Microsoft Entra ID och PCI-DSS Krav 6
Krav 6: Utveckla och underhålla krav för säker system- och programvarudefinierad
metod
6.1 Processer och mekanismer för att utveckla och underhålla säkra system och programvara definieras och förstås.
| Krav för PCI-DSS-definierad metod | Vägledning och rekommendationer för Microsoft Entra |
|---|---|
| 6.1.1 Alla säkerhetsprinciper och operativa procedurer som identifieras i krav 6 är: Dokumenterade hålls uppdaterade i användning Kända för alla berörda parter |
Använd vägledningen och länkarna häri för att skapa dokumentationen för att uppfylla kraven baserat på din miljökonfiguration. |
| 6.1.2 Roller och ansvarsområden för att utföra aktiviteter i krav 6 dokumenteras, tilldelas och förstås. | Använd vägledningen och länkarna häri för att skapa dokumentationen för att uppfylla kraven baserat på din miljökonfiguration. |
6.2 Skräddarsydd och anpassad programvara utvecklas på ett säkert sätt.
| Krav för PCI-DSS-definierad metod | Vägledning och rekommendationer för Microsoft Entra |
|---|---|
| 6.2.1 Skräddarsydd och anpassad programvara utvecklas på ett säkert sätt enligt följande: Baserat på branschstandarder och/eller bästa praxis för säker utveckling. I enlighet med PCI-DSS (till exempel säker autentisering och loggning). Att ta hänsyn till informationssäkerhetsproblem under varje steg i livscykeln för programvaruutveckling. |
Skaffa och utveckla program som använder moderna autentiseringsprotokoll, till exempel OAuth2 och OpenID Anslut (OIDC), som integreras med Microsoft Entra ID. Skapa programvara med hjälp av Microsofts identitetsplattform. Microsofts identitetsplattform metodtips och rekommendationer |
| 6.2.2 Programvaruutvecklingspersonal som arbetar med skräddarsydd och anpassad programvara utbildas minst en gång var 12:e månad enligt följande: Om programvarusäkerhet som är relevant för deras arbetsfunktion och utvecklingsspråk. Inklusive säker programvarudesign och säkra kodningstekniker. Inklusive, om säkerhetstestverktyg används, hur du använder verktygen för att identifiera sårbarheter i programvara. |
Använd följande examen för att tillhandahålla bevis på kunskaper om Microsofts identitetsplattform: Examen MS-600: Skapa program och lösningar med Microsoft 365 Core Services Använd följande utbildning för att förbereda för provet: MS-600: Implementera Microsoft-identitet |
| 6.2.3 Skräddarsydd och anpassad programvara granskas innan den släpps till produktion eller till kunder, för att identifiera och korrigera potentiella kodningsrisker, enligt följande: Kodgranskningar säkerställer att koden utvecklas enligt säkra kodningsriktlinjer. Kodgranskningar letar efter både befintliga och nya programvarusårbarheter. Lämpliga korrigeringar implementeras innan de släpps. |
Gäller inte för Microsoft Entra-ID. |
| 6.2.3.1 Om manuella kodgranskningar utförs för skräddarsydd och anpassad programvara innan de släpps till produktion, är kodändringar: Granskas av andra personer än den ursprungliga kodförfattaren och som är kunniga om kodgranskningstekniker och säkra kodningsmetoder. Granskas och godkänns av ledningen före lanseringen. |
Gäller inte för Microsoft Entra-ID. |
| 6.2.4 Programvarutekniker eller andra metoder definieras och används av programvaruutvecklingspersonal för att förhindra eller minimera vanliga programvaruattacker och relaterade sårbarheter i skräddarsydda och anpassade program, inklusive men inte begränsat till följande: Inmatningsattacker, inklusive SQL, LDAP, XPath eller andra kommandon, parametrar, objekt, fel eller inmatningstyper. Attacker på data- och datastrukturer, inklusive försök att manipulera buffertar, pekare, indata eller delade data. Attacker på kryptografianvändning, inklusive försök att utnyttja svaga, osäkra eller olämpliga kryptografiska implementeringar, algoritmer, chiffersviter eller driftlägen. Angrepp på affärslogik, inklusive försök att missbruka eller kringgå programfunktioner och funktioner genom manipulering av API:er, kommunikationsprotokoll och kanaler, funktioner på klientsidan eller andra system-/programfunktioner och resurser. Detta omfattar skript för flera platser (XSS) och förfalskning av begäranden mellan webbplatser (CSRF). Angrepp på mekanismer för åtkomstkontroll, inklusive försök att kringgå eller missbruksidentifiering, autentisering eller auktoriseringsmekanismer, eller försök att utnyttja svagheter i genomförandet av sådana mekanismer. Attacker via eventuella "högriskrisker" som identifieras i sårbarhetsidentifieringsprocessen enligt definitionen i Krav 6.3.1. |
Gäller inte för Microsoft Entra-ID. |
6.3 Säkerhetsrisker identifieras och åtgärdas.
| Krav för PCI-DSS-definierad metod | Vägledning och rekommendationer för Microsoft Entra |
|---|---|
| 6.3.1 Säkerhetsrisker identifieras och hanteras på följande sätt: Nya säkerhetsrisker identifieras med hjälp av branschidentifierade källor för information om säkerhetsrisker, inklusive aviseringar från internationella och nationella/regionala team för nödåtgärder för datorer (CERT). Sårbarheter tilldelas en riskrankning baserat på branschens bästa praxis och övervägande av potentiell påverkan. Riskrankning identifierar åtminstone alla sårbarheter som anses vara en hög risk eller kritisk för miljön. Sårbarheter för skräddarsydda och anpassade program och programvara från tredje part (till exempel operativsystem och databaser) omfattas. |
Lär dig mer om sårbarheter. MSRC | Säkerhetsguide för Uppdateringar, säkerhetsuppdatering |
| 6.3.2 En inventering av skräddarsydd och anpassad programvara samt programvarukomponenter från tredje part som ingår i skräddarsydd och anpassad programvara bevaras för att underlätta sårbarhets- och korrigeringshantering. | Generera rapporter för program som använder Microsoft Entra-ID för autentisering för inventering. applicationSignInDetailedSummary resurstypProgram som anges i Företagsprogram |
| 6.3.3 Alla systemkomponenter skyddas mot kända säkerhetsrisker genom att installera tillämpliga säkerhetskorrigeringar/uppdateringar enligt följande: Kritiska eller högsäkerhetskorrigeringar/uppdateringar (identifieras enligt riskrankningsprocessen på krav 6.3.1) installeras inom en månad efter lanseringen. Alla andra tillämpliga säkerhetskorrigeringar/uppdateringar installeras inom en lämplig tidsram som bestäms av entiteten (till exempel inom tre månader efter lanseringen). |
Gäller inte för Microsoft Entra-ID. |
6.4 Offentliga webbprogram skyddas mot attacker.
| Krav för PCI-DSS-definierad metod | Vägledning och rekommendationer för Microsoft Entra |
|---|---|
| 6.4.1 För offentliga webbprogram åtgärdas nya hot och sårbarheter kontinuerligt och dessa program skyddas mot kända attacker på följande sätt: Granska offentliga webbprogram via manuella eller automatiserade verktyg eller metoder för sårbarhetssäkerhet för program enligt följande: – Minst en gång var 12:e månad och efter betydande ändringar. – Av en entitet som är specialiserad på programsäkerhet. – Inklusive minst alla vanliga programvaruattacker i krav 6.2.4. – Alla sårbarheter rangordnas enligt krav 6.3.1. – Alla sårbarheter korrigeras. – Programmet omvärderas efter korrigeringarna eller installerar en automatiserad teknisk lösning som kontinuerligt identifierar och förhindrar webbaserade attacker på följande sätt: – Installeras framför offentliga webbprogram för att identifiera och förhindra webbaserade attacker. – Aktivt igång och uppdaterat efter behov. – Generera granskningsloggar. – Konfigurerad för att antingen blockera webbaserade attacker eller generera en avisering som omedelbart undersöks. |
Gäller inte för Microsoft Entra-ID. |
| 6.4.2 För offentliga webbprogram distribueras en automatiserad teknisk lösning som kontinuerligt identifierar och förhindrar webbaserade attacker, med minst följande: Installeras framför offentliga webbprogram och är konfigurerad för att identifiera och förhindra webbaserade attacker. Aktivt igång och uppdaterat efter behov. Generera granskningsloggar. Konfigurerad för att antingen blockera webbaserade attacker eller generera en avisering som omedelbart undersöks. |
Gäller inte för Microsoft Entra-ID. |
| 6.4.3 Alla betalningssideskript som läses in och körs i konsumentens webbläsare hanteras på följande sätt: En metod implementeras för att bekräfta att varje skript är auktoriserat. En metod implementeras för att säkerställa integriteten för varje skript. En inventering av alla skript underhålls med skriftlig motivering till varför var och en är nödvändig. |
Gäller inte för Microsoft Entra-ID. |
6.5 Ändringar i alla systemkomponenter hanteras på ett säkert sätt.
| Krav för PCI-DSS-definierad metod | Vägledning och rekommendationer för Microsoft Entra |
|---|---|
| 6.5.1 Ändringar av alla systemkomponenter i produktionsmiljön görs enligt etablerade procedurer som omfattar: Orsak till och beskrivning av ändringen. Dokumentation om säkerhetspåverkan. Dokumenterat godkännande av ändringar av auktoriserade parter. Testning för att kontrollera att ändringen inte påverkar systemsäkerheten negativt. För skräddarsydda och anpassade programvaruändringar testas alla uppdateringar för kompatibilitet med krav 6.2.4 innan de distribueras till produktion. Procedurer för att åtgärda fel och återgå till ett säkert tillstånd. |
Inkludera ändringar i Microsoft Entra-konfigurationen i ändringskontrollprocessen. |
| 6.5.2 När en betydande förändring har slutförts bekräftas alla tillämpliga PCI-DSS-krav vara på plats på alla nya eller ändrade system och nätverk, och dokumentationen uppdateras i förekommande fall. | Gäller inte för Microsoft Entra-ID. |
| 6.5.3 Förproduktionsmiljöer separeras från produktionsmiljöer och separationen tillämpas med åtkomstkontroller. | Metoder för att separera förproduktions- och produktionsmiljöer baserat på organisationens krav. Resursisolering i en enskild klientresursisolering med flera klienter |
| 6.5.4 Roller och funktioner separeras mellan produktions- och förproduktionsmiljöer för att tillhandahålla ansvarsskyldighet så att endast granskade och godkända ändringar distribueras. | Lär dig mer om privilegierade roller och dedikerade klientorganisationer för förproduktion. Metodtips för Microsoft Entra-roller |
| 6.5.5 Live-PAN används inte i förproduktionsmiljöer, förutom när dessa miljöer ingår i CDE och skyddas i enlighet med alla tillämpliga PCI-DSS-krav. | Gäller inte för Microsoft Entra-ID. |
| 6.5.6 Testdata och testkonton tas bort från systemkomponenter innan systemet går i produktion. | Gäller inte för Microsoft Entra-ID. |
Nästa steg
PCI-DSS-kraven 3, 4, 9 och 12 är inte applicalbe för Microsoft Entra ID, därför finns det inga motsvarande artiklar. Om du vill se alla krav går du till pcisecuritystandards.org: Officiell PCI Security Standards Council Site.
Information om hur du konfigurerar Microsoft Entra-ID för att följa PCI-DSS finns i följande artiklar.
- Vägledning för Microsoft Entra PCI-DSS
- Krav 1: Installera och underhålla nätverkssäkerhetskontroller
- Krav 2: Tillämpa säkra konfigurationer på alla systemkomponenter
- Krav 5: Skydda alla system och nätverk mot skadlig programvara
- Krav 6: Utveckla och underhålla säkra system och programvara (du är här)
- Krav 7: Begränsa åtkomsten till systemkomponenter och korthållardata per företag behöver veta
- Krav 8: Identifiera användare och autentisera åtkomst till systemkomponenter
- Krav 10: Logga och övervaka all åtkomst till systemkomponenter och korthållardata
- Krav 11: Testa säkerheten för system och nätverk regelbundet
- Vägledning för Microsoft Entra PCI-DSS Multi-Factor Authentication