Persyaratan MICROSOFT Entra ID dan PCI-DSS 11
Persyaratan 11: Uji Keamanan Sistem dan Jaringan Persyaratan pendekatan yang Ditentukan Secara
Teratur
11.1 Proses dan mekanisme untuk menguji keamanan sistem dan jaringan secara teratur didefinisikan dan dipahami.
| Persyaratan pendekatan yang ditentukan PCI-DSS | Panduan dan rekomendasi Microsoft Entra |
|---|---|
| 11.1.1 Semua kebijakan keamanan dan prosedur operasional yang diidentifikasi dalam Persyaratan 11 adalah: Didokumentasikan Tetap terbarui Dalam penggunaan Diketahui oleh semua pihak yang terkena dampak |
Gunakan panduan dan tautan di sini untuk menghasilkan dokumentasi untuk memenuhi persyaratan berdasarkan konfigurasi lingkungan Anda. |
| 11.1.2 Peran dan tanggung jawab untuk melakukan aktivitas dalam Persyaratan 11 didokumentasikan, ditetapkan, dan dipahami. | Gunakan panduan dan tautan di sini untuk menghasilkan dokumentasi untuk memenuhi persyaratan berdasarkan konfigurasi lingkungan Anda. |
11.2 Titik akses nirkabel diidentifikasi dan dipantau, dan titik akses nirkabel yang tidak sah ditangani.
| Persyaratan pendekatan yang ditentukan PCI-DSS | Panduan dan rekomendasi Microsoft Entra |
|---|---|
| 11.2.1 Titik akses nirkabel yang diotorisasi dan tidak sah dikelola sebagai berikut: Kehadiran titik akses nirkabel (Wi-Fi) diuji. Semua titik akses nirkabel yang sah dan tidak sah terdeteksi dan diidentifikasi. Pengujian, deteksi, dan identifikasi terjadi setidaknya sekali setiap tiga bulan. Jika pemantauan otomatis digunakan, personel akan diberi tahu melalui pemberitahuan yang dihasilkan. |
Jika organisasi Anda mengintegrasikan titik akses jaringan dengan ID Microsoft Entra untuk autentikasi, lihat Persyaratan 1: Menginstal dan Memelihara Kontrol Keamanan Jaringan |
| 11.2.2 Inventarisasi titik akses nirkabel resmi dipertahankan, termasuk pembenaran bisnis yang didokumentasikan. | Tidak berlaku untuk ID Microsoft Entra. |
11.3 Kerentanan eksternal dan internal secara teratur diidentifikasi, diprioritaskan, dan ditangani.
| Persyaratan pendekatan yang ditentukan PCI-DSS | Panduan dan rekomendasi Microsoft Entra |
|---|---|
| 11.3.1 Pemindaian kerentanan internal dilakukan sebagai berikut: Setidaknya sekali setiap tiga bulan. Kerentanan berisiko tinggi dan kritis (sesuai peringkat risiko kerentanan entitas yang ditentukan pada Persyaratan 6.3.1) diselesaikan. Pemindaian ulang dilakukan yang mengonfirmasi semua kerentanan berisiko tinggi dan kritis (seperti yang dicatat) telah diselesaikan. Alat pemindaian selalu diperbarui dengan informasi kerentanan terbaru. Pemindaian dilakukan oleh personel yang memenuhi syarat dan kemandirian organisasi penguji ada. |
Sertakan server yang mendukung kemampuan hibrid Microsoft Entra. Misalnya, Microsoft Entra Connect, konektor proksi aplikasi, dll. sebagai bagian dari pemindaian kerentanan internal. Organisasi yang menggunakan autentikasi gabungan: meninjau dan mengatasi kerentanan infrastruktur sistem federasi. Apa itu federasi dengan ID Microsoft Entra? Tinjau dan mitigasi deteksi risiko yang dilaporkan oleh Microsoft Entra ID Protection. Integrasikan sinyal dengan solusi SIEM untuk mengintegrasikan lebih banyak dengan alur kerja atau otomatisasi remediasi. Jenis risiko dan deteksi Jalankan alat penilaian Microsoft Entra secara teratur dan mengatasi temuan. AzureADAssessmentOperasi keamanan untuk infrastruktur Mengintegrasikan log Microsoft Entra dengan log Azure Monitor |
| 11.3.1.1 Semua kerentanan lain yang berlaku (yang tidak diberi peringkat sebagai risiko tinggi atau kritis sesuai peringkat risiko kerentanan entitas yang ditentukan pada Persyaratan 6.3.1) dikelola sebagai berikut: Ditangani berdasarkan risiko yang ditentukan dalam analisis risiko yang ditargetkan entitas, yang dilakukan sesuai dengan semua elemen yang ditentukan dalam Persyaratan 12.3.1. Rescan dilakukan sesuai kebutuhan. |
Sertakan server yang mendukung kemampuan hibrid Microsoft Entra. Misalnya, Microsoft Entra Connect, konektor proksi aplikasi, dll. sebagai bagian dari pemindaian kerentanan internal. Organisasi yang menggunakan autentikasi gabungan: meninjau dan mengatasi kerentanan infrastruktur sistem federasi. Apa itu federasi dengan ID Microsoft Entra? Tinjau dan mitigasi deteksi risiko yang dilaporkan oleh Microsoft Entra ID Protection. Integrasikan sinyal dengan solusi SIEM untuk mengintegrasikan lebih banyak dengan alur kerja atau otomatisasi remediasi. Jenis risiko dan deteksi Jalankan alat penilaian Microsoft Entra secara teratur dan mengatasi temuan. AzureAD/AzureADAssessmentOperasi keamanan untuk infrastruktur Mengintegrasikan log Microsoft Entra dengan log Azure Monitor |
| 11.3.1.2 Pemindaian kerentanan internal dilakukan melalui pemindaian terautentikasi sebagai berikut: Sistem yang tidak dapat menerima kredensial untuk pemindaian terautentikasi didokumenkan. Hak istimewa yang memadai digunakan untuk sistem yang menerima kredensial untuk pemindaian. Jika akun yang digunakan untuk pemindaian terautentikasi dapat digunakan untuk masuk interaktif, akun tersebut dikelola sesuai dengan Persyaratan 8.2.2. |
Sertakan server yang mendukung kemampuan hibrid Microsoft Entra. Misalnya, Microsoft Entra Connect, konektor proksi aplikasi, dll. sebagai bagian dari pemindaian kerentanan internal. Organisasi yang menggunakan autentikasi gabungan: meninjau dan mengatasi kerentanan infrastruktur sistem federasi. Apa itu federasi dengan ID Microsoft Entra? Tinjau dan mitigasi deteksi risiko yang dilaporkan oleh Microsoft Entra ID Protection. Integrasikan sinyal dengan solusi SIEM untuk mengintegrasikan lebih banyak dengan alur kerja atau otomatisasi remediasi. Jenis risiko dan deteksi Jalankan alat penilaian Microsoft Entra secara teratur dan mengatasi temuan. AzureADAssessmentOperasi keamanan untuk infrastruktur Mengintegrasikan log Microsoft Entra dengan log Azure Monitor |
| 11.3.1.3 Pemindaian kerentanan internal dilakukan setelah perubahan signifikan sebagai berikut: Kerentanan berisiko tinggi dan kritis (sesuai peringkat risiko kerentanan entitas yang ditentukan pada Persyaratan 6.3.1) diselesaikan. Rescan dilakukan sesuai kebutuhan. Pemindaian dilakukan oleh personel yang memenuhi syarat dan kemandirian organisasi penguji ada (tidak diharuskan menjadi Penilai Keamanan Yang Memenuhi Syarat (QSA) atau Vendor Pemindaian yang Disetujui (ASV)). |
Sertakan server yang mendukung kemampuan hibrid Microsoft Entra. Misalnya, Microsoft Entra Connect, konektor proksi aplikasi, dll. sebagai bagian dari pemindaian kerentanan internal. Organisasi yang menggunakan autentikasi gabungan: meninjau dan mengatasi kerentanan infrastruktur sistem federasi. Apa itu federasi dengan ID Microsoft Entra? Tinjau dan mitigasi deteksi risiko yang dilaporkan oleh Microsoft Entra ID Protection. Integrasikan sinyal dengan solusi SIEM untuk mengintegrasikan lebih banyak dengan alur kerja atau otomatisasi remediasi. Jenis risiko dan deteksi Jalankan alat penilaian Microsoft Entra secara teratur dan mengatasi temuan. AzureADAssessmentOperasi keamanan untuk infrastruktur Mengintegrasikan log Microsoft Entra dengan log Azure Monitor |
| 11.3.2 Pemindaian kerentanan eksternal dilakukan sebagai berikut: Setidaknya sekali setiap tiga bulan. Oleh PCI SSC ASV. Kerentanan diselesaikan dan persyaratan Panduan Program ASV untuk pemindaian yang lolos terpenuhi. Pemindaian ulang dilakukan sesuai kebutuhan untuk mengonfirmasi bahwa kerentanan diselesaikan sesuai persyaratan Panduan Program ASV untuk pemindaian yang lolos. |
Tidak berlaku untuk ID Microsoft Entra. |
| 11.3.2.1 Pemindaian kerentanan eksternal dilakukan setelah perubahan signifikan sebagai berikut: Kerentanan yang dinilai 4,0 atau lebih tinggi oleh CVSS diselesaikan. Rescan dilakukan sesuai kebutuhan. Pemindaian dilakukan oleh personel yang memenuhi syarat dan kemandirian organisasi penguji ada (tidak diharuskan menjadi QSA atau ASV). |
Tidak berlaku untuk ID Microsoft Entra. |
11.4 Pengujian penetrasi eksternal dan internal dilakukan secara teratur, dan kerentanan yang dapat dieksploitasi dan kelemahan keamanan diperbaik.
| Persyaratan pendekatan yang ditentukan PCI-DSS | Panduan dan rekomendasi Microsoft Entra |
|---|---|
| 11.4.1 Metodologi pengujian penetrasi didefinisikan, didokumentasikan, dan diimplementasikan oleh entitas, dan meliputi: Pendekatan pengujian penetrasi yang diterima industri. Cakupan untuk seluruh perimeter lingkungan data pemegang kartu (CDE) dan sistem penting. Pengujian dari dalam dan di luar jaringan. Pengujian untuk memvalidasi kontrol segmentasi dan pengurangan cakupan apa pun. Pengujian penetrasi lapisan aplikasi untuk mengidentifikasi, minimal, kerentanan yang tercantum dalam Persyaratan 6.2.4. Pengujian penetrasi lapisan jaringan yang mencakup semua komponen yang mendukung fungsi jaringan dan sistem operasi. Tinjau dan pertimbangan ancaman dan kerentanan yang dialami dalam 12 bulan terakhir. Pendekatan terdokumen untuk menilai dan mengatasi risiko yang ditimbulkan oleh kerentanan yang dapat dieksploitasi dan kelemahan keamanan yang ditemukan selama pengujian penetrasi. Retensi hasil pengujian penetrasi dan hasil aktivitas remediasi setidaknya selama 12 bulan. |
Aturan Keterlibatan Pengujian Penetrasi, Microsoft Cloud |
| 11.4.2 Pengujian penetrasi internal dilakukan: Sesuai metodologi yang ditentukan entitas. Setidaknya sekali setiap 12 bulan. Setelah infrastruktur atau peningkatan atau perubahan aplikasi yang signifikan. Dengan sumber daya internal yang memenuhi syarat atau pihak ketiga eksternal yang memenuhi syarat. Kemandirian organisasi penguji ada (tidak diharuskan menjadi QSA atau ASV). |
Aturan Keterlibatan Pengujian Penetrasi, Microsoft Cloud |
| 11.4.3 Pengujian penetrasi eksternal dilakukan: Sesuai metodologi yang ditentukan entitas. Setidaknya sekali setiap 12 bulan. Setelah infrastruktur atau peningkatan atau perubahan aplikasi yang signifikan. Dengan sumber daya internal yang memenuhi syarat atau pihak ketiga eksternal yang memenuhi syarat. Kemandirian organisasi penguji ada (tidak diharuskan menjadi QSA atau ASV). |
Aturan Keterlibatan Pengujian Penetrasi, Microsoft Cloud |
| 11.4.4 Kerentanan yang dapat dieksploitasi dan kelemahan keamanan yang ditemukan selama pengujian penetrasi dikoreksi sebagai berikut: Sesuai dengan penilaian entitas terhadap risiko yang ditimbulkan oleh masalah keamanan seperti yang didefinisikan dalam Persyaratan 6.3.1. Pengujian penetrasi diulang untuk memverifikasi koreksi. |
Aturan Keterlibatan Pengujian Penetrasi, Microsoft Cloud |
| 11.4.5 Jika segmentasi digunakan untuk mengisolasi CDE dari jaringan lain, pengujian penetrasi dilakukan pada kontrol segmentasi sebagai berikut: Setidaknya sekali setiap 12 bulan dan setelah perubahan apa pun pada kontrol/metode segmentasi. Mencakup semua kontrol/metode segmentasi yang digunakan. Menurut metodologi pengujian penetrasi yang ditentukan entitas. Mengonfirmasi bahwa kontrol/metode segmentasi beroperasi dan efektif, dan mengisolasi CDE dari semua sistem di luar cakupan. Mengonfirmasi efektivitas penggunaan isolasi untuk memisahkan sistem dengan tingkat keamanan yang berbeda (lihat Persyaratan 2.2.3). Dilakukan oleh sumber daya internal yang memenuhi syarat atau pihak ketiga eksternal yang memenuhi syarat. Kemandirian organisasi penguji ada (tidak diharuskan menjadi QSA atau ASV). |
Tidak berlaku untuk ID Microsoft Entra. |
| 11.4.6 Persyaratan tambahan hanya untuk penyedia layanan: Jika segmentasi digunakan untuk mengisolasi CDE dari jaringan lain, pengujian penetrasi dilakukan pada kontrol segmentasi sebagai berikut: Setidaknya sekali setiap enam bulan dan setelah perubahan pada kontrol/metode segmentasi. Mencakup semua kontrol/metode segmentasi yang digunakan. Menurut metodologi pengujian penetrasi yang ditentukan entitas. Mengonfirmasi bahwa kontrol/metode segmentasi beroperasi dan efektif, dan mengisolasi CDE dari semua sistem di luar cakupan. Mengonfirmasi efektivitas penggunaan isolasi untuk memisahkan sistem dengan tingkat keamanan yang berbeda (lihat Persyaratan 2.2.3). Dilakukan oleh sumber daya internal yang memenuhi syarat atau pihak ketiga eksternal yang memenuhi syarat. Kemandirian organisasi penguji ada (tidak diharuskan menjadi QSA atau ASV). |
Tidak berlaku untuk ID Microsoft Entra. |
| 11.4.7 Persyaratan tambahan hanya untuk penyedia layanan multi-penyewa: Penyedia layanan multi-penyewa mendukung pelanggan mereka untuk pengujian penetrasi eksternal per Persyaratan 11.4.3 dan 11.4.4. | Aturan Keterlibatan Pengujian Penetrasi, Microsoft Cloud |
11.5 Gangguan jaringan dan perubahan file tak terduga terdeteksi dan ditanggapi.
| Persyaratan pendekatan yang ditentukan PCI-DSS | Panduan dan rekomendasi Microsoft Entra |
|---|---|
| 11.5.1 Teknik deteksi intrusi dan/atau pencegahan intrusi digunakan untuk mendeteksi dan/atau mencegah gangguan ke dalam jaringan sebagai berikut: Semua lalu lintas dipantau di sekeliling CDE. Semua lalu lintas dipantau di titik kritis di CDE. Personel disiagakan untuk dugaan penyusupan. Semua mesin deteksi dan pencegahan intrusi, garis besar, dan tanda tangan selalu diperbarui. |
Tidak berlaku untuk ID Microsoft Entra. |
| 11.5.1.1 Persyaratan tambahan hanya untuk penyedia layanan: Teknik deteksi intrusi dan/atau pencegahan intrusi mendeteksi, memperingatkan/mencegah, dan mengatasi saluran komunikasi malware terselubung. | Tidak berlaku untuk ID Microsoft Entra. |
| 11.5.2 Mekanisme deteksi perubahan (misalnya, alat pemantauan integritas file) disebarkan sebagai berikut: Untuk memperingatkan personel terhadap modifikasi yang tidak sah (termasuk perubahan, penambahan, dan penghapusan) file penting. Untuk melakukan perbandingan file penting setidaknya sekali setiap minggu. |
Tidak berlaku untuk ID Microsoft Entra. |
11.6 Perubahan tidak sah pada halaman pembayaran terdeteksi dan direspons.
| Persyaratan pendekatan yang ditentukan PCI-DSS | Panduan dan rekomendasi Microsoft Entra |
|---|---|
| 11.6.1 Mekanisme perubahan dan deteksi perubahan disebarkan sebagai berikut: Untuk memperingatkan personel terhadap modifikasi yang tidak sah (termasuk indikator penyusupan, perubahan, penambahan, dan penghapusan) ke header HTTP dan konten halaman pembayaran seperti yang diterima oleh browser konsumen. Mekanisme dikonfigurasi untuk mengevaluasi header HTTP dan halaman pembayaran yang diterima. Fungsi mekanisme dilakukan sebagai berikut: Setidaknya sekali setiap tujuh hari ATAU Secara Berkala pada frekuensi yang ditentukan dalam analisis risiko yang ditargetkan entitas, yang dilakukan sesuai dengan semua elemen |
Tidak berlaku untuk ID Microsoft Entra. |
Langkah berikutnya
Persyaratan PCI-DSS 3, 4, 9, dan 12 tidak berlaku untuk ID Microsoft Entra, oleh karena itu tidak ada artikel yang sesuai. Untuk melihat semua persyaratan, buka pcisecuritystandards.org: Situs Dewan Standar Keamanan PCI Resmi.
Untuk mengonfigurasi MICROSOFT Entra ID agar mematuhi PCI-DSS, lihat artikel berikut ini.
- Panduan Microsoft Entra PCI-DSS
- Persyaratan 1: Menginstal dan Memelihara Kontrol Keamanan Jaringan
- Persyaratan 2: Terapkan Konfigurasi Aman ke Semua Komponen Sistem
- Persyaratan 5: Melindungi Semua Sistem dan Jaringan dari Perangkat Lunak Berbahaya
- Persyaratan 6: Mengembangkan dan Memelihara Sistem dan Perangkat Lunak yang Aman
- Persyaratan 7: Membatasi Akses ke Komponen Sistem dan Data Pemegang Kartu menurut Bisnis Perlu Diketahui
- Persyaratan 8: Mengidentifikasi Pengguna dan Mengautentikasi Akses ke Komponen Sistem
- Persyaratan 10: Mencatat dan Memantau Semua Akses ke Komponen Sistem dan Data Pemegang Kartu
- Persyaratan 11: Uji Keamanan Sistem dan Jaringan Secara Teratur (Anda di sini)
- Panduan Autentikasi Multifaktor Microsoft Entra PCI-DSS
Saran dan Komentar
Segera hadir: Sepanjang tahun 2024 kami akan menghentikan penggunaan GitHub Issues sebagai mekanisme umpan balik untuk konten dan menggantinya dengan sistem umpan balik baru. Untuk mengetahui informasi selengkapnya, lihat: https://aka.ms/ContentUserFeedback.
Kirim dan lihat umpan balik untuk