Delen via


Microsoft Entra ID en PCI-DSS-vereiste 6

Vereiste 6: Vereisten voor veilige systemen en software-gedefinieerde
benaderingen ontwikkelen en onderhouden

6.1 Processen en mechanismen voor het ontwikkelen en onderhouden van veilige systemen en software worden gedefinieerd en begrepen.

Vereisten voor gedefinieerde PCI-DSS-benadering Richtlijnen en aanbevelingen voor Microsoft Entra
6.1.1 Alle beveiligingsbeleidsregels en operationele procedures die zijn geïdentificeerd in vereiste 6 zijn:
Gedocumenteerd
up-to-date
gehouden in gebruik
Bekend bij alle betrokken partijen
Gebruik de richtlijnen en koppelingen hier om de documentatie te produceren om te voldoen aan de vereisten op basis van uw omgevingsconfiguratie.
6.1.2 Rollen en verantwoordelijkheden voor het uitvoeren van activiteiten in Vereiste 6 worden gedocumenteerd, toegewezen en begrepen. Gebruik de richtlijnen en koppelingen hier om de documentatie te produceren om te voldoen aan de vereisten op basis van uw omgevingsconfiguratie.

6.2 Op maat gemaakte en aangepaste software worden veilig ontwikkeld.

Vereisten voor gedefinieerde PCI-DSS-benadering Richtlijnen en aanbevelingen voor Microsoft Entra
6.2.1 Op maat gemaakte en aangepaste software worden als volgt veilig ontwikkeld:
Gebaseerd op industriestandaarden en/of best practices voor veilige ontwikkeling.
In overeenstemming met PCI-DSS (bijvoorbeeld veilige verificatie en logboekregistratie).
Rekening houden met informatiebeveiligingsproblemen tijdens elke fase van de levenscyclus van softwareontwikkeling.
Toepassingen aanschaffen en ontwikkelen die gebruikmaken van moderne verificatieprotocollen, zoals OAuth2 en OpenID Connect (OIDC), die zijn geïntegreerd met Microsoft Entra ID.
Bouw software met behulp van het Microsoft Identity Platform. Best practices en aanbevelingen voor het Microsoft-identiteitsplatform
6.2.2 Medewerkers van softwareontwikkeling die op maat werken en aangepaste software worden als volgt ten minste één keer per 12 maanden getraind:
Over softwarebeveiliging die relevant is voor hun functie- en ontwikkelingstalen.
Inclusief veilige softwareontwerp en veilige coderingstechnieken.
Als hulpprogramma's voor beveiligingstests worden gebruikt, kunt u ook de hulpprogramma's gebruiken voor het detecteren van beveiligingsproblemen in software.
Gebruik het volgende examen om bewijs van bekwaamheid op het Microsoft Identity Platform te bieden: Examen MS-600: Toepassingen en oplossingen bouwen met Microsoft 365 Core Services Gebruik de volgende training om het examen voor te bereiden: MS-600: Microsoft-identiteit implementeren
6.2.3 Op maat gemaakte en aangepaste software wordt beoordeeld voordat deze in productie of aan klanten wordt uitgebracht, om potentiële beveiligingsproblemen met codering als volgt te identificeren en te corrigeren:
Codebeoordelingen zorgen ervoor dat code wordt ontwikkeld volgens veilige coderingsrichtlijnen.
Codebeoordelingen zoeken naar zowel bestaande als opkomende beveiligingsproblemen in software.
De juiste correcties worden vóór de release geïmplementeerd.
Niet van toepassing op Microsoft Entra-id.
6.2.3.1 Als handmatige codebeoordelingen worden uitgevoerd voor op maat gemaakte en aangepaste software vóór de release van productie, zijn codewijzigingen:
Beoordeeld door andere personen dan de oorspronkelijke codeauteur en die op de hoogte zijn van technieken voor codebeoordeling en veilige coderingsprocedures.
Gecontroleerd en goedgekeurd door beheer voorafgaand aan de release.
Niet van toepassing op Microsoft Entra-id.
6.2.4 Software engineering technieken of andere methoden worden gedefinieerd en gebruikt door medewerkers van softwareontwikkeling om veelvoorkomende softwareaanvallen en gerelateerde beveiligingsproblemen in op maat gemaakte en aangepaste software te voorkomen of te beperken, met inbegrip van maar niet beperkt tot het volgende:
Injectieaanvallen, waaronder SQL, LDAP, XPath of andere opdracht, parameter, object, fout of injectie-type fouten.
Aanvallen op gegevens en gegevensstructuren, waaronder pogingen om buffers, aanwijzers, invoergegevens of gedeelde gegevens te manipuleren.
Aanvallen op cryptografiegebruik, waaronder pogingen om zwakke, onveilige of ongepaste cryptografische implementaties, algoritmen, coderingssuites of bewerkingsmodi te misbruiken.
Aanvallen op bedrijfslogica, waaronder pogingen om toepassingsfuncties en -functionaliteiten te misbruiken of over te slaan via het manipuleren van API's, communicatieprotocollen en kanalen, functionaliteit aan de clientzijde of andere systeem-/toepassingsfuncties en -resources. Dit omvat cross-site scripting (XSS) en cross-site request forgery (CSRF).
Aanvallen op mechanismen voor toegangsbeheer, waaronder pogingen om identificatie, verificatie of autorisatiemechanismen te omzeilen of misbruiken, of pogingen om zwakke plekken in de implementatie van dergelijke mechanismen te misbruiken.
Aanvallen via beveiligingsproblemen met een hoog risico die zijn geïdentificeerd in het identificatieproces voor beveiligingsproblemen, zoals gedefinieerd in Vereiste 6.3.1.
Niet van toepassing op Microsoft Entra-id.

6.3 Beveiligingsproblemen worden geïdentificeerd en aangepakt.

Vereisten voor gedefinieerde PCI-DSS-benadering Richtlijnen en aanbevelingen voor Microsoft Entra
6.3.1 Beveiligingsproblemen worden als volgt geïdentificeerd en beheerd:
nieuwe beveiligingsproblemen worden geïdentificeerd met behulp van door de branche erkende bronnen voor informatie over beveiligingsproblemen, waaronder waarschuwingen van internationale en nationale/regionale computerresponsteams (CERT's).
Beveiligingsproblemen krijgen een risicoclassificatie toegewezen op basis van aanbevolen procedures voor de branche en overweging van mogelijke impact.
Risicoclassificaties identificeren ten minste alle beveiligingsproblemen die worden beschouwd als een hoog risico of essentieel voor de omgeving.
Beveiligingsproblemen voor op maat gemaakte en aangepaste software en software van derden (bijvoorbeeld besturingssystemen en databases) worden behandeld.
Meer informatie over beveiligingsproblemen. MSRC | Beveiligingsupdates, handleiding voor beveiligingsupdates
6.3.2 Een inventaris van op maat gemaakte en aangepaste softwareonderdelen en softwareonderdelen van derden die zijn opgenomen in op maat gemaakte en aangepaste software wordt onderhouden om het beheer van beveiligingsproblemen en patches te vergemakkelijken. Rapporten genereren voor toepassingen met behulp van Microsoft Entra-id voor verificatie voor inventaris. applicationSignInDetailedSummary resourcetype
Toepassingen die worden vermeld in Bedrijfstoepassingen
6.3.3 Alle systeemonderdelen worden beschermd tegen bekende beveiligingsproblemen door de installatie van toepasselijke beveiligingspatches/updates als volgt:
Kritieke of hoge beveiligingspatches/updates (geïdentificeerd volgens het risicoclassificatieproces op Vereiste 6.3.1) worden binnen één maand na de release geïnstalleerd.
Alle andere toepasselijke beveiligingspatches/updates worden binnen een geschikt tijdsbestek geïnstalleerd, zoals bepaald door de entiteit (bijvoorbeeld binnen drie maanden na de release).
Niet van toepassing op Microsoft Entra-id.

6.4 Openbare webtoepassingen worden beschermd tegen aanvallen.

Vereisten voor gedefinieerde PCI-DSS-benadering Richtlijnen en aanbevelingen voor Microsoft Entra
6.4.1 Voor openbare webtoepassingen worden nieuwe bedreigingen en beveiligingsproblemen doorlopend aangepakt en worden deze toepassingen als volgt beschermd tegen bekende aanvallen: het beoordelen van openbare webtoepassingen via handmatige of geautomatiseerde hulpprogramma's of methoden voor beveiligingsproblemen van toepassingen als volgt:
- ten minste één keer om de 12 maanden en na belangrijke wijzigingen.
– Door een entiteit die gespecialiseerd is in toepassingsbeveiliging.
– Inclusief, minimaal, alle veelvoorkomende softwareaanvallen in Vereiste 6.2.4.
– Alle beveiligingsproblemen worden gerangschikt in overeenstemming met vereiste 6.3.1.
– Alle beveiligingsproblemen worden gecorrigeerd.
– De toepassing wordt opnieuw geëvalueerd na de correcties
OF
het installeren van een geautomatiseerde technische oplossing(en) die voortdurend webaanvallen detecteren en voorkomen:
– Geïnstalleerd vóór openbare webtoepassingen om webaanvallen te detecteren en te voorkomen.
– Actief actief actief en up-to-date indien van toepassing.
– Auditlogboeken genereren.
– Geconfigureerd om webaanvallen te blokkeren of een waarschuwing te genereren die onmiddellijk wordt onderzocht.
Niet van toepassing op Microsoft Entra-id.
6.4.2 Voor openbare webtoepassingen wordt een geautomatiseerde technische oplossing geïmplementeerd die voortdurend webaanvallen detecteert en voorkomt, met ten minste het volgende:
Wordt geïnstalleerd vóór openbare webtoepassingen en is geconfigureerd om webaanvallen te detecteren en te voorkomen.
Actief actief en up-to-date, indien van toepassing.
Auditlogboeken genereren.
Geconfigureerd voor het blokkeren van webaanvallen of het genereren van een waarschuwing die onmiddellijk wordt onderzocht.
Niet van toepassing op Microsoft Entra-id.
6.4.3 Alle scripts op de betalingspagina die in de browser van de consument worden geladen en uitgevoerd, worden als volgt beheerd:
er wordt een methode geïmplementeerd om te bevestigen dat elk script is geautoriseerd.
Er wordt een methode geïmplementeerd om de integriteit van elk script te garanderen.
Een inventaris van alle scripts wordt onderhouden met schriftelijke reden waarom elk van deze scripts nodig is.
Niet van toepassing op Microsoft Entra-id.

6.5 Wijzigingen in alle systeemonderdelen worden veilig beheerd.

Vereisten voor gedefinieerde PCI-DSS-benadering Richtlijnen en aanbevelingen voor Microsoft Entra
6.5.1 Wijzigingen in alle systeemonderdelen in de productieomgeving worden aangebracht volgens de vastgestelde procedures, waaronder:
Reden voor en beschrijving van de wijziging.
Documentatie over beveiligingsimpact.
Gedocumenteerde wijzigingsgoedkeuring door geautoriseerde partijen.
Testen om te controleren of de wijziging geen negatieve invloed heeft op de systeembeveiliging.
Voor op maat gemaakte en aangepaste softwarewijzigingen worden alle updates getest op naleving van vereiste 6.2.4 voordat ze in productie worden geïmplementeerd.
Procedures voor het oplossen van fouten en het terugkeren naar een veilige status.
Neem wijzigingen op in de Microsoft Entra-configuratie in het wijzigingsbeheerproces.
6.5.2 Na voltooiing van een aanzienlijke wijziging worden alle toepasselijke PCI-DSS-vereisten bevestigd dat deze van toepassing zijn op alle nieuwe of gewijzigde systemen en netwerken, en de documentatie wordt bijgewerkt indien van toepassing. Niet van toepassing op Microsoft Entra-id.
6.5.3 Preproductieomgevingen worden gescheiden van productieomgevingen en de scheiding wordt afgedwongen met toegangscontroles. Benaderingen voor het scheiden van preproductie- en productieomgevingen, op basis van organisatievereisten. Resource-isolatie in één tenant
Resource-isolatie met meerdere tenants
6.5.4 Rollen en functies worden gescheiden tussen productie- en preproductieomgevingen om verantwoordelijkheid te bieden, zodat alleen herziene en goedgekeurde wijzigingen worden geïmplementeerd. Meer informatie over bevoorrechte rollen en toegewezen preproductietenants. Aanbevolen procedures voor Microsoft Entra-rollen
6.5.5 Live-PAN's worden niet gebruikt in preproductieomgevingen, behalve wanneer deze omgevingen zijn opgenomen in de CDE en worden beveiligd overeenkomstig alle toepasselijke PCI-DSS-vereisten. Niet van toepassing op Microsoft Entra-id.
6.5.6 Testgegevens en testaccounts worden verwijderd uit systeemonderdelen voordat het systeem in productie gaat. Niet van toepassing op Microsoft Entra-id.

Volgende stappen

PCI-DSS-vereisten 3, 4, 9 en 12 zijn niet applicalbe voor Microsoft Entra-id. Daarom zijn er geen bijbehorende artikelen. Als u alle vereisten wilt zien, gaat u naar pcisecuritystandards.org: officiële site van de PCI Security Standards Council.

Zie de volgende artikelen voor het configureren van Microsoft Entra ID om te voldoen aan PCI-DSS.