Partager via


Microsoft Entra ID et exigence PCI-DSS 1

Exigence 1 : Installer et maintenir des contrôles de sécurité réseau
Exigences d’approche définies

1.1 Les processus et mécanismes destinés à l’installation et la maintenance des contrôles de sécurité réseau sont définis et compris.

Conditions requises d’approche définie par PCI-DSS Aide et recommandations relatives à Microsoft Entra
1.1.1 Toutes les stratégies de sécurité et procédures opérationnelles qui sont identifiées dans l’Exigence 1 sont :
Documentées
Tenues à jour
En place
Connues de toutes les parties concernées
Utilisez l’aide et les liens ci-dessous pour produire la documentation et répondre aux exigences selon la configuration de votre environnement.
1.1.2 Les rôles et responsabilités liés à l’exécution des activités mentionnées dans l’Exigence 1 sont documentés, attribués et compris Utilisez l’aide et les liens ci-dessous pour produire la documentation et répondre aux exigences selon la configuration de votre environnement.

1.2 Des contrôles de sécurité réseau (NSC) sont configurés et maintenus.

Conditions requises d’approche définie par PCI-DSS Aide et recommandations relatives à Microsoft Entra
1.2.1 Les normes de configuration des ensembles de règles NSC sont :
Définies
Implémentées
Maintenues
Intégrez des technologies d’accès telles que le VPN, le Bureau distant et les points d’accès réseau à Microsoft Entra ID pour l’authentification et l’autorisation, si les technologies d’accès prennent en charge une authentification moderne. Assurez-vous que les normes NSC, qui concernent les contrôles liés à l’identité, incluent la définition des stratégies d’accès conditionnel, l’attribution d’application, les révisions d’accès, la gestion des groupes, les stratégies d’informations d’identification, etc. Guide de référence sur les opérations Microsoft Entra
1.2.2 Toutes les modifications apportées aux connexions réseau et aux configurations des NSC sont approuvées et managées conformément au processus de contrôle des modifications défini dans l’Exigence 6.5.1 Non applicable à Microsoft Entra ID.
1.2.3 Un ou plusieurs diagramme précis du réseau sont maintenus et présentent toutes les connexions entre l’environnement de données des titulaires de carte (CDE) et les autres réseaux, notamment tout réseau sans fil. Non applicable à Microsoft Entra ID.
1.2.4 Un ou plusieurs diagrammes de flux de données précis sont maintenus et répondent aux critères suivants :
Affiche tous les flux de données de compte entre les systèmes et les réseaux.
Mis à jour en fonction des besoins lors des modifications apportées à l’environnement.
Non applicable à Microsoft Entra ID.
1.2.5 Tous les services, protocoles et ports autorisés sont identifiés, approuvés et répondent à un besoin métier défini Non applicable à Microsoft Entra ID.
1.2.6 Les fonctionnalités de sécurité sont définies et implémentées sur tous les services, les protocoles et les ports utilisés et considérés comme non sécurisés, de sorte que les risques sont atténués. Non applicable à Microsoft Entra ID.
1.2.7 Les configurations des NSC sont évaluées au moins une fois tous les six mois pour confirmer qu’elles sont pertinentes et efficaces. Utilisez les révisions d’accès Microsoft Entra pour automatiser les révisions et les applications d’appartenance aux groupes, telles que les appliances VPN, qui s’alignent sur les contrôles de sécurité réseau dans votre CDE. Que sont les révisions d’accès ?
1.2.8 Les fichiers de configuration des NSC sont :
Sécurisés contre un accès non autorisé
Cohérents avec les configurations réseau actives
Non applicable à Microsoft Entra ID.

1.3 L’accès réseau vers et à partir de l’environnement de données des titulaires de carte est restreint.

Conditions requises d’approche définie par PCI-DSS Aide et recommandations relatives à Microsoft Entra
1.3.1 Le trafic entrant vers le CDE est restreint comme suit :
Uniquement au trafic nécessaire.
Tout autre trafic est spécifiquement refusé
Utilisez Microsoft Entra ID pour configurer des emplacements nommés et créer des stratégies d’accès conditionnel. Calculez le risque lié à l’utilisateur et la connexion. Microsoft recommande aux clients de remplir et de maintenir les adresses IP CDE à l’aide d’emplacements réseau. Utilisez-les pour définir les exigences de stratégie d’accès conditionnel. Utilisation de la condition d’emplacement dans une stratégie d’accès conditionnel
1.3.2 Le trafic sortant du CDE est restreint comme suit :
Uniquement au trafic nécessaire.
Tout autre trafic est spécifiquement refusé
Pour la conception du NSC, incluez des stratégies d’accès conditionnel pour que les applications autorisent l’accès aux adresses IP CDE.
L’accès d’urgence ou à distance permettant d’établir la connectivité à CDE, comme les appliances de réseau privé virtuel (VPN) et les portails captifs, peut nécessiter des stratégies qui empêchent un verrouillage involontaire. Utiliser la condition d’emplacement dans une stratégie d’accès conditionnel
Gérer les comptes d’accès d’urgence dans Microsoft Entra ID
1.3.3 Les NSC sont installés entre tous les réseaux sans fil et le CDE, que le réseau sans fil soit un CDE ou non, de sorte que :
Tout le trafic sans fil des réseaux sans fil vers le CDE est refusé par défaut.
Seul le trafic sans fil à usage professionnel autorisé est autorisé dans le CDE.
Pour la conception du NSC, incluez des stratégies d’accès conditionnel pour que les applications autorisent l’accès aux adresses IP CDE.
L’accès d’urgence ou à distance permettant d’établir la connectivité à CDE, comme les appliances de réseau privé virtuel (VPN) et les portails captifs, peut nécessiter des stratégies qui empêchent un verrouillage involontaire. Utiliser la condition d’emplacement dans une stratégie d’accès conditionnel
Gérer les comptes d’accès d’urgence dans Microsoft Entra ID

1.4 Les connexions réseau entre les réseaux approuvés et non approuvés sont contrôlées.

Conditions requises d’approche définie par PCI-DSS Aide et recommandations relatives à Microsoft Entra
1.4.1 Les NSC sont implémentés entre des réseaux approuvés et non approuvés. Non applicable à Microsoft Entra ID.
1.4.2 Le trafic entrant des réseaux non approuvés vers des réseaux approuvés est restreint aux :
Communications avec des composants système autorisés à fournir des services, des protocoles et des ports accessibles au public.
Réponses avec état aux communications initiées par des composants système dans un réseau approuvé.
Tout autre trafic est refusé.
Non applicable à Microsoft Entra ID.
1.4.3 Des mesures de lutte contre l’usurpation d’identité numérique sont implémentées pour détecter et empêcher des adresses IP falsifiées de pénétrer sur le réseau approuvé. Non applicable à Microsoft Entra ID.
1.4.4 Les composants système qui stockent les données des titulaires de carte ne sont pas directement accessibles à partir de réseaux non approuvés. En plus des contrôles de la couche de mise en réseau, les applications du CDE utilisant Microsoft Entra ID peuvent utiliser des stratégies d’accès conditionnel. Limitez l’accès aux applications en fonction de l’emplacement. Utilisation de l’emplacement réseau dans une stratégie d’accès conditionnel
1.4.5 La divulgation d’adresses IP internes et d’informations de routage est limitée aux seules parties autorisées. Non applicable à Microsoft Entra ID.

1.5 Les risques pour le CDE liés aux appareils informatiques pouvant se connecter à la fois à des réseaux non approuvés et au CDE sont atténués.

Conditions requises d’approche définie par PCI-DSS Aide et recommandations relatives à Microsoft Entra
1.5.1 Les contrôles de sécurité sont implémentés sur tous les appareils informatiques, notamment les appareils appartenant à l’entreprise et aux employés, qui se connectent à la fois aux réseaux non approuvés (y compris Internet) et au CDE comme suit :
Des paramètres de configuration spécifiques sont définis pour empêcher l’introduction de menaces dans le réseau de l’entité.
Des contrôles de sécurité sont en cours d’exécution active.
Les contrôles de sécurité ne peuvent pas être modifiés par les utilisateurs des appareils informatiques, sauf s’ils sont spécifiquement répertoriés et autorisés par la direction au cas par cas pendant une période limitée.
Déployez des stratégies d’accès conditionnel qui nécessitent une conformité des appareils. Utilisez des stratégies de conformité pour définir des règles pour les appareils que vous gérez avec Intune
Intégrez l’état de conformité des appareils aux solutions anti-programme malveillant. Appliquez la conformité à Microsoft Defender for Endpoint avec l’accès conditionnel de Microsoft Intune
Intégration de la défense contre les menaces mobiles à Intune

Étapes suivantes

Les exigences 3, 4, 9 et 12 de la norme PCI-DSS ne s’appliquent pas à Microsoft Entra ID. Par conséquent, il n’existe aucun article correspondant. Pour consulter toutes les exigences, rendez-vous sur le site pcisecuritystandards.org : Site officiel du Conseil des normes de sécurité PCI.

Pour configurer Microsoft Entra ID pour qu'il soit conforme à PCI-DSS, consultez les articles suivants.