Persyaratan MICROSOFT Entra ID dan PCI-DSS 8
Persyaratan 8: Identifikasi Pengguna dan Autentikasi Akses ke Komponen Sistem
Persyaratan pendekatan yang ditentukan
8.1 Proses dan mekanisme untuk mengidentifikasi pengguna dan mengautentikasi akses ke komponen sistem ditentukan dan dipahami.
| Persyaratan pendekatan yang ditentukan PCI-DSS | Panduan dan rekomendasi Microsoft Entra |
|---|---|
| 8.1.1 Semua kebijakan keamanan dan prosedur operasional yang diidentifikasi dalam Persyaratan 8 adalah: Didokumentasikan Tetap diperbarui Dalam penggunaan Diketahui oleh semua pihak yang terpengaruh |
Gunakan panduan dan tautan di sini untuk menghasilkan dokumentasi untuk memenuhi persyaratan berdasarkan konfigurasi lingkungan Anda. |
| 8.1.2 Peran dan tanggung jawab untuk melakukan aktivitas dalam Persyaratan 8 didokumentasikan, ditetapkan, dan dipahami. | Gunakan panduan dan tautan di sini untuk menghasilkan dokumentasi untuk memenuhi persyaratan berdasarkan konfigurasi lingkungan Anda. |
8.2 Identifikasi pengguna dan akun terkait untuk pengguna dan administrator dikelola secara ketat sepanjang siklus hidup akun.
| Persyaratan pendekatan yang ditentukan PCI-DSS | Panduan dan rekomendasi Microsoft Entra |
|---|---|
| 8.2.1 Semua pengguna diberi ID unik sebelum akses ke komponen sistem atau data pemegang kartu diizinkan. | Untuk aplikasi CDE yang mengandalkan ID Microsoft Entra, ID pengguna unik adalah atribut nama prinsipal pengguna (UPN). Populasi Microsoft Entra UserPrincipalName |
| 8.2.2 Grup, akun bersama, atau generik, atau kredensial autentikasi bersama lainnya hanya digunakan jika diperlukan berdasarkan pengecualian, dan dikelola sebagai berikut: Penggunaan akun dicegah kecuali diperlukan untuk keadaan yang luar biasa. Penggunaan terbatas pada waktu yang diperlukan untuk keadaan yang luar biasa. Pembenaran bisnis untuk digunakan didokumenkan. Penggunaan secara eksplisit disetujui oleh manajemen Identitas pengguna individu dikonfirmasi sebelum akses ke akun diberikan. Setiap tindakan yang diambil dapat didistribusikan kepada pengguna individual. |
Pastikan CDE yang menggunakan ID Microsoft Entra untuk akses aplikasi memiliki proses untuk mencegah akun bersama. Buat sebagai pengecualian yang memerlukan persetujuan. Untuk sumber daya CDE yang disebarkan di Azure, gunakan identitas terkelola untuk sumber daya Azure untuk mewakili identitas beban kerja, alih-alih membuat akun layanan bersama. Apa identitas terkelola untuk sumber daya Azure? Jika Anda tidak dapat menggunakan identitas terkelola dan sumber daya yang diakses menggunakan protokol OAuth, gunakan perwakilan layanan untuk mewakili identitas beban kerja. Berikan identitas akses dengan hak istimewa paling sedikit melalui cakupan OAuth. Administrator dapat membatasi akses dan menentukan alur kerja persetujuan untuk membuatnya. Apa yang dimaksud dengan identitas beban kerja? |
| 8.2.3 Persyaratan tambahan hanya untuk penyedia layanan: Penyedia layanan dengan akses jarak jauh ke tempat pelanggan menggunakan faktor autentikasi unik untuk setiap tempat pelanggan. | MICROSOFT Entra ID memiliki konektor lokal untuk mengaktifkan kemampuan hibrid. Konektor dapat diidentifikasi dan menggunakan kredensial yang dihasilkan secara unik. Sinkronisasi Microsoft Entra Connect: Memahami dan menyesuaikan sinkronisasi Cloud sinkronisasi mendalam arsitektur provisi aplikasi lokal Microsoft Entra Merencanakan aplikasi HR cloud ke provisi pengguna Microsoft Entra Instal agen Microsoft Entra Connect Health |
| 8.2.4 Penambahan, penghapusan, dan modifikasi ID pengguna, faktor autentikasi, dan objek pengidentifikasi lainnya dikelola sebagai berikut: Diotorisasi dengan persetujuan yang sesuai. Diimplementasikan hanya dengan hak istimewa yang ditentukan pada persetujuan yang didokumentasikan. |
MICROSOFT Entra ID memiliki provisi akun pengguna otomatis dari sistem SDM. Gunakan fitur ini untuk membuat siklus hidup. Apa itu penyediaan berbasis SDM? MICROSOFT Entra ID memiliki alur kerja siklus hidup untuk mengaktifkan logika yang disesuaikan untuk proses joiner, mover, dan leaver. Apa itu Alur Kerja Siklus Hidup? MICROSOFT Entra ID memiliki antarmuka terprogram untuk mengelola metode autentikasi dengan Microsoft Graph. Beberapa metode autentikasi seperti kunci Windows Hello untuk Bisnis dan FIDO2, memerlukan intervensi pengguna untuk mendaftar. Mulai menggunakan metode autentikasi Graph Administrator API dan/atau otomatisasi menghasilkan kredensial Kode Akses Sementara menggunakan Graph API. Gunakan kredensial ini untuk orientasi tanpa kata sandi. Mengonfigurasi Kode Akses Sementara di ID Microsoft Entra untuk mendaftarkan metode autentikasi Tanpa Kata Sandi |
| 8.2.5 Akses untuk pengguna yang dihentikan segera dicabut. | Untuk mencabut akses ke akun, nonaktifkan akun lokal untuk akun hibrid yang disinkronkan dari ID Microsoft Entra, nonaktifkan akun di ID Microsoft Entra, dan cabut token. Cabut akses pengguna di MICROSOFT Entra ID Gunakan Evaluasi Akses Berkelanjutan (CAE) untuk aplikasi yang kompatibel agar memiliki percakapan dua arah dengan ID Microsoft Entra. Aplikasi dapat diberi tahu tentang peristiwa, seperti penghentian akun dan tolak token. Evaluasi akses berkelanjutan |
| 8.2.6 Akun pengguna yang tidak aktif dihapus atau dinonaktifkan dalam waktu 90 hari setelah tidak aktif. | Untuk akun hibrid, administrator memeriksa aktivitas di Direktori Aktif dan Microsoft Entra setiap 90 hari. Untuk ID Microsoft Entra, gunakan Microsoft Graph untuk menemukan tanggal masuk terakhir. Cara: Mengelola akun pengguna yang tidak aktif di ID Microsoft Entra |
| 8.2.7 Akun yang digunakan oleh pihak ketiga untuk mengakses, mendukung, atau memelihara komponen sistem melalui akses jarak jauh dikelola sebagai berikut: Diaktifkan hanya selama periode waktu yang diperlukan dan dinonaktifkan saat tidak digunakan. Penggunaan dipantau untuk aktivitas tak terduga. |
MICROSOFT Entra ID memiliki kemampuan manajemen identitas eksternal. Gunakan siklus hidup tamu yang diatur dengan pengelolaan pemberian izin. Pengguna eksternal di-onboarding dalam konteks aplikasi, sumber daya, dan paket akses, yang dapat Anda berikan untuk periode terbatas dan memerlukan tinjauan akses berkala. Ulasan dapat mengakibatkan penghapusan atau penonaktifan akun. Mengatur akses untuk pengguna eksternal dalam pengelolaan pemberian hak Microsoft Entra ID menghasilkan peristiwa risiko di tingkat pengguna dan sesi. Pelajari cara melindungi, mendeteksi, dan merespons aktivitas tak terduga. Apa itu risiko? |
| 8.2.8 Jika sesi pengguna tidak aktif selama lebih dari 15 menit, pengguna diharuskan untuk mengautentikasi ulang untuk mengaktifkan kembali terminal atau sesi. | Gunakan kebijakan manajemen titik akhir dengan Intune, dan Microsoft Endpoint Manager. Kemudian, gunakan Akses Bersyarah untuk mengizinkan akses dari perangkat yang sesuai. Gunakan kebijakan kepatuhan untuk menetapkan aturan untuk perangkat yang Anda kelola dengan Intune Jika lingkungan CDE Anda bergantung pada objek kebijakan grup (GPO), konfigurasikan GPO untuk mengatur batas waktu diam. Konfigurasikan ID Microsoft Entra untuk mengizinkan akses dari perangkat gabungan hibrid Microsoft Entra. Perangkat gabungan hibrid Microsoft Entra |
8.3 Autentikasi kuat untuk pengguna dan administrator dibuat dan dikelola.
Untuk informasi selengkapnya tentang metode autentikasi Microsoft Entra yang memenuhi persyaratan PCI, lihat: Suplemen Informasi: Autentikasi Multifaktor.
| Persyaratan pendekatan yang ditentukan PCI-DSS | Panduan dan rekomendasi Microsoft Entra |
|---|---|
| 8.3.1 Semua akses pengguna ke komponen sistem untuk pengguna dan administrator diautentikasi melalui setidaknya salah satu faktor autentikasi berikut: Sesuatu yang Anda ketahui, seperti kata sandi atau frasa sandi. Sesuatu yang Anda miliki, seperti perangkat token atau kartu pintar. Sesuatu yang Anda, seperti elemen biometrik. |
ID Microsoft Entra memerlukan metode tanpa kata sandi untuk memenuhi persyaratan PCI Lihat penyebaran tanpa kata sandi holistik. Merencanakan penyebaran autentikasi tanpa kata sandi di ID Microsoft Entra |
| 8.3.2 Kriptografi kuat digunakan untuk merender semua faktor autentikasi yang tidak dapat dibaca selama transmisi dan penyimpanan pada semua komponen sistem. | Kriptografi yang digunakan oleh MICROSOFT Entra ID mematuhi definisi PCI dari Strong Cryptography. Pertimbangan perlindungan Data Microsoft Entra |
| 8.3.3 Identitas pengguna diverifikasi sebelum memodifikasi faktor autentikasi apa pun. | ID Microsoft Entra mengharuskan pengguna untuk mengautentikasi untuk memperbarui metode autentikasi mereka menggunakan layanan mandiri, seperti portal mysecurityinfo dan portal pengaturan ulang kata sandi mandiri (SSPR). Menyiapkan info keamanan dari halaman masuk Kebijakan Akses Bersyarat Umum: Mengamankan pendaftaran info keamanan Administrator pengaturan ulang kata sandi mandiri Microsoft Entra dengan peran istimewa dapat memodifikasi faktor autentikasi: Global, Kata Sandi, Pengguna, Autentikasi, dan Autentikasi Istimewa. Peran dengan hak istimewa paling sedikit berdasarkan tugas di MICROSOFT Entra ID. Microsoft menyarankan Anda mengaktifkan akses dan tata kelola JIT, untuk akses istimewa menggunakan Microsoft Entra Privileged Identity Management |
| 8.3.4 Upaya autentikasi yang tidak valid dibatasi oleh: Mengunci ID pengguna setelah tidak lebih dari 10 upaya. Mengatur durasi penguncian ke minimal 30 menit atau hingga identitas pengguna dikonfirmasi. |
Sebarkan Windows Hello untuk Bisnis untuk perangkat Windows yang mendukung Modul Platform Tepercaya (TPM) 2.0 atau yang lebih tinggi perangkat keras. Untuk Windows Hello untuk Bisnis, penguncian berkaitan dengan perangkat. Gerakan, PIN, atau biometrik, membuka akses ke TPM lokal. Administrator mengonfigurasi perilaku penguncian dengan kebijakan GPO atau Intune. Pengaturan Kebijakan Grup TPM Kelola Windows Hello untuk Bisnis pada perangkat pada saat perangkat mendaftar dengan dasar-dasar TPM Intune Windows Hello untuk Bisnis berfungsi untuk autentikasi lokal ke Direktori Aktif dan sumber daya cloud di ID Microsoft Entra. Untuk kunci keamanan FIDO2, perlindungan brute-force terkait dengan kunci. Gerakan, PIN, atau biometrik, membuka akses ke penyimpanan kunci lokal. Administrator mengonfigurasi ID Microsoft Entra untuk memungkinkan pendaftaran kunci keamanan FIDO2 dari produsen yang selaras dengan persyaratan PCI. Aktifkan masuk kunci keamanan tanpa kata sandi Aplikasi Microsoft Authenticator Untuk mengurangi serangan brute force menggunakan masuk tanpa kata sandi aplikasi Microsoft Authenticator, mengaktifkan pencocokan angka, dan konteks lainnya. MICROSOFT Entra ID menghasilkan angka acak dalam alur autentikasi. Pengguna mengetikkannya di aplikasi pengautentikasi. Perintah autentikasi aplikasi seluler menunjukkan lokasi, alamat IP permintaan, dan aplikasi permintaan. Cara menggunakan pencocokan angka di pemberitahuan MFA Cara menggunakan konteks tambahan di pemberitahuan Microsoft Authenticator |
| 8.3.5 Jika kata sandi/frasa sandi digunakan sebagai faktor autentikasi untuk memenuhi Persyaratan 8.3.1, kata sandi tersebut diatur dan diatur ulang untuk setiap pengguna sebagai berikut: Atur ke nilai unik untuk penggunaan pertama kali dan setelah reset. Dipaksa untuk diubah segera setelah penggunaan pertama. |
Tidak berlaku untuk ID Microsoft Entra. |
| 8.3.6 Jika kata sandi/frasa sandi digunakan sebagai faktor autentikasi untuk memenuhi Persyaratan 8.3.1, kata sandi memenuhi tingkat kompleksitas minimum berikut: Panjang minimum 12 karakter (atau JIKA sistem tidak mendukung 12 karakter, panjang minimum delapan karakter). Berisi karakter numerik dan alfabet. |
Tidak berlaku untuk ID Microsoft Entra. |
| 8.3.7 Individu tidak diizinkan untuk mengirimkan kata sandi/frasa sandi baru yang sama dengan salah satu dari empat kata sandi/frasa sandi terakhir yang digunakan. | Tidak berlaku untuk ID Microsoft Entra. |
| 8.3.8 Kebijakan dan prosedur autentikasi didokumenkan dan dikomunikasikan kepada semua pengguna termasuk: Panduan tentang memilih faktor autentikasi yang kuat. Panduan tentang bagaimana pengguna harus melindungi faktor autentikasi mereka. Instruksi untuk tidak menggunakan kembali kata sandi/frasa sandi yang digunakan sebelumnya. Instruksi untuk mengubah kata sandi/frasa sandi jika ada kecurigaan atau pengetahuan bahwa kata sandi/frasa sandi telah disusupi dan cara melaporkan insiden tersebut. |
Kebijakan dan prosedur dokumen, lalu berkomunikasi dengan pengguna sesuai persyaratan ini. Microsoft menyediakan templat yang dapat disesuaikan di Pusat Unduhan. |
| 8.3.9 Jika kata sandi/frasa sandi digunakan sebagai satu-satunya faktor autentikasi untuk akses pengguna (yaitu, dalam implementasi autentikasi faktor tunggal apa pun) maka: Kata sandi/frasa sandi diubah setidaknya sekali setiap 90 hari, ATAU Postur keamanan akun dianalisis secara dinamis, dan akses real-time ke sumber daya ditentukan secara otomatis. |
Tidak berlaku untuk ID Microsoft Entra. |
| 8.3.10 Persyaratan tambahan hanya untuk penyedia layanan: Jika kata sandi/frasa sandi digunakan sebagai satu-satunya faktor autentikasi untuk akses pengguna pelanggan ke data pemegang kartu (yaitu, dalam implementasi autentikasi faktor tunggal), maka panduan diberikan kepada pengguna pelanggan termasuk: Panduan bagi pelanggan untuk mengubah kata sandi/frasa sandi pengguna mereka secara berkala. Panduan tentang kapan, dan dalam keadaan apa, kata sandi/frasa sandi akan diubah. |
Tidak berlaku untuk ID Microsoft Entra. |
| 8.3.10.1 Persyaratan tambahan hanya untuk penyedia layanan: Jika kata sandi/frasa sandi digunakan sebagai satu-satunya faktor autentikasi untuk akses pengguna pelanggan (yaitu, dalam implementasi autentikasi faktor tunggal apa pun) maka: Kata sandi/frasa sandi diubah setidaknya sekali setiap 90 hari, ATAU Postur keamanan akun dianalisis secara dinamis, dan akses real-time ke sumber daya ditentukan secara otomatis. |
Tidak berlaku untuk ID Microsoft Entra. |
| 8.3.11 Di mana faktor autentikasi seperti token keamanan fisik atau logis, kartu pintar, atau sertifikat digunakan: Faktor ditetapkan ke pengguna individu dan tidak dibagikan di antara beberapa pengguna. Kontrol fisik dan/atau logis memastikan hanya pengguna yang dimaksudkan yang dapat menggunakan faktor tersebut untuk mendapatkan akses. |
Gunakan metode autentikasi tanpa kata sandi seperti Windows Hello untuk Bisnis, kunci keamanan FIDO2, dan aplikasi Microsoft Authenticator untuk masuk melalui telepon. Gunakan kartu pintar berdasarkan keypair publik atau privat yang terkait dengan pengguna untuk mencegah penggunaan kembali. |
8.4 Autentikasi multifaktor (MFA) diimplementasikan untuk mengamankan akses ke lingkungan data pemegang kartu (CDE)
| Persyaratan pendekatan yang ditentukan PCI-DSS | Panduan dan rekomendasi Microsoft Entra |
|---|---|
| 8.4.1 MFA diimplementasikan untuk semua akses nonkonsol ke dalam CDE untuk personel dengan akses administratif. | Gunakan Akses Bersyarat untuk memerlukan autentikasi yang kuat untuk mengakses sumber daya CDE. Tentukan kebijakan untuk menargetkan peran administratif, atau grup keamanan yang mewakili akses administratif ke aplikasi. Untuk akses administratif, gunakan Microsoft Entra Privileged Identity Management (PIM) untuk mengaktifkan aktivasi peran istimewa just-in-time (JIT). Apa itu Akses Bersyar? Templat Akses Bersyarah Mulai menggunakan PIM |
| 8.4.2 MFA diimplementasikan untuk semua akses ke CDE. | Memblokir akses ke protokol warisan yang tidak mendukung autentikasi yang kuat. Blokir autentikasi lama dengan Microsoft Entra ID dengan Akses Bersyarat |
| 8.4.3 MFA diimplementasikan untuk semua akses jaringan jarak jauh yang berasal dari luar jaringan entitas yang dapat mengakses atau memengaruhi CDE sebagai berikut: Semua akses jarak jauh oleh semua personel, baik pengguna maupun administrator, yang berasal dari luar jaringan entitas. Semua akses jarak jauh oleh pihak ketiga dan vendor. |
Integrasikan teknologi akses seperti jaringan privat virtual (VPN), desktop jarak jauh, dan titik akses jaringan dengan ID Microsoft Entra untuk autentikasi dan otorisasi. Gunakan Akses Bersyarat untuk memerlukan autentikasi yang kuat untuk mengakses aplikasi akses jarak jauh. Templat Akses Bersyarah |
8.5 Sistem autentikasi multifaktor (MFA) dikonfigurasi untuk mencegah penyalahgunaan.
| Persyaratan pendekatan yang ditentukan PCI-DSS | Panduan dan rekomendasi Microsoft Entra |
|---|---|
| 8.5.1 Sistem MFA diimplementasikan sebagai berikut: Sistem MFA tidak rentan terhadap serangan pemutaran ulang. Sistem MFA tidak dapat dilewati oleh pengguna mana pun, termasuk pengguna administratif kecuali didokumenkan secara khusus, dan diotorisasi oleh manajemen berdasarkan pengecualian, untuk jangka waktu terbatas. Setidaknya dua jenis faktor autentikasi yang berbeda digunakan. Keberhasilan semua faktor autentikasi diperlukan sebelum akses diberikan. |
Metode autentikasi Microsoft Entra yang direkomendasikan menggunakan nonce atau tantangan. Metode ini menolak serangan pemutaran ulang karena MICROSOFT Entra ID mendeteksi transaksi autentikasi yang diputar ulang. Windows Hello untuk Bisnis, FIDO2, dan aplikasi Microsoft Authenticator untuk masuk telepon tanpa kata sandi menggunakan nonce untuk mengidentifikasi permintaan dan mendeteksi upaya pemutaran ulang. Gunakan kredensial tanpa kata sandi untuk pengguna di CDE. Autentikasi berbasis sertifikat menggunakan tantangan untuk mendeteksi upaya pemutaran ulang. Jaminan pengautentikasi NIST tingkat 2 dengan ID Microsoft Entra Jaminan pengautentikasi NIST tingkat 3 dengan menggunakan ID Microsoft Entra |
8.6 Penggunaan akun aplikasi dan sistem serta faktor autentikasi terkait dikelola secara ketat.
| Persyaratan pendekatan yang ditentukan PCI-DSS | Panduan dan rekomendasi Microsoft Entra |
|---|---|
| 8.6.1 Jika akun yang digunakan oleh sistem atau aplikasi dapat digunakan untuk masuk interaktif, akun tersebut dikelola sebagai berikut: Penggunaan interaktif dicegah kecuali diperlukan untuk keadaan yang luar biasa. Penggunaan interaktif terbatas pada waktu yang diperlukan untuk keadaan yang luar biasa. Pembenaran bisnis untuk penggunaan interaktif didokumenkan. Penggunaan interaktif secara eksplisit disetujui oleh manajemen. Identitas pengguna individual dikonfirmasi sebelum akses ke akun diberikan. Setiap tindakan yang diambil dapat didistribusikan kepada pengguna individual. |
Untuk aplikasi CDE dengan autentikasi modern, dan untuk sumber daya CDE yang disebarkan di Azure yang menggunakan autentikasi modern, ID Microsoft Entra memiliki dua jenis akun layanan untuk aplikasi: Identitas Terkelola dan perwakilan layanan. Pelajari tentang tata kelola akun layanan Microsoft Entra: perencanaan, provisi, siklus hidup, pemantauan, tinjauan akses, dll. Mengatur akun layanan Microsoft Entra Untuk mengamankan akun layanan Microsoft Entra. Mengamankan identitas terkelola di Microsoft Entra ID Mengamankan perwakilan layanan di ID Microsoft Entra Untuk CDEs dengan sumber daya di luar Azure yang memerlukan akses, mengonfigurasi federasi identitas beban kerja tanpa mengelola rahasia atau masuk interaktif. Federasi identitas beban kerja Untuk mengaktifkan proses persetujuan dan pelacakan untuk memenuhi persyaratan, mengatur alur kerja menggunakan IT Service Management (ITSM) dan database manajemen konfigurasi (CMDB) Alat ini menggunakan MS Graph API untuk berinteraksi dengan ID Microsoft Entra dan mengelola akun layanan. Untuk CDEs yang memerlukan akun layanan yang kompatibel dengan Active Directory lokal, gunakan Akun Layanan Terkelola Grup (GMSA), dan akun layanan terkelola mandiri (sMSA), akun komputer, atau akun pengguna. Mengamankan akun layanan lokal |
| 8.6.2 Kata sandi/frasa sandi untuk aplikasi dan akun sistem apa pun yang dapat digunakan untuk masuk interaktif tidak dikodekan secara permanen dalam skrip, file konfigurasi/properti, atau kode sumber khusus dan pesanan khusus. | Gunakan akun layanan modern seperti Identitas Terkelola Azure dan perwakilan layanan yang tidak memerlukan kata sandi. Kredensial identitas terkelola Microsoft Entra disediakan, dan diputar di cloud, yang mencegah penggunaan rahasia bersama seperti kata sandi dan frasa sandi. Saat menggunakan identitas terkelola yang ditetapkan sistem, siklus hidup terkait dengan siklus hidup sumber daya Azure yang mendasar. Gunakan perwakilan layanan untuk menggunakan sertifikat sebagai kredensial, yang mencegah penggunaan rahasia bersama seperti kata sandi dan frasa sandi. Jika sertifikat tidak layak, gunakan Azure Key Vault untuk menyimpan rahasia klien perwakilan layanan. Praktik terbaik untuk menggunakan Azure Key Vault Untuk CDEs dengan sumber daya di luar Azure yang memerlukan akses, mengonfigurasi federasi identitas beban kerja tanpa mengelola rahasia atau masuk interaktif. Federasi identitas beban kerja Menyebarkan Akses Bersyarat untuk identitas beban kerja guna mengontrol otorisasi berdasarkan lokasi dan/atau tingkat risiko. Akses Bersyarkat untuk identitas beban kerja Selain panduan sebelumnya, gunakan alat analisis kode untuk mendeteksi rahasia yang dikodekan secara permanen dalam file kode dan konfigurasi. Mendeteksi rahasia yang diekspos dalam kode Aturan keamanan |
| 8.6.3 Kata Sandi/frasa sandi untuk aplikasi dan akun sistem apa pun dilindungi dari penyalahgunaan sebagai berikut: Kata Sandi/frasa sandi diubah secara berkala (pada frekuensi yang ditentukan dalam analisis risiko yang ditargetkan entitas, yang dilakukan sesuai dengan semua elemen yang ditentukan dalam Persyaratan 12.3.1) dan setelah kecurigaan atau konfirmasi penyusupan. Kata sandi/frasa sandi dibangun dengan kompleksitas yang memadai sesuai dengan seberapa sering entitas mengubah kata sandi/frasa sandi. |
Gunakan akun layanan modern seperti Identitas Terkelola Azure dan perwakilan layanan yang tidak memerlukan kata sandi. Untuk pengecualian yang memerlukan perwakilan layanan dengan rahasia, siklus hidup rahasia abstrak dengan alur kerja dan otomatisasi yang mengatur kata sandi acak ke perwakilan layanan, memutarnya secara teratur, dan bereaksi terhadap peristiwa risiko. Tim operasi keamanan dapat meninjau dan memulihkan laporan yang dihasilkan oleh Microsoft Entra seperti identitas beban kerja berisiko. Mengamankan identitas beban kerja dengan Perlindungan Identitas |
Langkah berikutnya
Persyaratan PCI-DSS 3, 4, 9, dan 12 tidak berlaku untuk ID Microsoft Entra, oleh karena itu tidak ada artikel yang sesuai. Untuk melihat semua persyaratan, buka pcisecuritystandards.org: Situs Dewan Standar Keamanan PCI Resmi.
Untuk mengonfigurasi MICROSOFT Entra ID agar mematuhi PCI-DSS, lihat artikel berikut ini.
- Panduan Microsoft Entra PCI-DSS
- Persyaratan 1: Menginstal dan Memelihara Kontrol Keamanan Jaringan
- Persyaratan 2: Terapkan Konfigurasi Aman ke Semua Komponen Sistem
- Persyaratan 5: Melindungi Semua Sistem dan Jaringan dari Perangkat Lunak Berbahaya
- Persyaratan 6: Mengembangkan dan Memelihara Sistem dan Perangkat Lunak yang Aman
- Persyaratan 7: Membatasi Akses ke Komponen Sistem dan Data Pemegang Kartu menurut Bisnis Perlu Diketahui
- Persyaratan 8: Identifikasi Pengguna dan Autentikasi Akses ke Komponen Sistem (Anda di sini)
- Persyaratan 10: Mencatat dan Memantau Semua Akses ke Komponen Sistem dan Data Pemegang Kartu
- Persyaratan 11: Uji Keamanan Sistem dan Jaringan Secara Teratur
- Panduan Autentikasi Multifaktor Microsoft Entra PCI-DSS
Saran dan Komentar
Segera hadir: Sepanjang tahun 2024 kami akan menghentikan penggunaan GitHub Issues sebagai mekanisme umpan balik untuk konten dan menggantinya dengan sistem umpan balik baru. Untuk mengetahui informasi selengkapnya, lihat: https://aka.ms/ContentUserFeedback.
Kirim dan lihat umpan balik untuk