operace včas.
  • Monitorování dodržování předpisů – a auditování se provádí za účelem zajištění průběžného dodržování požadavků PCI-DSS. Zkontrolujte protokoly zabezpečení, proveďte pravidelné kontroly zásad a ujistěte se, že jsou systémové komponenty přesně nakonfigurované a udržované.

Implementace silného zabezpečení pro sdílenou infrastrukturu

Webové služby, jako je Azure, mají obvykle sdílenou infrastrukturu, ve které se můžou zákaznická data ukládat na stejném fyzickém serveru nebo na datovém úložišti. Tento scénář vytváří riziko neoprávněného přístupu zákazníků k datům, která nevlastní, a riziko škodlivých herců, kteří cílí na sdílenou infrastrukturu. Funkce zabezpečení Microsoft Entra pomáhají zmírnit rizika spojená se sdílenou infrastrukturou:

  • Ověřování uživatelů k technologiím síťového přístupu, které podporují moderní ověřovací protokoly: virtuální privátní síť (VPN), vzdálená plocha a přístupové body sítě.
  • Zásady řízení přístupu, které vynucují silné metody ověřování a dodržování předpisů zařízením na základě signálů, jako je kontext uživatele, zařízení, umístění a riziko.
  • Podmíněný přístup poskytuje řídicí rovinu řízenou identitou a spojuje signály pro rozhodování a vynucování organizačních zásad.
  • Zásady správného řízení privilegovaných rolí – kontroly přístupu, aktivace JIT (just-in-time) atd.

Další informace: Co je podmíněný přístup?

Umístění dat

PCI-DSS cituje žádné konkrétní geografické umístění pro ukládání dat platební karty. Vyžaduje ale bezpečné uložení dat držitelů karet, která můžou zahrnovat geografická omezení v závislosti na požadavcích organizace na zabezpečení a zákonné požadavky. Různé země a oblasti mají zákony o ochraně dat a ochraně osobních údajů. Pokud chcete určit příslušné požadavky na rezidenci dat, obraťte se na právního poradce nebo poradce pro dodržování předpisů.

Další informace: ID Microsoft Entra a rezidence dat

Rizika zabezpečení třetích stran

Nekompatibilní poskytovatel třetí strany, který není kompatibilní s PCI, představuje riziko dodržování předpisů PCI. Pravidelně vyhodnocujte a monitorujte dodavatele třetích stran a poskytovatele služeb, aby zajistili, že udržují požadované kontroly pro ochranu dat držitelů karet.

Funkce a funkce Microsoft Entra v rezidenci dat pomáhají zmírnit rizika spojená se zabezpečením třetích stran.

Protokolování a monitorování

Implementujte přesné protokolování a monitorování, abyste včas detekovali bezpečnostní incidenty a reagovali na ně. Microsoft Entra ID pomáhá spravovat dodržování předpisů PCI s protokoly auditu a aktivit a sestavy, které je možné integrovat se systémem SIEM. Microsoft Entra ID má řízení přístupu na základě role (RBAC) a vícefaktorové ověřování pro zabezpečení přístupu k citlivým prostředkům, šifrování a funkcí ochrany před hrozbami, které chrání organizace před neoprávněným přístupem a krádeží dat.

Další informace:

Prostředí s více aplikacemi: hostitel mimo službu CDE

PCI-DSS zajišťuje, že společnosti, které přijímají, zpracovávají, ukládají nebo přenášejí informace o platebních kartách, udržují zabezpečené prostředí. Hostování mimo CDE představuje například následující rizika:

  • Špatné řízení přístupu a správa identit může vést k neoprávněnému přístupu k citlivým datům a systémům.
  • Nedostatečné protokolování a monitorování událostí zabezpečení brání detekci a reakci na incidenty zabezpečení
  • Nedostatečné šifrování a ochrana před hrozbami zvyšuje riziko krádeže dat a neoprávněného přístupu.
  • Špatné nebo žádné povědomí o zabezpečení a školení pro uživatele můžou vést k tomu, že by se zabránilo útokům na sociální inženýrství, jako je útok phishing.

Další kroky

Požadavky PCI-DSS 3, 4, 9 a 12 se nevztahují na ID Microsoft Entra, proto neexistují žádné odpovídající články. Pokud chcete zobrazit všechny požadavky, přejděte na pcisecuritystandards.org: oficiální web Rady bezpečnostních standardů PCI.

Pokud chcete nakonfigurovat ID Microsoft Entra tak, aby vyhovovalo PCI-DSS, přečtěte si následující články.