Linee guida per Microsoft Entra PCI-DSS

Il Payment Card Industry Security Standards Council (PCI SSC) è responsabile dello sviluppo e della promozione di standard e risorse di sicurezza dei dati, incluso lo Standard PCI-DSS (Payment Card Industry Data Security Standard), per garantire la sicurezza delle transazioni di pagamento. Per ottenere la conformità PCI, le organizzazioni che usano Microsoft Entra ID possono fare riferimento alle indicazioni contenute in questo documento. Tuttavia, è responsabilità delle organizzazioni garantire la conformità PCI. I team IT, i team SecOps e Gli architetti delle soluzioni sono responsabili della creazione e della gestione di sistemi, prodotti e reti sicuri che gestiscono, elaborano e archiviano le informazioni sulla carta di pagamento.

Anche se Microsoft Entra ID consente di soddisfare alcuni requisiti di controllo PCI-DSS e fornisce protocolli di identità e di accesso moderni per le risorse cde (cardholder data environment), non deve essere l'unico meccanismo per proteggere i dati dei titolari di carte. Di conseguenza, esaminare questo set di documenti e tutti i requisiti PCI-DSS per stabilire un programma di sicurezza completo che mantiene la fiducia dei clienti. Per un elenco completo dei requisiti, visitare il sito ufficiale del PCI Security Standards Council all'indirizzo pcisecuritystandards.org: Sito ufficiale del Pci Security Standards Council

Requisiti PCI per i controlli

Pci-DSS v4.0 globale stabilisce una baseline di standard tecnici e operativi per la protezione dei dati dell'account. È stato sviluppato per incoraggiare e migliorare la sicurezza dei dati degli account delle carte di pagamento e facilitare l'ampia adozione di misure di sicurezza dei dati coerenti, a livello globale. Fornisce una baseline di requisiti tecnici e operativi progettati per proteggere i dati dell'account. Anche se progettato per concentrarsi sugli ambienti con i dati dell'account della carta di pagamento, PCI-DSS può essere usato anche per proteggersi dalle minacce e proteggere altri elementi nell'ecosistema di pagamento".

Configurazione di Microsoft Entra e PCI-DSS

Questo documento funge da guida completa per i responsabili tecnici e aziendali responsabili della gestione delle identità e degli accessi (IAM) con Microsoft Entra ID in conformità allo standard PCI DSS (Payment Card Industry Data Security Standard). Seguendo i requisiti chiave, le procedure consigliate e gli approcci descritti in questo documento, le organizzazioni possono ridurre l'ambito, la complessità e il rischio di non conformità PCI, promuovendo al tempo stesso le procedure consigliate per la sicurezza e la conformità agli standard. Le indicazioni fornite in questo documento mirano a aiutare le organizzazioni a configurare Microsoft Entra ID in modo da soddisfare i requisiti PCI DSS necessari e promuovere procedure IAM efficaci.

I responsabili tecnici e aziendali possono usare le indicazioni seguenti per soddisfare le responsabilità per la gestione delle identità e degli accessi (IAM) con Microsoft Entra ID. Per altre informazioni su PCI-DSS in altri carichi di lavoro Microsoft, vedere Panoramica di Microsoft Cloud Security Benchmark (v1).

I requisiti e le procedure di test PCI-DSS sono costituiti da 12 requisiti principali che garantiscono la gestione sicura delle informazioni sulla carta di pagamento. Insieme, questi requisiti sono un framework completo che consente alle organizzazioni di proteggere le transazioni delle carte di pagamento e proteggere i dati dei titolari di carte sensibili.

Microsoft Entra ID è un servizio di gestione delle identità aziendale che protegge applicazioni, sistemi e risorse per supportare la conformità PCI-DSS. La tabella seguente presenta i requisiti principali pci e i collegamenti ai controlli consigliati di Microsoft Entra ID per la conformità PCI-DSS.

Requisiti principali di PCI-DSS

I requisiti PCI-DSS 3, 4, 9 e 12 non vengono risolti o soddisfatti da Microsoft Entra ID, pertanto non esistono articoli corrispondenti. Per visualizzare tutti i requisiti, passare a pcisecuritystandards.org: Sito ufficiale del Consiglio per gli standard di sicurezza PCI.

PCI Data Security Standard - Panoramica generale	Controlli PCI-DSS consigliati per Microsoft Entra ID
Creare e gestire sistemi e reti sicure	1. Installare e gestire i controlli di sicurezza di rete 2. Applicare configurazioni sicure a tutti i componenti di sistema
Proteggere i dati dell'account	3. Proteggere i dati dell'account archiviati 4. Proteggere i dati dei titolari di carte con crittografia avanzata durante la trasmissione su reti pubbliche
Gestire un programma di gestione delle vulnerabilità	5. Proteggere tutti i sistemi e le reti da software dannoso 6. Sviluppare e gestire sistemi e software sicuri
Implementare misure di Controllo di accesso avanzate	7. Limitare l'accesso ai componenti di sistema e ai dati dei titolari di carte da parte dell'azienda devono conoscere 8. Identificare ed autenticare l'accesso ai componenti di sistema 9. Limitare l'accesso fisico ai componenti di sistema e ai dati dei titolari di carte
Monitorare e testare regolarmente le reti	10. Registrare e monitorare tutti gli accessi ai componenti di sistema e ai dati dei titolari di carte 11. Testare regolarmente la sicurezza dei sistemi e delle reti
Gestire i criteri di sicurezza delle informazioni	12. Supportare la sicurezza delle informazioni con i criteri e i programmi dell'organizzazione

Applicabilità di PCI-DSS

PCI-DSS si applica alle organizzazioni che archiviano, elaborano o trasmettono dati di titolari di carte (CHD) e/o dati di autenticazione sensibili (SAD). Questi elementi di dati, considerati insieme, sono noti come dati dell'account. PCI-DSS fornisce linee guida e requisiti di sicurezza per le organizzazioni che influiscono sull'ambiente dei dati dei titolari di carte. Le entità che tutelano cde garantiscono la riservatezza e la sicurezza delle informazioni di pagamento dei clienti.

CHD è costituito da:

• Numero di conto primario (PAN): numero univoco di carta di pagamento (carta di credito, debito o carte prepagate e così via) che identifica l'emittente e l'account del titolare della carta
• Nome del titolare della carta: proprietario della carta
• Data di scadenza della carta: il giorno e il mese in cui la carta scade
• Codice di servizio : valore a tre o quattro cifre nella striscia magnetica che segue la data di scadenza della carta di pagamento sui dati di traccia. Definisce gli attributi del servizio, la differenziazione tra interscambio internazionale e nazionale/regionale o l'identificazione delle restrizioni di utilizzo.

SAD è costituito da informazioni relative alla sicurezza usate per autenticare i titolari di carte e/o autorizzare le transazioni con carta di pagamento. SAD include, ma non è limitato a:

• Dati di traccia completa - banda magnetica o chip equivalente
• Codici/valori di verifica della scheda, detti anche codice di convalida della scheda (CVC) o valore (CVV). Si tratta del valore a tre o quattro cifre sulla parte anteriore o posteriore della carta di pagamento. Viene anche definito CAV2, CVC2, CVN2, CVV2 o CID, determinato dai marchi di pagamento partecipanti (PPB).
• PIN - numero di identificazione personale
  • Blocchi PIN: rappresentazione crittografata del PIN usato in una transazione di debito o di carta di credito. Garantisce la trasmissione sicura di informazioni riservate durante una transazione

La protezione del CDE è essenziale per la sicurezza e la riservatezza delle informazioni di pagamento dei clienti e aiuta:

• Mantenere l'attendibilità dei clienti: i clienti si aspettano che le informazioni di pagamento vengano gestite in modo sicuro e mantenute riservate. Se un'azienda riscontra una violazione dei dati che causa il furto dei dati di pagamento dei clienti, può degradare la fiducia dei clienti nell'azienda e causare danni alla reputazione.
• Conformità alle normative : le aziende che elaborano transazioni con carta di credito sono necessarie per essere conformi a PCI-DSS. La mancata conformità comporta multe, responsabilità legali e danni alla reputazione risultanti.
• Mitigazione dei rischi finanziari: le violazioni dei dati hanno effetti finanziari significativi, tra cui costi per indagini forensi, spese legali e compensazione per i clienti interessati.
• Continuità aziendale: le violazioni dei dati interrompono le operazioni aziendali e potrebbero influire sui processi di transazione delle carte di credito. Questo scenario potrebbe causare perdita di ricavi, interruzioni operative e danni alla reputazione.

Ambito di controllo PCI

L'ambito di controllo PCI è correlato ai sistemi, alle reti e ai processi nell'archiviazione, nell'elaborazione o nella trasmissione di CHD e/o SAD. Se i dati dell'account vengono archiviati, elaborati o trasmessi in un ambiente cloud, PCI-DSS si applica a tale ambiente e conformità in genere comporta la convalida dell'ambiente cloud e l'utilizzo di esso. Esistono cinque elementi fondamentali nell'ambito di un controllo PCI:

• Ambiente dei dati dei titolari di carte ( CDE): area in cui vengono archiviati, elaborati o trasmessi CHD e/o SAD. Include i componenti di un'organizzazione che toccano CHD, ad esempio reti e componenti di rete, database, server, applicazioni e terminali di pagamento.
• Persone: con accesso all'ambiente cde, ad esempio dipendenti, terzisti e provider di servizi di terze parti, rientrano nell'ambito di un controllo PCI.
• Processi che coinvolgono chD, ad esempio autorizzazione, autenticazione, crittografia e archiviazione dei dati dell'account in qualsiasi formato, rientrano nell'ambito di un controllo PCI.
• Tecnologia : che elabora, archivia o trasmette CHD, inclusi hardware come stampanti e dispositivi multi-funzione che analizzano, stampano e fax, dispositivi degli utenti finali come computer, workstation portatili, workstation amministrative, tablet e dispositivi mobili, software e altri sistemi IT, rientrano nell'ambito di un controllo PCI.
• Componenti di sistema: che potrebbero non archiviare, elaborare o trasmettere CHD/SAD, ma hanno connettività illimitata ai componenti di sistema che archiviano, elaborano o trasmettono CHD/SAD o che potrebbero influire sulla sicurezza dell'ambiente CDE.

Se l'ambito PCI è ridotto al minimo, le organizzazioni possono ridurre efficacemente gli effetti degli incidenti di sicurezza e ridurre il rischio di violazioni dei dati. La segmentazione può essere una strategia preziosa per ridurre le dimensioni di PCI CDE, con conseguente riduzione dei costi di conformità e dei vantaggi complessivi per l'organizzazione, tra cui:

• Risparmio sui costi: limitando l'ambito di controllo, le organizzazioni riducono il tempo, le risorse e le spese per sottoporsi a un controllo, con conseguente risparmio sui costi.
• Riduzione dell'esposizione ai rischi: un ambito di controllo PCI più piccolo riduce i potenziali rischi associati all'elaborazione, all'archiviazione e alla trasmissione dei dati dei titolari di carte. Se il numero di sistemi, reti e applicazioni soggetti a un controllo è limitato, le organizzazioni si concentrano sulla protezione delle risorse critiche e sulla riduzione dell'esposizione ai rischi.
• Conformità semplificata: l'ambito di controllo ristretto rende la conformità PCI-DSS più gestibile e semplificata. I risultati sono controlli più efficienti, meno problemi di conformità e un rischio ridotto di incorrere in sanzioni di non conformità.
• Miglioramento del comportamento di sicurezza: con un subset più piccolo di sistemi e processi, le organizzazioni allocano in modo efficiente le risorse di sicurezza e le attività. I risultati sono un comportamento di sicurezza più forte, poiché i team di sicurezza si concentrano sulla protezione degli asset critici e sull'identificazione delle vulnerabilità in modo mirato ed efficace.

Strategie per ridurre l'ambito di controllo PCI

La definizione di un'organizzazione del cde determina l'ambito di controllo PCI. Le organizzazioni documentano e comunicano questa definizione a PCI-DSS Qualified Security Assessor (QSA) che esegue il controllo. QSA valuta i controlli per l'ambiente cde per determinare la conformità. La conformità agli standard PCI e l'uso di una mitigazione efficace dei rischi aiuta le aziende a proteggere i dati personali e finanziari dei clienti, che mantengono fiducia nelle loro operazioni. La sezione seguente descrive le strategie per ridurre i rischi nell'ambito di controllo PCI.

Tokenizzazione

La tokenizzazione è una tecnica di sicurezza dei dati. Usare la tokenizzazione per sostituire le informazioni riservate, ad esempio i numeri di carta di credito, con un token univoco archiviato e usato per le transazioni, senza esporre dati sensibili. I token riducono l'ambito di un controllo PCI per i requisiti seguenti:

• Requisito 3 - Proteggere i dati dell'account archiviati
• Requisito 4 : proteggere i dati dei titolari di carte con crittografia avanzata durante la trasmissione su reti pubbliche aperte
• Requisito 9 - Limitare l'accesso fisico ai dati dei titolari di carte
• Requisito 10 : registrare e monitorare tutti gli accessi ai componenti di sistema e ai dati dei titolari di carte.

Quando si usano metodologie di elaborazione basate sul cloud, prendere in considerazione i rischi rilevanti per dati e transazioni sensibili. Per attenuare questi rischi, è consigliabile implementare misure di sicurezza pertinenti e piani di emergenza per proteggere i dati e prevenire interruzioni delle transazioni. Come procedura consigliata, usare la tokenizzazione di pagamento come metodologia per declassificare i dati e ridurre potenzialmente il footprint dell'ambiente cde. Con la tokenizzazione dei pagamenti, i dati sensibili vengono sostituiti con un identificatore univoco che riduce il rischio di furto di dati e limita l'esposizione di informazioni riservate nell'ambiente cde.

Proteggere cde

PCI-DSS richiede alle organizzazioni di mantenere una rete CDE sicura. Con una distribuzione continua configurata in modo efficace, le aziende possono ridurre l'esposizione ai rischi e ridurre i costi associati per gli ambienti locali e cloud. Questo approccio consente di ridurre al minimo l'ambito di un controllo PCI, rendendo più semplice e conveniente dimostrare la conformità allo standard.

Per configurare Microsoft Entra ID per proteggere l'ambiente CDE:

• Usare le credenziali senza password per gli utenti: Windows Hello for Business, chiavi di sicurezza FIDO2 e app Microsoft Authenticator
• Usare credenziali complesse per le identità del carico di lavoro: certificati e identità gestite per le risorse di Azure.
  • Integrare tecnologie di accesso come VPN, desktop remoto e punti di accesso alla rete con Microsoft Entra ID per l'autenticazione, se applicabile
• Abilitare privileged identity management e verifiche di accesso per i ruoli di Microsoft Entra, i gruppi di accesso con privilegi e le risorse di Azure
• Usare i criteri di accesso condizionale per applicare i controlli dei requisiti PCI: livello delle credenziali, stato del dispositivo e applicarli in base alla posizione, all'appartenenza ai gruppi, alle applicazioni e ai rischi
• Usare l'autenticazione moderna per i carichi di lavoro DCE
• Archiviare i log di Microsoft Entra nei sistemi siem (Security Information and Event Management)

Dove le applicazioni e le risorse usano Microsoft Entra ID per la gestione delle identità e degli accessi (IAM), i tenant di Microsoft Entra rientrano nell'ambito del controllo PCI e le linee guida sono applicabili. Le organizzazioni devono valutare i requisiti di isolamento delle identità e delle risorse, tra carichi di lavoro non PCI e PCI, per determinare la migliore architettura.

Altre informazioni

• Introduzione all'amministrazione delegata e agli ambienti isolati
• Come usare l'app Microsoft Authenticator
• Informazioni sulle identità gestite per le risorse di Azure
• Informazioni sulle verifiche di accesso
• Informazioni sull'accesso condizionale
• Log di controllo in Microsoft Entra ID

Stabilire una matrice di responsabilità

La conformità PCI è responsabilità delle entità che elaborano le transazioni delle carte di pagamento, tra cui, a titolo esemplificativo:

• Mercanti
• Provider di servizi di carte
• Provider di servizi commercianti
• Acquisizione di banche
• Processori di pagamento
• Emittenti di carte di pagamento
• Fornitori di hardware

Queste entità assicurano che le transazioni con carta di pagamento vengano elaborate in modo sicuro e siano conformi a PCI-DSS. Tutte le entità coinvolte nelle transazioni con carte di pagamento hanno un ruolo per garantire la conformità PCI.

Lo stato di conformità di PCI DSS di Azure non viene convertito automaticamente nella convalida PCI-DSS per i servizi compilati o ospitati in Azure. Assicurarsi di ottenere la conformità ai requisiti PCI-DSS.

Stabilire processi continui per mantenere la conformità

I processi continui comportano il monitoraggio continuo e il miglioramento del comportamento di conformità. Vantaggi dei processi continui per mantenere la conformità PCI:

• Riduzione del rischio di incidenti di sicurezza e non conformità
• Sicurezza dei dati migliorata
• Migliore allineamento ai requisiti normativi
• Maggiore fiducia dei clienti e degli stakeholder

Con i processi in corso, le organizzazioni rispondono efficacemente ai cambiamenti nell'ambiente normativo e alle minacce alla sicurezza in continua evoluzione.

• Valutazione dei rischi: eseguire questo processo per identificare le vulnerabilità dei dati della carta di credito e i rischi per la sicurezza. Identificare potenziali minacce, valutare la probabilità che si verifichino minacce e valutare i potenziali effetti sull'azienda.
• Formazione sulla sensibilizzazione sulla sicurezza: i dipendenti che gestiscono i dati della carta di credito ricevono una formazione regolare sulla sensibilizzazione sulla sicurezza per chiarire l'importanza della protezione dei dati dei titolari di carte e le misure a tale scopo.
• Gestione delle vulnerabilità: condurre analisi regolari delle vulnerabilità e test di penetrazione per identificare i punti deboli della rete o del sistema sfruttabili dagli utenti malintenzionati.
• Monitorare e gestire i criteri di controllo di accesso: l'accesso ai dati della carta di credito è limitato alle persone autorizzate. Monitorare i log di accesso per identificare i tentativi di accesso non autorizzati.
• Risposta agli eventi imprevisti: un piano di risposta agli eventi imprevisti consente ai team di sicurezza di intervenire durante gli eventi imprevisti relativi alla carta di credito. Identificare la causa dell'evento imprevisto, contenere i danni e ripristinare le normali operazioni in modo tempestivo.
• Il monitoraggio della conformità e il controllo vengono eseguiti per garantire la conformità continua ai requisiti PCI-DSS. Esaminare i log di sicurezza, eseguire verifiche regolari dei criteri e assicurarsi che i componenti di sistema siano configurati e gestiti in modo accurato.

Implementare una sicurezza avanzata per l'infrastruttura condivisa

In genere, i servizi Web, ad esempio Azure, hanno un'infrastruttura condivisa in cui i dati dei clienti possono essere archiviati nello stesso server fisico o nello stesso dispositivo di archiviazione dati. Questo scenario crea il rischio che i clienti non autorizzati accedano ai dati che non possiedono e il rischio di attori malintenzionati destinati all'infrastruttura condivisa. Le funzionalità di sicurezza di Microsoft Entra consentono di ridurre i rischi associati all'infrastruttura condivisa:

• Autenticazione utente per tecnologie di accesso alla rete che supportano protocolli di autenticazione moderni: rete privata virtuale (VPN), desktop remoto e punti di accesso alla rete.
• Criteri di controllo di accesso che applicano metodi di autenticazione avanzata e conformità dei dispositivi in base a segnali quali contesto utente, dispositivo, posizione e rischio.
• L'accesso condizionale fornisce un piano di controllo basato sulle identità e riunisce i segnali, per prendere decisioni e applicare i criteri dell'organizzazione.
• Governance dei ruoli con privilegi: verifiche di accesso, attivazione JIT (Just-In-Time) e così via.

Altre informazioni: Che cos'è l'accesso condizionale?

Residenza dei dati

PCI-DSS non cita alcuna posizione geografica specifica per l'archiviazione dei dati della carta di credito. Tuttavia, richiede che i dati dei titolari di carte vengano archiviati in modo sicuro, che potrebbero includere restrizioni geografiche, a seconda dei requisiti normativi e di sicurezza dell'organizzazione. Diversi paesi e aree geografiche hanno leggi sulla protezione dei dati e sulla privacy. Rivolgersi a un consulente legale o di conformità per determinare i requisiti di residenza dei dati applicabili.

Altre informazioni: Microsoft Entra ID e residenza dei dati

Rischi per la sicurezza di terze parti

Un provider di terze parti non conforme a PCI rappresenta un rischio per la conformità PCI. Valutare e monitorare regolarmente fornitori e provider di servizi di terze parti per garantire che mantengano i controlli necessari per proteggere i dati dei titolari di carte.

Le funzionalità e le funzioni di Microsoft Entra nella residenza dei dati consentono di ridurre i rischi associati alla sicurezza di terze parti.

Registrazione e monitoraggio

Implementare registrazione e monitoraggio accurati per rilevare e rispondere a eventi imprevisti di sicurezza in modo tempestivo. Microsoft Entra ID consente di gestire la conformità PCI con i log di controllo e attività e i report che possono essere integrati con un sistema SIEM. Microsoft Entra ID ha il ruolo controllo degli accessi in base al ruolo e MFA per proteggere l'accesso a risorse sensibili, crittografia e funzionalità di protezione dalle minacce per proteggere le organizzazioni da accessi non autorizzati e furti di dati.

Altre informazioni:

• Che cosa sono i report di Microsoft Entra?
• Ruoli predefiniti Microsoft Entra

Ambienti multi-applicazione: host all'esterno dell'ambiente CDE

PCI-DSS garantisce che le aziende che accettano, elaborano, archivino o trasmettono informazioni sulla carta di credito mantengano un ambiente sicuro. L'hosting all'esterno dell'ambiente CDE presenta rischi come:

• Il controllo di accesso e la gestione delle identità scarsi potrebbero comportare l'accesso non autorizzato a dati e sistemi sensibili
• Registrazione e monitoraggio insufficienti degli eventi di sicurezza impedisce il rilevamento e la risposta agli eventi imprevisti di sicurezza
• La crittografia e la protezione dalle minacce insufficienti aumentano il rischio di furto di dati e accesso non autorizzato
• Scarsa o nessuna formazione e consapevolezza della sicurezza per gli utenti potrebbe causare attacchi di social engineering evitabili, ad esempio phishing

Passaggi successivi

I requisiti PCI-DSS 3, 4, 9 e 12 non sono applicabili all'ID Microsoft Entra, pertanto non esistono articoli corrispondenti. Per visualizzare tutti i requisiti, passare a pcisecuritystandards.org: Sito ufficiale del Consiglio per gli standard di sicurezza PCI.

Per configurare Microsoft Entra ID in modo che sia conforme a PCI-DSS, vedere gli articoli seguenti.

• Linee guida per Microsoft Entra PCI-DSS (qui)
• Requisito 1: Installare e gestire i controlli di sicurezza di rete
• Requisito 2: Applicare configurazioni sicure a tutti i componenti di sistema
• Requisito 5: Proteggere tutti i sistemi e le reti da software dannoso
• Requisito 6: Sviluppare e gestire sistemi e software sicuri
• Requisito 7: Limitare l'accesso ai componenti di sistema e ai dati dei titolari di carte in base alle esigenze aziendali
• Requisito 8: Identificare gli utenti e autenticare l'accesso ai componenti di sistema
• Requisito 10: Registrare e monitorare tutti gli accessi ai componenti di sistema e ai dati dei titolari di carte
• Requisito 11: Testare regolarmente la sicurezza dei sistemi e delle reti
• Linee guida per Microsoft Entra PCI-DSS Multi-Factor Authentication