Freigeben über


Microsoft Entra ID und PCI-DSS-Anforderung 6

Anforderung 6: Entwickeln und Verwalten sicherer Systeme und Software
Anforderungen des definierten Ansatzes

6.1 Prozesse und Mechanismen zum Entwickeln und Warten sicherer Systeme und Software werden definiert und verstanden.

Anforderungen des durch PCI DSS definierten Ansatzes Leitfaden und Empfehlungen für Microsoft Entra
6.1.1 Alle Sicherheitsrichtlinien und Betriebsabläufe, die in Anforderung 6 identifiziert werden, sind:
Dokumentiert
Auf dem neuesten Stand
In Gebrauch
Allen Betroffenen bekannt
Verwenden Sie die hierin enthaltenen Anleitungen und Links zum Erstellen der Dokumentation, um die Anforderungen basierend auf Ihrer Umgebungskonfiguration zu erfüllen.
6.1.2 Rollen und Verantwortlichkeiten für die Durchführung von Aktivitäten in Anforderung 6 werden dokumentiert, zugewiesen und verstanden. Verwenden Sie die hierin enthaltenen Anleitungen und Links zum Erstellen der Dokumentation, um die Anforderungen basierend auf Ihrer Umgebungskonfiguration zu erfüllen.

6.2 Maßgeschneiderte und benutzerdefinierte Software wird sicher entwickelt.

Anforderungen des durch PCI DSS definierten Ansatzes Leitfaden und Empfehlungen für Microsoft Entra
6.2.1 Maßgeschneiderte und benutzerdefinierte Software wird wie folgt sicher entwickelt:
Basierend auf Branchenstandards und/oder Best Practices für die sichere Entwicklung.
Gemäß PCI-DSS (z. B. sichere Authentifizierung und Protokollierung).
Unter Berücksichtigung von Informationssicherheitsproblemen während jeder Phase des Softwareentwicklungslebenszyklus.
Beschaffen und entwickeln Sie Anwendungen, die moderne Authentifizierungsprotokolle verwenden, z. B. OAuth2 und OpenID Connect (OIDC), die sich in Microsoft Entra ID integrieren lassen.
Erstellen Sie Software mithilfe von Microsoft Identity Platform. Bewährte Methoden und Empfehlungen für Microsoft Identity Platform
6.2.2 Softwareentwickler*innen, die an maßgeschneiderter und benutzerdefinierter Software arbeiten, werden mindestens einmal alle 12 Monate wie folgt geschult:
Zur Softwaresicherheit, die für ihre Funktion und ihre Entwicklungssprachen relevant ist.
Einschließlich sicherer Softwareentwurf und sichere Programmiertechniken.
Einschließlich der Verwendung von Tools zum Erkennen von Sicherheitsrisiken in Software, wenn Sicherheitstesttools verwendet werden.
Verwenden Sie die folgende Prüfung, um Kenntnisse der Microsoft Identity Platform nachzuweisen: Prüfung MS-600: Erstellen von Anwendungen und Lösungen mit Microsoft 365 Core Services Bereiten Sie sich mit der folgenden Schulung auf die Prüfung vor: MS-600: Implementieren einer Microsoft-Identität
6.2.3 Maßgeschneiderte und benutzerdefinierte Software wird vor der Freigabe für die Produktion oder Kunden überprüft, um wie folgt potenzielle Sicherheitsrisiken im Code zu identifizieren und zu beheben:
Durch Code Reviews wird sichergestellt, dass der Code gemäß den Richtlinien für das Schreiben von sicherem Code entwickelt wird.
In Code Reviews wird sowohl nach vorhandenen als auch nach neu auftretenden Softwarerisiken gesucht.
Entsprechende Korrekturen werden vor der Veröffentlichung durchgeführt.
Gilt nicht für Microsoft Entra ID.
6.2.3.1 Wenn für maßgeschneiderte und benutzerdefinierte Software vor der Veröffentlichung in der Produktion manuelle Code Reviews durchgeführt werden, werden Codeänderungen von
anderen Personen als dem ursprünglichen Codeautor überprüft, die über Kenntnisse in Codeüberprüfungstechniken und sicheren Programmierpraktiken verfügen.
Codeänderungen werden vor der Veröffentlichung überprüft und vom Management genehmigt.
Gilt nicht für Microsoft Entra ID.
6.2.4 Softwareentwicklungstechniken oder andere Methoden werden definiert und von Softwareentwickler*innen verwendet, um häufige Softwareangriffe und damit verbundene Sicherheitsrisiken in maßgeschneiderter und benutzerdefinierter Software zu verhindern oder zu entschärfen, einschließlich, aber nicht beschränkt auf die Folgenden:
Angriff durch Einschleusung von Befehlen, einschließlich SQL, LDAP, XPath oder andere Befehle, Parameter, Objekt, Fehler oder durch Einschleusung bedingte Fehler.
Angriffe auf Daten und Datenstrukturen, einschließlich Versuchen, Puffer, Zeiger, Eingabedaten oder freigegebene Daten zu manipulieren.
Angriffe auf die Nutzung der Kryptografie, einschließlich Versuchen, schwache, unsichere oder unangemessene kryptografische Implementierungen, Algorithmen, Verschlüsselungssammlungen oder Betriebsmodi auszunutzen.
Angriffe auf Geschäftslogik, einschließlich Versuchen, Anwendungsfeatures und -funktionen durch die Manipulation von APIs, Kommunikationsprotokollen und Kanälen, clientseitigen Funktionen oder anderen System-/Anwendungsfunktionen und -ressourcen zu missbrauchen oder zu umgehen. Dazu gehören XSS (cross-site scripting) und websiteübergreifende Anforderungsfälschung (CSRF).
Angriffe auf Zugriffskontrollmechanismen, einschließlich Versuchen, Identifizierungs-, Authentifizierungs- oder Autorisierungsmechanismen zu umgehen oder zu missbrauchen, oder Versuche, Schwachstellen in der Implementierung solcher Mechanismen auszunutzen.
Angriffe über alle Sicherheitsrisiken mit hohem Risiko, die bei der Identifizierung der Sicherheitsrisiken ermittelt wurden, wie in PCI-DSS-Anforderung 6.3.1 definiert.
Gilt nicht für Microsoft Entra ID.

6.3 Sicherheitsrisiken werden identifiziert und behoben.

Anforderungen des durch PCI DSS definierten Ansatzes Leitfaden und Empfehlungen für Microsoft Entra
6.3.1 Sicherheitsrisiken werden wie folgt identifiziert und verwaltet:
Neue Sicherheitsrisiken werden mithilfe von branchenweit anerkannten Quellen für Informationen zu Sicherheitsrisiken identifiziert, einschließlich Warnungen von internationalen und nationalen/regionalen Computer-Notfallteams (CERTs).
Sicherheitsrisiken wird basierend auf Best Practices der Branche und unter Berücksichtigung potenzieller Auswirkungen eine Risikoeinstufung zugewiesen.
In der Risikoeinstufung sollten mindestens alle Sicherheitsrisiken identifiziert werden, die als „hohes Risiko“ für die Umgebung betrachtet werden.
Sicherheitsrisiken für maßgeschneiderte und benutzerdefinierte Software sowie Drittanbietersoftware (z. B. Betriebssysteme und Datenbanken) werden behandelt.
Erfahren Sie mehr über Sicherheitsrisiken. MSRC | Sicherheits-Updates, Leitfaden für Sicherheitsupdates
6.3.2 Es wird ein Inventar von maßgeschneiderter und benutzerdefinierter Software sowie Softwarekomponenten von Drittanbietern, die in maßgeschneiderte und benutzerdefinierte Software integriert sind, geführt, um die Verwaltung von Sicherheitsrisiken und Patches zu erleichtern. Generieren Sie für das Inventar Berichte für Anwendungen, die Microsoft Entra ID für die Authentifizierung verwenden. applicationSignInDetailedSummary Ressourcentyp
Anwendungen, die in Unternehmensanwendungen aufgeführt sind
6.3.3 Alle Systemkomponenten werden vor bekannten Sicherheitsrisiken geschützt, indem entsprechende Sicherheitspatches/Updates wie folgt installiert werden:
Kritische oder hochsicherheitsrelevante Patches/Updates (identifiziert gemäß dem Risikoeinstufungsprozess unter Anforderung 6.3.1) werden innerhalb eines Monats nach der Veröffentlichung installiert.
Alle anderen anwendbaren Sicherheitspatches/Updates werden innerhalb eines angemessenen Zeitraums installiert, der von der Entität festgelegt wird (z. B. innerhalb von drei Monaten nach der Veröffentlichung).
Gilt nicht für Microsoft Entra ID.

6.4 Öffentlich zugängliche Webanwendungen werden vor Angriffen geschützt.

Anforderungen des durch PCI DSS definierten Ansatzes Leitfaden und Empfehlungen für Microsoft Entra
6.4.1 Bei öffentlich zugänglichen Webanwendungen werden ständig neue Bedrohungen und Sicherheitsrisiken behoben, und diese Anwendungen werden wie folgt vor bekannten Angriffen geschützt: Überprüfen öffentlicher Webanwendungen mithilfe manueller oder automatisierter Tools oder Methoden zur Sicherheitsrisikobewertung von Anwendungen auf folgende Weise:
– Mindestens alle 12 Monate und nach signifikanten Änderungen.
– Von einer Entität, die auf Anwendungssicherheit spezialisiert ist.
– Mindestens einschließlich aller gängigen Softwareangriffe aus Anforderung 6.2.4.
– Alle Sicherheitsrisiken werden gemäß Anforderung 6.3.1 eingestuft.
– Alle Sicherheitsrisiken werden behoben.
– Die Anwendung wird nach den Korrekturen erneut bewertet
ODER
es wird eine automatisierte technische Lösung installiert, um webbasierte Angriffe wie folgt fortlaufend zu erkennen und zu verhindern:
– Sie wird vor öffentlich zugänglichen Webanwendungen installiert, um webbasierte Angriffe zu erkennen und zu verhindern.
– Sie wird aktiv ausgeführt und nach Bedarf auf dem neuesten Stand gehalten.
– Sie generiert Überwachungsprotokolle.
– Sie wird konfiguriert, um webbasierte Angriffe zu blockieren oder eine Warnung zu generieren, die sofort untersucht wird.
Gilt nicht für Microsoft Entra ID.
6.4.2 Für öffentlich zugängliche Webanwendungen wird eine automatisierte technische Lösung bereitgestellt, die webbasierte Angriffe kontinuierlich erkennt und verhindert und mindestens folgende Merkmale aufweist:
Wird vor öffentlich zugänglichen Webanwendungen installiert und ist so konfiguriert, dass webbasierte Angriffe erkannt und verhindert werden.
Sie wird aktiv ausgeführt und auf dem neuesten Stand gehalten.
Sie generiert Überwachungsprotokolle.
Sie wird konfiguriert, um webbasierte Angriffe zu blockieren oder eine Warnung zu generieren, die sofort untersucht wird.
Gilt nicht für Microsoft Entra ID.
6.4.3 Alle Zahlungsseitenskripts, die im Browser des Kunden geladen und ausgeführt werden, werden wie folgt verwaltet:
Es wird eine Methode implementiert, um zu bestätigen, dass jedes Skript autorisiert ist.
Es wird eine Methode implementiert, um die Integrität jedes Skripts sicherzustellen.
Es wird ein Inventar aller Skripts mit schriftlicher Begründung geführt, warum die einzelnen Skripts erforderlich sind.
Gilt nicht für Microsoft Entra ID.

6.5 Änderungen an allen Systemkomponenten werden sicher verwaltet.

Anforderungen des durch PCI DSS definierten Ansatzes Leitfaden und Empfehlungen für Microsoft Entra
6.5.1 Änderungen an allen Systemkomponenten in der Produktionsumgebung erfolgen nach festgelegten Verfahren, die Folgendes umfassen:
Grund und Beschreibung der Änderung.
Dokumentation der Sicherheitsauswirkungen.
Dokumentierte Genehmigung der Änderungen durch autorisierte Parteien.
Tests, um zu überprüfen, ob sich die Änderung negativ auf die Systemsicherheit auswirkt.
Bei maßgeschneiderten und benutzerdefinierten Softwareänderungen werden alle Updates auf Konformität mit Anforderung 6.2.4 getestet, bevor sie in der Produktion bereitgestellt werden.
Verfahren, um Fehler zu beheben und zu einem sicheren Zustand zurückzukehren.
Schließen Sie Änderungen an der Microsoft Entra-Konfiguration in den Änderungssteuerungsprozess ein.
6.5.2 Nach Abschluss einer wichtigen Änderung wird bestätigt, dass alle geltenden PCI-DSS-Anforderungen auf allen neuen oder geänderten Systemen und Netzwerken erfüllt sind, und die Dokumentation wird gegebenenfalls aktualisiert. Gilt nicht für Microsoft Entra ID.
6.5.3 Präproduktionsumgebungen werden von Produktionsumgebungen getrennt, und die Trennung wird durch Zugriffssteuerungen erzwungen. Ansätze zur Trennung von Präproduktions- und Produktionsumgebungen basieren auf den Anforderungen der Organisation. Ressourcenisolation in einem einzelnen Mandanten
Ressourcenisolation mit mehreren Mandanten
6.5.4 Rollen und Funktionen werden zwischen Produktions- und Präproduktionsumgebungen getrennt, um Verantwortlichkeit zu gewährleisten, sodass nur überprüfte und genehmigte Änderungen bereitgestellt werden. Erfahren Sie mehr über privilegierte Rollen und dedizierte Präproduktionsmandanten. Best Practices für Microsoft Entra-Rollen
6.5.5 Live-PANs werden nur dann in Präproduktionsumgebungen verwendet, wenn diese Umgebungen in der CDE enthalten sind und gemäß allen geltenden PCI-DSS-Anforderungen geschützt werden. Gilt nicht für Microsoft Entra ID.
6.5.6 Testdaten und Testkonten werden aus Systemkomponenten entfernt, bevor das System in die Produktion geht. Gilt nicht für Microsoft Entra ID.

Nächste Schritte

Die Anforderungen des Datensicherheitsstandards der Zahlungskartenbranche (Payment Card Industry Data Security Standard, PCI-DSS) 3, 4, 9 und 12 gelten nicht für Microsoft Entra ID. Daher gibt es keine entsprechenden Artikel. Alle Anforderungen finden Sie auf pcisecuritystandards.org: Offizielle Website des PCI Security Standards Council.

Informationen zum Konfigurieren von Microsoft Entra ID zur Einhaltung der PCI-DSS-Anforderungen finden Sie in den folgenden Artikeln.