Microsoft Entra Id ve PCI-DSS Gereksinimi 2
Gereksinim 2: Tüm Sistem Bileşenlerine Güvenli Yapılandırmalar
Uygulama Tanımlı yaklaşım gereksinimleri
2.1 Tüm sistem bileşenlerine güvenli yapılandırmalar uygulamaya yönelik işlemler ve mekanizmalar tanımlanır ve anlaşılır.
| PCI-DSS Tanımlı yaklaşım gereksinimleri | Microsoft Entra kılavuzu ve önerileri |
|---|---|
| 2.1.1 Gereksinim 2'de tanımlanan tüm güvenlik ilkeleri ve operasyonel yordamlar şunlardır: Belgelenmiş Güncel Tutuldu Etkilenen tüm taraflar tarafından bilinen kullanımda |
Ortam yapılandırmanıza göre gereksinimleri karşılamaya yönelik belgeleri oluşturmak için buradaki kılavuzu ve bağlantıları kullanın. |
| 2.1.2 Gereksinim 2'deki etkinlikleri gerçekleştirmeye yönelik roller ve sorumluluklar belgelenir, atanır ve anlaşılır. | Ortam yapılandırmanıza göre gereksinimleri karşılamaya yönelik belgeleri oluşturmak için buradaki kılavuzu ve bağlantıları kullanın. |
2.2 Sistem bileşenleri güvenli bir şekilde yapılandırılır ve yönetilir.
| PCI-DSS Tanımlı yaklaşım gereksinimleri | Microsoft Entra kılavuzu ve önerileri |
|---|---|
| 2.2.1 Yapılandırma standartları şu şekilde geliştirilir, uygulanır ve korunur: Tüm sistem bileşenlerini kapsar. Bilinen tüm güvenlik açıklarını giderin. Endüstri tarafından kabul edilen sistem sağlamlaştırma standartları veya satıcı sağlamlaştırma önerileriyle tutarlı olun. Gereksinim 6.3.1'de tanımlandığı gibi yeni güvenlik açığı sorunları belirlendikçe güncelleştirilsin. Yeni sistemler bir sistem bileşeni üretim ortamına bağlanmadan önce veya hemen sonra olduğu gibi yapılandırıldığında ve doğrulandığında uygulanır. |
Bkz. Microsoft Entra güvenlik işlemleri kılavuzu |
| 2.2.2 Satıcı varsayılan hesapları şu şekilde yönetilir: Satıcı varsayılan hesapları kullanılacaksa, varsayılan parola Gereksinim 8.3.6'ya göre değiştirilir. Satıcı varsayılan hesapları kullanılmıyorsa, hesap kaldırılır veya devre dışı bırakılır. |
Microsoft Entra Id için geçerli değildir. |
| 2.2.3 Farklı güvenlik düzeyleri gerektiren birincil işlevler şu şekilde yönetilir: Bir sistem bileşeninde yalnızca bir birincil işlev vardır veya aynı sistem bileşeninde farklı güvenlik düzeylerine sahip birincil işlevler birbirinden yalıtılır veya aynı sistem bileşeninde farklı güvenlik düzeylerine sahip birincil işlevlerin tümü, işlevin gerektirdiği en yüksek güvenlik gereksinimine sahip düzeye güvenli hale getirilir. |
En az ayrıcalıklı rolleri belirleme hakkında bilgi edinin. Microsoft Entra ID'de göreve göre en az ayrıcalıklı roller |
| 2.2.4 Yalnızca gerekli hizmetler, protokoller, daemon'lar ve işlevler etkinleştirilir ve tüm gereksiz işlevler kaldırılır veya devre dışı bırakılır. | Microsoft Entra ayarlarını gözden geçirin ve kullanılmayan özellikleri devre dışı bırakın. Kimlik altyapınızın güvenliğini sağlamanın beş adımı Microsoft Entra güvenlik işlemleri kılavuzu |
| 2.2.5 Güvenli olmayan hizmetler, protokoller veya daemon'lar varsa: İş gerekçesi belgelenmiştir. Güvenli olmayan hizmetleri, protokolleri veya daemon'ları kullanma riskini azaltan ek güvenlik özellikleri belgelenir ve uygulanır. |
Microsoft Entra ayarlarını gözden geçirin ve kullanılmayan özellikleri devre dışı bırakın. Kimlik altyapınızın güvenliğini sağlamanın beş adımı Microsoft Entra güvenlik işlemleri kılavuzu |
| 2.2.6 Sistem güvenlik parametreleri kötüye kullanımı önlemek için yapılandırılır. | Microsoft Entra ayarlarını gözden geçirin ve kullanılmayan özellikleri devre dışı bırakın. Kimlik altyapınızın güvenliğini sağlamanın beş adımı Microsoft Entra güvenlik işlemleri kılavuzu |
| 2.2.7 Tüm özel olmayan yönetim erişimi güçlü şifreleme kullanılarak şifrelenir. | Yönetim portalı, Microsoft Graph ve PowerShell gibi Microsoft Entra Id arabirimleri TLS kullanılarak aktarım sırasında şifrelenir. Ortamınızda Microsoft Entra TLS 1.1 ve 1.0 kullanımdan kaldırma için TLS 1.2 desteğini etkinleştirme |
2.3 Kablosuz ortamlar güvenli bir şekilde yapılandırılır ve yönetilir.
| PCI-DSS Tanımlı yaklaşım gereksinimleri | Microsoft Entra kılavuzu ve önerileri |
|---|---|
| 2.3.1 CDE'ye bağlı veya hesap verilerini aktaran kablosuz ortamlar için, tüm kablosuz satıcı varsayılanları yükleme sırasında değiştirilir veya bunlarla sınırlı olmamak üzere güvenli olduğu onaylanır: Varsayılan kablosuz şifreleme anahtarları Kablosuz erişim noktalarındaki parolalar SNMP varsayılanları Güvenlikle ilgili diğer kablosuz satıcı varsayılanları |
Kuruluşunuz kimlik doğrulaması için ağ erişim noktalarını Microsoft Entra ID ile tümleştirirse bkz . Gereksinim 1: Ağ Güvenlik Denetimlerini Yükleme ve Koruma. |
| 2.3.2 CDE'ye bağlı veya hesap verilerini ileten kablosuz ortamlar için kablosuz şifreleme anahtarları şu şekilde değiştirilir: Anahtar bilgisi olan personel şirketten ayrıldığında veya bilginin gerekli olduğu rolde. Bir anahtardan şüphelenildiğinde veya gizliliğinin tehlikeye atıldığı bilindiği zaman. |
Microsoft Entra Id için geçerli değildir. |
Sonraki adımlar
PCI-DSS gereksinimleri 3, 4, 9 ve 12 , Microsoft Entra Id için geçerli olmadığından ilgili makale yoktur. Tüm gereksinimleri görmek için pcisecuritystandards.org: Resmi PCI Güvenlik Standartları Konseyi Sitesi'ne gidin.
Microsoft Entra Id'yi PCI-DSS ile uyumlu olacak şekilde yapılandırmak için aşağıdaki makalelere bakın.
- Microsoft Entra PCI-DSS kılavuzu
- Gereksinim 1: Ağ Güvenlik Denetimlerini Yükleme ve Koruma
- Gereksinim 2: Tüm Sistem Bileşenlerine Güvenli Yapılandırmalar Uygulama (Buradasınız)
- Gereksinim 5: Tüm Sistemleri ve Ağları Kötü Amaçlı Yazılımlardan Koruma
- Gereksinim 6: Güvenli Sistemler ve Yazılımlar Geliştirme ve Koruma
- Gereksinim 7: Sistem Bileşenlerine ve Kart Sahibi Verilerine Erişimi İşletmelerin Bilmesi Gerekenlere Göre Kısıtlama
- Gereksinim 8: Kullanıcıları Tanımlama ve Sistem Bileşenlerine Erişimin Kimliğini Doğrulama
- Gereksinim 10: Sistem Bileşenlerine ve Kart Sahibi Verilerine Tüm Erişimi Günlüğe Kaydetme ve İzleme
- Gereksinim 11: Sistemlerin ve Ağların Güvenliğini Düzenli Olarak Test Edin
- Microsoft Entra PCI-DSS Multi-Factor Authentication kılavuzu