Share via


Microsoft Entra ID en PCI-DSS-vereiste 2

Vereiste 2: Veilige configuraties toepassen op vereisten voor alle door systeemonderdelen
gedefinieerde benadering

2.1 Processen en mechanismen voor het toepassen van beveiligde configuraties op alle systeemonderdelen worden gedefinieerd en begrepen.

Vereisten voor gedefinieerde PCI-DSS-benadering Richtlijnen en aanbevelingen voor Microsoft Entra
2.1.1 Alle beveiligingsbeleidsregels en operationele procedures die zijn geïdentificeerd in vereiste 2 zijn:
Gedocumenteerd
up-to-date
in gebruik
Bekend bij alle betrokken partijen
Gebruik de richtlijnen en koppelingen hier om de documentatie te produceren om te voldoen aan de vereisten op basis van uw omgevingsconfiguratie.
2.1.2 Rollen en verantwoordelijkheden voor het uitvoeren van activiteiten in vereiste 2 worden gedocumenteerd, toegewezen en begrepen. Gebruik de richtlijnen en koppelingen hier om de documentatie te produceren om te voldoen aan de vereisten op basis van uw omgevingsconfiguratie.

2.2 Systeemonderdelen worden veilig geconfigureerd en beheerd.

Vereisten voor gedefinieerde PCI-DSS-benadering Richtlijnen en aanbevelingen voor Microsoft Entra
2.2.1 Configuratiestandaarden worden ontwikkeld, geïmplementeerd en onderhouden voor:
Alle systeemonderdelen dekken.
Los alle bekende beveiligingsproblemen op.
Wees consistent met door de branche geaccepteerde systeembeveiligingsstandaarden of aanbevelingen voor het beperken van leveranciers.
Worden bijgewerkt als er nieuwe beveiligingsproblemen worden geïdentificeerd, zoals gedefinieerd in vereiste 6.3.1.
Worden toegepast wanneer nieuwe systemen zijn geconfigureerd en geverifieerd als aanwezig vóór of direct nadat een systeemonderdeel is verbonden met een productieomgeving.
Zie de Handleiding voor beveiligingsbewerkingen van Microsoft Entra
2.2.2 Standaardaccounts van leveranciers worden als volgt beheerd:
Als de standaardaccounts van de leverancier worden gebruikt, wordt het standaardwachtwoord gewijzigd per vereiste 8.3.6.
Als de standaardaccount(s) van de leverancier niet worden gebruikt, wordt het account verwijderd of uitgeschakeld.
Niet van toepassing op Microsoft Entra-id.
2.2.3 Primaire functies die verschillende beveiligingsniveaus vereisen, worden als volgt beheerd:
er bestaat slechts één primaire functie op een systeemonderdeel,
OF
primaire functies met verschillende beveiligingsniveaus die op hetzelfde systeemonderdeel bestaan, worden geïsoleerd van elkaar,
OF
primaire functies met verschillende beveiligingsniveaus in hetzelfde systeemonderdeel worden allemaal beveiligd tot het niveau dat door de functie is vereist met de hoogste beveiligingsbehoefte.
Meer informatie over het bepalen van rollen met minimale bevoegdheden. Rollen met minimale bevoegdheden per taak in Microsoft Entra ID
2.2.4 Alleen benodigde services, protocollen, daemons en functies zijn ingeschakeld en alle overbodige functionaliteit wordt verwijderd of uitgeschakeld. Controleer de Microsoft Entra-instellingen en schakel ongebruikte functies uit. Vijf stappen voor het beveiligen van uw identiteitsinfrastructuur
microsoft Entra-beveiligingsbewerkingen
2.2.5 Als er onveilige services, protocollen of daemons aanwezig zijn:
Zakelijke rechtvaardiging wordt gedocumenteerd.
Er worden aanvullende beveiligingsfuncties gedocumenteerd en geïmplementeerd die het risico op het gebruik van onveilige services, protocollen of daemons verminderen.
Controleer de Microsoft Entra-instellingen en schakel ongebruikte functies uit. Vijf stappen voor het beveiligen van uw identiteitsinfrastructuur
microsoft Entra-beveiligingsbewerkingen
2.2.6 Systeembeveiligingsparameters zijn geconfigureerd om misbruik te voorkomen. Controleer de Microsoft Entra-instellingen en schakel ongebruikte functies uit. Vijf stappen voor het beveiligen van uw identiteitsinfrastructuur
microsoft Entra-beveiligingsbewerkingen
2.2.7 Alle niet-console administratieve toegang wordt versleuteld met behulp van sterke cryptografie. Microsoft Entra ID-interfaces, zoals de beheerportal, Microsoft Graph en PowerShell, worden versleuteld tijdens overdracht met behulp van TLS. Ondersteuning inschakelen voor TLS 1.2 in uw omgeving voor afschaffing van Microsoft Entra TLS 1.1 en 1.0

2.3 Draadloze omgevingen worden veilig geconfigureerd en beheerd.

Vereisten voor gedefinieerde PCI-DSS-benadering Richtlijnen en aanbevelingen voor Microsoft Entra
2.3.1 Voor draadloze omgevingen die zijn verbonden met de CDE of het verzenden van accountgegevens, worden alle standaardinstellingen van draadloze leveranciers gewijzigd bij de installatie of worden bevestigd dat ze veilig zijn, inclusief, maar niet beperkt tot:
Standaardwachtwoorden voor draadloze versleutelingssleutels
op draadloze toegangspunten
SNMP-standaardwaarden
voor andere beveiligingsgerelateerde draadloze leveranciers
Als uw organisatie netwerktoegangspunten integreert met Microsoft Entra ID voor verificatie, raadpleegt u Vereiste 1: Netwerkbeveiligingsbeheer installeren en onderhouden.
2.3.2 Voor draadloze omgevingen die zijn verbonden met de CDE of het verzenden van accountgegevens, worden draadloze versleutelingssleutels als volgt gewijzigd:
Wanneer personeel met kennis van de sleutel het bedrijf verlaat of de rol waarvoor de kennis nodig was.
Wanneer een sleutel wordt vermoed of waarvan bekend is dat er inbreuk wordt gemaakt.
Niet van toepassing op Microsoft Entra-id.

Volgende stappen

PCI-DSS-vereisten 3, 4, 9 en 12 zijn niet van toepassing op Microsoft Entra-id, daarom zijn er geen bijbehorende artikelen. Als u alle vereisten wilt zien, gaat u naar pcisecuritystandards.org: officiële site van de PCI Security Standards Council.

Zie de volgende artikelen voor het configureren van Microsoft Entra ID om te voldoen aan PCI-DSS.