Gereksinim 2: Tüm Sistem Bileşenlerine Güvenli Yapılandırmalar Uygulama Tanımlı yaklaşım gereksinimleri
2.1 Tüm sistem bileşenlerine güvenli yapılandırmalar uygulamaya yönelik işlemler ve mekanizmalar tanımlanır ve anlaşılır.
PCI-DSS Tanımlı yaklaşım gereksinimleri
Microsoft Entra kılavuzu ve önerileri
2.1.1 Gereksinim 2'de tanımlanan tüm güvenlik ilkeleri ve operasyonel yordamlar şunlardır: Belgelenmiş Güncel Tutuldu
Etkilenen tüm taraflar tarafından bilinen kullanımda
Ortam yapılandırmanıza göre gereksinimleri karşılamaya yönelik belgeleri oluşturmak için buradaki kılavuzu ve bağlantıları kullanın.
2.1.2 Gereksinim 2'deki etkinlikleri gerçekleştirmeye yönelik roller ve sorumluluklar belgelenir, atanır ve anlaşılır.
Ortam yapılandırmanıza göre gereksinimleri karşılamaya yönelik belgeleri oluşturmak için buradaki kılavuzu ve bağlantıları kullanın.
2.2 Sistem bileşenleri güvenli bir şekilde yapılandırılır ve yönetilir.
PCI-DSS Tanımlı yaklaşım gereksinimleri
Microsoft Entra kılavuzu ve önerileri
2.2.1 Yapılandırma standartları şu şekilde geliştirilir, uygulanır ve korunur: Tüm sistem bileşenlerini kapsar. Bilinen tüm güvenlik açıklarını giderin. Endüstri tarafından kabul edilen sistem sağlamlaştırma standartları veya satıcı sağlamlaştırma önerileriyle tutarlı olun. Gereksinim 6.3.1'de tanımlandığı gibi yeni güvenlik açığı sorunları belirlendikçe güncelleştirilsin. Yeni sistemler bir sistem bileşeni üretim ortamına bağlanmadan önce veya hemen sonra olduğu gibi yapılandırıldığında ve doğrulandığında uygulanır.
2.2.2 Satıcı varsayılan hesapları şu şekilde yönetilir: Satıcı varsayılan hesapları kullanılacaksa, varsayılan parola Gereksinim 8.3.6'ya göre değiştirilir. Satıcı varsayılan hesapları kullanılmıyorsa, hesap kaldırılır veya devre dışı bırakılır.
Microsoft Entra Id için geçerli değildir.
2.2.3 Farklı güvenlik düzeyleri gerektiren birincil işlevler şu şekilde yönetilir: Bir sistem bileşeninde yalnızca bir birincil işlev vardır veya
aynı sistem bileşeninde farklı güvenlik düzeylerine sahip birincil işlevler birbirinden yalıtılır veya
aynı sistem bileşeninde farklı güvenlik düzeylerine sahip birincil işlevlerin tümü, işlevin gerektirdiği en yüksek güvenlik gereksinimine sahip düzeye güvenli hale getirilir.
2.2.5 Güvenli olmayan hizmetler, protokoller veya daemon'lar varsa: İş gerekçesi belgelenmiştir. Güvenli olmayan hizmetleri, protokolleri veya daemon'ları kullanma riskini azaltan ek güvenlik özellikleri belgelenir ve uygulanır.
2.3 Kablosuz ortamlar güvenli bir şekilde yapılandırılır ve yönetilir.
PCI-DSS Tanımlı yaklaşım gereksinimleri
Microsoft Entra kılavuzu ve önerileri
2.3.1 CDE'ye bağlı veya hesap verilerini aktaran kablosuz ortamlar için, tüm kablosuz satıcı varsayılanları yükleme sırasında değiştirilir veya bunlarla sınırlı olmamak üzere güvenli olduğu onaylanır: Varsayılan kablosuz şifreleme anahtarları Kablosuz erişim noktalarındaki parolalar SNMP varsayılanları Güvenlikle ilgili diğer kablosuz satıcı varsayılanları
2.3.2 CDE'ye bağlı veya hesap verilerini ileten kablosuz ortamlar için kablosuz şifreleme anahtarları şu şekilde değiştirilir: Anahtar bilgisi olan personel şirketten ayrıldığında veya bilginin gerekli olduğu rolde. Bir anahtardan şüphelenildiğinde veya gizliliğinin tehlikeye atıldığı bilindiği zaman.
Microsoft Entra Id için geçerli değildir.
Sonraki adımlar
PCI-DSS gereksinimleri 3, 4, 9 ve 12 , Microsoft Entra Id için geçerli olmadığından ilgili makale yoktur. Tüm gereksinimleri görmek için pcisecuritystandards.org: Resmi PCI Güvenlik Standartları Konseyi Sitesi'ne gidin.
Microsoft Entra Id'yi PCI-DSS ile uyumlu olacak şekilde yapılandırmak için aşağıdaki makalelere bakın.
Azure'da kullanılabilen tüm kimlik çözümlerinin kullanıma hazır olduğundan emin olmak için ilk Azure Active Directory yapılandırmasını oluşturmayı öğrenin. Bu modülde Azure AD sistemi oluşturma ve yapılandırma adımları açıklanmaktadır.