Microsoft Entra ID en PCI-DSS-vereiste 2
Vereiste 2: Veilige configuraties toepassen op vereisten voor alle door systeemonderdelen
gedefinieerde benadering
2.1 Processen en mechanismen voor het toepassen van beveiligde configuraties op alle systeemonderdelen worden gedefinieerd en begrepen.
| Vereisten voor gedefinieerde PCI-DSS-benadering | Richtlijnen en aanbevelingen voor Microsoft Entra |
|---|---|
| 2.1.1 Alle beveiligingsbeleidsregels en operationele procedures die zijn geïdentificeerd in vereiste 2 zijn: Gedocumenteerd up-to-date in gebruik Bekend bij alle betrokken partijen |
Gebruik de richtlijnen en koppelingen hier om de documentatie te produceren om te voldoen aan de vereisten op basis van uw omgevingsconfiguratie. |
| 2.1.2 Rollen en verantwoordelijkheden voor het uitvoeren van activiteiten in vereiste 2 worden gedocumenteerd, toegewezen en begrepen. | Gebruik de richtlijnen en koppelingen hier om de documentatie te produceren om te voldoen aan de vereisten op basis van uw omgevingsconfiguratie. |
2.2 Systeemonderdelen worden veilig geconfigureerd en beheerd.
| Vereisten voor gedefinieerde PCI-DSS-benadering | Richtlijnen en aanbevelingen voor Microsoft Entra |
|---|---|
| 2.2.1 Configuratiestandaarden worden ontwikkeld, geïmplementeerd en onderhouden voor: Alle systeemonderdelen dekken. Los alle bekende beveiligingsproblemen op. Wees consistent met door de branche geaccepteerde systeembeveiligingsstandaarden of aanbevelingen voor het beperken van leveranciers. Worden bijgewerkt als er nieuwe beveiligingsproblemen worden geïdentificeerd, zoals gedefinieerd in vereiste 6.3.1. Worden toegepast wanneer nieuwe systemen zijn geconfigureerd en geverifieerd als aanwezig vóór of direct nadat een systeemonderdeel is verbonden met een productieomgeving. |
Zie de Handleiding voor beveiligingsbewerkingen van Microsoft Entra |
| 2.2.2 Standaardaccounts van leveranciers worden als volgt beheerd: Als de standaardaccounts van de leverancier worden gebruikt, wordt het standaardwachtwoord gewijzigd per vereiste 8.3.6. Als de standaardaccount(s) van de leverancier niet worden gebruikt, wordt het account verwijderd of uitgeschakeld. |
Niet van toepassing op Microsoft Entra-id. |
| 2.2.3 Primaire functies die verschillende beveiligingsniveaus vereisen, worden als volgt beheerd: er bestaat slechts één primaire functie op een systeemonderdeel, OF primaire functies met verschillende beveiligingsniveaus die op hetzelfde systeemonderdeel bestaan, worden geïsoleerd van elkaar, OF primaire functies met verschillende beveiligingsniveaus in hetzelfde systeemonderdeel worden allemaal beveiligd tot het niveau dat door de functie is vereist met de hoogste beveiligingsbehoefte. |
Meer informatie over het bepalen van rollen met minimale bevoegdheden. Rollen met minimale bevoegdheden per taak in Microsoft Entra ID |
| 2.2.4 Alleen benodigde services, protocollen, daemons en functies zijn ingeschakeld en alle overbodige functionaliteit wordt verwijderd of uitgeschakeld. | Controleer de Microsoft Entra-instellingen en schakel ongebruikte functies uit. Vijf stappen voor het beveiligen van uw identiteitsinfrastructuur microsoft Entra-beveiligingsbewerkingen |
| 2.2.5 Als er onveilige services, protocollen of daemons aanwezig zijn: Zakelijke rechtvaardiging wordt gedocumenteerd. Er worden aanvullende beveiligingsfuncties gedocumenteerd en geïmplementeerd die het risico op het gebruik van onveilige services, protocollen of daemons verminderen. |
Controleer de Microsoft Entra-instellingen en schakel ongebruikte functies uit. Vijf stappen voor het beveiligen van uw identiteitsinfrastructuur microsoft Entra-beveiligingsbewerkingen |
| 2.2.6 Systeembeveiligingsparameters zijn geconfigureerd om misbruik te voorkomen. | Controleer de Microsoft Entra-instellingen en schakel ongebruikte functies uit. Vijf stappen voor het beveiligen van uw identiteitsinfrastructuur microsoft Entra-beveiligingsbewerkingen |
| 2.2.7 Alle niet-console administratieve toegang wordt versleuteld met behulp van sterke cryptografie. | Microsoft Entra ID-interfaces, zoals de beheerportal, Microsoft Graph en PowerShell, worden versleuteld tijdens overdracht met behulp van TLS. Ondersteuning inschakelen voor TLS 1.2 in uw omgeving voor afschaffing van Microsoft Entra TLS 1.1 en 1.0 |
2.3 Draadloze omgevingen worden veilig geconfigureerd en beheerd.
| Vereisten voor gedefinieerde PCI-DSS-benadering | Richtlijnen en aanbevelingen voor Microsoft Entra |
|---|---|
| 2.3.1 Voor draadloze omgevingen die zijn verbonden met de CDE of het verzenden van accountgegevens, worden alle standaardinstellingen van draadloze leveranciers gewijzigd bij de installatie of worden bevestigd dat ze veilig zijn, inclusief, maar niet beperkt tot: Standaardwachtwoorden voor draadloze versleutelingssleutels op draadloze toegangspunten SNMP-standaardwaarden voor andere beveiligingsgerelateerde draadloze leveranciers |
Als uw organisatie netwerktoegangspunten integreert met Microsoft Entra ID voor verificatie, raadpleegt u Vereiste 1: Netwerkbeveiligingsbeheer installeren en onderhouden. |
| 2.3.2 Voor draadloze omgevingen die zijn verbonden met de CDE of het verzenden van accountgegevens, worden draadloze versleutelingssleutels als volgt gewijzigd: Wanneer personeel met kennis van de sleutel het bedrijf verlaat of de rol waarvoor de kennis nodig was. Wanneer een sleutel wordt vermoed of waarvan bekend is dat er inbreuk wordt gemaakt. |
Niet van toepassing op Microsoft Entra-id. |
Volgende stappen
PCI-DSS-vereisten 3, 4, 9 en 12 zijn niet van toepassing op Microsoft Entra-id, daarom zijn er geen bijbehorende artikelen. Als u alle vereisten wilt zien, gaat u naar pcisecuritystandards.org: officiële site van de PCI Security Standards Council.
Zie de volgende artikelen voor het configureren van Microsoft Entra ID om te voldoen aan PCI-DSS.
- Richtlijnen voor Microsoft Entra PCI-DSS
- Vereiste 1: Netwerkbeveiligingsbeheer installeren en onderhouden
- Vereiste 2: Veilige configuraties toepassen op alle systeemonderdelen (u bent hier)
- Vereiste 5: Alle systemen en netwerken beschermen tegen schadelijke software
- Vereiste 6: Veilige systemen en software ontwikkelen en onderhouden
- Vereiste 7: Toegang tot systeemonderdelen en kaartaanduidingsgegevens beperken door zakelijke noodzaak
- Vereiste 8: Gebruikers identificeren en toegang tot systeemonderdelen verifiëren
- Vereiste 10: Alle toegang tot systeemonderdelen en kaartaanduidingsgegevens registreren en bewaken
- Vereiste 11: De beveiliging van systemen en netwerken regelmatig testen
- Richtlijnen voor Microsoft Entra PCI-DSS Multi-Factor Authentication
Feedback
Binnenkort beschikbaar: In de loop van 2024 zullen we GitHub-problemen geleidelijk uitfaseren als het feedbackmechanisme voor inhoud en deze vervangen door een nieuw feedbacksysteem. Zie voor meer informatie: https://aka.ms/ContentUserFeedback.
Feedback verzenden en weergeven voor