Condividi tramite


Requisito 11 di Microsoft Entra ID e PCI-DSS

Requisito 11: Testare i requisiti di approccio definiti regolarmente
per la sicurezza dei sistemi e delle reti

11.1 I processi e i meccanismi per testare regolarmente la sicurezza dei sistemi e delle reti vengono definiti e riconosciuti.

Requisiti di approccio definiti da PCI-DSS Indicazioni e consigli per Microsoft Entra
11.1.1 Tutti i criteri di sicurezza e le procedure operative identificate nel requisito 11 sono:
Documentati
mantenuti aggiornati
In uso
noti a tutte le parti interessate
Usare le linee guida e i collegamenti qui riportati per produrre la documentazione per soddisfare i requisiti in base alla configurazione dell'ambiente.
11.1.2 Ruoli e responsabilità per l'esecuzione di attività nel requisito 11 sono documentati, assegnati e riconosciuti. Usare le linee guida e i collegamenti qui riportati per produrre la documentazione per soddisfare i requisiti in base alla configurazione dell'ambiente.

11.2 I punti di accesso wireless sono identificati e monitorati e vengono indirizzati punti di accesso wireless non autorizzati.

Requisiti di approccio definiti da PCI-DSS Indicazioni e consigli per Microsoft Entra
11.2.1 I punti di accesso wireless autorizzati e non autorizzati vengono gestiti come segue:
la presenza di punti di accesso wireless (Wi-Fi) viene testata.
Tutti i punti di accesso wireless autorizzati e non autorizzati vengono rilevati e identificati.
I test, il rilevamento e l'identificazione vengono eseguiti almeno una volta ogni tre mesi.
Se viene usato il monitoraggio automatizzato, il personale riceve una notifica tramite avvisi generati.
Se l'organizzazione integra i punti di accesso di rete con Microsoft Entra ID per l'autenticazione, vedere Requisito 1: Installare e gestire i controlli di sicurezza di rete
11.2.2 Viene mantenuto un inventario dei punti di accesso wireless autorizzati, inclusa una motivazione aziendale documentata. Non applicabile all'ID Microsoft Entra.

11.3 Le vulnerabilità esterne e interne vengono identificate regolarmente, classificate in ordine di priorità e risolte.

Requisiti di approccio definiti da PCI-DSS Indicazioni e consigli per Microsoft Entra
11.3.1 Le analisi di vulnerabilità interne vengono eseguite come segue:
almeno una volta ogni tre mesi.
Vengono risolte vulnerabilità ad alto rischio e critico (in base alle classificazioni dei rischi di vulnerabilità dell'entità definite nel requisito 6.3.1).
Le analisi vengono eseguite che confermano che tutte le vulnerabilità ad alto rischio e critico (come indicato) sono state risolte.
Lo strumento di analisi viene aggiornato con le informazioni sulla vulnerabilità più recenti.
Le analisi vengono eseguite dal personale qualificato e dall'indipendenza organizzativa del tester esistente.
Includere server che supportano le funzionalità ibride di Microsoft Entra. Ad esempio, Microsoft Entra Connect, connettori proxy di applicazione e così via come parte delle analisi interne delle vulnerabilità.
Organizzazioni che usano l'autenticazione federata: esaminare e risolvere le vulnerabilità dell'infrastruttura del sistema federativo. Che cos'è la federazione con Microsoft Entra ID?
Esaminare e attenuare i rilevamenti dei rischi segnalati da Microsoft Entra ID Protection. Integrare i segnali con una soluzione SIEM per integrarsi di più con flussi di lavoro di correzione o automazione. Tipi di rischio e rilevamento
Eseguire regolarmente lo strumento di valutazione di Microsoft Entra e risolvere i risultati. AzureADAssessment
Operazioni di sicurezza per l'infrastruttura
Integrare i log di Microsoft Entra con i log di Monitoraggio di Azure
11.3.1.1 Tutte le altre vulnerabilità applicabili (quelle non classificate come ad alto rischio o critico in base alle classificazioni dei rischi di vulnerabilità dell'entità definite nel requisito 6.3.1) vengono gestite come segue:
Risolto in base al rischio definito nell'analisi dei rischi mirata dell'entità, che viene eseguita in base a tutti gli elementi specificati nel requisito 12.3.1.
Le analisi vengono eseguite in base alle esigenze.
Includere server che supportano le funzionalità ibride di Microsoft Entra. Ad esempio, Microsoft Entra Connect, connettori proxy di applicazione e così via come parte delle analisi interne delle vulnerabilità.
Organizzazioni che usano l'autenticazione federata: esaminare e risolvere le vulnerabilità dell'infrastruttura del sistema federativo. Che cos'è la federazione con Microsoft Entra ID?
Esaminare e attenuare i rilevamenti dei rischi segnalati da Microsoft Entra ID Protection. Integrare i segnali con una soluzione SIEM per integrarsi di più con flussi di lavoro di correzione o automazione. Tipi di rischio e rilevamento
Eseguire regolarmente lo strumento di valutazione di Microsoft Entra e risolvere i risultati. AzureAD/AzureADAssessment
Operazioni di sicurezza per l'infrastruttura
Integrare i log di Microsoft Entra con i log di Monitoraggio di Azure
11.3.1.2 Le analisi delle vulnerabilità interne vengono eseguite tramite l'analisi autenticata come indicato di seguito:
i sistemi che non sono in grado di accettare le credenziali per l'analisi autenticata sono documentati.
I privilegi sufficienti vengono usati per i sistemi che accettano le credenziali per l'analisi.
Se gli account usati per l'analisi autenticata possono essere usati per l'accesso interattivo, vengono gestiti in base al requisito 8.2.2.
Includere server che supportano le funzionalità ibride di Microsoft Entra. Ad esempio, Microsoft Entra Connect, connettori proxy di applicazione e così via come parte delle analisi interne delle vulnerabilità.
Organizzazioni che usano l'autenticazione federata: esaminare e risolvere le vulnerabilità dell'infrastruttura del sistema federativo. Che cos'è la federazione con Microsoft Entra ID?
Esaminare e attenuare i rilevamenti dei rischi segnalati da Microsoft Entra ID Protection. Integrare i segnali con una soluzione SIEM per integrarsi di più con flussi di lavoro di correzione o automazione. Tipi di rischio e rilevamento
Eseguire regolarmente lo strumento di valutazione di Microsoft Entra e risolvere i risultati. AzureADAssessment
Operazioni di sicurezza per l'infrastruttura
Integrare i log di Microsoft Entra con i log di Monitoraggio di Azure
11.3.1.3 Le analisi di vulnerabilità interne vengono eseguite dopo qualsiasi modifica significativa come indicato di seguito:
vengono risolte vulnerabilità ad alto rischio e critico (in base alle classificazioni dei rischi di vulnerabilità dell'entità definite nel requisito 6.3.1).
Le analisi vengono eseguite in base alle esigenze.
Le analisi vengono eseguite dal personale qualificato e dall'indipendenza organizzativa del tester (non è necessario essere un esperto di sicurezza qualificato (QSA) o un fornitore di analisi approvato (ASV).
Includere server che supportano le funzionalità ibride di Microsoft Entra. Ad esempio, Microsoft Entra Connect, connettori proxy di applicazione e così via come parte delle analisi interne delle vulnerabilità.
Organizzazioni che usano l'autenticazione federata: esaminare e risolvere le vulnerabilità dell'infrastruttura del sistema federativo. Che cos'è la federazione con Microsoft Entra ID?
Esaminare e attenuare i rilevamenti dei rischi segnalati da Microsoft Entra ID Protection. Integrare i segnali con una soluzione SIEM per integrarsi di più con flussi di lavoro di correzione o automazione. Tipi di rischio e rilevamento
Eseguire regolarmente lo strumento di valutazione di Microsoft Entra e risolvere i risultati. AzureADAssessment
Operazioni di sicurezza per l'infrastruttura
Integrare i log di Microsoft Entra con i log di Monitoraggio di Azure
11.3.2 Le analisi di vulnerabilità esterne vengono eseguite come segue:
almeno una volta ogni tre mesi.
Da un ASV PCI SSC.
Le vulnerabilità vengono risolte e vengono soddisfatti i requisiti della Guida al programma ASV per un'analisi superata.
Le analisi vengono eseguite in base alle esigenze per verificare che le vulnerabilità vengano risolte in base ai requisiti della Guida al programma ASV per un'analisi superata.
Non applicabile all'ID Microsoft Entra.
Le analisi di vulnerabilità esterne 11.3.2.1 vengono eseguite dopo qualsiasi modifica significativa come indicato di seguito:
Le vulnerabilità con punteggio 4.0 o superiore da CVSS vengono risolte.
Le analisi vengono eseguite in base alle esigenze.
Le analisi vengono eseguite dal personale qualificato e dall'indipendenza organizzativa del tester (non è necessario essere QSA o ASV).
Non applicabile all'ID Microsoft Entra.

11.4 I test di penetrazione esterni e interni vengono eseguiti regolarmente e le vulnerabilità sfruttabili e i punti deboli della sicurezza vengono corretti.

Requisiti di approccio definiti da PCI-DSS Indicazioni e consigli per Microsoft Entra
11.4.1 Una metodologia di test di penetrazione è definita, documentata e implementata dall'entità e include:
approcci ai test di penetrazione accettati dal settore.
Copertura per l'intero perimetro e i sistemi critici dell'ambiente dei dati dei titolari di carte.
Test sia dall'interno che dall'esterno della rete.
Test per convalidare eventuali controlli di segmentazione e riduzione dell'ambito.
Test di penetrazione a livello di applicazione per identificare, almeno, le vulnerabilità elencate nel requisito 6.2.4.
Test di penetrazione a livello di rete che includono tutti i componenti che supportano funzioni di rete e sistemi operativi.
Esaminare e considerare le minacce e le vulnerabilità riscontrate negli ultimi 12 mesi.
Approccio documentato per valutare e affrontare il rischio rappresentato da vulnerabilità sfruttabili e punti deboli della sicurezza rilevati durante i test di penetrazione.
Conservazione dei risultati dei test di penetrazione e delle attività di correzione per almeno 12 mesi.
Regole di test di penetrazione di Engagement, Microsoft Cloud
11.4.2 Viene eseguito il test di penetrazione interno:
per ogni metodologia definita dall'entità.
Almeno una volta ogni 12 mesi.
Dopo l'aggiornamento o la modifica di un'infrastruttura o di un'applicazione significativa.
Da una risorsa interna qualificata o da terze parti esterne qualificate.
L'indipendenza organizzativa del tester esiste (non è necessario essere un QSA o un asv).
Regole di test di penetrazione di Engagement, Microsoft Cloud
11.4.3 Viene eseguito il test di penetrazione esterno:
per ogni metodologia definita dall'entità.
Almeno una volta ogni 12 mesi.
Dopo l'aggiornamento o la modifica di un'infrastruttura o di un'applicazione significativa.
Da una risorsa interna qualificata o da terze parti esterne qualificate.
L'indipendenza organizzativa del tester esiste (non è necessario essere un QSA o un asv).
Regole di test di penetrazione di Engagement, Microsoft Cloud
11.4.4 Vulnerabilità sfruttabili e punti deboli di sicurezza rilevati durante i test di penetrazione vengono corretti nel modo seguente:
in conformità alla valutazione del rischio rappresentato dal problema di sicurezza, come definito nel requisito 6.3.1.
Il test di penetrazione viene ripetuto per verificare le correzioni.
Regole di test di penetrazione di Engagement, Microsoft Cloud
11.4.5 Se la segmentazione viene usata per isolare la rete CDE da altre reti, i test di penetrazione vengono eseguiti sui controlli di segmentazione come indicato di seguito:
almeno una volta ogni 12 mesi e dopo eventuali modifiche ai controlli/metodi di segmentazione.
Copertura di tutti i controlli/metodi di segmentazione in uso.
In base alla metodologia di test di penetrazione definita dall'entità.
Confermare che i controlli o i metodi di segmentazione sono operativi ed efficaci e isolano l'ambiente CDE da tutti i sistemi esterni all'ambito.
Conferma dell'efficacia di qualsiasi uso dell'isolamento per separare i sistemi con livelli di sicurezza diversi (vedere Requisito 2.2.3).
Eseguita da una risorsa interna qualificata o da terze parti esterne qualificate.
L'indipendenza organizzativa del tester esiste (non è necessario essere un QSA o un asv).
Non applicabile all'ID Microsoft Entra.
11.4.6 Requisito aggiuntivo solo per i provider di servizi: se la segmentazione viene usata per isolare la rete CDE da altre reti, i test di penetrazione vengono eseguiti sui controlli di segmentazione come indicato di seguito:
almeno una volta ogni sei mesi e dopo eventuali modifiche ai controlli/metodi di segmentazione.
Copertura di tutti i controlli/metodi di segmentazione in uso.
In base alla metodologia di test di penetrazione definita dall'entità.
Confermare che i controlli o i metodi di segmentazione sono operativi ed efficaci e isolano l'ambiente CDE da tutti i sistemi esterni all'ambito.
Conferma dell'efficacia di qualsiasi uso dell'isolamento per separare i sistemi con livelli di sicurezza diversi (vedere Requisito 2.2.3).
Eseguita da una risorsa interna qualificata o da terze parti esterne qualificate.
L'indipendenza organizzativa del tester esiste (non è necessario essere un QSA o un asv).
Non applicabile all'ID Microsoft Entra.
11.4.7 Requisito aggiuntivo solo per i provider di servizi multi-tenant: i provider di servizi multi-tenant supportano i clienti per i test di penetrazione esterni per requisito 11.4.3 e 11.4.4. Regole di test di penetrazione di Engagement, Microsoft Cloud

11.5 Le intrusioni di rete e le modifiche impreviste dei file vengono rilevate e risposte.

Requisiti di approccio definiti da PCI-DSS Indicazioni e consigli per Microsoft Entra
11.5.1 Le tecniche di rilevamento e/o prevenzione delle intrusioni vengono usate per rilevare e/o prevenire intrusioni nella rete, come indicato di seguito:
Tutto il traffico viene monitorato nel perimetro della rete CDE.
Tutto il traffico viene monitorato in punti critici nell'ambiente cde.
Il personale viene avvisato dei sospetti compromessi.
Tutti i motori di rilevamento e prevenzione delle intrusioni, le linee di base e le firme vengono mantenuti aggiornati.
Non applicabile all'ID Microsoft Entra.
11.5.1.1 Requisito aggiuntivo solo per i provider di servizi: le tecniche di rilevamento delle intrusioni e/o di prevenzione delle intrusioni rilevano, attivano/impediscono e indirizzano canali di comunicazione malware coperti. Non applicabile all'ID Microsoft Entra.
11.5.2 Un meccanismo di rilevamento delle modifiche (ad esempio, gli strumenti di monitoraggio dell'integrità dei file) viene distribuito nel modo seguente:
per avvisare il personale alla modifica non autorizzata (incluse modifiche, aggiunte ed eliminazioni) di file critici.
Per eseguire confronti di file critici almeno una volta ogni settimana.
Non applicabile all'ID Microsoft Entra.

11.6 Le modifiche non autorizzate nelle pagine di pagamento vengono rilevate e risposte.

Requisiti di approccio definiti da PCI-DSS Indicazioni e consigli per Microsoft Entra
11.6.1 Un meccanismo di rilevamento delle modifiche e delle manomissioni viene distribuito come segue:
per avvisare il personale di apportare modifiche non autorizzate (inclusi indicatori di compromissione, modifiche, aggiunte ed eliminazioni) alle intestazioni HTTP e al contenuto delle pagine di pagamento ricevute dal browser consumer.
Il meccanismo è configurato per valutare l'intestazione HTTP ricevuta e la pagina di pagamento.
Le funzioni del meccanismo vengono eseguite come segue: almeno una volta ogni sette giorni
OR
periodicamente alla frequenza definita nell'analisi dei rischi mirata dell'entità, che viene eseguita in base a tutti gli elementi
Non applicabile all'ID Microsoft Entra.

Passaggi successivi

I requisiti PCI-DSS 3, 4, 9 e 12 non sono applicabili all'ID Microsoft Entra, pertanto non esistono articoli corrispondenti. Per visualizzare tutti i requisiti, passare a pcisecuritystandards.org: Sito ufficiale del Consiglio per gli standard di sicurezza PCI.

Per configurare Microsoft Entra ID in modo che sia conforme a PCI-DSS, vedere gli articoli seguenti.