Requisito 11 di Microsoft Entra ID e PCI-DSS
Requisito 11: Testare i requisiti di approccio definiti regolarmente
per la sicurezza dei sistemi e delle reti
11.1 I processi e i meccanismi per testare regolarmente la sicurezza dei sistemi e delle reti vengono definiti e riconosciuti.
| Requisiti di approccio definiti da PCI-DSS | Indicazioni e consigli per Microsoft Entra |
|---|---|
| 11.1.1 Tutti i criteri di sicurezza e le procedure operative identificate nel requisito 11 sono: Documentati mantenuti aggiornati In uso noti a tutte le parti interessate |
Usare le linee guida e i collegamenti qui riportati per produrre la documentazione per soddisfare i requisiti in base alla configurazione dell'ambiente. |
| 11.1.2 Ruoli e responsabilità per l'esecuzione di attività nel requisito 11 sono documentati, assegnati e riconosciuti. | Usare le linee guida e i collegamenti qui riportati per produrre la documentazione per soddisfare i requisiti in base alla configurazione dell'ambiente. |
11.2 I punti di accesso wireless sono identificati e monitorati e vengono indirizzati punti di accesso wireless non autorizzati.
| Requisiti di approccio definiti da PCI-DSS | Indicazioni e consigli per Microsoft Entra |
|---|---|
| 11.2.1 I punti di accesso wireless autorizzati e non autorizzati vengono gestiti come segue: la presenza di punti di accesso wireless (Wi-Fi) viene testata. Tutti i punti di accesso wireless autorizzati e non autorizzati vengono rilevati e identificati. I test, il rilevamento e l'identificazione vengono eseguiti almeno una volta ogni tre mesi. Se viene usato il monitoraggio automatizzato, il personale riceve una notifica tramite avvisi generati. |
Se l'organizzazione integra i punti di accesso di rete con Microsoft Entra ID per l'autenticazione, vedere Requisito 1: Installare e gestire i controlli di sicurezza di rete |
| 11.2.2 Viene mantenuto un inventario dei punti di accesso wireless autorizzati, inclusa una motivazione aziendale documentata. | Non applicabile all'ID Microsoft Entra. |
11.3 Le vulnerabilità esterne e interne vengono identificate regolarmente, classificate in ordine di priorità e risolte.
| Requisiti di approccio definiti da PCI-DSS | Indicazioni e consigli per Microsoft Entra |
|---|---|
| 11.3.1 Le analisi di vulnerabilità interne vengono eseguite come segue: almeno una volta ogni tre mesi. Vengono risolte vulnerabilità ad alto rischio e critico (in base alle classificazioni dei rischi di vulnerabilità dell'entità definite nel requisito 6.3.1). Le analisi vengono eseguite che confermano che tutte le vulnerabilità ad alto rischio e critico (come indicato) sono state risolte. Lo strumento di analisi viene aggiornato con le informazioni sulla vulnerabilità più recenti. Le analisi vengono eseguite dal personale qualificato e dall'indipendenza organizzativa del tester esistente. |
Includere server che supportano le funzionalità ibride di Microsoft Entra. Ad esempio, Microsoft Entra Connessione, connettori proxy di applicazione e così via come parte delle analisi interne delle vulnerabilità. Organizzazioni che usano l'autenticazione federata: esaminare e risolvere le vulnerabilità dell'infrastruttura del sistema federativo. Che cos'è la federazione con Microsoft Entra ID? Esaminare e attenuare i rilevamenti dei rischi segnalati da Microsoft Entra ID Protection. Integrare i segnali con una soluzione SIEM per integrarsi di più con flussi di lavoro di correzione o automazione. Tipi di rischio e rilevamento Eseguire regolarmente lo strumento di valutazione di Microsoft Entra e risolvere i risultati. AzureADAssessmentOperazioni di sicurezza per l'infrastruttura Integrare i log di Microsoft Entra con i log di Monitoraggio di Azure |
| 11.3.1.1 Tutte le altre vulnerabilità applicabili (quelle non classificate come ad alto rischio o critico in base alle classificazioni dei rischi di vulnerabilità dell'entità definite nel requisito 6.3.1) vengono gestite come segue: Risolto in base al rischio definito nell'analisi dei rischi mirata dell'entità, che viene eseguita in base a tutti gli elementi specificati nel requisito 12.3.1. Le analisi vengono eseguite in base alle esigenze. |
Includere server che supportano le funzionalità ibride di Microsoft Entra. Ad esempio, Microsoft Entra Connessione, connettori proxy di applicazione e così via come parte delle analisi interne delle vulnerabilità. Organizzazioni che usano l'autenticazione federata: esaminare e risolvere le vulnerabilità dell'infrastruttura del sistema federativo. Che cos'è la federazione con Microsoft Entra ID? Esaminare e attenuare i rilevamenti dei rischi segnalati da Microsoft Entra ID Protection. Integrare i segnali con una soluzione SIEM per integrarsi di più con flussi di lavoro di correzione o automazione. Tipi di rischio e rilevamento Eseguire regolarmente lo strumento di valutazione di Microsoft Entra e risolvere i risultati. AzureAD/AzureADAssessmentOperazioni di sicurezza per l'infrastruttura Integrare i log di Microsoft Entra con i log di Monitoraggio di Azure |
| 11.3.1.2 Le analisi delle vulnerabilità interne vengono eseguite tramite l'analisi autenticata come indicato di seguito: i sistemi che non sono in grado di accettare le credenziali per l'analisi autenticata sono documentati. I privilegi sufficienti vengono usati per i sistemi che accettano le credenziali per l'analisi. Se gli account usati per l'analisi autenticata possono essere usati per l'accesso interattivo, vengono gestiti in base al requisito 8.2.2. |
Includere server che supportano le funzionalità ibride di Microsoft Entra. Ad esempio, Microsoft Entra Connessione, connettori proxy di applicazione e così via come parte delle analisi interne delle vulnerabilità. Organizzazioni che usano l'autenticazione federata: esaminare e risolvere le vulnerabilità dell'infrastruttura del sistema federativo. Che cos'è la federazione con Microsoft Entra ID? Esaminare e attenuare i rilevamenti dei rischi segnalati da Microsoft Entra ID Protection. Integrare i segnali con una soluzione SIEM per integrarsi di più con flussi di lavoro di correzione o automazione. Tipi di rischio e rilevamento Eseguire regolarmente lo strumento di valutazione di Microsoft Entra e risolvere i risultati. AzureADAssessmentOperazioni di sicurezza per l'infrastruttura Integrare i log di Microsoft Entra con i log di Monitoraggio di Azure |
| 11.3.1.3 Le analisi di vulnerabilità interne vengono eseguite dopo qualsiasi modifica significativa come indicato di seguito: vengono risolte vulnerabilità ad alto rischio e critico (in base alle classificazioni dei rischi di vulnerabilità dell'entità definite nel requisito 6.3.1). Le analisi vengono eseguite in base alle esigenze. Le analisi vengono eseguite dal personale qualificato e dall'indipendenza organizzativa del tester (non è necessario essere un esperto di sicurezza qualificato (QSA) o un fornitore di analisi approvato (ASV). |
Includere server che supportano le funzionalità ibride di Microsoft Entra. Ad esempio, Microsoft Entra Connessione, connettori proxy di applicazione e così via come parte delle analisi interne delle vulnerabilità. Organizzazioni che usano l'autenticazione federata: esaminare e risolvere le vulnerabilità dell'infrastruttura del sistema federativo. Che cos'è la federazione con Microsoft Entra ID? Esaminare e attenuare i rilevamenti dei rischi segnalati da Microsoft Entra ID Protection. Integrare i segnali con una soluzione SIEM per integrarsi di più con flussi di lavoro di correzione o automazione. Tipi di rischio e rilevamento Eseguire regolarmente lo strumento di valutazione di Microsoft Entra e risolvere i risultati. AzureADAssessmentOperazioni di sicurezza per l'infrastruttura Integrare i log di Microsoft Entra con i log di Monitoraggio di Azure |
| 11.3.2 Le analisi di vulnerabilità esterne vengono eseguite come segue: almeno una volta ogni tre mesi. Da un ASV PCI SSC. Le vulnerabilità vengono risolte e vengono soddisfatti i requisiti della Guida al programma ASV per un'analisi superata. Le analisi vengono eseguite in base alle esigenze per verificare che le vulnerabilità vengano risolte in base ai requisiti della Guida al programma ASV per un'analisi superata. |
Non applicabile all'ID Microsoft Entra. |
| Le analisi di vulnerabilità esterne 11.3.2.1 vengono eseguite dopo qualsiasi modifica significativa come indicato di seguito: Le vulnerabilità con punteggio 4.0 o superiore da CVSS vengono risolte. Le analisi vengono eseguite in base alle esigenze. Le analisi vengono eseguite dal personale qualificato e dall'indipendenza organizzativa del tester (non è necessario essere QSA o ASV). |
Non applicabile all'ID Microsoft Entra. |
11.4 I test di penetrazione esterni e interni vengono eseguiti regolarmente e le vulnerabilità sfruttabili e i punti deboli della sicurezza vengono corretti.
| Requisiti di approccio definiti da PCI-DSS | Indicazioni e consigli per Microsoft Entra |
|---|---|
| 11.4.1 Una metodologia di test di penetrazione è definita, documentata e implementata dall'entità e include: approcci ai test di penetrazione accettati dal settore. Copertura per l'intero perimetro e i sistemi critici dell'ambiente dei dati dei titolari di carte. Test sia dall'interno che dall'esterno della rete. Test per convalidare eventuali controlli di segmentazione e riduzione dell'ambito. Test di penetrazione a livello di applicazione per identificare, almeno, le vulnerabilità elencate nel requisito 6.2.4. Test di penetrazione a livello di rete che includono tutti i componenti che supportano funzioni di rete e sistemi operativi. Esaminare e considerare le minacce e le vulnerabilità riscontrate negli ultimi 12 mesi. Approccio documentato per valutare e affrontare il rischio rappresentato da vulnerabilità sfruttabili e punti deboli della sicurezza rilevati durante i test di penetrazione. Conservazione dei risultati dei test di penetrazione e delle attività di correzione per almeno 12 mesi. |
Regole di test di penetrazione di Engagement, Microsoft Cloud |
| 11.4.2 Viene eseguito il test di penetrazione interno: per ogni metodologia definita dall'entità. Almeno una volta ogni 12 mesi. Dopo l'aggiornamento o la modifica di un'infrastruttura o di un'applicazione significativa. Da una risorsa interna qualificata o da terze parti esterne qualificate. L'indipendenza organizzativa del tester esiste (non è necessario essere un QSA o un asv). |
Regole di test di penetrazione di Engagement, Microsoft Cloud |
| 11.4.3 Viene eseguito il test di penetrazione esterno: per ogni metodologia definita dall'entità. Almeno una volta ogni 12 mesi. Dopo l'aggiornamento o la modifica di un'infrastruttura o di un'applicazione significativa. Da una risorsa interna qualificata o da terze parti esterne qualificate. L'indipendenza organizzativa del tester esiste (non è necessario essere un QSA o un asv). |
Regole di test di penetrazione di Engagement, Microsoft Cloud |
| 11.4.4 Vulnerabilità sfruttabili e punti deboli di sicurezza rilevati durante i test di penetrazione vengono corretti nel modo seguente: in conformità alla valutazione del rischio rappresentato dal problema di sicurezza, come definito nel requisito 6.3.1. Il test di penetrazione viene ripetuto per verificare le correzioni. |
Regole di test di penetrazione di Engagement, Microsoft Cloud |
| 11.4.5 Se la segmentazione viene usata per isolare la rete CDE da altre reti, i test di penetrazione vengono eseguiti sui controlli di segmentazione come indicato di seguito: almeno una volta ogni 12 mesi e dopo eventuali modifiche ai controlli/metodi di segmentazione. Copertura di tutti i controlli/metodi di segmentazione in uso. In base alla metodologia di test di penetrazione definita dall'entità. Confermare che i controlli o i metodi di segmentazione sono operativi ed efficaci e isolano l'ambiente CDE da tutti i sistemi esterni all'ambito. Conferma dell'efficacia di qualsiasi uso dell'isolamento per separare i sistemi con livelli di sicurezza diversi (vedere Requisito 2.2.3). Eseguita da una risorsa interna qualificata o da terze parti esterne qualificate. L'indipendenza organizzativa del tester esiste (non è necessario essere un QSA o un asv). |
Non applicabile all'ID Microsoft Entra. |
| 11.4.6Requisito aggiuntivo solo per i provider di servizi: se la segmentazione viene usata per isolare la rete CDE da altre reti, i test di penetrazione vengono eseguiti sui controlli di segmentazione come indicato di seguito: almeno una volta ogni sei mesi e dopo eventuali modifiche ai controlli/metodi di segmentazione. Copertura di tutti i controlli/metodi di segmentazione in uso. In base alla metodologia di test di penetrazione definita dall'entità. Confermare che i controlli o i metodi di segmentazione sono operativi ed efficaci e isolano l'ambiente CDE da tutti i sistemi esterni all'ambito. Conferma dell'efficacia di qualsiasi uso dell'isolamento per separare i sistemi con livelli di sicurezza diversi (vedere Requisito 2.2.3). Eseguita da una risorsa interna qualificata o da terze parti esterne qualificate. L'indipendenza organizzativa del tester esiste (non è necessario essere un QSA o un asv). |
Non applicabile all'ID Microsoft Entra. |
| 11.4.7Requisito aggiuntivo solo per i provider di servizi multi-tenant: i provider di servizi multi-tenant supportano i clienti per i test di penetrazione esterni per requisito 11.4.3 e 11.4.4. | Regole di test di penetrazione di Engagement, Microsoft Cloud |
11.5 Le intrusioni di rete e le modifiche impreviste dei file vengono rilevate e risposte.
| Requisiti di approccio definiti da PCI-DSS | Indicazioni e consigli per Microsoft Entra |
|---|---|
| 11.5.1 Le tecniche di rilevamento e/o prevenzione delle intrusioni vengono usate per rilevare e/o prevenire intrusioni nella rete, come indicato di seguito: Tutto il traffico viene monitorato nel perimetro della rete CDE. Tutto il traffico viene monitorato in punti critici nell'ambiente cde. Il personale viene avvisato dei sospetti compromessi. Tutti i motori di rilevamento e prevenzione delle intrusioni, le linee di base e le firme vengono mantenuti aggiornati. |
Non applicabile all'ID Microsoft Entra. |
| 11.5.1.1Requisito aggiuntivo solo per i provider di servizi: le tecniche di rilevamento delle intrusioni e/o di prevenzione delle intrusioni rilevano, attivano/impediscono e indirizzano canali di comunicazione malware coperti. | Non applicabile all'ID Microsoft Entra. |
| 11.5.2 Un meccanismo di rilevamento delle modifiche (ad esempio, gli strumenti di monitoraggio dell'integrità dei file) viene distribuito nel modo seguente: per avvisare il personale alla modifica non autorizzata (incluse modifiche, aggiunte ed eliminazioni) di file critici. Per eseguire confronti di file critici almeno una volta ogni settimana. |
Non applicabile all'ID Microsoft Entra. |
11.6 Le modifiche non autorizzate nelle pagine di pagamento vengono rilevate e risposte.
| Requisiti di approccio definiti da PCI-DSS | Indicazioni e consigli per Microsoft Entra |
|---|---|
| 11.6.1 Un meccanismo di rilevamento delle modifiche e delle manomissioni viene distribuito come segue: per avvisare il personale di apportare modifiche non autorizzate (inclusi indicatori di compromissione, modifiche, aggiunte ed eliminazioni) alle intestazioni HTTP e al contenuto delle pagine di pagamento ricevute dal browser consumer. Il meccanismo è configurato per valutare l'intestazione HTTP ricevuta e la pagina di pagamento. Le funzioni del meccanismo vengono eseguite come segue: almeno una volta ogni sette giorni OR periodicamente alla frequenza definita nell'analisi dei rischi mirata dell'entità, che viene eseguita in base a tutti gli elementi |
Non applicabile all'ID Microsoft Entra. |
Passaggi successivi
I requisiti PCI-DSS 3, 4, 9 e 12 non sono applicabili all'ID Microsoft Entra, pertanto non esistono articoli corrispondenti. Per visualizzare tutti i requisiti, passare a pcisecuritystandards.org: Sito ufficiale del Consiglio per gli standard di sicurezza PCI.
Per configurare Microsoft Entra ID in modo che sia conforme a PCI-DSS, vedere gli articoli seguenti.
- Linee guida per Microsoft Entra PCI-DSS
- Requisito 1: Installare e gestire i controlli di sicurezza di rete
- Requisito 2: Applicare configurazioni sicure a tutti i componenti di sistema
- Requisito 5: Proteggere tutti i sistemi e le reti da software dannoso
- Requisito 6: Sviluppare e gestire sistemi e software sicuri
- Requisito 7: Limitare l'accesso ai componenti di sistema e ai dati dei titolari di carte in base alle esigenze aziendali
- Requisito 8: Identificare gli utenti e autenticare l'accesso ai componenti di sistema
- Requisito 10: Registrare e monitorare tutti gli accessi ai componenti di sistema e ai dati dei titolari di carte
- Requisito 11: Testare regolarmente la sicurezza dei sistemi e delle reti (qui)
- Linee guida per Microsoft Entra PCI-DSS Multi-Factor Authentication
Commenti e suggerimenti
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedere https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per