Panduan Microsoft Entra PCI-DSS

Dewan Standar Keamanan Industri Kartu Pembayaran (PCI SSC) bertanggung jawab untuk mengembangkan dan mempromosikan standar dan sumber daya keamanan data, termasuk Standar Keamanan Data Industri Kartu Pembayaran (PCI-DSS), untuk memastikan keamanan transaksi pembayaran. Untuk mencapai kepatuhan PCI, organisasi yang menggunakan MICROSOFT Entra ID dapat merujuk ke panduan dalam dokumen ini. Namun, organisasi bertanggung jawab untuk memastikan kepatuhan PCI mereka. Tim TI, tim SecOps, dan Arsitek Solusi mereka bertanggung jawab untuk membuat dan memelihara sistem, produk, dan jaringan aman yang menangani, memproses, dan menyimpan informasi kartu pembayaran.

Meskipun Microsoft Entra ID membantu memenuhi beberapa persyaratan kontrol PCI-DSS, dan menyediakan protokol identitas dan akses modern untuk sumber daya lingkungan data pemegang kartu (CDE), ini seharusnya bukan satu-satu mekanisme untuk melindungi data pemegang kartu. Oleh karena itu, tinjau kumpulan dokumen ini dan semua persyaratan PCI-DSS untuk menetapkan program keamanan komprehensif yang mempertahankan kepercayaan pelanggan. Untuk daftar lengkap persyaratan, kunjungi situs web Resmi Dewan Standar Keamanan PCI di pcisecuritystandards.org: Situs Dewan Standar Keamanan PCI Resmi

Persyaratan PCI untuk kontrol

PCI-DSS v4.0 global menetapkan garis besar standar teknis dan operasional untuk melindungi data akun. Ini "dikembangkan untuk mendorong dan meningkatkan keamanan data akun kartu pembayaran dan memfasilitasi adopsi luas dari langkah-langkah keamanan data yang konsisten, secara global. Ini menyediakan garis besar persyaratan teknis dan operasional yang dirancang untuk melindungi data akun. Meskipun dirancang untuk fokus pada lingkungan dengan data akun kartu pembayaran, PCI-DSS juga dapat digunakan untuk melindungi dari ancaman dan mengamankan elemen lain dalam ekosistem pembayaran."

Konfigurasi Microsoft Entra dan PCI-DSS

Dokumen ini berfungsi sebagai panduan komprehensif bagi para pemimpin teknis dan bisnis yang bertanggung jawab untuk mengelola manajemen identitas dan akses (IAM) dengan MICROSOFT Entra ID sesuai dengan Standar Keamanan Data Industri Kartu Pembayaran (PCI DSS). Dengan mengikuti persyaratan utama, praktik terbaik, dan pendekatan yang diuraikan dalam dokumen ini, organisasi dapat mengurangi cakupan, kompleksitas, dan risiko ketidakpatuhan PCI, sambil mempromosikan praktik terbaik keamanan dan kepatuhan standar. Panduan yang diberikan dalam dokumen ini bertujuan untuk membantu organisasi mengonfigurasi ID Microsoft Entra dengan cara yang memenuhi persyaratan PCI DSS yang diperlukan dan mempromosikan praktik IAM yang efektif.

Pemimpin teknis dan bisnis dapat menggunakan panduan berikut untuk memenuhi tanggung jawab atas manajemen identitas dan akses (IAM) dengan ID Microsoft Entra. Untuk informasi selengkapnya tentang PCI-DSS di beban kerja Microsoft lainnya, lihat Gambaran Umum tolok ukur keamanan cloud Microsoft (v1).

Persyaratan dan prosedur pengujian PCI-DSS terdiri dari 12 persyaratan utama yang memastikan penanganan informasi kartu pembayaran yang aman. Bersama-sama, persyaratan ini adalah kerangka kerja komprehensif yang membantu organisasi mengamankan transaksi kartu pembayaran dan melindungi data pemegang kartu sensitif.

MICROSOFT Entra ID adalah layanan identitas perusahaan yang mengamankan aplikasi, sistem, dan sumber daya untuk mendukung kepatuhan PCI-DSS. Tabel berikut ini memiliki persyaratan utama PCI dan tautan ke kontrol yang direkomendasikan ID Microsoft Entra untuk kepatuhan PCI-DSS.

Persyaratan PCI-DSS utama

Persyaratan PCI-DSS 3, 4, 9, dan 12 tidak ditangani atau dipenuhi oleh ID Microsoft Entra, oleh karena itu tidak ada artikel yang sesuai. Untuk melihat semua persyaratan, buka pcisecuritystandards.org: Situs Dewan Standar Keamanan PCI Resmi.

Standar Keamanan Data PCI - Gambaran Umum Tingkat Tinggi	Kontrol PCI-DSS yang direkomendasikan MICROSOFT Entra ID
Membangun dan Memelihara Jaringan dan Sistem yang Aman	1. Pasang dan Pertahankan Kontrol Keamanan Jaringan 2. Terapkan Konfigurasi Aman ke Semua Komponen Sistem
Lindungi Data Akun	3. Lindungi Data Akun Tersimpan 4. Melindungi Data Pemegang Kartu dengan Kriptografi Yang Kuat Selama Transmisi Melalui Jaringan Publik
Mempertahankan Program Manajemen Kerentanan	5. Lindungi Semua Sistem dan Jaringan dari Perangkat Lunak Berbahaya 6. Mengembangkan dan Memelihara Sistem dan Perangkat Lunak Yang Aman
Menerapkan Tindakan Kontrol Akses yang Kuat	7. Batasi Akses ke Komponen Sistem dan Data Pemegang Kartu menurut Bisnis Perlu Tahu 8. Identifikasi dan Autentikasi Akses ke Komponen Sistem 9. Membatasi Akses Fisik ke Komponen Sistem dan Data Pemegang Kartu
Pantau dan Uji Jaringan Secara Teratur	10. Log dan Pantau Semua Akses ke Komponen Sistem dan Data Pemegang Kartu 11. Menguji Keamanan Sistem dan Jaringan Secara Teratur
Pertahankan Kebijakan Keamanan Informasi	12. Mendukung Keamanan Informasi dengan Kebijakan dan Program Organisasi

Penerapan PCI-DSS

PCI-DSS berlaku untuk organisasi yang menyimpan, memproses, atau mengirimkan data pemegang kartu (CHD) dan/atau data autentikasi sensitif (SAD). Elemen data ini, yang dipertimbangkan bersama-sama, dikenal sebagai data akun. PCI-DSS memberikan pedoman dan persyaratan keamanan untuk organisasi yang memengaruhi lingkungan data pemegang kartu (CDE). Entitas yang melindungi CDE memastikan kerahasiaan dan keamanan informasi pembayaran pelanggan.

CHD terdiri dari:

• Nomor rekening primer (PAN) - nomor kartu pembayaran unik (kredit, debit, atau kartu prabayar, dll.) yang mengidentifikasi penerbit dan akun pemegang kartu
• Nama pemegang kartu – pemilik kartu
• Tanggal kedaluwarsa kartu – hari dan bulan kartu kedaluwarsa
• Kode layanan - nilai tiga atau empat digit dalam strip magnetik yang mengikuti tanggal kedaluwarsa kartu pembayaran pada data trek. Ini mendefinisikan atribut layanan, membedakan antara pertukaran internasional dan nasional/regional, atau mengidentifikasi pembatasan penggunaan.

SAD terdiri dari informasi terkait keamanan yang digunakan untuk mengautentikasi pemegang kartu dan/atau mengotorisasi transaksi kartu pembayaran. SAD mencakup, tetapi tidak terbatas pada:

• Data trek penuh - strip magnetik atau setara chip
• Kode/nilai verifikasi kartu - juga disebut sebagai kode validasi kartu (CVC), atau nilai (CVV). Ini adalah nilai tiga atau empat digit di bagian depan atau belakang kartu pembayaran. Ini juga disebut sebagai CAV2, CVC2, CVN2, CVV2 atau CID, yang ditentukan oleh merek pembayaran yang berpartisipasi (PPB).
• PIN - nomor identifikasi pribadi
  • Blok PIN - representasi terenkripsi dari PIN yang digunakan dalam transaksi debit atau kartu kredit. Ini memastikan transmisi informasi sensitif yang aman selama transaksi

Melindungi CDE sangat penting untuk keamanan dan kerahasiaan informasi pembayaran pelanggan dan membantu:

• Pertahankan kepercayaan pelanggan - pelanggan mengharapkan informasi pembayaran mereka ditangani dengan aman dan dirahasiakan. Jika perusahaan mengalami pelanggaran data yang mengakibatkan pencurian data pembayaran pelanggan, itu dapat menurunkan kepercayaan pelanggan pada perusahaan dan menyebabkan kerusakan reputasi.
• Mematuhi peraturan - perusahaan yang memproses transaksi kartu kredit diperlukan untuk mematuhi PCI-DSS. Kegagalan untuk mematuhi mengakibatkan denda, kewajiban hukum, dan kerusakan reputasi yang dihasilkan.
• Mitigasi risiko keuangan -pelanggaran data memiliki efek keuangan yang signifikan, termasuk, biaya untuk penyelidikan forensik, biaya hukum, dan kompensasi untuk pelanggan yang terkena dampak.
• Kelangsungan bisnis - pelanggaran data mengganggu operasi bisnis dan dapat memengaruhi proses transaksi kartu kredit. Skenario ini dapat menyebabkan hilangnya pendapatan, gangguan operasional, dan kerusakan reputasi.

Cakupan audit PCI

Cakupan audit PCI berkaitan dengan sistem, jaringan, dan proses dalam penyimpanan, pemrosesan, atau transmisi CHD dan/atau SAD. Jika Data Akun disimpan, diproses, atau ditransmisikan di lingkungan cloud, PCI-DSS berlaku untuk lingkungan dan kepatuhan tersebut biasanya melibatkan validasi lingkungan cloud dan penggunaannya. Ada lima elemen mendasar dalam cakupan untuk audit PCI:

• Lingkungan data pemegang kartu (CDE) - area tempat CHD, dan/atau SAD, disimpan, diproses, atau ditransmisikan. Ini termasuk komponen organisasi yang menyentuh CHD, seperti jaringan, dan komponen jaringan, database, server, aplikasi, dan terminal pembayaran.
• Orang - dengan akses ke CDE, seperti karyawan, kontraktor, dan penyedia layanan pihak ketiga, berada dalam cakupan audit PCI.
• Proses - yang melibatkan CHD, seperti otorisasi, autentikasi, enkripsi, dan penyimpanan data akun dalam format apa pun, berada dalam cakupan audit PCI.
• Teknologi - yang memproses, menyimpan, atau mengirimkan CHD, termasuk perangkat keras seperti printer, dan perangkat multi-fungsi yang memindai, mencetak dan faks, perangkat pengguna akhir seperti komputer, stasiun kerja laptop, stasiun kerja administratif, tablet dan perangkat seluler, perangkat lunak, dan sistem IT lainnya, berada dalam cakupan audit PCI.
• Komponen sistem – yang mungkin tidak menyimpan, memproses, atau mengirimkan CHD/SAD tetapi memiliki konektivitas tidak terbatas ke komponen sistem yang menyimpan, memproses, atau mengirimkan CHD/SAD, atau yang dapat memengaruhi keamanan CDE.

Jika cakupan PCI diminimalkan, organisasi dapat secara efektif mengurangi efek insiden keamanan dan menurunkan risiko pelanggaran data. Segmentasi dapat menjadi strategi yang berharga untuk mengurangi ukuran PCI CDE, menghasilkan pengurangan biaya kepatuhan dan manfaat keseluruhan untuk organisasi termasuk tetapi tidak terbatas pada:

• Penghematan biaya - dengan membatasi cakupan audit, organisasi mengurangi waktu, sumber daya, dan pengeluaran untuk menjalani audit, yang menyebabkan penghematan biaya.
• Pengurangan paparan risiko - cakupan audit PCI yang lebih kecil mengurangi potensi risiko yang terkait dengan pemrosesan, penyimpanan, dan pengiriman data pemegang kartu. Jika jumlah sistem, jaringan, dan aplikasi yang tunduk pada audit terbatas, organisasi berfokus pada pengamanan aset penting mereka dan mengurangi paparan risiko mereka.
• Kepatuhan yang disederhanakan - mempersempit cakupan audit membuat kepatuhan PCI-DSS lebih mudah dikelola dan disederhanakan. Hasilnya adalah audit yang lebih efisien, lebih sedikit masalah kepatuhan, dan berkurangnya risiko menimbulkan penalti ketidakpatuh.
• Postur keamanan yang ditingkatkan - dengan subset sistem dan proses yang lebih kecil, organisasi mengalokasikan sumber daya dan upaya keamanan secara efisien. Hasil adalah postur keamanan yang lebih kuat, karena tim keamanan berkonsentrasi untuk mengamankan aset penting dan mengidentifikasi kerentanan dengan cara yang ditargetkan dan efektif.

Strategi untuk mengurangi cakupan audit PCI

Definisi organisasi tentang CDE-nya menentukan cakupan audit PCI. Organisasi mendokumen dan mengkomunikasikan definisi ini ke PcI-DSS Qualified Security Assessor (QSA) yang melakukan audit. QSA menilai kontrol bagi CDE untuk menentukan kepatuhan. Kepatuhan terhadap standar PCI dan penggunaan mitigasi risiko yang efektif membantu bisnis melindungi data pribadi dan keuangan pelanggan, yang mempertahankan kepercayaan dalam operasi mereka. Bagian berikut menguraikan strategi untuk mengurangi risiko dalam cakupan audit PCI.

Tokenisasi

Tokenisasi adalah teknik keamanan data. Gunakan tokenisasi untuk mengganti informasi sensitif, seperti nomor kartu kredit, dengan token unik yang disimpan dan digunakan untuk transaksi, tanpa mengekspos data sensitif. Token mengurangi cakupan audit PCI untuk persyaratan berikut:

• Persyaratan 3 - Lindungi Data Akun Tersimpan
• Persyaratan 4 - Melindungi Data Pemegang Kartu dengan Kriptografi yang kuat Selama Transmisi Melalui Jaringan Publik Terbuka
• Persyaratan 9 - Membatasi Akses Fisik ke Data Pemegang Kartu
• Persyaratan 10 - Catat dan Pantau Semua Akses ke Komponen Sistem dan Data Pemegang Kartu.

Saat menggunakan metodologi pemrosesan berbasis cloud, pertimbangkan risiko yang relevan terhadap data dan transaksi sensitif. Untuk mengurangi risiko ini, sebaiknya Anda menerapkan langkah-langkah keamanan dan rencana kontingensi yang relevan untuk melindungi data dan mencegah gangguan transaksi. Sebagai praktik terbaik, gunakan tokenisasi pembayaran sebagai metodologi untuk mendeklasifikasi data, dan berpotensi mengurangi jejak CDE. Dengan tokenisasi pembayaran, data sensitif diganti dengan pengidentifikasi unik yang mengurangi risiko pencurian data dan membatasi paparan informasi sensitif dalam CDE.

CDE aman

PCI-DSS mengharuskan organisasi untuk mempertahankan CDE yang aman. Dengan CDE yang dikonfigurasi secara efektif, bisnis dapat mengurangi paparan risiko mereka dan mengurangi biaya terkait untuk lingkungan lokal dan cloud. Pendekatan ini membantu meminimalkan cakupan audit PCI, sehingga lebih mudah dan hemat biaya untuk menunjukkan kepatuhan terhadap standar.

Untuk mengonfigurasi ID Microsoft Entra untuk mengamankan CDE:

• Gunakan kredensial tanpa kata sandi untuk pengguna: Windows Hello untuk Bisnis, kunci keamanan FIDO2, dan aplikasi Microsoft Authenticator
• Gunakan kredensial yang kuat untuk identitas beban kerja: sertifikat dan identitas terkelola untuk sumber daya Azure.
  • Mengintegrasikan teknologi akses seperti VPN, desktop jarak jauh, dan titik akses jaringan dengan ID Microsoft Entra untuk autentikasi, jika berlaku
• Mengaktifkan manajemen identitas istimewa dan tinjauan akses untuk peran Microsoft Entra, grup akses istimewa, dan sumber daya Azure
• Gunakan kebijakan Akses Bersyarat untuk menerapkan kontrol persyaratan PCI: kekuatan kredensial, status perangkat, dan menerapkannya berdasarkan lokasi, keanggotaan grup, aplikasi, dan risiko
• Menggunakan autentikasi modern untuk beban kerja DCE
• Mengarsipkan log Microsoft Entra dalam sistem informasi keamanan dan manajemen peristiwa (SIEM)

Di mana aplikasi dan sumber daya menggunakan ID Microsoft Entra untuk manajemen identitas dan akses (IAM), penyewa Microsoft Entra berada dalam cakupan audit PCI, dan panduan di sini berlaku. Organisasi harus mengevaluasi persyaratan isolasi identitas dan sumber daya, antara beban kerja non-PCI dan PCI, untuk menentukan arsitektur terbaik mereka.

Pelajari lebih lanjut

• Pengantar administrasi yang didelegasikan dan lingkungan yang terisolasi
• Cara menggunakan aplikasi Microsoft Authenticator
• Apa identitas terkelola untuk sumber daya Azure?
• Apa itu tinjauan akses?
• Apa yang dimaksud dengan Akses Bersyarat?
• Log audit di MICROSOFT Entra ID

Menetapkan matriks tanggung jawab

Kepatuhan PCI adalah tanggung jawab entitas yang memproses transaksi kartu pembayaran termasuk tetapi tidak terbatas pada:

• Pedagang
• Penyedia layanan kartu
• Penyedia layanan pedagang
• Memperoleh bank
• Prosesor pembayaran
• Penerbit kartu pembayaran
• Vendor perangkat keras

Entitas ini memastikan transaksi kartu pembayaran diproses dengan aman dan sesuai dengan PCI-DSS. Semua entitas yang terlibat dalam transaksi kartu pembayaran memiliki peran untuk membantu memastikan kepatuhan PCI.

Status kepatuhan Azure PCI DSS tidak secara otomatis diterjemahkan ke validasi PCI-DSS untuk layanan yang Anda buat atau host di Azure. Anda memastikan bahwa Anda mencapai kepatuhan dengan persyaratan PCI-DSS.

Menetapkan proses berkelanjutan untuk menjaga kepatuhan

Proses berkelanjutan memerlukan pemantauan yang sedang berlangsung dan peningkatan postur kepatuhan. Manfaat proses berkelanjutan untuk menjaga kepatuhan PCI:

• Mengurangi risiko insiden keamanan dan ketidakpatuhan
• Keamanan data yang ditingkatkan
• Penyelarasan yang lebih baik dengan persyaratan peraturan
• Peningkatan kepercayaan pelanggan dan pemangku kepentingan

Dengan proses yang sedang berlangsung, organisasi merespons perubahan lingkungan peraturan secara efektif dan ancaman keamanan yang terus berkembang.

• Penilaian risiko – lakukan proses ini untuk mengidentifikasi kerentanan data kartu kredit dan risiko keamanan. Identifikasi potensi ancaman, nilai kemungkinan ancaman yang terjadi, dan evaluasi potensi efek pada bisnis.
• Pelatihan kesadaran keamanan - karyawan yang menangani data kartu kredit menerima pelatihan kesadaran keamanan rutin untuk memperjelas pentingnya melindungi data pemegang kartu dan langkah-langkah untuk melakukannya.
• Manajemen kerentanan -melakukan pemindaian kerentanan reguler dan pengujian penetrasi untuk mengidentifikasi kelemahan jaringan atau sistem yang dapat dieksploitasi oleh penyerang.
• Pantau dan pertahankan kebijakan kontrol akses - akses ke data kartu kredit dibatasi untuk individu yang berwenang. Pantau log akses untuk mengidentifikasi upaya akses yang tidak sah.
• Respons insiden – rencana respons insiden membantu tim keamanan mengambil tindakan selama insiden keamanan yang melibatkan data kartu kredit. Identifikasi penyebab insiden, berisi kerusakan, dan pulihkan operasi normal secara tepat waktu.
• Pemantauan kepatuhan - dan audit dilakukan untuk memastikan kepatuhan berkelanjutan terhadap persyaratan PCI-DSS. Tinjau log keamanan, lakukan tinjauan kebijakan reguler, dan pastikan komponen sistem dikonfigurasi dan dikelola secara akurat.

Menerapkan keamanan yang kuat untuk infrastruktur bersama

Biasanya, layanan web seperti Azure, memiliki infrastruktur bersama di mana data pelanggan mungkin disimpan di server fisik atau perangkat penyimpanan data yang sama. Skenario ini menciptakan risiko pelanggan yang tidak sah mengakses data yang tidak mereka miliki, dan risiko aktor jahat yang menargetkan infrastruktur bersama. Fitur keamanan Microsoft Entra membantu mengurangi risiko yang terkait dengan infrastruktur bersama:

• Autentikasi pengguna ke teknologi akses jaringan yang mendukung protokol autentikasi modern: jaringan privat virtual (VPN), desktop jarak jauh, dan titik akses jaringan.
• Kebijakan kontrol akses yang memberlakukan metode autentikasi yang kuat dan kepatuhan perangkat berdasarkan sinyal seperti konteks pengguna, perangkat, lokasi, dan risiko.
• Akses Bersyarat menyediakan sarana kontrol berbasis identitas dan menyautkan sinyal, untuk membuat keputusan, dan menerapkan kebijakan organisasi.
• Tata kelola peran istimewa - tinjauan akses, aktivasi just-in-time (JIT), dll.

Pelajari selengkapnya: Apa itu Akses Bersyar?

Residensi data

PCI-DSS tidak mengutip lokasi geografis tertentu untuk penyimpanan data kartu kredit. Namun, memerlukan data pemegang kartu disimpan dengan aman, yang mungkin mencakup pembatasan geografis, tergantung pada persyaratan keamanan dan peraturan organisasi. Negara dan wilayah yang berbeda memiliki undang-undang perlindungan dan privasi data. Konsultasikan dengan penasihat hukum atau kepatuhan untuk menentukan persyaratan residensi data yang berlaku.

Pelajari selengkapnya: ID Microsoft Entra dan residensi data

Risiko keamanan pihak ketiga

Penyedia pihak ketiga yang tidak mematuhi PCI menimbulkan risiko terhadap kepatuhan PCI. Menilai dan memantau vendor dan penyedia layanan pihak ketiga secara teratur untuk memastikan mereka mempertahankan kontrol yang diperlukan untuk melindungi data pemegang kartu.

Fitur dan fungsi Microsoft Entra di Residensi data membantu mengurangi risiko yang terkait dengan keamanan pihak ketiga.

Pengelogan dan pemantauan

Terapkan pengelogan dan pemantauan yang akurat untuk mendeteksi, dan merespons, insiden keamanan secara tepat waktu. MICROSOFT Entra ID membantu mengelola kepatuhan PCI dengan log audit dan aktivitas, dan laporan yang dapat diintegrasikan dengan sistem SIEM. MICROSOFT Entra ID memiliki kontrol akses berbasis peran (RBAC) dan MFA untuk mengamankan akses ke sumber daya sensitif, enkripsi, dan fitur perlindungan ancaman untuk melindungi organisasi dari akses dan pencurian data yang tidak sah.

Selengkapnya:

• Apa itu laporan Microsoft Entra?
• Peran bawaan Microsoft Entra

Lingkungan multi-aplikasi: host di luar CDE

PCI-DSS memastikan bahwa perusahaan yang menerima, memproses, menyimpan, atau mengirimkan informasi kartu kredit menjaga lingkungan yang aman. Hosting di luar CDE memperkenalkan risiko seperti:

• Kontrol akses yang buruk dan manajemen identitas dapat mengakibatkan akses tidak sah ke data dan sistem sensitif
• Pengelogan dan pemantauan peristiwa keamanan yang tidak mencukupi menghambat deteksi dan respons terhadap insiden keamanan
• Enkripsi dan perlindungan ancaman yang tidak mencukup meningkatkan risiko pencurian data dan akses yang tidak sah
• Buruk, atau tidak ada kesadaran dan pelatihan keamanan untuk pengguna dapat mengakibatkan serangan rekayasa sosial yang dapat dihindari, seperti phishing

Langkah berikutnya

Persyaratan PCI-DSS 3, 4, 9, dan 12 tidak berlaku untuk ID Microsoft Entra, oleh karena itu tidak ada artikel yang sesuai. Untuk melihat semua persyaratan, buka pcisecuritystandards.org: Situs Dewan Standar Keamanan PCI Resmi.

Untuk mengonfigurasi MICROSOFT Entra ID agar mematuhi PCI-DSS, lihat artikel berikut ini.

• Panduan Microsoft Entra PCI-DSS (Anda di sini)
• Persyaratan 1: Menginstal dan Memelihara Kontrol Keamanan Jaringan
• Persyaratan 2: Terapkan Konfigurasi Aman ke Semua Komponen Sistem
• Persyaratan 5: Melindungi Semua Sistem dan Jaringan dari Perangkat Lunak Berbahaya
• Persyaratan 6: Mengembangkan dan Memelihara Sistem dan Perangkat Lunak yang Aman
• Persyaratan 7: Membatasi Akses ke Komponen Sistem dan Data Pemegang Kartu menurut Bisnis Perlu Diketahui
• Persyaratan 8: Mengidentifikasi Pengguna dan Mengautentikasi Akses ke Komponen Sistem
• Persyaratan 10: Mencatat dan Memantau Semua Akses ke Komponen Sistem dan Data Pemegang Kartu
• Persyaratan 11: Uji Keamanan Sistem dan Jaringan Secara Teratur
• Panduan Autentikasi Multifaktor Microsoft Entra PCI-DSS