Requisito 2 di Microsoft Entra ID e PCI-DSS
Requisito 2: Applicare configurazioni sicure a tutti i requisiti di approccio definiti dai componenti
di sistema
2.1 I processi e i meccanismi per l'applicazione di configurazioni sicure a tutti i componenti di sistema sono definiti e riconosciuti.
| Requisiti di approccio definiti da PCI-DSS | Indicazioni e consigli per Microsoft Entra |
|---|---|
| 2.1.1 Tutti i criteri di sicurezza e le procedure operative identificate nel requisito 2 sono: documentata mantenuta aggiornata In uso noto a tutte le parti interessate |
Usare le linee guida e i collegamenti qui riportati per produrre la documentazione per soddisfare i requisiti in base alla configurazione dell'ambiente. |
| 2.1.2 Ruoli e responsabilità per l'esecuzione di attività nel requisito 2 sono documentati, assegnati e riconosciuti. | Usare le linee guida e i collegamenti qui riportati per produrre la documentazione per soddisfare i requisiti in base alla configurazione dell'ambiente. |
2.2 I componenti di sistema sono configurati e gestiti in modo sicuro.
| Requisiti di approccio definiti da PCI-DSS | Indicazioni e consigli per Microsoft Entra |
|---|---|
| 2.2.1 Gli standard di configurazione vengono sviluppati, implementati e mantenuti in: Coprire tutti i componenti di sistema. Risolvere tutte le vulnerabilità di sicurezza note. Essere coerenti con gli standard di protezione avanzata del sistema accettati dal settore o con raccomandazioni per la protezione avanzata dei fornitori. Essere aggiornato man mano che vengono identificati nuovi problemi di vulnerabilità, come definito nel requisito 6.3.1. Essere applicato quando i nuovi sistemi vengono configurati e verificati come prima o immediatamente dopo la connessione di un componente di sistema a un ambiente di produzione. |
Vedere la guida alle operazioni di sicurezza di Microsoft Entra |
| 2.2.2 Gli account predefiniti del fornitore vengono gestiti come segue: se verranno usati gli account predefiniti del fornitore, la password predefinita viene modificata in base al requisito 8.3.6. Se gli account predefiniti del fornitore non verranno usati, l'account viene rimosso o disabilitato. |
Non applicabile all'ID Microsoft Entra. |
| 2.2.3 Le funzioni primarie che richiedono livelli di sicurezza diversi vengono gestite come segue: in un componente di sistema esiste una sola funzione primaria, o le funzioni primarie con livelli di sicurezza diversi presenti nello stesso componente di sistema sono isolate tra loro, le funzioni primarie con livelli di sicurezza diversi nello stesso componente di sistema sono tutte protette al livello richiesto dalla funzione con la massima necessità di sicurezza. |
Informazioni su come determinare i ruoli con privilegi minimi. Ruoli con privilegi minimi per attività in Microsoft Entra ID |
| 2.2.4 Sono abilitati solo servizi, protocolli, daemon e funzioni necessari e tutte le funzionalità non necessarie vengono rimosse o disabilitate. | Esaminare le impostazioni di Microsoft Entra e disabilitare le funzionalità inutilizzate. Cinque passaggi per proteggere l'infrastruttura di gestione delle identità Guida alle operazioni di sicurezza di Microsoft Entra |
| 2.2.5 Se sono presenti servizi, protocolli o daemon non sicuri: la motivazione aziendale è documentata. Sono documentate e implementate funzionalità di sicurezza aggiuntive che riducono il rischio di usare servizi, protocolli o daemon non sicuri. |
Esaminare le impostazioni di Microsoft Entra e disabilitare le funzionalità inutilizzate. Cinque passaggi per proteggere l'infrastruttura di gestione delle identità Guida alle operazioni di sicurezza di Microsoft Entra |
| 2.2.6 I parametri di sicurezza del sistema sono configurati per evitare l'uso improprio. | Esaminare le impostazioni di Microsoft Entra e disabilitare le funzionalità inutilizzate. Cinque passaggi per proteggere l'infrastruttura di gestione delle identità Guida alle operazioni di sicurezza di Microsoft Entra |
| 2.2.7 Tutti gli accessi amministrativi nonsole vengono crittografati con la crittografia avanzata. | Le interfacce ID di Microsoft Entra, ad esempio il portale di gestione, Microsoft Graph e PowerShell, vengono crittografate in transito tramite TLS. Abilitare il supporto per TLS 1.2 nell'ambiente per la deprecazione di Microsoft Entra TLS 1.1 e 1.0 |
2.3 Gli ambienti wireless sono configurati e gestiti in modo sicuro.
| Requisiti di approccio definiti da PCI-DSS | Indicazioni e consigli per Microsoft Entra |
|---|---|
| 2.3.1 Per gli ambienti wireless connessi alla rete CDE o la trasmissione dei dati dell'account, tutte le impostazioni predefinite dei fornitori wireless vengono modificate durante l'installazione o vengono confermate per essere sicure, tra cui, a titolo esemplificativo, le chiavi di crittografia wireless predefinite Password nei punti di accesso wireless SNMP predefiniti Qualsiasi altro fornitore wireless correlato alla sicurezza predefinito |
Se l'organizzazione integra i punti di accesso di rete con Microsoft Entra ID per l'autenticazione, vedere Requisito 1: Installare e gestire i controlli di sicurezza di rete. |
| 2.3.2 Per gli ambienti wireless connessi alla rete CDE o la trasmissione dei dati dell'account, le chiavi di crittografia wireless vengono modificate come indicato di seguito: ogni volta che il personale con conoscenza della chiave lascia la società o il ruolo per il quale era necessaria la conoscenza. Ogni volta che una chiave viene sospettata o nota di essere compromessa. |
Non applicabile all'ID Microsoft Entra. |
Passaggi successivi
I requisiti PCI-DSS 3, 4, 9 e 12 non sono applicabili all'ID Microsoft Entra, pertanto non esistono articoli corrispondenti. Per visualizzare tutti i requisiti, passare a pcisecuritystandards.org: Sito ufficiale del Consiglio per gli standard di sicurezza PCI.
Per configurare Microsoft Entra ID in modo che sia conforme a PCI-DSS, vedere gli articoli seguenti.
- Linee guida per Microsoft Entra PCI-DSS
- Requisito 1: Installare e gestire i controlli di sicurezza di rete
- Requisito 2: Applicare configurazioni sicure a tutti i componenti di sistema (qui)
- Requisito 5: Proteggere tutti i sistemi e le reti da software dannoso
- Requisito 6: Sviluppare e gestire sistemi e software sicuri
- Requisito 7: Limitare l'accesso ai componenti di sistema e ai dati dei titolari di carte in base alle esigenze aziendali
- Requisito 8: Identificare gli utenti e autenticare l'accesso ai componenti di sistema
- Requisito 10: Registrare e monitorare tutti gli accessi ai componenti di sistema e ai dati dei titolari di carte
- Requisito 11: Testare regolarmente la sicurezza dei sistemi e delle reti
- Linee guida per Microsoft Entra PCI-DSS Multi-Factor Authentication
Commenti e suggerimenti
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedere https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per