Microsoft Entra ID och PCI-DSS Krav 11
Krav 11: Testa säkerhet för system och nätverk Regelbundet
definierade metodkrav
11.1 Processer och mekanismer för att regelbundet testa säkerheten för system och nätverk definieras och förstås.
| Krav för PCI-DSS-definierad metod | Vägledning och rekommendationer för Microsoft Entra |
|---|---|
| 11.1.1 Alla säkerhetsprinciper och operativa procedurer som identifieras i krav 11 är: Dokumenterade hållas uppdaterade i bruk Kända för alla berörda parter |
Använd vägledningen och länkarna häri för att skapa dokumentationen för att uppfylla kraven baserat på din miljökonfiguration. |
| 11.1.2 Roller och ansvarsområden för att utföra aktiviteter i krav 11 dokumenteras, tilldelas och förstås. | Använd vägledningen och länkarna häri för att skapa dokumentationen för att uppfylla kraven baserat på din miljökonfiguration. |
11.2 Trådlösa åtkomstpunkter identifieras och övervakas och obehöriga trådlösa åtkomstpunkter åtgärdas.
| Krav för PCI-DSS-definierad metod | Vägledning och rekommendationer för Microsoft Entra |
|---|---|
| 11.2.1 Auktoriserade och obehöriga trådlösa åtkomstpunkter hanteras på följande sätt: Förekomsten av trådlösa åtkomstpunkter (Wi-Fi) testas för. Alla auktoriserade och obehöriga trådlösa åtkomstpunkter identifieras och identifieras. Testning, identifiering och identifiering sker minst en gång var tredje månad. Om automatiserad övervakning används meddelas personalen via genererade aviseringar. |
Om din organisation integrerar nätverksåtkomstpunkter med Microsoft Entra-ID för autentisering läser du Krav 1: Installera och underhålla nätverkssäkerhetskontroller |
| 11.2.2 En inventering av auktoriserade trådlösa åtkomstpunkter bibehålls, inklusive en dokumenterad affärsmotivering. | Gäller inte för Microsoft Entra-ID. |
11.3 Externa och interna sårbarheter identifieras, prioriteras och åtgärdas regelbundet.
| Krav för PCI-DSS-definierad metod | Vägledning och rekommendationer för Microsoft Entra |
|---|---|
| 11.3.1 Interna sårbarhetsgenomsökningar utförs på följande sätt: Minst en gång var tredje månad. Riskfyllda och kritiska sårbarheter (enligt entitetens rankning av sårbarhetsrisker som definieras i krav 6.3.1) löses. Genomsökningar utförs som bekräftar att alla högrisk- och kritiska sårbarheter (enligt antecknade) har lösts. Genomsökningsverktyget hålls uppdaterat med den senaste sårbarhetsinformationen. Genomsökningar utförs av kvalificerad personal och testarens organisationsberoende finns. |
Inkludera servrar som stöder Microsoft Entra-hybridfunktioner. Till exempel Microsoft Entra Anslut, anslutningsappar för programproxy osv. som en del av interna sårbarhetsgenomsökningar. Organisationer som använder federerad autentisering: granska och åtgärda säkerhetsrisker i federationssystemets infrastruktur. Vad är federation med Microsoft Entra-ID? Granska och minimera riskidentifieringar som rapporteras av Microsoft Entra ID Protection. Integrera signalerna med en SIEM-lösning för att integrera mer med reparationsarbetsflöden eller automatisering. Risktyper och identifiering Kör Microsoft Entra-utvärderingsverktyget regelbundet och åtgärda resultat. AzureADAssessmentSäkerhetsåtgärder för infrastruktur Integrera Microsoft Entra-loggar med Azure Monitor-loggar |
| 11.3.1.1 Alla andra tillämpliga sårbarheter (de som inte rangordnas som högriskrisk eller kritiska enligt entitetens rankning av sårbarhetsrisker som definierats i krav 6.3.1) hanteras på följande sätt: Åtgärdas baserat på den risk som definieras i entitetens målriskanalys, som utförs enligt alla element som anges i krav 12.3.1. Genomsökningar utförs efter behov. |
Inkludera servrar som stöder Microsoft Entra-hybridfunktioner. Till exempel Microsoft Entra Anslut, anslutningsappar för programproxy osv. som en del av interna sårbarhetsgenomsökningar. Organisationer som använder federerad autentisering: granska och åtgärda säkerhetsrisker i federationssystemets infrastruktur. Vad är federation med Microsoft Entra-ID? Granska och minimera riskidentifieringar som rapporteras av Microsoft Entra ID Protection. Integrera signalerna med en SIEM-lösning för att integrera mer med reparationsarbetsflöden eller automatisering. Risktyper och identifiering Kör Microsoft Entra-utvärderingsverktyget regelbundet och åtgärda resultat. AzureAD/AzureADAssessmentSäkerhetsåtgärder för infrastruktur Integrera Microsoft Entra-loggar med Azure Monitor-loggar |
| 11.3.1.2 Interna sårbarhetsgenomsökningar utförs via autentiserad genomsökning på följande sätt: System som inte kan acceptera autentiseringsuppgifter för autentiserad genomsökning dokumenteras. Tillräcklig behörighet används för de system som accepterar autentiseringsuppgifter för genomsökning. Om konton som används för autentiserad genomsökning kan användas för interaktiv inloggning hanteras de i enlighet med krav 8.2.2. |
Inkludera servrar som stöder Microsoft Entra-hybridfunktioner. Till exempel Microsoft Entra Anslut, anslutningsappar för programproxy osv. som en del av interna sårbarhetsgenomsökningar. Organisationer som använder federerad autentisering: granska och åtgärda säkerhetsrisker i federationssystemets infrastruktur. Vad är federation med Microsoft Entra-ID? Granska och minimera riskidentifieringar som rapporteras av Microsoft Entra ID Protection. Integrera signalerna med en SIEM-lösning för att integrera mer med reparationsarbetsflöden eller automatisering. Risktyper och identifiering Kör Microsoft Entra-utvärderingsverktyget regelbundet och åtgärda resultat. AzureADAssessmentSäkerhetsåtgärder för infrastruktur Integrera Microsoft Entra-loggar med Azure Monitor-loggar |
| 11.3.1.3 Interna sårbarhetsgenomsökningar utförs efter någon betydande ändring enligt följande: Högriskrisker och kritiska sårbarheter (enligt entitetens rankning av sårbarhetsrisker som definieras i Krav 6.3.1) har lösts. Genomsökningar utförs efter behov. Genomsökningar utförs av kvalificerad personal och testarens organisationsberoende finns (krävs inte vara en kvalificerad säkerhetsbedömare (QSA) eller godkänd genomsökningsleverantör (ASV)). |
Inkludera servrar som stöder Microsoft Entra-hybridfunktioner. Till exempel Microsoft Entra Anslut, anslutningsappar för programproxy osv. som en del av interna sårbarhetsgenomsökningar. Organisationer som använder federerad autentisering: granska och åtgärda säkerhetsrisker i federationssystemets infrastruktur. Vad är federation med Microsoft Entra-ID? Granska och minimera riskidentifieringar som rapporteras av Microsoft Entra ID Protection. Integrera signalerna med en SIEM-lösning för att integrera mer med reparationsarbetsflöden eller automatisering. Risktyper och identifiering Kör Microsoft Entra-utvärderingsverktyget regelbundet och åtgärda resultat. AzureADAssessmentSäkerhetsåtgärder för infrastruktur Integrera Microsoft Entra-loggar med Azure Monitor-loggar |
| 11.3.2 Externa sårbarhetsgenomsökningar utförs på följande sätt: Minst en gång var tredje månad. Av en PCI SSC ASV. Sårbarheter löses och ASV-programguidekraven för en genomsökning uppfylls. Genomsökningar utförs efter behov för att bekräfta att sårbarheter har lösts enligt kraven i ASV-programguiden för en genomsökning. |
Gäller inte för Microsoft Entra-ID. |
| 11.3.2.1 Externa sårbarhetsgenomsökningar utförs efter någon betydande ändring enligt följande: Sårbarheter som får 4,0 eller högre av CVSS löses. Genomsökningar utförs efter behov. Genomsökningar utförs av kvalificerad personal och testarens organisationsberoende finns (krävs inte vara QSA eller ASV). |
Gäller inte för Microsoft Entra-ID. |
11.4 Extern och intern intrångstestning utförs regelbundet, och sårbarheter och säkerhetsbrister som kan utnyttjas korrigeras.
| Krav för PCI-DSS-definierad metod | Vägledning och rekommendationer för Microsoft Entra |
|---|---|
| 11.4.1 En metod för intrångstestning definieras, dokumenteras och implementeras av entiteten och omfattar: Branschgodkända metoder för intrångstestning. Täckning för hela CDE-perimetern (cardholder data environment) och kritiska system. Testning både inom och utanför nätverket. Testa för att verifiera eventuella kontroller för segmentering och omfångsminskning. Intrångstest på programnivå för att minst identifiera de sårbarheter som anges i Krav 6.2.4. Intrångstester på nätverksnivå som omfattar alla komponenter som stöder nätverksfunktioner och operativsystem. Granska och ta hänsyn till hot och sårbarheter som har upplevts under de senaste 12 månaderna. Dokumenterad metod för att bedöma och åtgärda risken med sårbarheter och säkerhetsbrister som upptäckts under intrångstestningen. Kvarhållning av resultat från intrångstestning och reparationsaktiviteter i minst 12 månader. |
Intrångstestningsregler för engagemang, Microsoft Cloud |
| 11.4.2 Intern penetrationstestning utförs: Enligt entitetens definierade metodik. Minst en gång var 12:e månad. Efter någon betydande infrastruktur eller programuppgradering eller ändring. Av en kvalificerad intern resurs eller kvalificerad extern tredje part. Testarens organisationsberoende finns (krävs inte vara en QSA eller ASV). |
Intrångstestningsregler för engagemang, Microsoft Cloud |
| 11.4.3 Extern intrångstestning utförs: Enligt entitetens definierade metodik. Minst en gång var 12:e månad. Efter någon betydande infrastruktur eller programuppgradering eller ändring. Av en kvalificerad intern resurs eller kvalificerad extern tredje part. Testarens organisationsberoende finns (krävs inte vara en QSA eller ASV). |
Intrångstestningsregler för engagemang, Microsoft Cloud |
| 11.4.4 Sårbarheter och säkerhetsbrister som upptäckts under intrångstestningen korrigeras på följande sätt: I enlighet med enhetens bedömning av den risk som utgörs av säkerhetsproblemet enligt definitionen i krav 6.3.1. Intrångstestning upprepas för att verifiera korrigeringarna. |
Intrångstestningsregler för engagemang, Microsoft Cloud |
| 11.4.5 Om segmentering används för att isolera CDE från andra nätverk utförs intrångstester på segmenteringskontroller på följande sätt: Minst en gång var 12:e månad och efter eventuella ändringar av segmenteringskontroller/-metoder. Omfattar alla segmenteringskontroller/metoder som används. Enligt entitetens definierade metod för intrångstestning. Bekräftar att segmenteringskontrollerna/-metoderna är operativa och effektiva och isoleraR CDE från alla system utanför omfånget. Bekräfta effektiviteten av all användning av isolering för att separera system med olika säkerhetsnivåer (se Krav 2.2.3). Utförs av en kvalificerad intern resurs eller kvalificerad extern tredje part. Testarens organisationsberoende finns (krävs inte vara en QSA eller ASV). |
Gäller inte för Microsoft Entra-ID. |
| 11.4.6Ytterligare krav endast för tjänsteleverantörer: Om segmentering används för att isolera CDE från andra nätverk utförs intrångstester på segmenteringskontroller på följande sätt: Minst en gång var sjätte månad och efter eventuella ändringar av segmenteringskontroller/-metoder. Omfattar alla segmenteringskontroller/metoder som används. Enligt entitetens definierade metod för intrångstestning. Bekräftar att segmenteringskontrollerna/-metoderna är operativa och effektiva och isoleraR CDE från alla system utanför omfånget. Bekräfta effektiviteten av all användning av isolering för att separera system med olika säkerhetsnivåer (se Krav 2.2.3). Utförs av en kvalificerad intern resurs eller kvalificerad extern tredje part. Testarens organisationsberoende finns (krävs inte vara en QSA eller ASV). |
Gäller inte för Microsoft Entra-ID. |
| 11.4.7Ytterligare krav endast för tjänsteleverantörer med flera innehavare: Tjänsteleverantörer med flera innehavare stöder sina kunder för extern intrångstestning enligt krav 11.4.3 och 11.4.4. | Intrångstestningsregler för engagemang, Microsoft Cloud |
11.5 Nätverksintrång och oväntade filändringar identifieras och besvaras.
| Krav för PCI-DSS-definierad metod | Vägledning och rekommendationer för Microsoft Entra |
|---|---|
| 11.5.1 Tekniker för intrångsidentifiering och/eller intrångsskydd används för att upptäcka och/eller förhindra intrång i nätverket enligt följande: All trafik övervakas vid CDE:s perimeter. All trafik övervakas vid kritiska punkter i CDE. Personal varnas för misstänkta kompromisser. Alla intrångsidentifierings- och förebyggande motorer, baslinjer och signaturer hålls uppdaterade. |
Gäller inte för Microsoft Entra-ID. |
| 11.5.1.1Ytterligare krav endast för tjänsteleverantörer: Tekniker för intrångsidentifiering och/eller intrångsskydd upptäcker, varnar på/förhindrar och adresserar hemliga kommunikationskanaler för skadlig kod. | Gäller inte för Microsoft Entra-ID. |
| 11.5.2 En mekanism för ändringsidentifiering (till exempel verktyg för övervakning av filintegritet) distribueras på följande sätt: Om du vill varna personalen om obehöriga ändringar (inklusive ändringar, tillägg och borttagningar) av kritiska filer. För att utföra kritiska filjämförelser minst en gång i veckan. |
Gäller inte för Microsoft Entra-ID. |
11.6 Obehöriga ändringar på betalningssidor identifieras och besvaras.
| Krav för PCI-DSS-definierad metod | Vägledning och rekommendationer för Microsoft Entra |
|---|---|
| 11.6.1 En mekanism för ändrings- och manipuleringsidentifiering distribueras på följande sätt: För att varna personalen om obehöriga ändringar (inklusive indikatorer för kompromisser, ändringar, tillägg och borttagningar) till HTTP-huvudena och innehållet på betalningssidorna som tas emot av konsumentwebbläsaren. Mekanismen är konfigurerad för att utvärdera det mottagna HTTP-huvudet och betalningssidan. Mekanismfunktionerna utförs på följande sätt: Minst en gång var sjunde dag eller med jämna mellanrum med den frekvens som definieras i entitetens målriskanalys, som utförs enligt alla element |
Gäller inte för Microsoft Entra-ID. |
Nästa steg
PCI-DSS-kraven 3, 4, 9 och 12 gäller inte för Microsoft Entra-ID, därför finns det inga motsvarande artiklar. Om du vill se alla krav går du till pcisecuritystandards.org: Officiell PCI Security Standards Council Site.
Information om hur du konfigurerar Microsoft Entra-ID för att följa PCI-DSS finns i följande artiklar.
- Vägledning för Microsoft Entra PCI-DSS
- Krav 1: Installera och underhålla nätverkssäkerhetskontroller
- Krav 2: Tillämpa säkra konfigurationer på alla systemkomponenter
- Krav 5: Skydda alla system och nätverk mot skadlig programvara
- Krav 6: Utveckla och underhålla säkra system och programvara
- Krav 7: Begränsa åtkomsten till systemkomponenter och korthållardata per företag behöver veta
- Krav 8: Identifiera användare och autentisera åtkomst till systemkomponenter
- Krav 10: Logga och övervaka all åtkomst till systemkomponenter och korthållardata
- Krav 11: Testa säkerheten för system och nätverk regelbundet (du är här)
- Vägledning för Microsoft Entra PCI-DSS Multi-Factor Authentication