Поделиться через


Руководство microsoft Entra PCI-DSS

Совет по безопасности индустрии платной карты (PCI SSC) отвечает за разработку и продвижение стандартов безопасности данных и ресурсов, включая стандарт безопасности данных индустрии оплаты карт (PCI-DSS), чтобы обеспечить безопасность транзакций оплаты. Для обеспечения соответствия требованиям PCI организации, использующие идентификатор Microsoft Entra, могут ссылаться на рекомендации в этом документе. Однако это ответственность организаций за обеспечение соответствия требованиям PCI. Их ИТ-команды, команды SecOps и архитекторы решений отвечают за создание и обслуживание безопасных систем, продуктов и сетей, которые обрабатывают, обрабатывают, обрабатывают и хранят сведения о платной карте.

Хотя идентификатор Microsoft Entra помогает удовлетворить некоторые требования к управлению PCI-DSS и предоставляет современные протоколы идентификации и доступа к ресурсам среды данных держателей карт (CDE), он не должен быть единственным механизмом защиты данных заполнителя карт. Поэтому просмотрите этот набор документов и все требования PCI-DSS, чтобы установить комплексную программу безопасности, которая сохраняет доверие клиентов. Полный список требований см. на официальном сайте Совета безопасности PCI на сайте pcisecuritystandards.org: Официальный сайт Совета безопасности PCI

Требования PCI для элементов управления

Глобальный стандарт PCI-DSS версии 4.0 устанавливает базовые технические и операционные стандарты для защиты данных учетной записи. Она "была разработана для поощрения и повышения безопасности данных учетной записи оплаты и содействия широкому внедрению согласованных мер безопасности данных во всем мире. Он предоставляет базовые показатели технических и операционных требований, предназначенных для защиты данных учетной записи. В то время как предназначено для сосредоточиться на средах с данными учетной записи карты оплаты, PCI-DSS также можно использовать для защиты от угроз и защиты других элементов в экосистеме оплаты".

Конфигурация Microsoft Entra и PCI-DSS

Этот документ выступает в качестве комплексного руководства для технических и бизнес-лидеров, которые отвечают за управление удостоверениями и доступом (IAM) с идентификатором Microsoft Entra ID в соответствии со стандартом безопасности данных индустрии платной карты (PCI DSS). Следуя ключевым требованиям, рекомендациям и подходам, описанным в этом документе, организации могут снизить область, сложность и риск несоответствия PCI, обеспечивая соблюдение рекомендаций и стандартов безопасности. Руководство, предоставленное в этом документе, призвано помочь организациям настроить идентификатор Microsoft Entra таким образом, чтобы соответствовать необходимым требованиям PCI DSS и способствует эффективной практике IAM.

Технические и бизнес-лидеры могут использовать следующие рекомендации для выполнения обязанностей по управлению удостоверениями и доступом (IAM) с идентификатором Microsoft Entra. Дополнительные сведения о PCI-DSS в других рабочих нагрузках Майкрософт см. в разделе "Общие сведения о тесте безопасности облака Майкрософт" (версия 1).

Требования и процедуры тестирования PCI-DSS состоят из 12 основных требований, которые обеспечивают безопасную обработку сведений о платной карте. Вместе эти требования представляют собой комплексную платформу, которая помогает организациям защищать транзакции с картой оплаты и защищать данные о конфиденциальных картах.

Идентификатор Microsoft Entra — это корпоративная служба удостоверений, которая защищает приложения, системы и ресурсы для поддержки соответствия PCI-DSS. В следующей таблице приведены требования к субъекту PCI и ссылки на рекомендуемые элементы управления Идентификатором Microsoft Entra для соответствия PCI-DSS.

Требования к PCI-DSS

Требования PCI-DSS 3, 4, 9 и 12 не удовлетворяются идентификатором Microsoft Entra, поэтому нет соответствующих статей. Чтобы просмотреть все требования, перейдите к pcisecuritystandards.org: официальный сайт Совета безопасности PCI.

Стандарт безопасности данных PCI — общие сведения о высоком уровне Рекомендуемые элементы управления PCI-DSS в Microsoft Entra ID
Создание и обслуживание безопасной сети и систем 1. Установка и обслуживание элементов управления
безопасностью сети 2. Применение безопасных конфигураций ко всем системным компонентам
Защита данных учетной записи 3. Защита данных
хранимой учетной записи 4. Защита данных заполнителей карт с помощью строгой криптографии во время передачи через общедоступные сети
Обслуживание программы управления уязвимостями 5. Защита всех систем и сетей от вредоносного программного обеспечения
6. Разработка и обслуживание безопасных систем и программного обеспечения
Реализация строгих мер контроль доступа 7. Ограничение доступа к системным компонентам и данным заполнителей карт по бизнесу необходимо знать
8. Определение и проверка подлинности доступа к системным
компонентам 9. Ограничение физического доступа к системным компонентам и данным заполнителей карт
Регулярный мониторинг и тестирование сетей 10. Журнал и мониторинг всех доступа к системным компонентам и данным
заполнителей карт 11. Регулярное тестирование безопасности систем и сетей
Обслуживание политики информационной безопасности 12. Поддержка информационной безопасности с помощью политик и программ организации

Применимость PCI-DSS

PCI-DSS применяется к организациям, которые хранят, обрабатывают или передают данные заполнителей карт (CHD) и /или конфиденциальные данные проверки подлинности (SAD). Эти элементы данных, которые рассматриваются вместе, называются данными учетной записи. PCI-DSS предоставляет рекомендации и требования к безопасности для организаций, влияющих на среду данных заполнителей карт (CDE). Сущности, защищающие CDE, обеспечивают конфиденциальность и безопасность сведений о платеже клиента.

CHD состоит из следующих элементов:

  • Номер основного счета (PAN) — уникальный номер карты оплаты (кредитные, дебетовые или предоплаченные карты и т. д.), определяющий издателя и учетную запись владельца карты.
  • Имя заполнителя карточки — владелец карты
  • Дата окончания срока действия карты — срок действия карточки истекает в день и месяц.
  • Код службы — значение с тремя или четырьмя цифрами в магнитной полосе, которая соответствует дате окончания срока действия карты оплаты в данных отслеживания. Он определяет атрибуты службы, различия между международным и национальным и региональным обменом или определение ограничений использования.

SAD состоит из сведений, связанных с безопасностью, используемых для проверки подлинности владельцев карт и /или авторизации транзакций с оплатой карт. SAD включает в себя, но не ограничивается следующими способами:

  • Полный трек данных — магнитная полоса или эквивалент чипа
  • Коды и значения проверки карточки — также называются кодом проверки карты (CVC) или значением (CVV). Это значение с тремя или четырьмя цифрами на передней или задней части карты оплаты. Он также называется CAV2, CVC2, CVN2, CVV2 или CID, определяется участвующими брендами оплаты (PPB).
  • ПИН-код — личный идентификационный номер
    • Блоки ПИН-кода — зашифрованное представление ПИН-кода, используемого в транзакции дебетовой или кредитной карты. Это обеспечивает безопасную передачу конфиденциальной информации во время транзакции

Защита CDE имеет важное значение для безопасности и конфиденциальности информации о платеже клиента и помогает:

  • Сохранение доверия клиентов — клиенты ожидают, что их платежная информация будет обрабатываться безопасно и конфиденциально. Если компания испытывает нарушение данных, которое приводит к краже данных оплаты клиентов, это может снизить доверие клиентов к компании и причинить репутационный ущерб.
  • Соблюдение нормативных требований — компании, обрабатывающие транзакции кредитной карты, должны соответствовать стандарту PCI-DSS. Неспособность соблюдать приводит к штрафам, юридическим обязательствам и результирующий репутационный ущерб.
  • Финансовые риски по устранению рисков - нарушения данных имеют значительные финансовые последствия, включая расходы на судебно-медицинские расследования, судебные сборы и компенсацию пострадавшим клиентам.
  • Непрерывность бизнес-процессов — нарушения безопасности данных нарушают бизнес-операции и могут повлиять на процессы транзакций кредитной карты. Этот сценарий может привести к потере доходов, сбоям в работе и репутационным ущербом.

Область аудита PCI

Область аудита PCI относится к системам, сетям и процессам в хранилище, обработке или передаче CHD и /или SAD. Если данные учетной записи хранятся, обрабатываются или передаются в облачной среде, PCI-DSS применяется к этой среде и соответствию требованиям, как правило, включает проверку облачной среды и его использование. Существует пять основных элементов в области аудита PCI:

  • Среда данных заполнителей карт (CDE) — область, в которой chD и/или SAD хранится, обрабатывается или передается. Он включает компоненты организации, которые касаются CHD, таких как сети, и сетевые компоненты, базы данных, серверы, приложения и терминалы оплаты.
  • Люди - с доступом к CDE, такие как сотрудники, подрядчики и сторонние поставщики услуг, находятся в области аудита PCI.
  • Процессы , которые включают chD, такие как авторизация, проверка подлинности, шифрование и хранение данных учетной записи в любом формате, находятся в пределах области аудита PCI.
  • Технология — которая обрабатывает, хранит или передает chD, включая оборудование, такие как принтеры, и многофакторные устройства, которые сканируют, печатают и факсы, устройства конечных пользователей, такие как компьютеры, ноутбуки, административные рабочие станции, планшеты и мобильные устройства, программное обеспечение и другие ИТ-системы, находятся в области аудита PCI.
  • Системные компоненты — которые могут не хранить, обрабатывать или передавать CHD/SAD, но имеют неограниченное подключение к системным компонентам, которые хранят, обрабатывают или передают CHD/SAD или могут повлиять на безопасность CDE.

Если область PCI сведена к минимуму, организации могут эффективно снизить последствия инцидентов безопасности и снизить риск нарушений данных. Сегментация может быть полезной стратегией сокращения размера PCI CDE, что приводит к снижению затрат на соответствие требованиям и общих преимуществ для организации, включая, но не ограничивается:

  • Экономия затрат — путем ограничения области аудита, организации сокращают время, ресурсы и расходы, чтобы пройти аудит, что приводит к экономии затрат.
  • Снижение риска — меньшая область аудита PCI снижает потенциальные риски, связанные с обработкой, хранением и передачей данных заполнителей карт. Если количество систем, сетей и приложений, подлежащих аудиту, ограничено, организации сосредоточены на защите своих критически важных активов и уменьшении их риска.
  • Упрощенное соответствие — сужение области аудита делает соответствие PCI-DSS более управляемым и оптимизированным. Результаты являются более эффективными аудитами, меньшим количеством проблем соответствия требованиям и снижением риска возникновения несоответствующих штрафов.
  • Улучшенная безопасность — с меньшим подмножеством систем и процессов, организации выделяют ресурсы безопасности и усилия эффективно. Результаты являются более сильным состоянием безопасности, так как группы безопасности сосредоточены на защите критически важных активов и выявлении уязвимостей в целевой и эффективной форме.

Стратегии уменьшения области аудита PCI

Определение cdE организации определяет область аудита PCI. Организации документирует это определение и сообщает об этом определении квалифицированной оценки безопасности PCI-DSS (QSA). QSA оценивает элементы управления для CDE, чтобы определить соответствие. Соблюдение стандартов PCI и использование эффективного устранения рисков помогает предприятиям защищать персональные и финансовые данные клиентов, которые поддерживают доверие к их операциям. В следующем разделе описаны стратегии снижения риска в области аудита PCI.

Выделение лексем

Маркеризация — это метод безопасности данных. Используйте маркеризацию для замены конфиденциальных данных, таких как номера кредитных карт, уникальным маркером, хранящимся и используемым для транзакций, без предоставления конфиденциальных данных. Маркеры сокращают область аудита PCI для следующих требований:

  • Требование 3 . Защита данных хранимой учетной записи
  • Требование 4 . Защита данных заполнителей карт с помощью строгой криптографии во время передачи через открытые общедоступные сети
  • Требование 9 . Ограничение физического доступа к данным заполнителей карт
  • Требование 10 . Ведение журнала и мониторинг доступа ко всем компонентам систем и данным заполнителей карт.

При использовании облачных методологий обработки учитывайте соответствующие риски для конфиденциальных данных и транзакций. Чтобы устранить эти риски, рекомендуется реализовать соответствующие меры безопасности и планы на непредвиденные случаи для защиты данных и предотвращения прерываний транзакций. Рекомендуется использовать маркеризацию платежей в качестве методологии для деклассификации данных и, возможно, уменьшения объема ресурсов CDE. При маркеризации оплаты конфиденциальные данные заменяются уникальным идентификатором, который снижает риск кражи данных и ограничивает воздействие конфиденциальной информации в CDE.

Безопасная CDE

PCI-DSS требует, чтобы организации поддерживали безопасный CDE. Благодаря эффективно настроенной cdE предприятия могут снизить риск риска и снизить связанные затраты как для локальных, так и для облачных сред. Этот подход помогает свести к минимуму область аудита PCI, что упрощает и эффективнее для демонстрации соответствия стандарту.

Чтобы настроить идентификатор Microsoft Entra для защиты CDE, выполните следующие действия.

  • Использование учетных данных без пароля для пользователей: Windows Hello для бизнеса, ключей безопасности FIDO2 и приложения Microsoft Authenticator
  • Используйте надежные учетные данные для удостоверений рабочей нагрузки: сертификаты и управляемые удостоверения для ресурсов Azure.
    • Интеграция технологий доступа, таких как VPN, удаленный рабочий стол и точки доступа к сети с идентификатором Microsoft Entra для проверки подлинности, если применимо
  • Включение проверки привилегированных удостоверений и проверки доступа для ролей Microsoft Entra, групп привилегированного доступа и ресурсов Azure
  • Использование политик условного доступа для применения элементов управления требованиями PCI: уровень учетных данных, состояние устройства и применение их на основе расположения, членства в группах, приложений и рисков
  • Использование современной проверки подлинности для рабочих нагрузок DCE
  • Архивирование журналов Microsoft Entra в системах управления сведениями о безопасности и событиями (SIEM)

В тех случаях, когда приложения и ресурсы используют идентификатор Microsoft Entra для управления удостоверениями и доступом (IAM), клиенты Microsoft Entra находятся в области аудита PCI, и в этом руководстве применимо. Организации должны оценивать требования к изоляции удостоверений и ресурсов между рабочими нагрузками, отличными от PCI и PCI, чтобы определить их оптимальную архитектуру.

Подробнее

Создание матрицы ответственности

Соответствие PCI — это ответственность за сущности, обрабатывающие транзакции с картой оплаты, включая, но не только:

  • Купцы
  • Поставщики услуг карточек
  • Поставщики услуг для продавцов
  • Приобретение банков
  • Обработчики платежей
  • Издатели карт оплаты
  • Поставщики оборудования

Эти сущности обеспечивают безопасную обработку транзакций с картой оплаты и совместимы с PCI-DSS. Все сущности, участвующие в транзакциях карты оплаты, имеют роль для обеспечения соответствия ТРЕБОВАНИЯМ PCI.

Состояние соответствия требованиям AZURE PCI DSS не преобразуется в проверку PCI-DSS для служб, которые вы создаете или размещаете в Azure. Вы гарантируете соответствие требованиям PCI-DSS.

Создание непрерывных процессов для поддержания соответствия требованиям

Непрерывные процессы связаны с непрерывным мониторингом и улучшением состояния соответствия требованиям. Преимущества непрерывных процессов для обеспечения соответствия требованиям PCI:

  • Снижение риска инцидентов безопасности и несоответствия
  • Улучшенная безопасность данных
  • Улучшение соответствия нормативным требованиям
  • Повышение доверия клиентов и заинтересованных лиц

Благодаря текущим процессам организации эффективно реагируют на изменения в нормативной среде и постоянно изменяющиеся угрозы безопасности.

  • Оценка рисков — проводите этот процесс для выявления уязвимостей данных кредитной карты и рисков безопасности. Определите потенциальные угрозы, оцените вероятность возникновения угроз и оцените потенциальные последствия для бизнеса.
  • Обучение осведомленности о безопасности — сотрудники, обрабатывающие данные кредитной карты, получают регулярное обучение осведомленности о безопасности, чтобы уточнить важность защиты данных держателя карт и мер для этого.
  • Управление уязвимостями — проводите регулярные проверки уязвимостей и тестирование на проникновение для выявления уязвимостей сети или системы, которые могут использоваться злоумышленниками.
  • Мониторинг и обслуживание политик контроля доступа — доступ к данным кредитной карты ограничен авторизованными лицами. Отслеживайте журналы доступа, чтобы определить попытки несанкционированного доступа.
  • Реагирование на инциденты — план реагирования на инциденты помогает группам безопасности принимать меры во время инцидентов безопасности с использованием данных кредитной карты. Определите причину инцидента, укажите ущерб и своевременно восстановите обычные операции.
  • Мониторинг соответствия требованиям — и аудит проводится для обеспечения постоянного соответствия требованиям PCI-DSS. Просмотрите журналы безопасности, проводите регулярные проверки политик и убедитесь, что системные компоненты настроены точно и поддерживаются.

Реализация надежной безопасности для общей инфраструктуры

Как правило, веб-службы, такие как Azure, имеют общую инфраструктуру, в которой данные клиента могут храниться на одном физическом сервере или устройстве хранения данных. Этот сценарий создает риск несанкционированного доступа клиентов к данным, которым они не принадлежат, и риск вредоносных субъектов, предназначенных для общей инфраструктуры. Функции безопасности Microsoft Entra помогают снизить риски, связанные с общей инфраструктурой:

  • Проверка подлинности пользователей в технологиях сетевого доступа, поддерживающих современные протоколы проверки подлинности: виртуальная частная сеть (VPN), удаленный рабочий стол и точки доступа к сети.
  • Политики управления доступом, которые применяют строгие методы проверки подлинности и соответствие устройств на основе таких сигналов, как контекст пользователя, устройство, расположение и риск.
  • Условный доступ предоставляет плоскость управления на основе удостоверений и объединяет сигналы, принимать решения и применять политики организации.
  • Управление привилегированными ролями — проверки доступа, JIT-активация и т. д.

Дополнительные сведения: Что такое условный доступ?

Место расположения данных

PCI-DSS не содержит конкретных географических расположений для хранения данных кредитной карты. Однако для этого требуется безопасно хранить данные заполнителей карт, которые могут включать географические ограничения в зависимости от требований к безопасности и нормативным требованиям организации. В разных странах и регионах есть законы о защите данных и конфиденциальности. Обратитесь к консультанту по юридическим или соответствию требованиям, чтобы определить применимые требования к месту размещения данных.

Дополнительные сведения: Идентификатор и место расположения данных Microsoft Entra

Риски безопасности сторонних производителей

Сторонний поставщик, не совместимый с PCI, представляет риск соответствия ТРЕБОВАНИЯМ PCI. Регулярно оценивать и отслеживать сторонних поставщиков и поставщиков услуг, чтобы обеспечить соблюдение необходимых элементов управления для защиты данных держателя карт.

Функции и функции Microsoft Entra в месте расположения данных помогают снизить риски, связанные с безопасностью сторонних производителей.

Ведение журналов и мониторинг

Своевременно реализуйте точное ведение журнала и мониторинг для обнаружения и реагирования на инциденты безопасности. Идентификатор Microsoft Entra помогает управлять соответствием PCI журналам аудита и действий и отчетам, которые можно интегрировать с системой SIEM. Идентификатор Microsoft Entra имеет управление доступом на основе ролей (RBAC) и MFA для защиты доступа к конфиденциальным ресурсам, шифрованию и функциям защиты от угроз для защиты организаций от несанкционированного доступа и кражи данных.

Подробнее:

Среды с несколькими приложениями: узел за пределами CDE

PCI-DSS гарантирует, что компании, которые принимают, обрабатывают, хранят или передают данные кредитной карты в безопасной среде. Размещение за пределами CDE представляет такие риски, как:

  • Плохое управление доступом и управление удостоверениями может привести к несанкционированному доступу к конфиденциальным данным и системам
  • Недостаточно ведения журнала и мониторинга событий безопасности препятствует обнаружению и реагированию на инциденты безопасности
  • Недостаточное шифрование и защита от угроз повышает риск кражи данных и несанкционированного доступа
  • Плохо, или нет осведомленности и обучения безопасности для пользователей может привести к избегаемым атакам социальной инженерии, таким как фишинг

Следующие шаги

Требования PCI-DSS 3, 4, 9 и 12 не применимы к идентификатору Microsoft Entra, поэтому нет соответствующих статей. Чтобы просмотреть все требования, перейдите к pcisecuritystandards.org: официальный сайт Совета безопасности PCI.

Сведения о настройке идентификатора Microsoft Entra для соответствия ТРЕБОВАНИЯМ PCI-DSS см. в следующих статьях.