Microsoft Entra PCI-DSS kılavuzu
Ödeme kartı sektörü güvenlik standartları konseyi (PCI SSC), ödeme işlemlerinin güvenliğini sağlamak için Ödeme Kartı Endüstri Veri Güvenliği Standardı (PCI-DSS) dahil olmak üzere veri güvenliği standartlarını ve kaynaklarını geliştirmek ve teşvik etmekle sorumludur. PCI uyumluluğu elde etmek için Microsoft Entra ID kullanan kuruluşlar bu belgedeki yönergelere başvurabilir. Ancak, PCI uyumluluğunu sağlamak kuruluşların sorumluluğundadır. BT ekipleri, SecOps ekipleri ve Çözüm Mimarları, ödeme kartı bilgilerini işleyen, işleyen ve depolayan güvenli sistemler, ürünler ve ağlar oluşturmaktan ve korumaktan sorumludur.
Microsoft Entra ID bazı PCI-DSS denetim gereksinimlerini karşılamaya yardımcı olur ve kart sahibi veri ortamı (CDE) kaynakları için modern kimlik ve erişim protokolleri sağlar, ancak kart sahibi verilerini korumaya yönelik tek mekanizma bu olmamalıdır. Bu nedenle, müşteri güvenini koruyan kapsamlı bir güvenlik programı oluşturmak için bu belge kümesini ve tüm PCI-DSS gereksinimlerini gözden geçirin. Gereksinimlerin tam listesi için resmi PCI Güvenlik Standartları Konseyi web sitesini ziyaret edin pcisecuritystandards.org: Resmi PCI Güvenlik Standartları Konseyi Sitesi
Denetimler için PCI gereksinimleri
Küresel PCI-DSS v4.0, hesap verilerini korumaya yönelik teknik ve operasyonel standartların temelini oluşturur. "Ödeme kartı hesabı veri güvenliğini teşvik etmek ve geliştirmek ve tutarlı veri güvenliği önlemlerinin genel olarak benimsenmesini kolaylaştırmak için geliştirilmiştir. Hesap verilerini korumak için tasarlanmış teknik ve operasyonel gereksinimlerin temelini sağlar. Ödeme kartı hesap verilerine sahip ortamlara odaklanmak için tasarlanmış olsa da PCI-DSS, tehditlere karşı koruma sağlamak ve ödeme ekosistemindeki diğer öğelerin güvenliğini sağlamak için de kullanılabilir."
Microsoft Entra yapılandırması ve PCI-DSS
Bu belge, Ödeme Kartı Sektör Veri Güvenliği Standardı (PCI DSS) ile uyumlu olarak Microsoft Entra ID ile kimlik ve erişim yönetimini (IAM) yönetmekle sorumlu olan teknik ve iş liderleri için kapsamlı bir kılavuz görevi görür. Kuruluşlar, bu belgede özetlenen temel gereksinimleri, en iyi yöntemleri ve yaklaşımları izleyerek PCI uyumsuzluğunun kapsamını, karmaşıklığını ve riskini azaltırken, güvenlik için en iyi yöntemleri ve standartların uyumluluğunu teşvik edebilir. Bu belgede sağlanan kılavuz, kuruluşların Microsoft Entra ID'yi gerekli PCI DSS gereksinimlerini karşılayacak ve etkili IAM uygulamalarını teşvik eden bir şekilde yapılandırmalarına yardımcı olmayı amaçlamaktadır.
Teknik ve iş liderleri, Microsoft Entra Id ile kimlik ve erişim yönetimi (IAM) sorumluluklarını yerine getirmek için aşağıdaki kılavuzu kullanabilir. Diğer Microsoft iş yüklerindeki PCI-DSS hakkında daha fazla bilgi için bkz . Microsoft bulut güvenliği karşılaştırması (v1) genel bakış.
PCI-DSS gereksinimleri ve test yordamları, ödeme kartı bilgilerinin güvenli bir şekilde işlenmesini sağlayan 12 temel gereksinimden oluşur. Bu gereksinimler birlikte kuruluşların ödeme kartı işlemlerinin güvenliğini sağlamalarına ve hassas kart sahibi verilerini korumalarına yardımcı olan kapsamlı bir çerçevedir.
Microsoft Entra ID, PCI-DSS uyumluluğunu desteklemek için uygulamaların, sistemlerin ve kaynakların güvenliğini sağlayan bir kurumsal kimlik hizmetidir. Aşağıdaki tabloda PCI asıl gereksinimleri ve PCI-DSS uyumluluğu için Önerilen Microsoft Entra Id denetimlerine bağlantılar yer alır.
Temel PCI-DSS gereksinimleri
PCI-DSS gereksinimleri 3, 4, 9 ve 12 Microsoft Entra Id tarafından karşılanmaz veya karşılanmaz, bu nedenle ilgili makale yoktur. Tüm gereksinimleri görmek için pcisecuritystandards.org: Resmi PCI Güvenlik Standartları Konseyi Sitesi'ne gidin.
PCI Veri Güvenliği Standardı - Üst Düzey Genel Bakış | Microsoft Entra Id önerilen PCI-DSS denetimleri |
---|---|
Güvenli Ağ ve Sistemleri Oluşturma ve Koruma | 1. Ağ Güvenlik Denetimlerini Yükleme ve Koruma 2. Tüm Sistem Bileşenlerine Güvenli Yapılandırmalar Uygulama |
Hesap Verilerini Koruma | 3. Depolanan Hesap Verilerini Koruma 4. Ortak Ağlar Üzerinden İletim Sırasında Kart Sahibi Verilerini Güçlü Şifreleme ile Koruma |
Güvenlik Açığı Yönetimi Programı Koruma | 5. Tüm Sistemleri ve Ağları Kötü Amaçlı Yazılımlardan Koruyun 6. Güvenli Sistemler ve Yazılımlar Geliştirme ve Koruma |
Güçlü Erişim Denetim Ölçüleri Uygulama | 7. İşletmelere Göre Sistem Bileşenlerine ve Kart Sahibi Verilerine Erişimi Kısıtlama 8'i Bilmeniz Gerekir. Sistem Bileşenlerine Erişimi Tanımlama ve Kimlik Doğrulaması 9. Sistem Bileşenlerine ve Kart Sahibi Verilerine Fiziksel Erişimi Kısıtlama |
Ağları Düzenli Olarak İzleme ve Test Et | 10. Sistem Bileşenlerine ve Kart Sahibi Verilerine Tüm Erişimi Günlüğe Kaydetme ve İzleme 11. Sistemlerin ve Ağların Güvenliğini Düzenli Olarak Test Edin |
Bilgi Güvenliği İlkesi'ni koruma | 12. Kuruluş İlkeleri ve Programları ile Bilgi Güvenliği Desteği |
PCI-DSS uygulanabilirliği
PCI-DSS, kart sahibi verilerini (CHD) ve/veya hassas kimlik doğrulama verilerini (SAD) depolayan, işleyen veya ileten kuruluşlar için geçerlidir. Birlikte kabul edilen bu veri öğeleri hesap verileri olarak bilinir. PCI-DSS, kart sahibi veri ortamını (CDE) etkileyen kuruluşlar için güvenlik yönergeleri ve gereksinimleri sağlar. CDE'yi koruyan varlıklar, müşteri ödeme bilgilerinin gizliliğini ve güvenliğini sağlar.
CHD şunlardan oluşur:
- Birincil hesap numarası (PAN) - vereni ve kart sahibinin hesabını tanımlayan benzersiz bir ödeme kartı numarası (kredi, banka veya ön ödemeli kartlar vb.)
- Kart sahibi adı – kart sahibi
- Kartın son kullanma tarihi – kartın süresinin dolduğu gün ve ay
- Hizmet kodu : Manyetik şeritteki, takip verilerindeki ödeme kartının son kullanma tarihini izleyen üç veya dört basamaklı bir değerdir. Hizmet özniteliklerini tanımlar, uluslararası ve ulusal/bölgesel değişim arasında fark oluşturur veya kullanım kısıtlamalarını tanımlar.
SAD, kart sahiplerinin kimliğini doğrulamak ve/veya ödeme kartı işlemlerini yetkilendirmek için kullanılan güvenlikle ilgili bilgilerden oluşur. SAD şunları içerir ancak bunlarla sınırlı değildir:
- Tam parça verileri - manyetik şerit veya yonga eşdeğeri
- Kart doğrulama kodları/değerleri - kart doğrulama kodu (CVC) veya değer (CVV) olarak da adlandırılır. Bu, ödeme kartının önündeki veya arkasında bulunan üç veya dört basamaklı değerdir. Katılan ödeme markaları (PPB) tarafından belirlenen CAV2, CVC2, CVN2, CVV2 veya CID olarak da adlandırılır.
- PIN - kişisel kimlik numarası
- PIN blokları - Banka veya kredi kartı işleminde kullanılan PIN'in şifrelenmiş bir gösterimi. İşlem sırasında hassas bilgilerin güvenli bir şekilde iletilmesini sağlar
CDE'nin korunması, müşteri ödeme bilgilerinin güvenliği ve gizliliği için gereklidir ve aşağıdakilere yardımcı olur:
- Müşteri güvenini koruma - müşteriler ödeme bilgilerinin güvenli bir şekilde işlenmesini ve gizli tutulmasını bekler. Bir şirket, müşteri ödeme verilerinin çalınmasına neden olan bir veri ihlaliyle karşılaşırsa, şirkete olan müşteri güvenini düşürebilir ve itibar zararlarına neden olabilir.
- Düzenlemelere uyun - kredi kartı işlemlerini gerçekleştiren şirketlerin PCI-DSS ile uyumlu olması gerekir. Uyulmaması cezalara, yasal yükümlülüklere ve sonuçtaki itibar hasarına neden olur.
- Finansal risk azaltma -veri ihlalleri, adli araştırma maliyetleri, yasal ücretler ve etkilenen müşteriler için tazminat gibi önemli finansal etkilere sahiptir.
- İş sürekliliği - veri ihlalleri iş operasyonlarını kesintiye uğratır ve kredi kartı işlem süreçlerini etkileyebilir. Bu senaryo gelir kaybına, operasyonel kesintilere ve itibar hasarına yol açabilir.
PCI denetim kapsamı
PCI denetim kapsamı, CHD ve/veya SAD depolama, işleme veya iletimindeki sistemler, ağlar ve süreçlerle ilgilidir. Hesap Verileri bir bulut ortamında depolanıyor, işleniyor veya iletiliyorsa, PCI-DSS bu ortam için geçerlidir ve uyumluluk genellikle bulut ortamının ve kullanımın doğrulanmasından oluşur. PCI denetimi kapsamında beş temel öğe vardır:
- Kart sahibi veri ortamı (CDE) - CHD ve/veya SAD'ın depolandığı, işlendiği veya iletildiği alan. Bir kuruluşun ağlar ve ağ bileşenleri, veritabanları, sunucular, uygulamalar ve ödeme terminalleri gibi CHD'ye dokunan bileşenlerini içerir.
- Çalışanlar, yükleniciler ve üçüncü taraf hizmet sağlayıcıları gibi CDE erişimi olan kişiler , PCI denetimi kapsamındadır.
- Yetkilendirme, kimlik doğrulaması, şifreleme ve hesap verilerinin herhangi bir biçimde depolanması gibi CHD içeren işlemler, PCI denetimi kapsamındadır.
- Teknoloji : Yazıcılar gibi donanımlar ve tarama, yazdırma ve faks, bilgisayarlar, dizüstü bilgisayarlar iş istasyonları, yönetim iş istasyonları, tabletler ve mobil cihazlar, yazılımlar ve diğer BT sistemleri gibi son kullanıcı cihazları da dahil olmak üzere CHD'yi işleyen, depolayan veya ileten teknoloji, PCI denetimi kapsamındadır.
- ChD/SAD'ı depolamayan, işleyemeyen veya iletmeyen ancak CHD/SAD'ı depolayan, işleyen veya ileten ya da CDE'nin güvenliğini etkileyebilecek sistem bileşenlerine sınırsız bağlantısı olan sistem bileşenleri .
PCI kapsamı en aza indirilirse kuruluşlar güvenlik olaylarının etkilerini etkili bir şekilde azaltabilir ve veri ihlali riskini azaltabilir. Segmentlere ayırma, PCI CDE'nin boyutunu azaltmaya yönelik değerli bir strateji olabilir ve bu da aşağıdakiler dahil ancak bunlarla sınırlı olmamak üzere uyumluluk maliyetlerinin ve kuruluş için genel avantajların azaltılmasına neden olabilir:
- Maliyet tasarrufu - Kuruluşlar denetim kapsamını sınırlayarak zaman, kaynak ve giderleri denetimden geçirilerek maliyet tasarrufuna yol açar.
- Riski azaltma - Daha küçük bir PCI denetim kapsamı kart sahibi verilerini işleme, depolama ve iletme ile ilgili olası riskleri azaltır. Denetime tabi olan sistem, ağ ve uygulama sayısı sınırlıysa, kuruluşlar kritik varlıklarının güvenliğini sağlamaya ve risk riskini azaltmaya odaklanır.
- Kolaylaştırılmış uyumluluk - Denetim kapsamını daraltma, PCI-DSS uyumluluğunu daha yönetilebilir ve kolaylaştırılmış hale getirir. Sonuçlar daha verimli denetimler, daha az uyumluluk sorunu ve uyumsuzluk cezalarına neden olan riski azaltır.
- Geliştirilmiş güvenlik duruşu - sistemlerin ve süreçlerin daha küçük bir alt kümesiyle kuruluşlar güvenlik kaynaklarını ve çabalarını verimli bir şekilde ayırır. Güvenlik ekipleri kritik varlıkların güvenliğini sağlamaya ve güvenlik açıklarını hedefli ve etkili bir şekilde belirlemeye odaklandıkça, sonuçlar daha güçlü bir güvenlik duruşudur.
PCI denetim kapsamını azaltma stratejileri
Bir kuruluşun CDE'si tanımı PCI denetim kapsamını belirler. Kuruluşlar bu tanımı belgeler ve denetimi gerçekleştiren PCI-DSS Nitelikli Güvenlik Değerlendiricisi'ne (QSA) iletir. QSA, uyumluluğu belirlemek için CDE denetimlerini değerlendirir. PCI standartlarına uymak ve etkili risk azaltmanın kullanılması, işletmelerin müşteri kişisel ve finansal verilerini korumalarına yardımcı olur ve bu da operasyonlarına güven sağlar. Aşağıdaki bölümde PCI denetim kapsamında riski azaltmaya yönelik stratejiler özetlenmiştir.
Belirteç oluşturma
Belirteç oluşturma bir veri güvenliği tekniğidir. Kredi kartı numaraları gibi hassas bilgileri hassas verileri açığa çıkarmadan işlemler için depolanan ve kullanılan benzersiz bir belirteçle değiştirmek için belirteç oluşturmayı kullanın. Belirteçler, aşağıdaki gereksinimler için PCI denetiminin kapsamını azaltır:
- Gereksinim 3 - Depolanan Hesap Verilerini Koruma
- Gereksinim 4 - Açık Genel Ağlar Üzerinden İletim Sırasında Kart Sahibi Verilerini Güçlü Şifreleme ile Koruma
- Gereksinim 9 - Kart Sahibi Verilerine Fiziksel Erişimi Kısıtlama
- Gereksinim 10 - Sistem Bileşenlerine ve Kart Sahibi Verilerine Tüm Erişimi Günlüğe Kaydetme ve İzleme.
Bulut tabanlı işleme metodolojilerini kullanırken hassas veriler ve işlemler için ilgili riskleri göz önünde bulundurun. Bu riskleri azaltmak için, verileri korumak ve işlem kesintilerini önlemek için ilgili güvenlik önlemlerini ve acil durum planlarını uygulamanız önerilir. En iyi uygulama olarak, verileri sınıflandırmak ve CDE'nin ayak izini azaltmak için yöntem olarak ödeme belirteci oluşturmayı kullanın. Ödeme belirteci ile hassas veriler, veri hırsızlığı riskini azaltan ve CDE'deki hassas bilgilerin açığa çıkmasına sınırlayan benzersiz bir tanımlayıcıyla değiştirilir.
Güvenli CDE
PCI-DSS, kuruluşların güvenli bir CDE tutmasını gerektirir. Etkin bir şekilde yapılandırılan CDE sayesinde işletmeler risk riskini azaltabilir ve hem şirket içi hem de bulut ortamları için ilgili maliyetleri azaltabilir. Bu yaklaşım, BIR PCI denetiminin kapsamını en aza indirmeye yardımcı olur ve standartla uyumluluğu göstermeyi daha kolay ve daha uygun maliyetli hale getirir.
CDE'nin güvenliğini sağlamak üzere Microsoft Entra Id'yi yapılandırmak için:
- Kullanıcılar için parolasız kimlik bilgilerini kullanma: İş İçin Windows Hello, FIDO2 güvenlik anahtarları ve Microsoft Authenticator uygulaması
- İş yükü kimlikleri için güçlü kimlik bilgileri kullanın: Azure kaynakları için sertifikalar ve yönetilen kimlikler.
- Varsa VPN, uzak masaüstü ve ağ erişim noktaları gibi erişim teknolojilerini kimlik doğrulaması için Microsoft Entra ID ile tümleştirme
- Microsoft Entra rolleri, ayrıcalıklı erişim grupları ve Azure kaynakları için ayrıcalıklı kimlik yönetimini ve erişim gözden geçirmelerini etkinleştirme
- PCI gereksinimi denetimlerini zorunlu kılmak için Koşullu Erişim ilkelerini kullanın: kimlik bilgisi gücü, cihaz durumu ve bunları konum, grup üyeliği, uygulamalar ve risk temelinde zorunlu kılma
- DCE iş yükleri için modern kimlik doğrulamasını kullanma
- Güvenlik bilgileri ve olay yönetimi (SIEM) sistemlerinde Microsoft Entra günlüklerini arşivleyin
Uygulamaların ve kaynakların kimlik ve erişim yönetimi (IAM) için Microsoft Entra Kimliğini kullandığı durumlarda, Microsoft Entra kiracıları PCI denetimi kapsamındadır ve buradaki yönergeler geçerlidir. Kuruluşların en iyi mimarilerini belirlemek için PCI olmayan ve PCI iş yükleri arasında kimlik ve kaynak yalıtımı gereksinimlerini değerlendirmesi gerekir.
Daha fazla bilgi edinin
- Temsilcili yönetim ve yalıtılmış ortamlara giriş
- Microsoft Authenticator uygulamasını kullanma
- Azure kaynakları için yönetilen kimlikler nedir?
- Erişim gözden geçirmeleri nedir?
- Koşullu Erişim nedir?
- Microsoft Entra Id'de denetim günlükleri
Sorumluluk matrisi oluşturma
PCI uyumluluğu, aşağıdakiler dahil ancak bunlarla sınırlı olmamak üzere ödeme kartı işlemlerini işleyen varlıkların sorumluluğundadır:
- Tüccar
- Kart hizmeti sağlayıcıları
- Satıcı hizmet sağlayıcıları
- Bankaları satın alma
- Ödeme işlemcileri
- Ödeme kartı verenler
- Donanım satıcıları
Bu varlıklar, ödeme kartı işlemlerinin güvenli bir şekilde işlenmesini ve PCI-DSS uyumlu olmasını sağlar. Ödeme kartı işlemlerine katılan tüm varlıkların PCI uyumluluğunu sağlamaya yardımcı olan bir rolü vardır.
Azure PCI DSS uyumluluk durumu, Azure'da oluşturduğunuz veya barındırdığınız hizmetler için otomatik olarak PCI-DSS doğrulamasına çevrilmiyor. PCI-DSS gereksinimleriyle uyumluluğu sağladığınızı güvence altına alırsınız.
Uyumluluğu korumak için sürekli süreçler oluşturma
Sürekli süreçler sürekli izleme ve uyumluluk duruşunun geliştirilmesini gerektirir. PCI uyumluluğunu korumak için sürekli işlemlerin avantajları:
- Güvenlik olayları ve uyumsuzluk riskini azaltma
- Geliştirilmiş veri güvenliği
- Mevzuat gereksinimleriyle daha iyi hizalama
- Artan müşteri ve paydaş güveni
Devam eden süreçlerle kuruluşlar mevzuat ortamındaki değişikliklere ve sürekli gelişen güvenlik tehditlerine etkili bir şekilde yanıt verir.
- Risk değerlendirmesi – Kredi kartı veri güvenlik açıklarını ve güvenlik risklerini belirlemek için bu işlemi gerçekleştirin. Olası tehditleri belirleyin, ortaya çıkabilecek tehditleri değerlendirin ve işletme üzerindeki olası etkileri değerlendirin.
- Güvenlik farkındalığı eğitimi - Kredi kartı verilerini işleyen çalışanlar, kart sahibi verilerini korumanın önemini ve bunu yapmaya yönelik önlemleri netleştirmek için düzenli güvenlik farkındalığı eğitimi alır.
- Güvenlik açığı yönetimi - Saldırganlar tarafından yararlanılabilen ağ veya sistem zayıflıklarını belirlemek için düzenli güvenlik açığı taramaları ve sızma testleri gerçekleştirin.
- Erişim denetimi ilkelerini izleyin ve koruyun. Kredi kartı verilerine erişim yetkili kişilerle sınırlıdır. Yetkisiz erişim girişimlerini tanımlamak için erişim günlüklerini izleyin.
- Olay yanıtı : Olay yanıtı planı, güvenlik ekiplerinin kredi kartı verilerini içeren güvenlik olayları sırasında eylem gerçekleştirmelerine yardımcı olur. Olay nedenini belirleme, hasarı içerme ve normal işlemleri zamanında geri yükleme.
- Uyumluluk izleme - ve denetim, PCI-DSS gereksinimleriyle sürekli uyumluluğu sağlamak için yapılır. Güvenlik günlüklerini gözden geçirin, düzenli ilke incelemeleri yapın ve sistem bileşenlerinin doğru yapılandırıldığından ve korundığından emin olun.
Paylaşılan altyapı için güçlü güvenlik uygulama
Genellikle Azure gibi web hizmetleri, müşteri verilerinin aynı fiziksel sunucuda veya veri depolama cihazında depolanabileceği paylaşılan bir altyapıya sahiptir. Bu senaryo, yetkisiz müşterilerin sahip olmadığı verilere erişme riskini ve paylaşılan altyapıyı hedefleyen kötü amaçlı aktörlerin riskini oluşturur. Microsoft Entra güvenlik özellikleri, paylaşılan altyapıyla ilişkili riskleri azaltmaya yardımcı olur:
- Modern kimlik doğrulama protokollerini destekleyen ağ erişim teknolojilerine kullanıcı kimlik doğrulaması: sanal özel ağ (VPN), uzak masaüstü ve ağ erişim noktaları.
- Kullanıcı bağlamı, cihaz, konum ve risk gibi sinyallere göre güçlü kimlik doğrulama yöntemlerini ve cihaz uyumluluğunu zorunlu kılan erişim denetimi ilkeleri.
- Koşullu Erişim, kimlik temelli bir denetim düzlemi sağlar ve kararlar almak ve kuruluş ilkelerini zorunlu kılmak için sinyalleri bir araya getirir.
- Ayrıcalıklı rol idaresi - erişim gözden geçirmeleri, tam zamanında (JIT) etkinleştirme vb.
Daha fazla bilgi edinin: Koşullu Erişim nedir?
Veri yerleşimi
PCI-DSS, kredi kartı veri depolaması için belirli bir coğrafi konum belirtmez. Ancak, kuruluşun güvenlik ve mevzuat gereksinimlerine bağlı olarak coğrafi kısıtlamalar içerebilecek kart sahibi verilerinin güvenli bir şekilde depolanmasını gerektirir. Farklı ülke ve bölgelerin veri koruma ve gizlilik yasaları vardır. Geçerli veri yerleşimi gereksinimlerini belirlemek için bir yasal danışmana veya uyumluluk danışmanına danışın.
Daha fazla bilgi edinin: Microsoft Entra Kimliği ve veri yerleşimi
Üçüncü taraf güvenlik riskleri
PCI uyumlu olmayan bir üçüncü taraf sağlayıcı, PCI uyumluluğu için risk oluşturur. Kart sahibi verilerini korumak için gerekli denetimlerin sürdürülmesini sağlamak için üçüncü taraf satıcıları ve hizmet sağlayıcılarını düzenli olarak değerlendirin ve izleyin.
Veri yerleşimindeki Microsoft Entra özellikleri ve işlevleri, üçüncü taraf güvenlikle ilişkili riskleri azaltmaya yardımcı olur.
Günlüğe kaydetme ve izleme
Güvenlik olaylarını zamanında algılamak ve yanıtlamak için doğru günlüğe kaydetme ve izleme uygulayın. Microsoft Entra ID, denetim ve etkinlik günlükleri ve SIEM sistemiyle tümleştirilebilen raporlar ile PCI uyumluluğunu yönetmeye yardımcı olur. Microsoft Entra ID, kuruluşları yetkisiz erişim ve veri hırsızlığından korumak için hassas kaynaklara, şifrelemeye ve tehdit koruması özelliklerine erişimin güvenliğini sağlamak için rol tabanlı erişim denetimine (RBAC) ve MFA'ya sahiptir.
Daha fazla bilgi edinin:
Çok uygulamalı ortamlar: CDE dışında konak
PCI-DSS, kredi kartı bilgilerini kabul eden, işleyen, depolayan veya ileten şirketlerin güvenli bir ortam sağlamasını sağlar. CDE dışında barındırmak aşağıdaki gibi risklere neden olur:
- Kötü erişim denetimi ve kimlik yönetimi, hassas verilere ve sistemlere yetkisiz erişime neden olabilir
- Güvenlik olaylarının yetersiz günlüğe kaydedilmesi ve izlenmesi, güvenlik olaylarının algılanması ve yanıtlanması için engellenir
- Yetersiz şifreleme ve tehdit koruması, veri hırsızlığı ve yetkisiz erişim riskini artırır
- Kullanıcılar için kötü veya hiç güvenlik farkındalığı ve eğitimi, kimlik avı gibi önlenebilir sosyal mühendislik saldırılarına neden olabilir
Sonraki adımlar
PCI-DSS gereksinimleri 3, 4, 9 ve 12 , Microsoft Entra Id için geçerli olmadığından ilgili makale yoktur. Tüm gereksinimleri görmek için pcisecuritystandards.org: Resmi PCI Güvenlik Standartları Konseyi Sitesi'ne gidin.
Microsoft Entra Id'yi PCI-DSS ile uyumlu olacak şekilde yapılandırmak için aşağıdaki makalelere bakın.
- Microsoft Entra PCI-DSS kılavuzu (Buradasınız)
- Gereksinim 1: Ağ Güvenlik Denetimlerini Yükleme ve Koruma
- Gereksinim 2: Tüm Sistem Bileşenlerine Güvenli Yapılandırmalar Uygulama
- Gereksinim 5: Tüm Sistemleri ve Ağları Kötü Amaçlı Yazılımlardan Koruma
- Gereksinim 6: Güvenli Sistemler ve Yazılımlar Geliştirme ve Koruma
- Gereksinim 7: Sistem Bileşenlerine ve Kart Sahibi Verilerine Erişimi İşletmelerin Bilmesi Gerekenlere Göre Kısıtlama
- Gereksinim 8: Kullanıcıları Tanımlama ve Sistem Bileşenlerine Erişimin Kimliğini Doğrulama
- Gereksinim 10: Sistem Bileşenlerine ve Kart Sahibi Verilerine Tüm Erişimi Günlüğe Kaydetme ve İzleme
- Gereksinim 11: Sistemlerin ve Ağların Güvenliğini Düzenli Olarak Test Edin
- Microsoft Entra PCI-DSS Multi-Factor Authentication kılavuzu