Идентификатор Записи Майкрософт и требование 6 PCI-DSS
Требование 6. Разработка и обслуживание безопасных систем и требований к программно-определенному
подходу
6.1 Процессы и механизмы разработки и обслуживания безопасных систем и программного обеспечения определяются и понимаются.
| Требования к определенному подходу PCI-DSS | Рекомендации и рекомендации Microsoft Entra |
|---|---|
| 6.1.1 . Все политики безопасности и операционные процедуры, определенные в требовании 6, являются: документированные актуальные сведения об использовании известных всем пострадавшим сторонам |
Используйте инструкции и ссылки здесь, чтобы создать документацию для выполнения требований на основе конфигурации среды. |
| 6.1.2 Роли и обязанности по выполнению действий в требованиях 6 документируются, назначаются и понимаются. | Используйте инструкции и ссылки здесь, чтобы создать документацию для выполнения требований на основе конфигурации среды. |
6.2 Bespoke и пользовательское программное обеспечение разработаны безопасно.
| Требования к определенному подходу PCI-DSS | Рекомендации и рекомендации Microsoft Entra |
|---|---|
| 6.2.1 Bespoke и пользовательское программное обеспечение разрабатываются безопасно, как показано ниже: на основе отраслевых стандартов и /или рекомендаций по обеспечению безопасной разработки. В соответствии с PCI-DSS (например, безопасной проверкой подлинности и ведением журнала). Включение учета проблем информационной безопасности на каждом этапе жизненного цикла разработки программного обеспечения. |
Приобретение и разработка приложений, использующих современные протоколы проверки подлинности, такие как OAuth2 и OpenID Подключение (OIDC), которые интегрируются с идентификатором Microsoft Entra. Создание программного обеспечения с помощью платформа удостоверений Майкрософт. Рекомендации и советы по платформе удостоверений Майкрософт |
| 6.2.2 Персонал по разработке программного обеспечения, работающий над bespoke и пользовательским программным обеспечением, обучается по крайней мере один раз каждые 12 месяцев следующим образом: по обеспечению безопасности программного обеспечения, относясь к их функциям заданий и языкам разработки. Включая безопасный дизайн программного обеспечения и безопасные методы написания кода. В том числе, если используются средства тестирования безопасности, как использовать средства для обнаружения уязвимостей в программном обеспечении. |
Используйте следующий экзамен, чтобы предоставить подтверждение знаний на платформа удостоверений Майкрософт: экзамен MS-600: создание приложений и решений с помощью служб Microsoft 365 Core Services используйте следующую подготовку для подготовки к экзамену: MS-600: Реализация удостоверений Майкрософт |
| 6.2.3 Bespoke и пользовательское программное обеспечение проверяется до выпуска в рабочую среду или для клиентов, чтобы определить и исправить потенциальные уязвимости в коде, как показано ниже: проверки кода обеспечивают разработку кода в соответствии с безопасными рекомендациями по программированию. Проверки кода ищут как существующие, так и новые уязвимости программного обеспечения. Соответствующие исправления реализуются до выпуска. |
Неприменимо к идентификатору Microsoft Entra. |
| 6.2.3.1 . Если проверки кода вручную выполняются для bespoke и пользовательского программного обеспечения до выпуска в рабочую среду, изменения кода проверяются отдельными лицами, кроме автора исходного кода, и которые знакомы с методами проверки кода и безопасными методами написания кода. Проверено и утверждено руководством до выпуска. |
Неприменимо к идентификатору Microsoft Entra. |
| 6.2.4 Методы проектирования программного обеспечения или другие методы определяются и используются персоналом по разработке программного обеспечения для предотвращения или устранения распространенных атак программного обеспечения и связанных уязвимостей в bespoke и пользовательском программном обеспечении, включая атаки внедрения, включая SQL, LDAP, XPath или другую команду, параметр, объект, ошибку или недостатки типа внедрения. Атаки на структуры данных и данных, включая попытки управления буферами, указателями, входными данными или общими данными. Атаки на использование криптографии, включая попытки использовать слабые, небезопасные или неуместные криптографические реализации, алгоритмы, наборы шифров или режимы работы. Атаки на бизнес-логику, в том числе попытки злоупотреблять функциями и функциями приложений путем манипуляции с API, протоколами связи и каналами, клиентскими функциями или другими функциями систем или приложений и ресурсами. Это включает межсайтовые скрипты (XSS) и межсайтовые запросы на подделку (CSRF). Атаки на механизмы управления доступом, включая попытки обхода или нарушения идентификации, проверки подлинности или механизмов авторизации или попытки использовать слабые места в реализации таких механизмов. Атаки с помощью любых уязвимостей с высоким риском, выявленных в процессе идентификации уязвимостей, как определено в требованиях 6.3.1. |
Неприменимо к идентификатору Microsoft Entra. |
6.3 Уязвимости безопасности определяются и устраняются.
| Требования к определенному подходу PCI-DSS | Рекомендации и рекомендации Microsoft Entra |
|---|---|
| 6.3.1 Уязвимости безопасности определяются и управляются следующим образом: новые уязвимости безопасности определяются с помощью отраслевых источников для информации об уязвимостях безопасности, включая оповещения от международных и национальных и региональных групп реагирования на чрезвычайные ситуации компьютеров (CERTs). Уязвимости назначаются рейтинг рисков на основе отраслевых рекомендаций и рассмотрения потенциального влияния. Рейтинги рисков определяют, как минимум, все уязвимости, которые считаются высоким риском или критически важными для среды. Рассматриваются уязвимости для программного обеспечения и пользовательского и стороннего программного обеспечения (например, операционных систем и баз данных). |
Узнайте об уязвимостях. MSRC | Руководство по обновлению системы безопасности Обновления, руководство по обновлению системы безопасности |
| 6.3.2 Инвентаризация bespoke и пользовательского программного обеспечения, а также сторонние компоненты программного обеспечения, включенные в bespoke и настраиваемое программное обеспечение, поддерживаются для упрощения управления уязвимостями и исправлениями. | Создание отчетов для приложений с помощью идентификатора Microsoft Entra для проверки подлинности для инвентаризации. applicationSignInDetailedSummary Приложения типаресурсов, перечисленные в корпоративных приложениях |
| 6.3.3 Все системные компоненты защищены от известных уязвимостей путем установки применимых исправлений для системы безопасности/обновлений следующим образом: критически важные или высокобезопасные исправления/обновления (идентифицированные в соответствии с процессом ранжирования рисков по требованию 6.3.1) устанавливаются в течение одного месяца выпуска. Все остальные применимые исправления или обновления безопасности устанавливаются в течение соответствующего интервала времени, определяемого сущностью (например, в течение трех месяцев выпуска). |
Неприменимо к идентификатору Microsoft Entra. |
6.4 Общедоступные веб-приложения защищены от атак.
| Требования к определенному подходу PCI-DSS | Рекомендации и рекомендации Microsoft Entra |
|---|---|
| 6.4.1 Для общедоступных веб-приложений новые угрозы и уязвимости устраняются на постоянной основе, и эти приложения защищены от известных атак следующим образом: просмотр общедоступных веб-приложений с помощью ручных или автоматизированных средств оценки уязвимостей приложений, как показано ниже: — по крайней мере один раз каждые 12 месяцев и после значительных изменений. — сущность, которая специализируется на безопасности приложений. — включая, как минимум, все распространенные атаки программного обеспечения в требованиях 6.2.4. — Все уязвимости ранжируются в соответствии с требованием 6.3.1. — Исправлены все уязвимости. — Приложение переоценится после исправления или установки автоматизированного технического решения, которое постоянно обнаруживает и предотвращает атаки на основе веб-сайтов следующим образом: — устанавливается перед общедоступными веб-приложениями для обнаружения и предотвращения атак на основе веб-приложений. — активно работает и обновлено в соответствии с применимыми значениями. — создание журналов аудита. — настроено либо блокировать веб-атаки, либо создавать оповещение, которое немедленно расследуется. |
Неприменимо к идентификатору Microsoft Entra. |
| 6.4.2 Для общедоступных веб-приложений развертывается автоматизированное техническое решение, которое постоянно обнаруживает и предотвращает атаки на веб-основе, по крайней мере следующее: устанавливается перед общедоступными веб-приложениями и настраивается для обнаружения и предотвращения веб-атак. Активное выполнение и актуальное время в соответствии с применимым. Создание журналов аудита. Настроено либо блокировать веб-атаки, либо создавать оповещение, которое немедленно расследуется. |
Неприменимо к идентификатору Microsoft Entra. |
| 6.4.3 Все скрипты страниц оплаты, загруженные и выполняемые в браузере потребителя, управляются следующим образом: метод реализуется для подтверждения того, что каждый скрипт авторизован. Метод реализуется для обеспечения целостности каждого скрипта. Инвентаризация всех скриптов поддерживается с письменным обоснованием по поводу того, почему каждый из них необходим. |
Неприменимо к идентификатору Microsoft Entra. |
6.5 Изменения для всех системных компонентов управляются безопасно.
| Требования к определенному подходу PCI-DSS | Рекомендации и рекомендации Microsoft Entra |
|---|---|
| 6.5.1 Изменения всех системных компонентов в рабочей среде выполняются в соответствии с установленными процедурами, включающими: причина и описание изменения. Документация по влиянию на безопасность. Документировано утверждение изменений авторизованными сторонами. Тестирование, чтобы убедиться, что изменение не негативно влияет на безопасность системы. Для изменений программного обеспечения и пользовательских обновлений все обновления проверяются на соответствие требованиям требования 6.2.4, прежде чем развертываться в рабочей среде. Процедуры для устранения сбоев и возвращения в безопасное состояние. |
Включите изменения в конфигурацию Microsoft Entra в процесс управления изменениями. |
| 6.5.2 После завершения значительного изменения все применимые требования PCI-DSS подтверждаются, что они применяются ко всем новым или измененным системам и сетям, а документация обновляется как применимое. | Неприменимо к идентификатору Microsoft Entra. |
| Среды предварительной версии 6.5.3 отделены от рабочих сред и разделение применяется с помощью элементов управления доступом. | Подходы к отдельным предварительным и производственным средам на основе требований организации. Изоляция ресурсов в изоляции ресурсов одного клиента с несколькими клиентами |
| 6.5.4 Роли и функции разделяются между рабочими и предварительными средами, чтобы обеспечить подотчетность, чтобы развертываться только проверенные и утвержденные изменения. | Узнайте о привилегированных ролях и выделенных клиентах предварительной подготовки. Рекомендации по ролям Microsoft Entra |
| 6.5.5 Динамические PAN не используются в предварительных средах, за исключением тех случаев, когда эти среды включены в CDE и защищены в соответствии со всеми применимыми требованиями PCI-DSS. | Неприменимо к идентификатору Microsoft Entra. |
| 6.5.6 Тестовые данные и тестовые учетные записи удаляются из системных компонентов до того, как система перейдет в рабочую среду. | Неприменимо к идентификатору Microsoft Entra. |
Следующие шаги
Требования PCI-DSS 3, 4, 9 и 12 не применимы к идентификатору Microsoft Entra, поэтому нет соответствующих статей. Чтобы просмотреть все требования, перейдите к pcisecuritystandards.org: официальный сайт Совета безопасности PCI.
Сведения о настройке идентификатора Microsoft Entra для соответствия ТРЕБОВАНИЯМ PCI-DSS см. в следующих статьях.
- Руководство microsoft Entra PCI-DSS
- Требование 1. Установка и обслуживание элементов управления безопасностью сети
- Требование 2. Применение безопасных конфигураций ко всем системным компонентам
- Требование 5. Защита всех систем и сетей от вредоносного программного обеспечения
- Требование 6. Разработка и обслуживание безопасных систем и программного обеспечения (здесь)
- Требование 7. Ограничение доступа к системным компонентам и данным заполнителей карт по бизнесу необходимо знать
- Требование 8. Определение пользователей и проверка подлинности доступа к системным компонентам
- Требование 10. Ведение журнала и мониторинг всех доступа к системным компонентам и данным заполнителей карт
- Требование 11. Регулярное тестирование безопасности систем и сетей
- Руководство по многофакторной идентификации Microsoft Entra PCI-DSS
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по