Delen via


Microsoft Entra ID en PCI-DSS-vereiste 11

Vereiste 11: Beveiligingsvereisten voor systemen en netwerken testen die regelmatig zijn
gedefinieerd

11.1 Processen en mechanismen voor het regelmatig testen van de beveiliging van systemen en netwerken worden gedefinieerd en begrepen.

Vereisten voor gedefinieerde PCI-DSS-benadering Richtlijnen en aanbevelingen voor Microsoft Entra
11.1.1 Alle beveiligingsbeleidsregels en operationele procedures die zijn geïdentificeerd in vereiste 11 zijn:
Gedocumenteerd
up-to-date
in gebruik
bekend bij alle betrokken partijen
Gebruik de richtlijnen en koppelingen hier om de documentatie te produceren om te voldoen aan de vereisten op basis van uw omgevingsconfiguratie.
11.1.2 Rollen en verantwoordelijkheden voor het uitvoeren van activiteiten in vereiste 11 worden gedocumenteerd, toegewezen en begrepen. Gebruik de richtlijnen en koppelingen hier om de documentatie te produceren om te voldoen aan de vereisten op basis van uw omgevingsconfiguratie.

11.2 Draadloze toegangspunten worden geïdentificeerd en bewaakt, en niet-geautoriseerde draadloze toegangspunten worden geadresseerd.

Vereisten voor gedefinieerde PCI-DSS-benadering Richtlijnen en aanbevelingen voor Microsoft Entra
11.2.1 Geautoriseerde en niet-geautoriseerde draadloze toegangspunten worden als volgt beheerd:
de aanwezigheid van draadloze (Wi-Fi) toegangspunten wordt getest op.
Alle geautoriseerde en niet-geautoriseerde draadloze toegangspunten worden gedetecteerd en geïdentificeerd.
Testen, detectie en identificatie vindt minstens één keer per drie maanden plaats.
Als geautomatiseerde bewaking wordt gebruikt, worden medewerkers hiervan op de hoogte gesteld via gegenereerde waarschuwingen.
Als uw organisatie netwerktoegangspunten integreert met Microsoft Entra ID voor verificatie, raadpleegt u Vereiste 1: Netwerkbeveiligingsbeheer installeren en onderhouden
11.2.2 Een inventaris van geautoriseerde draadloze toegangspunten wordt onderhouden, met inbegrip van een gedocumenteerde zakelijke rechtvaardiging. Niet van toepassing op Microsoft Entra-id.

11.3 Externe en interne beveiligingsproblemen worden regelmatig geïdentificeerd, geprioriteerd en aangepakt.

Vereisten voor gedefinieerde PCI-DSS-benadering Richtlijnen en aanbevelingen voor Microsoft Entra
11.3.1 Interne beveiligingsscans worden als volgt uitgevoerd:
ten minste één keer om de drie maanden.
Risicovolle en kritieke beveiligingsproblemen (volgens de classificatie van beveiligingsrisico's van de entiteit die zijn gedefinieerd bij Vereiste 6.3.1) worden opgelost.
Er worden nieuwe scanbewerkingen uitgevoerd om te bevestigen dat alle beveiligingsproblemen met hoog risico en kritieke beveiligingsproblemen (zoals vermeld) zijn opgelost.
Het scanprogramma blijft up-to-date met de meest recente informatie over beveiligingsproblemen.
Scans worden uitgevoerd door gekwalificeerde medewerkers en organisatorische onafhankelijkheid van de tester.
Voeg servers toe die hybride mogelijkheden van Microsoft Entra ondersteunen. Bijvoorbeeld Microsoft Entra Connect, Connectoren voor toepassingsproxy's, enzovoort als onderdeel van interne scans van beveiligingsproblemen.
Organisaties die federatieve verificatie gebruiken: beveiligingsproblemen met federatiesysteeminfrastructuur controleren en aanpakken. Wat is federatie met Microsoft Entra ID?
Bekijk en beperk risicodetecties die zijn gerapporteerd door Microsoft Entra ID Protection. Integreer de signalen met een SIEM-oplossing om meer te integreren met herstelwerkstromen of automatisering. Risicotypen en detectie
Voer regelmatig het microsoft Entra-evaluatieprogramma uit en los bevindingen op. AzureADAssessment
Beveiligingsbewerkingen voor infrastructuur
Integreer Microsoft Entra-logboeken met Azure Monitor-logboeken
11.3.1.1 Alle andere toepasselijke beveiligingsproblemen (die niet zijn geclassificeerd als hoog risico of kritiek volgens de classificatie van beveiligingsrisico's van de entiteit die zijn gedefinieerd op Vereiste 6.3.1) worden als volgt beheerd:
Geadresseerd op basis van het risico dat is gedefinieerd in de gerichte risicoanalyse van de entiteit, die wordt uitgevoerd op basis van alle elementen die zijn opgegeven in Vereiste 12.3.1.
Herscans worden indien nodig uitgevoerd.
Voeg servers toe die hybride mogelijkheden van Microsoft Entra ondersteunen. Bijvoorbeeld Microsoft Entra Connect, Connectoren voor toepassingsproxy's, enzovoort als onderdeel van interne scans van beveiligingsproblemen.
Organisaties die federatieve verificatie gebruiken: beveiligingsproblemen met federatiesysteeminfrastructuur controleren en aanpakken. Wat is federatie met Microsoft Entra ID?
Bekijk en beperk risicodetecties die zijn gerapporteerd door Microsoft Entra ID Protection. Integreer de signalen met een SIEM-oplossing om meer te integreren met herstelwerkstromen of automatisering. Risicotypen en detectie
Voer regelmatig het microsoft Entra-evaluatieprogramma uit en los bevindingen op. AzureAD/AzureADAssessment
Beveiligingsbewerkingen voor infrastructuur
Integreer Microsoft Entra-logboeken met Azure Monitor-logboeken
11.3.1.2 Interne scans voor beveiligingsproblemen worden als volgt uitgevoerd via geverifieerd scannen:
systemen die geen referenties voor geverifieerde scans kunnen accepteren, worden gedocumenteerd.
Er worden voldoende bevoegdheden gebruikt voor systemen die referenties accepteren voor scannen.
Als accounts die worden gebruikt voor geverifieerde scans kunnen worden gebruikt voor interactieve aanmelding, worden ze beheerd volgens vereiste 8.2.2.
Voeg servers toe die hybride mogelijkheden van Microsoft Entra ondersteunen. Bijvoorbeeld Microsoft Entra Connect, Connectoren voor toepassingsproxy's, enzovoort als onderdeel van interne scans van beveiligingsproblemen.
Organisaties die federatieve verificatie gebruiken: beveiligingsproblemen met federatiesysteeminfrastructuur controleren en aanpakken. Wat is federatie met Microsoft Entra ID?
Bekijk en beperk risicodetecties die zijn gerapporteerd door Microsoft Entra ID Protection. Integreer de signalen met een SIEM-oplossing om meer te integreren met herstelwerkstromen of automatisering. Risicotypen en detectie
Voer regelmatig het microsoft Entra-evaluatieprogramma uit en los bevindingen op. AzureADAssessment
Beveiligingsbewerkingen voor infrastructuur
Integreer Microsoft Entra-logboeken met Azure Monitor-logboeken
11.3.1.3 Interne beveiligingsscans worden uitgevoerd na een belangrijke wijziging als volgt:
Risicovolle en kritieke beveiligingsproblemen (volgens de classificatie van beveiligingsrisico's van de entiteit die zijn gedefinieerd op Vereiste 6.3.1) worden opgelost.
Herscans worden indien nodig uitgevoerd.
Scans worden uitgevoerd door gekwalificeerde medewerkers en organisatie-onafhankelijkheid van de tester (niet vereist als gekwalificeerde beveiligingsevaluatiefunctie (QSA) of goedgekeurde scanleverancier (ASV).)
Voeg servers toe die hybride mogelijkheden van Microsoft Entra ondersteunen. Bijvoorbeeld Microsoft Entra Connect, Connectoren voor toepassingsproxy's, enzovoort als onderdeel van interne scans van beveiligingsproblemen.
Organisaties die federatieve verificatie gebruiken: beveiligingsproblemen met federatiesysteeminfrastructuur controleren en aanpakken. Wat is federatie met Microsoft Entra ID?
Bekijk en beperk risicodetecties die zijn gerapporteerd door Microsoft Entra ID Protection. Integreer de signalen met een SIEM-oplossing om meer te integreren met herstelwerkstromen of automatisering. Risicotypen en detectie
Voer regelmatig het microsoft Entra-evaluatieprogramma uit en los bevindingen op. AzureADAssessment
Beveiligingsbewerkingen voor infrastructuur
Integreer Microsoft Entra-logboeken met Azure Monitor-logboeken
11.3.2 Externe beveiligingsscans worden als volgt uitgevoerd:
ten minste één keer per drie maanden.
Door een PCI SSC ASV.
Beveiligingsproblemen worden opgelost en aan de vereisten van de ASV-programmahandleiding voor een geslaagde scan wordt voldaan.
Er worden indien nodig nieuwe scans uitgevoerd om te bevestigen dat beveiligingsproblemen worden opgelost volgens de vereisten van de ASV-programmahandleiding voor een geslaagde scan.
Niet van toepassing op Microsoft Entra-id.
11.3.2.1 Externe beveiligingsscans worden als volgt uitgevoerd na een belangrijke wijziging:
Beveiligingsproblemen die door de CVSS worden beoordeeld op 4.0 of hoger, worden opgelost.
Herscans worden indien nodig uitgevoerd.
Scans worden uitgevoerd door gekwalificeerde medewerkers en organisatie-onafhankelijkheid van de tester (niet vereist als QSA of ASV).
Niet van toepassing op Microsoft Entra-id.

11.4 Externe en interne penetratietests worden regelmatig uitgevoerd en exploiteerbare beveiligingsproblemen en zwakke plekken in de beveiliging worden gecorrigeerd.

Vereisten voor gedefinieerde PCI-DSS-benadering Richtlijnen en aanbevelingen voor Microsoft Entra
11.4.1 Een penetratietestmethodologie wordt gedefinieerd, gedocumenteerd en geïmplementeerd door de entiteit, en omvat:
Door de branche geaccepteerde penetratietests.
Dekking voor de hele CDE-perimeter (CardHolder Data Environment) en kritieke systemen.
Testen vanuit zowel binnen als buiten het netwerk.
Testen om eventuele segmentatie- en bereikreductiebesturingselementen te valideren.
Penetratietests op de toepassingslaag om minimaal de beveiligingsproblemen te identificeren die worden vermeld in vereiste 6.2.4.
Netwerklaagpenetratietests die alle onderdelen omvatten die netwerkfuncties en besturingssystemen ondersteunen.
Bekijk en overweging van bedreigingen en beveiligingsproblemen die in de afgelopen 12 maanden zijn opgetreden.
Gedocumenteerde aanpak voor het beoordelen en aanpakken van het risico dat wordt veroorzaakt door exploiteerbare beveiligingsproblemen en zwakke plekken in de beveiliging die tijdens penetratietests zijn gevonden.
Retentie van resultaten van penetratietests en herstelactiviteiten gedurende ten minste 12 maanden.
Regels voor penetratietests, Microsoft Cloud
11.4.2 Interne penetratietests worden uitgevoerd:
Volgens de gedefinieerde methodologie van de entiteit.
Minstens één keer per 12 maanden.
Na een aanzienlijke upgrade of wijziging van de infrastructuur of toepassing.
Door een gekwalificeerde interne resource of gekwalificeerde externe derde partij.
Organisatorische onafhankelijkheid van de tester bestaat (niet vereist om een QSA of ASV te zijn).
Regels voor penetratietests, Microsoft Cloud
11.4.3 Externe penetratietests worden uitgevoerd:
Volgens de gedefinieerde methodologie van de entiteit.
Minstens één keer per 12 maanden.
Na een aanzienlijke upgrade of wijziging van de infrastructuur of toepassing.
Door een gekwalificeerde interne resource of gekwalificeerde externe derde partij.
Organisatorische onafhankelijkheid van de tester bestaat (niet vereist om een QSA of ASV te zijn).
Regels voor penetratietests, Microsoft Cloud
11.4.4 Exploitable vulnerabilities and security zwakke plekken gevonden tijdens penetratietests worden als volgt gecorrigeerd:
In overeenstemming met de beoordeling van het risico van de entiteit dat wordt veroorzaakt door het beveiligingsprobleem zoals gedefinieerd in Vereiste 6.3.1.
Penetratietests worden herhaald om de correcties te controleren.
Regels voor penetratietests, Microsoft Cloud
11.4.5 Als segmentatie wordt gebruikt om de CDE te isoleren van andere netwerken, worden penetratietests als volgt uitgevoerd op segmentatiecontroles:
ten minste één keer per 12 maanden en na eventuele wijzigingen in segmentatiecontroles/methoden.
Alle segmentatiebesturingselementen/-methoden die in gebruik zijn.
Volgens de gedefinieerde penetratietestmethodologie van de entiteit.
Bevestigen dat de segmentatiebesturingselementen/-methoden operationeel en effectief zijn en de CDE isoleren van alle buiten bereiksystemen.
Het bevestigen van de effectiviteit van elk gebruik van isolatie om systemen te scheiden met verschillende beveiligingsniveaus (zie Vereiste 2.2.3).
Uitgevoerd door een gekwalificeerde interne resource of gekwalificeerde externe derde partij.
Organisatorische onafhankelijkheid van de tester bestaat (niet vereist om een QSA of ASV te zijn).
Niet van toepassing op Microsoft Entra-id.
11.4.6 Aanvullende vereiste voor serviceproviders alleen: Als segmentatie wordt gebruikt om de CDE te isoleren van andere netwerken, worden penetratietests als volgt uitgevoerd op segmentatiecontroles:
ten minste één keer per zes maanden en na eventuele wijzigingen in segmentatiecontroles/methoden.
Alle segmentatiebesturingselementen/-methoden die in gebruik zijn.
Volgens de gedefinieerde penetratietestmethodologie van de entiteit.
Bevestigen dat de segmentatiebesturingselementen/-methoden operationeel en effectief zijn en de CDE isoleren van alle buiten bereiksystemen.
Het bevestigen van de effectiviteit van elk gebruik van isolatie om systemen te scheiden met verschillende beveiligingsniveaus (zie Vereiste 2.2.3).
Uitgevoerd door een gekwalificeerde interne resource of gekwalificeerde externe derde partij.
Organisatorische onafhankelijkheid van de tester bestaat (niet vereist om een QSA of ASV te zijn).
Niet van toepassing op Microsoft Entra-id.
11.4.7 Alleen aanvullende vereiste voor serviceproviders met meerdere tenants: serviceproviders met meerdere tenants ondersteunen hun klanten voor externe penetratietests per vereiste 11.4.3 en 11.4.4. Regels voor penetratietests, Microsoft Cloud

11.5 Netwerkinbraak en onverwachte bestandswijzigingen worden gedetecteerd en gereageerd op.

Vereisten voor gedefinieerde PCI-DSS-benadering Richtlijnen en aanbevelingen voor Microsoft Entra
11.5.1 Inbraakdetectie- en/of inbraakpreventietechnieken worden als volgt gebruikt om inbraak in het netwerk te detecteren en/of te voorkomen:
Alle verkeer wordt bewaakt aan de perimeter van de CDE.
Al het verkeer wordt bewaakt op kritieke punten in de CDE.
Personeel wordt gewaarschuwd voor verdachte compromissen.
Alle inbraakdetectie- en preventie-engines, basislijnen en handtekeningen worden up-to-date gehouden.
Niet van toepassing op Microsoft Entra-id.
11.5.1.1 Alleen aanvullende vereiste voor serviceproviders: Inbraakdetectie- en/of inbraakpreventietechnieken detecteren, waarschuwen/voorkomen en adresverdekte communicatiekanalen voor malware. Niet van toepassing op Microsoft Entra-id.
11.5.2 Een mechanisme voor wijzigingsdetectie (bijvoorbeeld hulpprogramma's voor bewaking van bestandsintegriteit) wordt als volgt geïmplementeerd:
Om personeel te waarschuwen voor niet-geautoriseerde wijzigingen (inclusief wijzigingen, toevoegingen en verwijderingen) van kritieke bestanden.
Kritieke bestandsvergelijkingen ten minste één keer per week uitvoeren.
Niet van toepassing op Microsoft Entra-id.

11.6 Niet-geautoriseerde wijzigingen op betalingspagina's worden gedetecteerd en gereageerd.

Vereisten voor gedefinieerde PCI-DSS-benadering Richtlijnen en aanbevelingen voor Microsoft Entra
11.6.1 Een wijzigings- en manipulatiedetectiemechanisme wordt als volgt geïmplementeerd:
Om personeel te waarschuwen voor niet-geautoriseerde aanpassingen (inclusief indicatoren van inbreuk, wijzigingen, toevoegingen en verwijderingen) aan de HTTP-headers en de inhoud van betalingspagina's zoals ontvangen door de browser van de consument.
Het mechanisme is geconfigureerd om de ontvangen HTTP-header en betalingspagina te evalueren.
De mechanismefuncties worden als volgt uitgevoerd: ten minste één keer per zeven dagen
OF
periodiek met de frequentie die is gedefinieerd in de beoogde risicoanalyse van de entiteit, die wordt uitgevoerd op basis van alle elementen
Niet van toepassing op Microsoft Entra-id.

Volgende stappen

PCI-DSS-vereisten 3, 4, 9 en 12 zijn niet van toepassing op Microsoft Entra-id, daarom zijn er geen bijbehorende artikelen. Als u alle vereisten wilt zien, gaat u naar pcisecuritystandards.org: officiële site van de PCI Security Standards Council.

Zie de volgende artikelen voor het configureren van Microsoft Entra ID om te voldoen aan PCI-DSS.