Microsoft Entra ID dan PCI-DSS Requirement 6
Persyaratan 6: Mengembangkan dan Memelihara Sistem Aman dan Persyaratan pendekatan yang Ditentukan Perangkat Lunak
6.1 Proses dan mekanisme untuk mengembangkan dan memelihara sistem dan perangkat lunak yang aman didefinisikan dan dipahami.
| Persyaratan pendekatan yang ditentukan PCI-DSS | Panduan dan rekomendasi Microsoft Entra |
|---|---|
| 6.1.1 Semua kebijakan keamanan dan prosedur operasional yang diidentifikasi dalam Persyaratan 6 adalah: Didokumentasikan Tetap diperbarui Dalam penggunaan Diketahui oleh semua pihak yang terpengaruh |
Gunakan panduan dan tautan di sini untuk menghasilkan dokumentasi untuk memenuhi persyaratan berdasarkan konfigurasi lingkungan Anda. |
| 6.1.2 Peran dan tanggung jawab untuk melakukan aktivitas dalam Persyaratan 6 didokumentasikan, ditetapkan, dan dipahami. | Gunakan panduan dan tautan di sini untuk menghasilkan dokumentasi untuk memenuhi persyaratan berdasarkan konfigurasi lingkungan Anda. |
6.2 Perangkat lunak bespoke dan kustom dikembangkan dengan aman.
| Persyaratan pendekatan yang ditentukan PCI-DSS | Panduan dan rekomendasi Microsoft Entra |
|---|---|
| 6.2.1 Perangkat lunak bespoke dan kustom dikembangkan dengan aman, sebagai berikut: Berdasarkan standar industri dan/atau praktik terbaik untuk pengembangan yang aman. Sesuai dengan PCI-DSS (misalnya, autentikasi dan pengelogan yang aman). Menggabungkan pertimbangan masalah keamanan informasi selama setiap tahap siklus hidup pengembangan perangkat lunak. |
Mendapatkan dan mengembangkan aplikasi yang menggunakan protokol autentikasi modern, seperti OAuth2 dan OpenID Connect (OIDC), yang terintegrasi dengan MICROSOFT Entra ID. Bangun perangkat lunak menggunakan platform identitas Microsoft. Praktik terbaik dan rekomendasi platform identitas Microsoft |
| 6.2.2 Personel pengembangan perangkat lunak yang bekerja pada perangkat lunak khusus dan dilatih setidaknya sekali setiap 12 bulan sebagai berikut: Pada keamanan perangkat lunak yang relevan dengan fungsi pekerjaan dan bahasa pengembangan mereka. Termasuk desain perangkat lunak yang aman dan teknik pengkodian yang aman. Termasuk, jika alat pengujian keamanan digunakan, cara menggunakan alat untuk mendeteksi kerentanan dalam perangkat lunak. |
Gunakan ujian berikut untuk memberikan bukti kemahalan tentang platform identitas Microsoft: Ujian MS-600: Membangun Aplikasi dan Solusi dengan Microsoft 365 Core Services Gunakan pelatihan berikut untuk mempersiapkan ujian: MS-600: Menerapkan identitas Microsoft |
| 6.2.3 Perangkat lunak bespoke dan kustom ditinjau sebelum dirilis ke produksi atau kepada pelanggan, untuk mengidentifikasi dan memperbaiki potensi kerentanan pengkodean, sebagai berikut: Tinjauan kode memastikan kode dikembangkan sesuai dengan pedoman pengkodean yang aman. Tinjauan kode mencari kerentanan perangkat lunak yang ada dan yang muncul. Koreksi yang sesuai diimplementasikan sebelum rilis. |
Tidak berlaku untuk ID Microsoft Entra. |
| 6.2.3.1 Jika tinjauan kode manual dilakukan untuk perangkat lunak khusus dan diuji ulang sebelum rilis ke produksi, perubahan kode adalah: Ditinjau oleh individu selain penulis kode asal, dan yang berpengetahuan luas tentang teknik peninjauan kode dan praktik pengodean yang aman. Ditinjau dan disetujui oleh manajemen sebelum rilis. |
Tidak berlaku untuk ID Microsoft Entra. |
| 6.2.4 Teknik rekayasa perangkat lunak atau metode lain didefinisikan dan digunakan oleh personel pengembangan perangkat lunak untuk mencegah atau mengurangi serangan perangkat lunak umum dan kerentanan terkait dalam perangkat lunak khusus dan dipesan khusus, termasuk tetapi tidak terbatas pada yang berikut: Serangan injeksi, termasuk SQL, LDAP, XPath, atau perintah, parameter, objek, kesalahan, atau kelemahan jenis injeksi lainnya. Serangan pada data dan struktur data, termasuk upaya untuk memanipulasi buffer, pointer, data input, atau data bersama. Serangan terhadap penggunaan kriptografi, termasuk upaya untuk mengeksploitasi implementasi kriptografi, algoritma, suite sandi, atau mode operasi yang lemah, atau tidak tepat. Serangan pada logika bisnis, termasuk upaya untuk menyalahgunakan atau melewati fitur dan fungsionalitas aplikasi melalui manipulasi API, protokol dan saluran komunikasi, fungsionalitas sisi klien, atau fungsi dan sumber daya sistem/aplikasi lainnya. Ini termasuk pembuatan skrip lintas situs (XSS) dan pemalsuan permintaan lintas situs (CSRF). Serangan pada mekanisme kontrol akses, termasuk upaya untuk melewati atau menyalahgunakan mekanisme identifikasi, autentikasi, atau otorisasi, atau upaya untuk mengeksploitasi kelemahan dalam implementasi mekanisme tersebut. Serangan melalui kerentanan "berisiko tinggi" yang diidentifikasi dalam proses identifikasi kerentanan, seperti yang didefinisikan dalam Persyaratan 6.3.1. |
Tidak berlaku untuk ID Microsoft Entra. |
6.3 Kerentanan keamanan diidentifikasi dan ditangani.
| Persyaratan pendekatan yang ditentukan PCI-DSS | Panduan dan rekomendasi Microsoft Entra |
|---|---|
| 6.3.1 Kerentanan keamanan diidentifikasi dan dikelola sebagai berikut: Kerentanan keamanan baru diidentifikasi menggunakan sumber yang diakui industri untuk informasi kerentanan keamanan, termasuk pemberitahuan dari tim respons darurat komputer internasional dan nasional/regional (CERT). Kerentanan diberi peringkat risiko berdasarkan praktik terbaik industri dan pertimbangan potensi dampak. Peringkat risiko mengidentifikasi, minimal, semua kerentanan dianggap berisiko tinggi atau penting bagi lingkungan. Kerentanan untuk perangkat lunak bespoke dan kustom, dan pihak ketiga (misalnya sistem operasi dan database) tercakup. |
Pelajari tentang kerentanan. MSRC | Pembaruan Keamanan, Panduan Pembaruan Keamanan |
| 6.3.2 Inventarisasi perangkat lunak khusus dan khusus, dan komponen perangkat lunak pihak ketiga yang dimasukkan ke dalam perangkat lunak khusus dan dipesan lebih dulu dipertahankan untuk memfasilitasi kerentanan dan manajemen patch. | Buat laporan untuk aplikasi menggunakan ID Microsoft Entra untuk autentikasi untuk inventarit. applicationSignInDetailedSummary jenis sumber daya Aplikasi yang tercantum dalam aplikasi Perusahaan |
| 6.3.3 Semua komponen sistem dilindungi dari kerentanan yang diketahui dengan menginstal patch/pembaruan keamanan yang berlaku sebagai berikut: Patch/pembaruan kritis atau keamanan tinggi (diidentifikasi sesuai dengan proses peringkat risiko pada Persyaratan 6.3.1) diinstal dalam satu bulan rilis. Semua patch/pembaruan keamanan lain yang berlaku diinstal dalam jangka waktu yang sesuai seperti yang ditentukan oleh entitas (misalnya, dalam waktu tiga bulan setelah rilis). |
Tidak berlaku untuk ID Microsoft Entra. |
6.4 Aplikasi web yang menghadap publik dilindungi dari serangan.
| Persyaratan pendekatan yang ditentukan PCI-DSS | Panduan dan rekomendasi Microsoft Entra |
|---|---|
| 6.4.1 Untuk aplikasi web yang menghadap publik, ancaman dan kerentanan baru ditangani secara berkelanjutan dan aplikasi ini dilindungi dari serangan yang diketahui sebagai berikut: Meninjau aplikasi web yang menghadap publik melalui alat atau metode penilaian keamanan kerentanan aplikasi manual atau otomatis sebagai berikut: - Setidaknya sekali setiap 12 bulan dan setelah perubahan signifikan. – Oleh entitas yang bersangkutan dalam keamanan aplikasi. – Termasuk, minimal, semua serangan perangkat lunak umum dalam Persyaratan 6.2.4. – Semua kerentanan diberi peringkat sesuai dengan persyaratan 6.3.1. – Semua kerentanan dikoreksi. – Aplikasi ini dievaluasi kembali setelah koreksi ATAU Menginstal solusi teknis otomatis yang terus mendeteksi dan mencegah serangan berbasis web sebagai berikut: - Dipasang di depan aplikasi web yang menghadap publik untuk mendeteksi dan mencegah serangan berbasis web. – Secara aktif berjalan dan diperbarui sebagaimana berlaku. – Menghasilkan log audit. – Dikonfigurasi untuk memblokir serangan berbasis web atau menghasilkan pemberitahuan yang segera diselidiki. |
Tidak berlaku untuk ID Microsoft Entra. |
| 6.4.2 Untuk aplikasi web yang menghadap publik, solusi teknis otomatis disebarkan yang terus mendeteksi dan mencegah serangan berbasis web, dengan setidaknya yang berikut ini: Diinstal di depan aplikasi web yang menghadap publik dan dikonfigurasi untuk mendeteksi dan mencegah serangan berbasis web. Berjalan dan diperbarui secara aktif sebagaimana berlaku. Menghasilkan log audit. Dikonfigurasi untuk memblokir serangan berbasis web atau menghasilkan pemberitahuan yang segera diselidiki. |
Tidak berlaku untuk ID Microsoft Entra. |
| 6.4.3 Semua skrip halaman pembayaran yang dimuat dan dijalankan di browser konsumen dikelola sebagai berikut: Metode diimplementasikan untuk mengonfirmasi bahwa setiap skrip diotorisasi. Metode diimplementasikan untuk memastikan integritas setiap skrip. Persediaan semua skrip dipertahankan dengan pembenaran tertulis mengapa masing-masing diperlukan. |
Tidak berlaku untuk ID Microsoft Entra. |
6.5 Perubahan pada semua komponen sistem dikelola dengan aman.
| Persyaratan pendekatan yang ditentukan PCI-DSS | Panduan dan rekomendasi Microsoft Entra |
|---|---|
| 6.5.1 Perubahan pada semua komponen sistem di lingkungan produksi dilakukan sesuai dengan prosedur yang ditetapkan yang meliputi: Alasan, dan deskripsi, perubahan. Dokumentasi dampak keamanan. Persetujuan perubahan yang didokumenkan oleh pihak yang berwenang. Pengujian untuk memverifikasi bahwa perubahan tidak berdampak buruk pada keamanan sistem. Untuk perubahan perangkat lunak khusus dan khusus, semua pembaruan diuji untuk kepatuhan terhadap Persyaratan 6.2.4 sebelum disebarkan ke dalam produksi. Prosedur untuk mengatasi kegagalan dan kembali ke status aman. |
Sertakan perubahan pada konfigurasi Microsoft Entra dalam proses kontrol perubahan. |
| 6.5.2 Setelah menyelesaikan perubahan yang signifikan, semua persyaratan PCI-DSS yang berlaku dikonfirmasi untuk diberlakukan pada semua sistem dan jaringan baru atau yang diubah, dan dokumentasi diperbarui sebagaimana berlaku. | Tidak berlaku untuk ID Microsoft Entra. |
| 6.5.3 Lingkungan praproduksi dipisahkan dari lingkungan produksi dan pemisahan diberlakukan dengan kontrol akses. | Pendekatan untuk memisahkan lingkungan praproduksi dan produksi, berdasarkan persyaratan organisasi. Isolasi sumber daya dalam isolasi Sumber Daya penyewa tunggal dengan beberapa penyewa |
| 6.5.4 Peran dan fungsi dipisahkan antara lingkungan produksi dan praproduksi untuk memberikan akuntabilitas sehingga hanya perubahan yang ditinjau dan disetujui yang disebarkan. | Pelajari tentang peran istimewa dan penyewa praproduksi khusus. Praktik terbaik untuk peran Microsoft Entra |
| 6.5.5 LIVE PAN tidak digunakan di lingkungan praproduksi, kecuali di mana lingkungan tersebut disertakan dalam CDE dan dilindungi sesuai dengan semua persyaratan PCI-DSS yang berlaku. | Tidak berlaku untuk ID Microsoft Entra. |
| 6.5.6 Data pengujian dan akun pengujian dihapus dari komponen sistem sebelum sistem masuk ke produksi. | Tidak berlaku untuk ID Microsoft Entra. |
Langkah berikutnya
Persyaratan PCI-DSS 3, 4, 9, dan 12 tidak masuk ke ID Microsoft Entra, oleh karena itu tidak ada artikel yang sesuai. Untuk melihat semua persyaratan, buka pcisecuritystandards.org: Situs Dewan Standar Keamanan PCI Resmi.
Untuk mengonfigurasi MICROSOFT Entra ID agar mematuhi PCI-DSS, lihat artikel berikut ini.
- Panduan Microsoft Entra PCI-DSS
- Persyaratan 1: Menginstal dan Memelihara Kontrol Keamanan Jaringan
- Persyaratan 2: Terapkan Konfigurasi Aman ke Semua Komponen Sistem
- Persyaratan 5: Melindungi Semua Sistem dan Jaringan dari Perangkat Lunak Berbahaya
- Persyaratan 6: Mengembangkan dan Memelihara Sistem dan Perangkat Lunak Yang Aman (Anda di sini)
- Persyaratan 7: Membatasi Akses ke Komponen Sistem dan Data Pemegang Kartu menurut Bisnis Perlu Diketahui
- Persyaratan 8: Mengidentifikasi Pengguna dan Mengautentikasi Akses ke Komponen Sistem
- Persyaratan 10: Mencatat dan Memantau Semua Akses ke Komponen Sistem dan Data Pemegang Kartu
- Persyaratan 11: Uji Keamanan Sistem dan Jaringan Secara Teratur
- Panduan Autentikasi Multifaktor Microsoft Entra PCI-DSS
Saran dan Komentar
Segera hadir: Sepanjang tahun 2024 kami akan menghentikan penggunaan GitHub Issues sebagai mekanisme umpan balik untuk konten dan menggantinya dengan sistem umpan balik baru. Untuk mengetahui informasi selengkapnya, lihat: https://aka.ms/ContentUserFeedback.
Kirim dan lihat umpan balik untuk