Requisito 6 di Microsoft Entra ID e PCI-DSS
Requisito 6: Sviluppare e gestire sistemi sicuri e requisiti di approccio software-defined
6.1 I processi e i meccanismi per lo sviluppo e la gestione di sistemi e software sicuri sono definiti e riconosciuti.
| Requisiti di approccio definiti da PCI-DSS | Indicazioni e consigli per Microsoft Entra |
|---|---|
| 6.1.1 Tutti i criteri di sicurezza e le procedure operative identificate nel requisito 6 sono: documentati mantenuti aggiornati In uso noti a tutte le parti interessate |
Usare le linee guida e i collegamenti qui riportati per produrre la documentazione per soddisfare i requisiti in base alla configurazione dell'ambiente. |
| 6.1.2 Ruoli e responsabilità per l'esecuzione di attività nel requisito 6 sono documentati, assegnati e riconosciuti. | Usare le linee guida e i collegamenti qui riportati per produrre la documentazione per soddisfare i requisiti in base alla configurazione dell'ambiente. |
6.2 Il software personalizzato e su misura viene sviluppato in modo sicuro.
| Requisiti di approccio definiti da PCI-DSS | Indicazioni e consigli per Microsoft Entra |
|---|---|
| 6.2.1 Il software personalizzato e su misura vengono sviluppati in modo sicuro, come indicato di seguito: in base agli standard di settore e/o alle procedure consigliate per lo sviluppo sicuro. In conformità con PCI-DSS (ad esempio, autenticazione sicura e registrazione). Incorporando considerazioni sui problemi di sicurezza delle informazioni durante ogni fase del ciclo di vita dello sviluppo software. |
Acquistare e sviluppare applicazioni che usano protocolli di autenticazione moderni, ad esempio OAuth2 e OpenID Connessione (OIDC), che si integrano con Microsoft Entra ID. Creare software con Microsoft Identity Platform. Procedure consigliate e raccomandazioni per Microsoft Identity Platform |
| 6.2.2 Il personale di sviluppo software che lavora su software personalizzato e personalizzato viene addestrato almeno una volta ogni 12 mesi come indicato di seguito: Sulla sicurezza software pertinente per la loro funzione di lavoro e i linguaggi di sviluppo. Incluse tecniche di progettazione e codifica sicura del software. Se vengono usati strumenti di test della sicurezza, come usare gli strumenti per rilevare le vulnerabilità nel software. |
Usare l'esame seguente per fornire la prova di competenza su Microsoft Identity Platform: Esame MS-600: Compilazione di applicazioni e soluzioni con Microsoft 365 Core Services Usare il training seguente per prepararsi all'esame: MS-600: Implementare l'identità Microsoft |
| 6.2.3 Il software personalizzato e su misura viene esaminato prima di essere rilasciato in produzione o ai clienti per identificare e correggere potenziali vulnerabilità di codifica, come indicato di seguito: Le revisioni del codice assicurano che il codice venga sviluppato in base alle linee guida di codifica sicure. Le revisioni del codice cercano vulnerabilità software esistenti ed emergenti. Le correzioni appropriate vengono implementate prima del rilascio. |
Non applicabile all'ID Microsoft Entra. |
| 6.2.3.1 Se vengono eseguite revisioni manuali del codice per software personalizzato e personalizzato prima del rilascio in produzione, le modifiche al codice sono: esaminate da utenti diversi dall'autore del codice di origine e che sono informate sulle tecniche di revisione del codice e sulle procedure di codifica sicure. Esaminato e approvato dalla gestione prima del rilascio. |
Non applicabile all'ID Microsoft Entra. |
| 6.2.4 Le tecniche di progettazione software o altri metodi sono definite e usate dal personale di sviluppo software per prevenire o attenuare gli attacchi software comuni e le vulnerabilità correlate in software personalizzato e personalizzato, inclusi gli attacchi injection, inclusi SQL, LDAP, XPath o altri comandi, parametri, oggetti, errori o di tipo injection. Attacchi a dati e strutture di dati, inclusi i tentativi di modificare buffer, puntatori, dati di input o dati condivisi. Attacchi all'utilizzo della crittografia, inclusi i tentativi di sfruttare implementazioni crittografiche deboli, non sicure o inappropriate, algoritmi, suite di crittografia o modalità di funzionamento. Attacchi alla logica di business, inclusi tentativi di abusare o ignorare funzionalità e funzionalità dell'applicazione tramite la manipolazione di API, protocolli di comunicazione e canali, funzionalità lato client o altre funzioni e risorse di sistema/applicazione. Sono inclusi scripting tra siti (XSS) e richiesta intersito falsa (CSRF). Attacchi ai meccanismi di controllo di accesso, inclusi i tentativi di ignorare o abusare di identificazione, autenticazione o autorizzazione o tentativi di sfruttare i punti deboli nell'implementazione di tali meccanismi. Attacchi tramite eventuali vulnerabilità "ad alto rischio" identificate nel processo di identificazione della vulnerabilità, come definito nel requisito 6.3.1. |
Non applicabile all'ID Microsoft Entra. |
6.3 Le vulnerabilità di sicurezza vengono identificate e risolte.
| Requisiti di approccio definiti da PCI-DSS | Indicazioni e consigli per Microsoft Entra |
|---|---|
| 6.3.1 Le vulnerabilità di sicurezza vengono identificate e gestite nel modo seguente: le nuove vulnerabilità di sicurezza vengono identificate usando origini riconosciute dal settore per le informazioni sulle vulnerabilità di sicurezza, inclusi gli avvisi provenienti da team di emergenza di computer internazionali e nazionali/regionali. Alle vulnerabilità viene assegnata una classificazione dei rischi in base alle procedure consigliate del settore e alla considerazione del potenziale impatto. Le classificazioni dei rischi identificano, almeno, tutte le vulnerabilità considerate un rischio elevato o critico per l'ambiente. Vengono trattate le vulnerabilità per software personalizzato e personalizzato e di terze parti (ad esempio sistemi operativi e database). |
Informazioni sulle vulnerabilità. MSRC | Security Aggiornamenti, Security Update Guide (Guida all'aggiornamento della sicurezza) |
| 6.3.2 Un inventario di software personalizzato e personalizzato e componenti software di terze parti incorporati in software personalizzato e personalizzato viene mantenuto per facilitare la gestione delle vulnerabilità e delle patch. | Generare report per le applicazioni che usano Microsoft Entra ID per l'autenticazione per l'inventario. applicationSignInDetailedSummary tipo dirisorsa Applicazioni elencate nelle applicazioni aziendali |
| 6.3.3 Tutti i componenti di sistema sono protetti da vulnerabilità note installando patch/aggiornamenti di sicurezza applicabili come indicato di seguito: Patch/aggiornamenti critici o ad alta sicurezza (identificati in base al processo di classificazione dei rischi nel requisito 6.3.1) vengono installati entro un mese di rilascio. Tutte le altre patch/aggiornamenti di sicurezza applicabili vengono installate entro un intervallo di tempo appropriato, come determinato dall'entità (ad esempio, entro tre mesi di rilascio). |
Non applicabile all'ID Microsoft Entra. |
6.4 Le applicazioni Web pubbliche sono protette da attacchi.
| Requisiti di approccio definiti da PCI-DSS | Indicazioni e consigli per Microsoft Entra |
|---|---|
| 6.4.1 Per le applicazioni Web pubbliche, le nuove minacce e le vulnerabilità vengono risolte in modo continuativo e queste applicazioni sono protette da attacchi noti come indicato di seguito: Esaminare le applicazioni Web pubbliche tramite strumenti o metodi di valutazione della sicurezza delle vulnerabilità delle applicazioni manuali o automatizzati come indicato di seguito: - Almeno una volta ogni 12 mesi e dopo modifiche significative. : da un'entità specializzata nella sicurezza delle applicazioni. – Inclusi, almeno, tutti gli attacchi software comuni nel requisito 6.2.4. : tutte le vulnerabilità vengono classificate in base al requisito 6.3.1. - Tutte le vulnerabilità vengono corrette. – L'applicazione viene rivalutata dopo le correzioni O l'installazione di una o più soluzioni tecniche automatizzate che rilevano e impediscono continuamente attacchi basati sul Web come indicato di seguito: - Installato davanti alle applicazioni Web pubbliche per rilevare e prevenire attacchi basati sul Web. : in esecuzione e aggiornata in modo attivo, se applicabile. : generazione di log di controllo. : configurato per bloccare gli attacchi basati sul Web o generare un avviso immediatamente analizzato. |
Non applicabile all'ID Microsoft Entra. |
| 6.4.2 Per le applicazioni Web pubbliche, viene distribuita una soluzione tecnica automatizzata che rileva e impedisce continuamente attacchi basati sul Web, con almeno quanto segue: viene installato davanti alle applicazioni Web pubbliche ed è configurato per rilevare e prevenire attacchi basati sul Web. Esecuzione attiva e aggiornata in modo appropriato. Generazione di log di controllo. Configurato per bloccare gli attacchi basati sul Web o generare un avviso immediatamente analizzato. |
Non applicabile all'ID Microsoft Entra. |
| 6.4.3 Tutti gli script della pagina di pagamento caricati ed eseguiti nel browser del consumer vengono gestiti come segue: viene implementato un metodo per verificare che ogni script sia autorizzato. Viene implementato un metodo per garantire l'integrità di ogni script. Un inventario di tutti gli script viene gestito con una giustificazione scritta in base al motivo per cui ogni script è necessario. |
Non applicabile all'ID Microsoft Entra. |
6.5 Le modifiche apportate a tutti i componenti di sistema vengono gestite in modo sicuro.
| Requisiti di approccio definiti da PCI-DSS | Indicazioni e consigli per Microsoft Entra |
|---|---|
| 6.5.1 Le modifiche apportate a tutti i componenti di sistema nell'ambiente di produzione vengono effettuate in base alle procedure stabilite che includono: Motivo e descrizione della modifica. Documentazione dell'impatto sulla sicurezza. Approvazione delle modifiche documentata da parte delle parti autorizzate. Test per verificare che la modifica non influisca negativamente sulla sicurezza del sistema. Per modifiche software personalizzate e personalizzate, tutti gli aggiornamenti vengono testati per la conformità con il requisito 6.2.4 prima di essere distribuiti nell'ambiente di produzione. Procedure per risolvere gli errori e tornare a uno stato sicuro. |
Includere le modifiche apportate alla configurazione di Microsoft Entra nel processo di controllo delle modifiche. |
| 6.5.2 Al termine di una modifica significativa, tutti i requisiti PCI-DSS applicabili vengono confermati per essere applicati a tutti i sistemi e le reti nuovi o modificati e la documentazione viene aggiornata in base alle esigenze. | Non applicabile all'ID Microsoft Entra. |
| 6.5.3 Gli ambienti di preproduzione sono separati dagli ambienti di produzione e la separazione viene applicata con i controlli di accesso. | Approcci per separare la preproduzione e gli ambienti di produzione, in base ai requisiti dell'organizzazione. Isolamento delle risorse in un singolo tenant Isolamento delle risorse con più tenant |
| 6.5.4 I ruoli e le funzioni sono separati tra ambienti di produzione e preproduzione per garantire la responsabilità in modo che vengano distribuite solo le modifiche esaminate e approvate. | Informazioni sui ruoli con privilegi e sui tenant di preproduzione dedicati. Procedure consigliate per i ruoli di Microsoft Entra |
| 6.5.5 Le RETI PAN live non vengono usate negli ambienti di preproduzione, tranne per i casi in cui tali ambienti sono inclusi nella rete CDE e protetti in conformità a tutti i requisiti PCI-DSS applicabili. | Non applicabile all'ID Microsoft Entra. |
| 6.5.6 I dati di test e gli account di test vengono rimossi dai componenti di sistema prima che il sistema entri in produzione. | Non applicabile all'ID Microsoft Entra. |
Passaggi successivi
I requisiti PCI-DSS 3, 4, 9 e 12 non sono applicabili all'ID Microsoft Entra, pertanto non esistono articoli corrispondenti. Per visualizzare tutti i requisiti, passare a pcisecuritystandards.org: Sito ufficiale del Consiglio per gli standard di sicurezza PCI.
Per configurare Microsoft Entra ID in modo che sia conforme a PCI-DSS, vedere gli articoli seguenti.
- Linee guida per Microsoft Entra PCI-DSS
- Requisito 1: Installare e gestire i controlli di sicurezza di rete
- Requisito 2: Applicare configurazioni sicure a tutti i componenti di sistema
- Requisito 5: Proteggere tutti i sistemi e le reti da software dannoso
- Requisito 6: Sviluppare e gestire sistemi e software sicuri (qui)
- Requisito 7: Limitare l'accesso ai componenti di sistema e ai dati dei titolari di carte in base alle esigenze aziendali
- Requisito 8: Identificare gli utenti e autenticare l'accesso ai componenti di sistema
- Requisito 10: Registrare e monitorare tutti gli accessi ai componenti di sistema e ai dati dei titolari di carte
- Requisito 11: Testare regolarmente la sicurezza dei sistemi e delle reti
- Linee guida per Microsoft Entra PCI-DSS Multi-Factor Authentication
Commenti e suggerimenti
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedere https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per