Microsoft Entra PCI-DSS guidance (Wskazówki dotyczące rozwiązania Microsoft Entra PCI-DSS)

Organizacja Payment Card Industry Security Standards Council (PCI SSC) jest odpowiedzialna za opracowywanie i promowanie standardów i zasobów dotyczących zabezpieczeń danych, w tym standardu PCI-DSS (Payment Card Industry Data Security Standard) w celu zapewnienia bezpieczeństwa transakcji płatniczych. Aby osiągnąć zgodność ze standardem PCI, organizacje korzystające z identyfikatora Entra firmy Microsoft mogą zapoznać się ze wskazówkami w tym dokumencie. Jednak obowiązkiem organizacji jest zapewnienie zgodności ze standardem PCI. Ich zespoły IT, zespoły SecOps i architekci rozwiązań są odpowiedzialni za tworzenie i utrzymywanie bezpiecznych systemów, produktów i sieci, które obsługują, przetwarzają i przechowują informacje o kartach płatniczych.

Chociaż identyfikator Entra firmy Microsoft pomaga spełnić pewne wymagania dotyczące kontroli PCI-DSS i zapewnia nowoczesne protokoły tożsamości i dostępu dla zasobów środowiska danych posiadaczy kart (CDE), nie powinien być jedynym mechanizmem ochrony danych posiadaczy kart. W związku z tym zapoznaj się z tym zestawem dokumentów i wszystkimi wymaganiami PCI-DSS, aby ustanowić kompleksowy program zabezpieczeń, który zachowuje zaufanie klientów. Aby uzyskać pełną listę wymagań, odwiedź oficjalną stronę internetową Rady Standardów Bezpieczeństwa PCI pod adresem pcisecuritystandards.org: Oficjalna witryna Rady Standardów Bezpieczeństwa PCI

Wymagania PCI dotyczące kontrolek

Globalny standard PCI-DSS w wersji 4.0 ustanawia punkt odniesienia standardów technicznych i operacyjnych dotyczących ochrony danych kont. "Opracowano ją, aby zachęcić i poprawić bezpieczeństwo danych konta karty płatniczej oraz ułatwić szerokie wdrażanie spójnych środków bezpieczeństwa danych na całym świecie. Zapewnia ona punkt odniesienia wymagań technicznych i operacyjnych zaprojektowanych w celu ochrony danych konta. Mając na celu skoncentrowanie się na środowiskach z danymi konta karty płatniczej, pci-DSS może również służyć do ochrony przed zagrożeniami i zabezpieczania innych elementów w ekosystemie płatności.

Konfiguracja firmy Microsoft i PCI-DSS

Ten dokument stanowi kompleksowy przewodnik dla liderów technicznych i biznesowych, którzy są odpowiedzialni za zarządzanie tożsamościami i dostępem (IAM) za pomocą identyfikatora Entra firmy Microsoft zgodnie z standardem PCI DSS (Payment Card Industry Data Security Standard). Postępując zgodnie z kluczowymi wymaganiami, najlepszymi rozwiązaniami i podejściami opisanymi w tym dokumencie, organizacje mogą zmniejszyć zakres, złożoność i ryzyko niezgodności PCI, jednocześnie promując najlepsze rozwiązania i zgodność ze standardami zabezpieczeń. Wskazówki przedstawione w tym dokumencie mają na celu ułatwienie organizacjom konfigurowania identyfikatora Entra firmy Microsoft w sposób spełniający niezbędne wymagania PCI DSS i promując skuteczne praktyki zarządzania dostępem i tożsamościami.

Liderzy techniczni i biznesowi mogą skorzystać z poniższych wskazówek, aby spełnić obowiązki związane z zarządzaniem tożsamościami i dostępem (IAM) za pomocą identyfikatora Entra firmy Microsoft. Aby uzyskać więcej informacji na temat standardu PCI-DSS w innych obciążeniach firmy Microsoft, zobacz Omówienie testu porównawczego zabezpieczeń w chmurze firmy Microsoft (wersja 1).

Wymagania PCI-DSS i procedury testowania składają się z 12 głównych wymagań, które zapewniają bezpieczną obsługę informacji o kartach płatniczych. Razem te wymagania są kompleksową strukturą, która pomaga organizacjom zabezpieczyć transakcje kart płatniczych i chronić poufne dane posiadaczy kart.

Microsoft Entra ID to usługa tożsamości przedsiębiorstwa, która zabezpiecza aplikacje, systemy i zasoby w celu zapewnienia zgodności ze standardem PCI-DSS. Poniższa tabela zawiera wymagania podmiotu zabezpieczeń PCI i linki do zalecanych mechanizmów kontroli identyfikatora Entra firmy Microsoft pod kątem zgodności ze standardem PCI-DSS.

Wymagania dotyczące jednostki PCI-DSS

Wymagania PCI-DSS 3, 4, 9 i 12 nie są rozwiązywane ani spełnione przez identyfikator Entra firmy Microsoft, dlatego nie ma odpowiednich artykułów. Aby zobaczyć wszystkie wymagania, przejdź do pcisecuritystandards.org: Oficjalna witryna Rady Standardów Bezpieczeństwa PCI.

Standard zabezpieczeń danych PCI — ogólne omówienie	Zalecane kontrolki PCI-DSS firmy Microsoft Entra ID
Tworzenie i obsługa bezpiecznej sieci i systemów	1. Zainstaluj i zachowaj mechanizmy zabezpieczeń sieci 2. Stosowanie bezpiecznych konfiguracji do wszystkich składników systemu
Ochrona danych konta	3. Ochrona przechowywanych danych konta 4. Ochrona danych karty przy użyciu silnej kryptografii podczas transmisji za pośrednictwem sieci publicznych
Obsługa programu do zarządzania lukami w zabezpieczeniach	5. Ochrona wszystkich systemów i sieci przed złośliwym oprogramowaniem 6. Opracowywanie i obsługa bezpiecznych systemów i oprogramowania
Implementowanie silnych miar kontroli dostępu	7. Ogranicz dostęp do składników systemowych i danych posiadaczy kart według potrzeb biznesowych, aby wiedzieć 8. Identyfikowanie i uwierzytelnianie dostępu do składników systemowych 9. Ograniczanie fizycznego dostępu do składników systemowych i danych karty
Regularne monitorowanie i testowanie sieci	10. Rejestruj i monitoruj cały dostęp do składników systemowych i danych kart 11. Regularne testowanie zabezpieczeń systemów i sieci
Obsługa zasad zabezpieczeń informacji	12. Obsługa zabezpieczeń informacji za pomocą zasad i programów organizacyjnych

Zastosowanie pci-DSS

PCI-DSS dotyczy organizacji, które przechowują, przetwarzają lub przesyłają dane CHD (CHD) i/lub poufne dane uwierzytelniania (SAD). Te elementy danych, rozważane razem, są nazywane danymi konta. PCI-DSS zawiera wytyczne i wymagania dotyczące zabezpieczeń dla organizacji, które mają wpływ na środowisko danych karty (CDE). Jednostki chroniące usługę CDE zapewniają poufność i bezpieczeństwo informacji o płatności klienta.

CHD składa się z:

• Podstawowy numer konta (PAN) — unikatowy numer karty płatniczej (kredytowej, debetowej lub przedpłaconej itp.), który identyfikuje wystawcę i konto posiadacza karty
• Nazwa karty — właściciel karty
• Data wygaśnięcia karty — dzień i miesiąc wygaśnięcia karty
• Kod usługi — trzy- lub czterocyfrowa wartość w pasku magnetycznym, która następuje po dacie wygaśnięcia karty płatniczej na danych śledzenia. Definiuje atrybuty usługi, różnice między międzynarodowymi i krajowymi/regionalnymi wymianami lub identyfikują ograniczenia użycia.

SAD składa się z informacji związanych z zabezpieczeniami używanych do uwierzytelniania posiadaczy kart i/lub autoryzacji transakcji kart płatniczych. Sad obejmuje, ale nie ogranicza się do:

• Pełne dane śledzenia — taśma magnetyczna lub odpowiednik mikroukładu
• Kody/wartości weryfikacji karty — nazywane również kodem weryfikacji karty (CVC) lub wartością (CVV). Jest to trzy- lub czterocyfrowa wartość z przodu lub z tyłu karty płatniczej. Jest on również określany jako CAV2, CVC2, CVN2, CVV2 lub CID, określany przez uczestniczące marki płatności (PPB).
• Numer PIN — osobisty numer identyfikacyjny
  • Bloki numeru PIN — zaszyfrowana reprezentacja numeru PIN używanego w transakcji debetowej lub karty kredytowej. Gwarantuje ona bezpieczną transmisję poufnych informacji podczas transakcji

Ochrona usługi CDE jest niezbędna do bezpieczeństwa i poufności informacji o płatności klienta i pomaga:

• Zachowaj zaufanie klientów — klienci oczekują, że informacje o płatności będą bezpiecznie obsługiwane i przechowywane poufne. Jeśli firma doświadcza naruszenia danych, które powoduje kradzież danych klienta, może obniżyć zaufanie klientów do firmy i spowodować szkody reputacji.
• Zgodność z przepisami — firmy przetwarzają transakcje kart kredytowych w celu zapewnienia zgodności z normą PCI-DSS. Brak przestrzegania powoduje grzywny, zobowiązania prawne i wynikowe szkody reputacji.
• Ograniczenie ryzyka finansowego — naruszenia danych mają znaczące skutki finansowe, w tym koszty badań kryminalistycznych, opłat prawnych i odszkodowania dla dotkniętych klientów.
• Ciągłość działania — naruszenia danych zakłócają operacje biznesowe i mogą mieć wpływ na procesy transakcji kart kredytowych. Ten scenariusz może prowadzić do utraty przychodów, zakłóceń operacyjnych i szkód związanych z reputacją.

Zakres inspekcji PCI

Zakres inspekcji PCI odnosi się do systemów, sieci i procesów w magazynie, przetwarzaniu lub transmisji CHD i/lub SAD. Jeśli dane konta są przechowywane, przetwarzane lub przesyłane w środowisku chmury, pci-DSS ma zastosowanie do tego środowiska i zgodności zwykle obejmuje walidację środowiska chmury i jego użycia. Istnieje pięć podstawowych elementów w zakresie inspekcji PCI:

• Środowisko danych posiadaczy kart (CDE) — obszar, w którym CHD i/lub SAD, jest przechowywany, przetwarzany lub przesyłany. Zawiera on składniki organizacji, które dotykają CHD, takich jak sieci i składniki sieciowe, bazy danych, serwery, aplikacje i terminale płatnicze.
• Osoby - z dostępem do CDE, takich jak pracownicy, wykonawcy i dostawcy usług innych firm, są w zakresie inspekcji PCI.
• Procesy — obejmujące CHD, takie jak autoryzacja, uwierzytelnianie, szyfrowanie i przechowywanie danych konta w dowolnym formacie, należą do zakresu inspekcji PCI.
• Technologia — która przetwarza, przechowuje lub przesyła CHD, w tym sprzęt, takie jak drukarki i urządzenia wielofunkcyjne, które skanują, drukują i faksem, urządzenia użytkownika końcowego, takie jak komputery, stacje robocze laptopów, stacje robocze administracyjne, tablety i urządzenia przenośne, oprogramowanie i inne systemy IT, należą do zakresu inspekcji PCI.
• Składniki systemowe — które mogą nie przechowywać, przetwarzać ani przesyłać plików CHD/SAD, ale mają nieograniczoną łączność ze składnikami systemowymi, które przechowują, przetwarzają lub przesyłają dane CHD/SAD lub mogą mieć wpływ na bezpieczeństwo usługi CDE.

Jeśli zakres PCI jest zminimalizowany, organizacje mogą skutecznie zmniejszyć skutki zdarzeń zabezpieczeń i zmniejszyć ryzyko naruszeń danych. Segmentacja może być cenną strategią zmniejszania rozmiaru PCI CDE, co skutkuje obniżeniem kosztów zgodności i ogólnymi korzyściami dla organizacji, w tym, ale nie tylko:

• Oszczędności kosztów — ograniczając zakres inspekcji, organizacje skracają czas, zasoby i wydatki w celu przeprowadzenia inspekcji, co prowadzi do oszczędności kosztów.
• Zmniejszona ekspozycja na ryzyko — mniejszy zakres inspekcji PCI zmniejsza potencjalne zagrożenia związane z przetwarzaniem, przechowywaniem i przesyłaniem danych posiadaczy kart. Jeśli liczba systemów, sieci i aplikacji objętych inspekcją jest ograniczona, organizacje koncentrują się na zabezpieczaniu swoich krytycznych zasobów i zmniejszaniu narażenia na ryzyko.
• Usprawniona zgodność — zawężenie zakresu inspekcji sprawia, że zgodność PCI-DSS jest bardziej zarządzalna i usprawniona. Wyniki są bardziej wydajne inspekcje, mniejsza liczba problemów ze zgodnością i mniejsze ryzyko ponoszenia kar za niezgodność.
• Ulepszony stan zabezpieczeń — przy mniejszym podzestawie systemów i procesów organizacje efektywnie przydzielają zasoby zabezpieczeń i nakłady pracy. Wyniki są silniejszym stanem zabezpieczeń, ponieważ zespoły ds. zabezpieczeń koncentrują się na zabezpieczaniu krytycznych zasobów i identyfikowaniu luk w zabezpieczeniach w sposób ukierunkowany i skuteczny.

Strategie zmniejszania zakresu inspekcji PCI

Definicja swojej usługi CDE w organizacji określa zakres inspekcji PCI. Organizacje dokumentują tę definicję i przekazują tę definicję do programu PCI-DSS Qualified Security Assessor (QSA) wykonującego inspekcję. QSA ocenia mechanizmy kontroli dla usługi CDE w celu określenia zgodności. Przestrzeganie standardów PCI i stosowanie skutecznego ograniczania ryzyka pomaga firmom chronić dane osobowe i finansowe klientów, które utrzymują zaufanie do swoich operacji. W poniższej sekcji opisano strategie ograniczania ryzyka w zakresie inspekcji PCI.

Tokenizacja

Tokenizacja to technika zabezpieczeń danych. Użyj tokenizacji, aby zastąpić poufne informacje, takie jak numery kart kredytowych, unikatowym tokenem przechowywanym i używanym do transakcji bez ujawniania poufnych danych. Tokeny zmniejszają zakres inspekcji PCI dla następujących wymagań:

• Wymaganie 3 — Ochrona przechowywanych danych konta
• Wymaganie 4 — Ochrona danych posiadaczy kart za pomocą silnej kryptografii podczas transmisji przez otwarte sieci publiczne
• Wymaganie 9 — ograniczanie fizycznego dostępu do danych posiadaczy kart
• Wymaganie 10 — rejestrowanie i monitorowanie całego dostępu do składników systemów i danych karty.

W przypadku korzystania z metodologii przetwarzania opartego na chmurze należy wziąć pod uwagę istotne zagrożenia dla poufnych danych i transakcji. Aby wyeliminować te zagrożenia, zaleca się zaimplementowanie odpowiednich środków zabezpieczeń i planów awaryjnych w celu ochrony danych i zapobiegania przerwom w transakcjach. Najlepszym rozwiązaniem jest użycie tokenizacji płatności jako metodologii w celu odklasowania danych i potencjalnie zmniejszenia śladu cdE. W przypadku tokenizacji płatności poufne dane są zastępowane unikatowym identyfikatorem, który zmniejsza ryzyko kradzieży danych i ogranicza narażenie poufnych informacji w usłudze CDE.

Zabezpieczanie usługi CDE

PCI-DSS wymaga, aby organizacje utrzymywały bezpieczny cdE. Dzięki efektywnej konfiguracji usługi CDE firmy mogą ograniczyć ryzyko i zmniejszyć związane z nimi koszty zarówno w środowiskach lokalnych, jak i w chmurze. Takie podejście pomaga zminimalizować zakres inspekcji PCI, co ułatwia i bardziej ekonomiczne wykazanie zgodności ze standardem.

Aby skonfigurować identyfikator Entra firmy Microsoft w celu zabezpieczenia usługi CDE:

• Użyj poświadczeń bez hasła dla użytkowników: Windows Hello dla firm, kluczy zabezpieczeń FIDO2 i aplikacji Microsoft Authenticator
• Użyj silnych poświadczeń dla tożsamości obciążeń: certyfikatów i tożsamości zarządzanych dla zasobów platformy Azure.
  • Integrowanie technologii dostępu, takich jak sieć VPN, pulpit zdalny i punkty dostępu do sieci z identyfikatorem Entra firmy Microsoft na potrzeby uwierzytelniania, jeśli ma to zastosowanie
• Włączanie uprzywilejowanego zarządzania tożsamościami i przeglądów dostępu dla ról firmy Microsoft Entra, uprzywilejowanych grup dostępu i zasobów platformy Azure
• Stosowanie zasad dostępu warunkowego w celu wymuszania kontroli wymagań PCI: siły poświadczeń, stanu urządzenia i wymuszania ich na podstawie lokalizacji, członkostwa w grupie, aplikacji i ryzyka
• Używanie nowoczesnego uwierzytelniania dla obciążeń DCE
• Archiwizowanie dzienników firmy Microsoft w systemach zarządzania informacjami i zdarzeniami zabezpieczeń (SIEM)

W przypadku, gdy aplikacje i zasoby korzystają z identyfikatora Microsoft Entra ID do zarządzania tożsamościami i dostępem (IAM), dzierżawy firmy Microsoft Entra znajdują się w zakresie inspekcji PCI, a wskazówki zawarte w niniejszym dokumencie mają zastosowanie. Organizacje muszą ocenić wymagania dotyczące tożsamości i izolacji zasobów między obciążeniami innych niż PCI i PCI, aby określić najlepszą architekturę.

Dowiedz się więcej

• Wprowadzenie do delegowanych środowisk administracyjnych i izolowanych
• Jak używać aplikacji Microsoft Authenticator
• Co to są tożsamości zarządzane dla zasobów platformy Azure?
• Co to są przeglądy dostępu?
• Co to jest dostęp warunkowy?
• Dzienniki inspekcji w identyfikatorze Entra firmy Microsoft

Ustanawianie macierzy odpowiedzialności

Zgodność ze standardem PCI to odpowiedzialność podmiotów, które przetwarzają transakcje kart płatniczych, w tym między innymi:

• Kupców
• Dostawcy usług kart
• Dostawcy usług handlowych
• Pozyskiwanie banków
• Procesory płatności
• Wystawcy kart płatniczych
• Dostawcy sprzętu

Te jednostki zapewniają, że transakcje kart płatniczych są przetwarzane bezpiecznie i są zgodne ze standardem PCI-DSS. Wszystkie jednostki zaangażowane w transakcje kart płatniczych mają rolę, aby zapewnić zgodność ze standardem PCI.

Stan zgodności ze standardem PCI DSS platformy Azure nie przekłada się automatycznie na walidację PCI-DSS dla usług, które tworzysz lub hostujesz na platformie Azure. Upewnij się, że spełniasz wymagania PCI-DSS.

Ustanawianie procesów ciągłych w celu zachowania zgodności

Ciągłe procesy wiążą się z ciągłym monitorowaniem i ulepszaniem stanu zgodności. Zalety procesów ciągłych w celu zachowania zgodności ze standardem PCI:

• Zmniejszenie ryzyka zdarzeń zabezpieczeń i niezgodności
• Ulepszone zabezpieczenia danych
• Lepsze dostosowanie do wymagań regulacyjnych
• Zwiększone zaufanie klientów i uczestników projektu

Dzięki trwającym procesom organizacje skutecznie reagują na zmiany w środowisku regulacyjnym i stale zmieniających się zagrożeniach bezpieczeństwa.

• Ocena ryzyka — przeprowadzi ten proces w celu zidentyfikowania luk w zabezpieczeniach danych kart kredytowych i zagrożeń bezpieczeństwa. Zidentyfikuj potencjalne zagrożenia, oceń potencjalne zagrożenia i oceń potencjalne skutki dla firmy.
• Szkolenie w zakresie świadomości bezpieczeństwa — pracownicy, którzy obsługują dane kart kredytowych, otrzymują regularne szkolenia w zakresie świadomości bezpieczeństwa, aby wyjaśnić znaczenie ochrony danych posiadaczy kart i środków w tym celu.
• Zarządzanie lukami w zabezpieczeniach — przeprowadza regularne skanowania luk w zabezpieczeniach i testy penetracyjne w celu zidentyfikowania słabych stron sieci lub systemu możliwych do wykorzystania przez osoby atakujące.
• Monitorowanie i utrzymywanie zasad kontroli dostępu — dostęp do danych karty kredytowej jest ograniczony do autoryzowanych osób. Monitoruj dzienniki dostępu, aby zidentyfikować nieautoryzowane próby dostępu.
• Reagowanie na zdarzenia — plan reagowania na zdarzenia pomaga zespołom ds. zabezpieczeń podejmować działania podczas zdarzeń dotyczących zdarzeń związanych z kartami kredytowymi. Zidentyfikuj przyczynę zdarzenia, zawierają uszkodzenia i przywracają normalne operacje w odpowiednim czasie.
• Monitorowanie zgodności — i inspekcja jest przeprowadzana w celu zapewnienia ciągłej zgodności z wymaganiami PCI-DSS. Przejrzyj dzienniki zabezpieczeń, przeprowadzaj regularne przeglądy zasad i upewnij się, że składniki systemu są dokładnie skonfigurowane i konserwowane.

Implementowanie silnych zabezpieczeń dla udostępnionej infrastruktury

Zazwyczaj usługi internetowe, takie jak platforma Azure, mają udostępnioną infrastrukturę, w której dane klienta mogą być przechowywane na tym samym serwerze fizycznym lub urządzeniu magazynu danych. Ten scenariusz stwarza ryzyko nieautoryzowanego dostępu klientów do danych, których nie są właścicielami, oraz ryzyko złośliwych podmiotów kierowanych do udostępnionej infrastruktury. Funkcje zabezpieczeń firmy Microsoft Entra pomagają ograniczyć ryzyko związane z udostępnioną infrastrukturą:

• Uwierzytelnianie użytkowników w technologiach dostępu do sieci, które obsługują nowoczesne protokoły uwierzytelniania: wirtualną sieć prywatną (VPN), pulpit zdalny i punkty dostępu do sieci.
• Zasady kontroli dostępu wymuszające silne metody uwierzytelniania i zgodność urządzeń na podstawie sygnałów, takich jak kontekst użytkownika, urządzenie, lokalizacja i ryzyko.
• Dostęp warunkowy zapewnia płaszczyznę sterowania opartą na tożsamościach i łączy sygnały w celu podejmowania decyzji i wymuszania zasad organizacji.
• Nadzór nad rolami uprzywilejowanym — przeglądy dostępu, aktywacja just in time (JIT) itp.

Dowiedz się więcej: Co to jest dostęp warunkowy?

Przechowywanie danych

PCI-DSS nie przytacza określonej lokalizacji geograficznej do przechowywania danych kart kredytowych. Jednak wymaga ona bezpiecznego przechowywania danych posiadaczy kart, które mogą obejmować ograniczenia geograficzne, w zależności od wymagań organizacji dotyczących zabezpieczeń i przepisów. Różne kraje i regiony mają przepisy dotyczące ochrony danych i ochrony prywatności. Skontaktuj się z doradcą prawnym lub doradcą ds. zgodności, aby określić odpowiednie wymagania dotyczące rezydencji danych.

Dowiedz się więcej: Microsoft Entra ID i miejsce przechowywania danych

Zagrożenia bezpieczeństwa innych firm

Niezgodny ze standardem PCI dostawca innych firm stanowi zagrożenie dla zgodności ze standardem PCI. Regularnie oceniaj i monitoruj dostawców i dostawców usług innych firm w celu zapewnienia, że zachowują wymagane mechanizmy kontroli w celu ochrony danych posiadaczy kart.

Funkcje i funkcje firmy Microsoft entra w rezydencji danych pomagają ograniczyć ryzyko związane z zabezpieczeniami innych firm.

Rejestrowanie i monitorowanie

Zaimplementuj dokładne rejestrowanie i monitorowanie w celu wykrywania i reagowania na zdarzenia zabezpieczeń w odpowiednim czasie. Identyfikator Entra firmy Microsoft pomaga zarządzać zgodnością pci z dziennikami inspekcji i aktywności oraz raportami, które można zintegrować z systemem SIEM. Identyfikator entra firmy Microsoft ma kontrolę dostępu opartą na rolach (RBAC) i uwierzytelnianie wieloskładnikowe w celu zabezpieczenia dostępu do poufnych zasobów, szyfrowania i ochrony przed zagrożeniami w celu ochrony organizacji przed nieautoryzowanym dostępem i kradzieżą danych.

Więcej informacji:

• Co to są raporty firmy Microsoft Entra?
• Wbudowane role usługi Microsoft Entra

Środowiska wieloaplikowe: host poza usługą CDE

PCI-DSS zapewnia, że firmy akceptujące, przetwarzające, przechowujące lub przesyłające informacje o kartach kredytowych zachowują bezpieczne środowisko. Hosting poza usługą CDE wprowadza zagrożenia, takie jak:

• Słaba kontrola dostępu i zarządzanie tożsamościami mogą spowodować nieautoryzowany dostęp do poufnych danych i systemów
• Niewystarczające rejestrowanie i monitorowanie zdarzeń zabezpieczeń utrudnia wykrywanie i reagowanie na zdarzenia zabezpieczeń
• Niewystarczające szyfrowanie i ochrona przed zagrożeniami zwiększa ryzyko kradzieży danych i nieautoryzowanego dostępu
• Słaba lub brak świadomości bezpieczeństwa i szkoleń dla użytkowników może spowodować uniknięcie możliwych do uniknięcia ataków inżynierii społecznej, takich jak wyłudzanie informacji

Następne kroki

Wymagania PCI-DSS 3, 4, 9 i 12 nie mają zastosowania do identyfikatora Entra firmy Microsoft, dlatego nie ma odpowiednich artykułów. Aby zobaczyć wszystkie wymagania, przejdź do pcisecuritystandards.org: Oficjalna witryna Rady Standardów Bezpieczeństwa PCI.

Aby skonfigurować identyfikator Entra firmy Microsoft w celu zachowania zgodności z standardem PCI-DSS, zobacz następujące artykuły.

• Microsoft Entra PCI-DSS guidance (You're here)
• Wymaganie 1: Instalowanie i obsługa mechanizmów kontroli zabezpieczeń sieci
• Wymaganie 2: Stosowanie bezpiecznych konfiguracji do wszystkich składników systemowych
• Wymaganie 5. Ochrona wszystkich systemów i sieci przed złośliwym oprogramowaniem
• Wymaganie 6. Opracowywanie i utrzymywanie bezpiecznych systemów i oprogramowania
• Wymaganie 7. Ograniczanie dostępu do składników systemowych i danych posiadaczy kart według potrzeb biznesowych
• Wymaganie 8. Identyfikowanie użytkowników i uwierzytelnianie dostępu do składników systemu
• Wymaganie 10: Rejestrowanie i monitorowanie całego dostępu do składników systemowych i danych karty
• Wymaganie 11: Regularne testowanie zabezpieczeń systemów i sieci
• Microsoft Entra PCI-DSS Multi-Factor Authentication guidance (Wskazówki dotyczące uwierzytelniania wieloskładnikowego firmy Microsoft Entra PCI-DSS)