Vägledning för Microsoft Entra PCI-DSS

  • Artikel

Payment Card Industry Security Standards Council (PCI SSC) ansvarar för att utveckla och främja datasäkerhetsstandarder och resurser, inklusive PcI-DSS (Payment Card Industry Data Security Standard), för att säkerställa säkerheten för betalningstransaktioner. För att uppnå PCI-efterlevnad kan organisationer som använder Microsoft Entra-ID läsa vägledningen i det här dokumentet. Det är dock organisationernas ansvar att säkerställa deras PCI-efterlevnad. Deras IT-team, SecOps-team och lösningsarkitekter ansvarar för att skapa och underhålla säkra system, produkter och nätverk som hanterar, bearbetar och lagrar betalkortsinformation.

Även om Microsoft Entra ID hjälper till att uppfylla vissa PCI-DSS-kontrollkrav och tillhandahåller moderna identitets- och åtkomstprotokoll för CDE-resurser (cardholder data environment), bör det inte vara den enda mekanismen för att skydda korthållardata. Granska därför den här dokumentuppsättningen och alla PCI-DSS-krav för att upprätta ett omfattande säkerhetsprogram som bevarar kundernas förtroende. För en fullständig lista över krav, besök den officiella PCI Security Standards Council webbplats på pcisecuritystandards.org: Officiell PCI Security Standards Council Site

PCI-krav för kontroller

Den globala PCI-DSS v4.0 upprättar en baslinje för tekniska och operativa standarder för att skydda kontodata. Det "utvecklades för att uppmuntra och förbättra säkerheten för betalkortskontodata och underlätta ett brett införande av konsekventa datasäkerhetsåtgärder globalt. Den tillhandahåller en baslinje för tekniska och operativa krav som är utformade för att skydda kontodata. PcI-DSS är utformat för att fokusera på miljöer med kontodata för betalkort, men kan också användas för att skydda mot hot och skydda andra element i betalningsekosystemet."

Microsoft Entra-konfiguration och PCI-DSS

Det här dokumentet fungerar som en omfattande guide för tekniska och företagsledare som ansvarar för att hantera identitets- och åtkomsthantering (IAM) med Microsoft Entra-ID i enlighet med PcI DSS (Payment Card Industry Data Security Standard). Genom att följa de viktigaste kraven, metodtipsen och metoderna som beskrivs i det här dokumentet kan organisationer minska omfattningen, komplexiteten och risken för PCI-inkompatibilitet, samtidigt som de främjar bästa praxis för säkerhet och standardefterlevnad. Vägledningen i det här dokumentet syftar till att hjälpa organisationer att konfigurera Microsoft Entra-ID på ett sätt som uppfyller de nödvändiga PCI DSS-kraven och främjar effektiva IAM-metoder.

Tekniska ledare och företagsledare kan använda följande vägledning för att uppfylla ansvarsområden för identitets- och åtkomsthantering (IAM) med Microsoft Entra-ID. Mer information om PCI-DSS i andra Microsoft-arbetsbelastningar finns i Översikt över Microsoft Cloud Security Benchmark (v1).

PCI-DSS-krav och testprocedurer består av 12 huvudkrav som säkerställer säker hantering av betalkortsinformation. Tillsammans är dessa krav ett omfattande ramverk som hjälper organisationer att skydda betalkortstransaktioner och skydda känsliga korthållardata.

Microsoft Entra ID är en företagsidentitetstjänst som skyddar program, system och resurser för PCI-DSS-efterlevnad. I följande tabell finns pci-huvudkraven och länkar till rekommenderade Kontroller för PCI-DSS-efterlevnad i Microsoft Entra-ID.

Huvudkrav för PCI-DSS

PCI-DSS-kraven 3, 4, 9 och 12 hanteras inte eller uppfylls inte av Microsoft Entra-ID, därför finns det inga motsvarande artiklar. Om du vill se alla krav går du till pcisecuritystandards.org: Officiell PCI Security Standards Council Site.

PCI Data Security Standard – översikt på hög nivå Rekommenderade PCI-DSS-kontroller för Microsoft Entra ID
Skapa och underhålla säkert nätverk och system 1. Installera och underhålla nätverkssäkerhetskontroller
2. Tillämpa säkra konfigurationer på alla systemkomponenter
Skydda kontodata 3. Skydda lagrade kontodata
4. Skydda korthållardata med stark kryptografi under överföring via offentliga nätverk
Underhålla ett program för sårbarhetshantering 5. Skydda alla system och nätverk från skadlig programvara
6. Utveckla och underhålla säkra system och programvara
Implementera åtgärder för stark åtkomstkontroll 7. Begränsa åtkomsten till systemkomponenter och korthållardata från företag behöver veta
8. Identifiera och autentisera åtkomst till systemkomponenter
9. Begränsa fysisk åtkomst till systemkomponenter och korthållardata
Övervaka och testa nätverk regelbundet 10. Logga och övervaka all åtkomst till systemkomponenter och korthållardata
11. Testa säkerhet för system och nätverk regelbundet
Underhålla en informationssäkerhetsprincip 12. Stöd för informationssäkerhet med organisationsprinciper och program

PCI-DSS tillämplighet

PCI-DSS gäller för organisationer som lagrar, bearbetar eller överför korthållardata (CHD) och/eller känsliga autentiseringsdata (SAD). Dessa dataelement, som betraktas tillsammans, kallas kontodata. PCI-DSS tillhandahåller säkerhetsriktlinjer och krav för organisationer som påverkar korthållardatamiljön (CDE). Entiteter som skyddar CDE säkerställer konfidentialiteten och säkerheten för kundbetalningsinformation.

CHD består av:

  • Primärt kontonummer (PAN) – ett unikt betalkortsnummer (kredit-, debet- eller förbetalda kort osv.) som identifierar utfärdaren och korthållarkontot
  • Kortinnehavarens namn – kortägaren
  • Kortets förfallodatum – dagen och månaden då kortet upphör att gälla
  • Tjänstkod – ett tre- eller fyrsiffrigt värde i magnetremsan som följer förfallodatumet för betalkortet på spårdata. Den definierar tjänstattribut, särskiljer mellan internationellt och nationellt/regionalt utbyte eller identifierar användningsbegränsningar.

SAD består av säkerhetsrelaterad information som används för att autentisera kortinnehavare och/eller auktorisera betalkortstransaktioner. SAD innehåller, men är inte begränsat till:

  • Fullspårsdata – magnetremsa eller spånekvivalenter
  • Koder/värden för kortverifiering – kallas även för kortvalideringskod (CVC) eller värde (CVV). Det är tre- eller fyrsiffrigt värde på framsidan eller baksidan av betalkortet. Det kallas även CAV2, CVC2, CVN2, CVV2 eller CID, som bestäms av de deltagande betalningsmärkena (PPB).
  • PIN-kod – personligt ID-nummer
    • PIN-kodsblock – en krypterad representation av PIN-koden som används i en debet- eller kreditkortstransaktion. Det säkerställer säker överföring av känslig information under en transaktion

Att skydda CDE är viktigt för säkerheten och konfidentialiteten för kundbetalningsinformation och hjälper till att:

  • Bevara kundernas förtroende – kunderna förväntar sig att deras betalningsinformation hanteras på ett säkert sätt och hålls konfidentiellt. Om ett företag upplever ett dataintrång som resulterar i stöld av kundbetalningsdata kan det försämra kundens förtroende för företaget och orsaka ryktesskador.
  • Följ reglerna – företag som bearbetar kreditkortstransaktioner måste följa PCI-DSS. Underlåtenhet att följa resulterar i böter, juridiska skulder och resulterande ryktesskador.
  • Finansiell riskreducering – dataintrång har betydande ekonomiska effekter, inklusive kostnader för kriminaltekniska undersökningar, juridiska avgifter och kompensation för berörda kunder.
  • Affärskontinuitet – dataintrång stör verksamheten och kan påverka transaktionsprocesser för kreditkort. Det här scenariot kan leda till förlorade intäkter, driftstörningar och ryktesskador.

PCI-granskningsomfång

PCI-granskningsomfånget avser system, nätverk och processer i lagring, bearbetning eller överföring av CHD och/eller SAD. Om kontodata lagras, bearbetas eller överförs i en molnmiljö gäller PCI-DSS för den miljön och efterlevnad omfattar vanligtvis validering av molnmiljön och användningen av den. Det finns fem grundläggande element i omfånget för en PCI-granskning:

  • Korthållardatamiljö (CDE) – det område där CHD och/eller SAD lagras, bearbetas eller överförs. Den innehåller en organisations komponenter som rör CHD, till exempel nätverk och nätverkskomponenter, databaser, servrar, program och betalningsterminaler.
  • Personer – med åtkomst till CDE, till exempel anställda, entreprenörer och tredjepartstjänstleverantörer, omfattas av en PCI-granskning.
  • Processer – som omfattar CHD, till exempel auktorisering, autentisering, kryptering och lagring av kontodata i alla format, ligger inom ramen för en PCI-granskning.
  • Teknik – som bearbetar, lagrar eller överför CHD, inklusive maskinvara som skrivare och enheter med flera funktioner som skannar, skriver ut och faxar, slutanvändare som datorer, bärbara datorer, administrativa arbetsstationer, surfplattor och mobila enheter, programvara och andra IT-system, omfattas av en PCI-granskning.
  • Systemkomponenter – som kanske inte lagrar, bearbetar eller överför CHD/SAD men har obegränsad anslutning till systemkomponenter som lagrar, bearbetar eller överför CHD/SAD, eller som kan påverka säkerheten för CDE.

Om PCI-omfånget minimeras kan organisationer effektivt minska effekterna av säkerhetsincidenter och minska risken för dataintrång. Segmentering kan vara en värdefull strategi för att minska storleken på PCI CDE, vilket resulterar i minskade efterlevnadskostnader och övergripande fördelar för organisationen, inklusive men inte begränsat till:

  • Kostnadsbesparingar – genom att begränsa granskningsomfånget minskar organisationer tid, resurser och utgifter för att genomgå en granskning, vilket leder till kostnadsbesparingar.
  • Minskad riskexponering – ett mindre PCI-granskningsomfång minskar potentiella risker i samband med bearbetning, lagring och överföring av korthållardata. Om antalet system, nätverk och program som omfattas av en granskning är begränsat fokuserar organisationer på att skydda sina kritiska tillgångar och minska riskexponeringen.
  • Effektiviserad efterlevnad – genom att begränsa granskningsomfånget blir PCI-DSS-efterlevnaden mer hanterbar och effektiviserad. Resultatet är effektivare granskningar, färre efterlevnadsproblem och en minskad risk för inkompatibilitetsböter.
  • Förbättrad säkerhetsstatus – med en mindre delmängd av system och processer allokerar organisationer säkerhetsresurser och insatser effektivt. Resultatet är en starkare säkerhetsstatus, eftersom säkerhetsteamen fokuserar på att skydda kritiska tillgångar och identifiera sårbarheter på ett målinriktat och effektivt sätt.

Strategier för att minska PCI-granskningsomfånget

En organisations definition av dess CDE avgör PCI-granskningsomfånget. Organisationer dokumenterar och förmedlar den här definitionen till den PCI-DSS-kvalificerade säkerhetsbedömor (QSA) som utför granskningen. QSA utvärderar kontroller för CDE för att fastställa efterlevnad. Efterlevnad av PCI-standarder och användning av effektiv riskreducering hjälper företag att skydda kundens personliga och finansiella data, vilket upprätthåller förtroendet för deras verksamhet. I följande avsnitt beskrivs strategier för att minska risken i PCI-granskningsomfånget.

Tokenisering

Tokenisering är en datasäkerhetsteknik. Använd tokenisering för att ersätta känslig information, till exempel kreditkortsnummer, med en unik token som lagras och används för transaktioner, utan att exponera känsliga data. Token minskar omfattningen för en PCI-granskning för följande krav:

  • Krav 3 – Skydda lagrade kontodata
  • Krav 4 – Skydda korthållardata med stark kryptografi under överföring över öppna offentliga nätverk
  • Krav 9 – Begränsa fysisk åtkomst till korthållardata
  • Krav 10 – Logga och övervaka all åtkomst till systemkomponenter och korthållardata.

När du använder molnbaserade bearbetningsmetoder bör du överväga relevanta risker för känsliga data och transaktioner. För att minska dessa risker rekommenderar vi att du implementerar relevanta säkerhetsåtgärder och beredskapsplaner för att skydda data och förhindra transaktionsavbrott. Vi rekommenderar att du använder betalningstokenisering som metod för att avklassificera data och eventuellt minska CDE:s fotavtryck. Med betalningstokenisering ersätts känsliga data med en unik identifierare som minskar risken för datastöld och begränsar exponeringen av känslig information i CDE.

Säker CDE

PCI-DSS kräver att organisationer underhåller en säker CDE. Med effektivt konfigurerad CDE kan företag minska sin riskexponering och minska de associerade kostnaderna för både lokala och molnbaserade miljöer. Den här metoden hjälper till att minimera omfattningen för en PCI-granskning, vilket gör det enklare och mer kostnadseffektivt att demonstrera efterlevnaden av standarden.

Så här konfigurerar du Microsoft Entra-ID för att skydda CDE:

  • Använd lösenordslösa autentiseringsuppgifter för användare: Windows Hello för företag, FIDO2-säkerhetsnycklar och Microsoft Authenticator-appen
  • Använd starka autentiseringsuppgifter för arbetsbelastningsidentiteter: certifikat och hanterade identiteter för Azure-resurser.
    • Integrera åtkomsttekniker som VPN, fjärrskrivbord och nätverksåtkomstpunkter med Microsoft Entra-ID för autentisering, om tillämpligt
  • Aktivera privilegierad identitetshantering och åtkomstgranskningar för Microsoft Entra-roller, privilegierade åtkomstgrupper och Azure-resurser
  • Använd principer för villkorsstyrd åtkomst för att framtvinga PCI-kravkontroller: styrka för autentiseringsuppgifter, enhetstillstånd och framtvinga dem baserat på plats, gruppmedlemskap, program och risker
  • Använda modern autentisering för DCE-arbetsbelastningar
  • Arkivera Microsoft Entra-loggar i SIEM-system (säkerhetsinformation och händelsehantering)

När program och resurser använder Microsoft Entra-ID för identitets- och åtkomsthantering (IAM), finns Microsoft Entra-klientorganisationer inom ramen för PCI-granskning och vägledningen häri är tillämplig. Organisationer måste utvärdera kraven på identitets- och resursisolering mellan icke-PCI- och PCI-arbetsbelastningar för att fastställa sin bästa arkitektur.

Läs mer

Upprätta en ansvarsmatris

PCI-efterlevnad är ansvaret för entiteter som bearbetar betalkortstransaktioner, inklusive men inte begränsat till:

  • Köpmän
  • Korttjänstleverantörer
  • Leverantörer av handelstjänster
  • Förvärv av banker
  • Betalningsprocessorer
  • Kreditkortsutfärdare
  • Maskinvaruleverantörer

Dessa entiteter säkerställer att betalkortstransaktioner bearbetas på ett säkert sätt och är PCI-DSS-kompatibla. Alla entiteter som är involverade i betalkortstransaktioner har en roll för att säkerställa PCI-efterlevnad.

Azure PCI DSS-efterlevnadsstatus översätts inte automatiskt till PCI-DSS-validering för de tjänster som du skapar eller är värd för i Azure. Du ser till att du uppfyller PCI-DSS-kraven.

Upprätta kontinuerliga processer för att upprätthålla efterlevnad

Kontinuerliga processer innebär kontinuerlig övervakning och förbättring av efterlevnadsstatusen. Fördelar med kontinuerliga processer för att upprätthålla PCI-efterlevnad:

  • Minskad risk för säkerhetsincidenter och inkompatibilitet
  • Förbättrad datasäkerhet
  • Bättre anpassning till regelkrav
  • Ökat förtroende för kunder och intressenter

Med pågående processer svarar organisationer effektivt på förändringar i regelmiljön och ständigt växande säkerhetshot.

  • Riskbedömning – genomför den här processen för att identifiera sårbarheter och säkerhetsrisker för kreditkortsdata. Identifiera potentiella hot, utvärdera sannolikheten för att hot inträffar och utvärdera de potentiella effekterna på verksamheten.
  • Utbildning i säkerhetsmedvetenhet – anställda som hanterar kreditkortsdata får regelbunden utbildning i säkerhetsmedvetenhet för att klargöra vikten av att skydda korthållardata och åtgärderna för att göra det.
  • Sårbarhetshantering – utför regelbundna sårbarhetssökningar och intrångstester för att identifiera nätverks- eller systembrister som kan utnyttjas av angripare.
  • Övervaka och underhålla principer för åtkomstkontroll – åtkomsten till kreditkortsdata är begränsad till behöriga personer. Övervaka åtkomstloggar för att identifiera obehöriga åtkomstförsök.
  • Incidenthantering – en plan för incidenthantering hjälper säkerhetsteam att vidta åtgärder vid säkerhetsincidenter med kreditkortsdata. Identifiera incidentorsaken, begränsa skadan och återställa normala åtgärder i tid.
  • Efterlevnadsövervakning – och granskning utförs för att säkerställa kontinuerlig efterlevnad av PCI-DSS-kraven. Granska säkerhetsloggar, genomför regelbundna principgranskningar och se till att systemkomponenterna är korrekt konfigurerade och underhållna.

Implementera stark säkerhet för delad infrastruktur

Webbtjänster som Azure har vanligtvis en delad infrastruktur där kunddata kan lagras på samma fysiska server eller datalagringsenhet. Det här scenariot skapar risken för att obehöriga kunder kommer åt data som de inte äger och risken för skadliga aktörer som riktar in sig på den delade infrastrukturen. Microsoft Entra-säkerhetsfunktioner bidrar till att minska riskerna med delad infrastruktur:

  • Användarautentisering till nätverksåtkomsttekniker som stöder moderna autentiseringsprotokoll: virtuellt privat nätverk (VPN), fjärrskrivbord och nätverksåtkomstpunkter.
  • Principer för åtkomstkontroll som framtvingar starka autentiseringsmetoder och enhetsefterlevnad baserat på signaler som användarkontext, enhet, plats och risk.
  • Villkorsstyrd åtkomst ger ett identitetsstyrt kontrollplan och samlar signaler, fattar beslut och tillämpar organisationsprinciper.
  • Privilegierad rollstyrning – åtkomstgranskningar, jit-aktivering (just-in-time) osv.

Läs mer: Vad är villkorlig åtkomst?

Dataresidens

PCI-DSS anger ingen specifik geografisk plats för lagring av kreditkortsdata. Det kräver dock att korthållardata lagras på ett säkert sätt, vilket kan omfatta geografiska begränsningar, beroende på organisationens säkerhet och regelkrav. Olika länder och regioner har dataskydds- och sekretesslagar. Kontakta en juridisk rådgivare eller efterlevnadsrådgivare för att fastställa tillämpliga krav på datahemvist.

Läs mer: Microsoft Entra-ID och datahemvist

Säkerhetsrisker från tredje part

En icke-PCI-kompatibel tredjepartsleverantör utgör en risk för PCI-efterlevnad. Utvärdera och övervaka regelbundet tredjepartsleverantörer och tjänsteleverantörer för att säkerställa att de upprätthåller nödvändiga kontroller för att skydda korthållardata.

Microsoft Entra-funktioner i Data residency hjälper till att minska riskerna med säkerhet från tredje part.

Loggning och övervakning

Implementera korrekt loggning och övervakning för att identifiera och svara på säkerhetsincidenter i tid. Microsoft Entra ID hjälper dig att hantera PCI-efterlevnad med gransknings- och aktivitetsloggar samt rapporter som kan integreras med ett SIEM-system. Microsoft Entra ID har rollbaserad åtkomstkontroll (RBAC) och MFA för säker åtkomst till känsliga resurser, kryptering och hotskyddsfunktioner för att skydda organisationer från obehörig åtkomst och datastöld.

Läs mer:

Miljöer med flera program: värd utanför CDE

PCI-DSS säkerställer att företag som accepterar, bearbetar, lagrar eller överför kreditkortsinformation upprätthåller en säker miljö. Värdtjänster utanför CDE medför risker som:

  • Dålig åtkomstkontroll och identitetshantering kan leda till obehörig åtkomst till känsliga data och system
  • Otillräcklig loggning och övervakning av säkerhetshändelser hindrar identifiering och svar på säkerhetsincidenter
  • Otillräcklig kryptering och skydd mot hot ökar risken för datastöld och obehörig åtkomst
  • Dålig eller ingen säkerhetsmedvetenhet och utbildning för användare kan leda till påverkbara sociala ingenjörsattacker, till exempel nätfiske

Nästa steg

PCI-DSS-kraven 3, 4, 9 och 12 gäller inte för Microsoft Entra-ID, därför finns det inga motsvarande artiklar. Om du vill se alla krav går du till pcisecuritystandards.org: Officiell PCI Security Standards Council Site.

Information om hur du konfigurerar Microsoft Entra-ID för att följa PCI-DSS finns i följande artiklar.