Microsoft Entra Id ve PCI-DSS Gereksinimi 6
Gereksinim 6: Güvenli Sistemler ve Yazılım
Tanımlı yaklaşım gereksinimleri geliştirme ve koruma
6.1 Güvenli sistemlerin ve yazılımların geliştirilmesi ve sürdürülmesi için süreçler ve mekanizmalar tanımlanır ve anlaşılır.
| PCI-DSS Tanımlı yaklaşım gereksinimleri | Microsoft Entra kılavuzu ve önerileri |
|---|---|
| 6.1.1 Gereksinim 6'da tanımlanan tüm güvenlik ilkeleri ve operasyonel yordamlar şunlardır: Belgelenmiş Güncel Tutuldu Etkilenen tüm taraflar tarafından bilinen kullanımda |
Ortam yapılandırmanıza göre gereksinimleri karşılamaya yönelik belgeleri oluşturmak için buradaki kılavuzu ve bağlantıları kullanın. |
| 6.1.2 Gereksinim 6'da etkinlik gerçekleştirmeye yönelik roller ve sorumluluklar belgelenir, atanır ve anlaşılır. | Ortam yapılandırmanıza göre gereksinimleri karşılamaya yönelik belgeleri oluşturmak için buradaki kılavuzu ve bağlantıları kullanın. |
6.2 Bespoke ve özel yazılımlar güvenli bir şekilde geliştirilmiştir.
| PCI-DSS Tanımlı yaklaşım gereksinimleri | Microsoft Entra kılavuzu ve önerileri |
|---|---|
| 6.2.1 Bespoke ve özel yazılımlar aşağıdaki gibi güvenli bir şekilde geliştirilmiştir: Endüstri standartlarına ve/veya güvenli geliştirme için en iyi yöntemlere göre. PCI-DSS'ye uygun olarak (örneğin, güvenli kimlik doğrulaması ve günlük kaydı). Yazılım geliştirme yaşam döngüsünün her aşamasında bilgi güvenliği sorunlarının dikkate alınması. |
Microsoft Entra ID ile tümleşen OAuth2 ve OpenID Connect (OIDC) gibi modern kimlik doğrulama protokollerini kullanan uygulamalar temin edin ve geliştirin. Microsoft kimlik platformu kullanarak yazılım oluşturun. en iyi yöntemleri ve önerileri Microsoft kimlik platformu |
| 6.2.2 ısmarlama ve özel yazılım üzerinde çalışan yazılım geliştirme personeli, 12 ayda bir en az bir kez şu şekilde eğitilir: İş işlevleri ve geliştirme dilleri ile ilgili yazılım güvenliği konusunda. Güvenli yazılım tasarımı ve güvenli kodlama teknikleri dahil. Güvenlik testi araçlarının kullanılması durumunda yazılımdaki güvenlik açıklarını algılamaya yönelik araçların nasıl kullanılacağı da dahil. |
Microsoft kimlik platformu yeterlik kanıtı sağlamak için aşağıdaki sınavı kullanın: MS-600 Sınavı: Microsoft 365 Temel Hizmetleri ile Uygulama ve Çözüm Oluşturma Sınava hazırlanmak için aşağıdaki eğitimi kullanın: MS-600: Microsoft kimliğini uygulama |
| 6.2.3 Bespoke ve özel yazılımlar, üretime veya müşterilere sunulmadan önce, olası kodlama güvenlik açıklarını tanımlamak ve düzeltmek için şu şekilde gözden geçirilir: Kod incelemeleri, kodun güvenli kodlama yönergelerine göre geliştirilmesini sağlar. Kod incelemeleri hem mevcut hem de yeni ortaya çıkan yazılım güvenlik açıklarını arar. Uygun düzeltmeler yayından önce uygulanır. |
Microsoft Entra Id için geçerli değildir. |
| 6.2.3.1 Üretime yayımlanmadan önce ısmarlama ve özel yazılım için el ile kod gözden geçirmeleri yapılıyorsa, kod değişiklikleri şunlardır: Kaynak kod yazarı dışındaki kişiler tarafından gözden geçirilir ve kod gözden geçirme teknikleri ve güvenli kodlama uygulamaları hakkında bilgi sahibi olan kişiler tarafından incelenir. Yayınlanmadan önce yönetim tarafından gözden geçirilir ve onaylanır. |
Microsoft Entra Id için geçerli değildir. |
| 6.2.4 Yazılım mühendisliği teknikleri veya diğer yöntemler yazılım geliştirme personeli tarafından, aşağıdakiler dahil ancak bunlarla sınırlı olmamak üzere, özel yazılımlarda ve özel yazılımlarda yaygın yazılım saldırılarını ve ilgili güvenlik açıklarını önlemek veya azaltmak için tanımlanır ve kullanılır: SQL, LDAP, XPath veya diğer komut, parametre, nesne, hata veya ekleme türü açıkları dahil olmak üzere ekleme saldırıları. Arabellekleri, işaretçileri, giriş verilerini veya paylaşılan verileri işleme girişimleri de dahil olmak üzere veri ve veri yapılarına yönelik saldırılar. Zayıf, güvenli olmayan veya uygunsuz şifreleme uygulamalarından, algoritmalardan, şifre paketlerinden veya işlem modlarından yararlanma girişimleri de dahil olmak üzere şifreleme kullanımına yönelik saldırılar. API'lerin, iletişim protokollerinin ve kanallarının, istemci tarafı işlevselliğinin veya diğer sistem/uygulama işlevlerinin ve kaynaklarının manipülasyonu yoluyla uygulama özelliklerini ve işlevlerini kötüye kullanma veya atlama girişimleri dahil olmak üzere iş mantığına yönelik saldırılar. Bu, siteler arası betik (XSS) ve siteler arası istek sahteciliği (CSRF) içerir. Kimlik doğrulama, kimlik doğrulama veya yetkilendirme mekanizmalarını atlama veya kötüye kullanma girişimleri ya da bu mekanizmaların uygulanmasındaki zayıflıklardan yararlanma girişimleri de dahil olmak üzere erişim denetimi mekanizmalarına yönelik saldırılar. Gereksinim 6.3.1'de tanımlandığı gibi, güvenlik açığı tanımlama işleminde tanımlanan "yüksek riskli" güvenlik açıkları üzerinden yapılan saldırılar. |
Microsoft Entra Id için geçerli değildir. |
6.3 Güvenlik açıkları tanımlanır ve giderilir.
| PCI-DSS Tanımlı yaklaşım gereksinimleri | Microsoft Entra kılavuzu ve önerileri |
|---|---|
| 6.3.1 Güvenlik açıkları şu şekilde tanımlanır ve yönetilir: Yeni güvenlik açıkları, uluslararası ve ulusal/bölgesel bilgisayar acil durum müdahale ekiplerinden (CERT) gelen uyarılar da dahil olmak üzere güvenlik açığı bilgileri için sektörde tanınan kaynaklar kullanılarak tanımlanır. Güvenlik açıklarına endüstrinin en iyi yöntemlerine ve olası etkinin dikkate alınmasına göre bir risk derecelendirmesi atanır. Risk derecelendirmeleri, en azından yüksek riskli veya ortam için kritik olarak kabul edilen tüm güvenlik açıklarını tanımlar. Özel ve üçüncü taraf yazılım (örneğin işletim sistemleri ve veritabanları) için güvenlik açıkları ele alınmıştır. |
Güvenlik açıkları hakkında bilgi edinin. MSRC | Güvenlik Güncelleştirmeleri, Güvenlik Güncelleştirmesi Kılavuzu |
| 6.3.2 Güvenlik açığı ve düzeltme eki yönetimini kolaylaştırmak için ısmarlama ve özel yazılımlarla birleştirilmiş üçüncü taraf yazılım bileşenlerinin envanteri tutulur. | Envanter için kimlik doğrulaması için Microsoft Entra Id kullanarak uygulamalar için raporlar oluşturun. applicationSignInDetailedSummary kaynak türü Kurumsal uygulamalarda listelenen uygulamalar |
| 6.3.3 Tüm sistem bileşenleri, geçerli güvenlik düzeltme eklerini/güncelleştirmelerini şu şekilde yükleyerek bilinen güvenlik açıklarına karşı korunur: Kritik veya yüksek güvenlikli düzeltme ekleri/güncelleştirmeleri (Gereksinim 6.3.1'deki risk derecelendirme sürecine göre tanımlanır) yayından itibaren bir ay içinde yüklenir. Diğer tüm geçerli güvenlik düzeltme ekleri/güncelleştirmeleri, varlık tarafından belirlenen uygun bir zaman çerçevesi içinde yüklenir (örneğin, yayından sonra üç ay içinde). |
Microsoft Entra Id için geçerli değildir. |
6.4 Genel kullanıma yönelik web uygulamaları saldırılara karşı korunur.
| PCI-DSS Tanımlı yaklaşım gereksinimleri | Microsoft Entra kılavuzu ve önerileri |
|---|---|
| 6.4.1 Genel kullanıma yönelik web uygulamaları için, yeni tehditler ve güvenlik açıkları sürekli olarak ele alınır ve bu uygulamalar bilinen saldırılara karşı şu şekilde korunur: El ile veya otomatik uygulama güvenlik açığı güvenlik değerlendirmesi araçları veya yöntemleri aracılığıyla genel kullanıma yönelik web uygulamalarını gözden geçirme: – En az 12 ayda bir ve önemli değişikliklerden sonra. – Uygulama güvenliği konusunda uzmanlaşmış bir varlık tarafından. – Gereksinim 6.2.4'te en azından tüm yaygın yazılım saldırıları dahil. – Tüm güvenlik açıkları 6.3.1 gereksinimine göre sıralanır. – Tüm güvenlik açıkları düzeltilir. – Uygulama, düzeltmelerden sonra yeniden değerlendirilir VEYA Web tabanlı saldırıları sürekli olarak algılayan ve önleyen otomatik bir teknik çözüm yükleme: – Web tabanlı saldırıları algılamak ve önlemek için genel kullanıma yönelik web uygulamalarının önüne yüklenir. – Etkin bir şekilde çalışır ve uygun şekilde günceldir. – Denetim günlükleri oluşturma. – Web tabanlı saldırıları engelleyecek veya hemen araştırılan bir uyarı oluşturacak şekilde yapılandırıldı. |
Microsoft Entra Id için geçerli değildir. |
| 6.4.2 Genel kullanıma yönelik web uygulamaları için, web tabanlı saldırıları sürekli algılayan ve önleyen, en azından aşağıdakileri içeren otomatik bir teknik çözüm dağıtılır: Genel kullanıma yönelik web uygulamalarının önüne yüklenir ve web tabanlı saldırıları algılayıp önleyecek şekilde yapılandırılır. Etkin bir şekilde çalışır ve uygun şekilde güncel olur. Denetim günlükleri oluşturuluyor. Web tabanlı saldırıları engelleyecek veya hemen araştırılan bir uyarı oluşturacak şekilde yapılandırıldı. |
Microsoft Entra Id için geçerli değildir. |
| 6.4.3 Tüketicinin tarayıcısında yüklenen ve yürütülen tüm ödeme sayfası betikleri şu şekilde yönetilir: Her betiğin yetkilendirildiğini onaylamak için bir yöntem uygulanır. Her betiğin bütünlüğünü sağlamak için bir yöntem uygulanır. Tüm betiklerin envanteri, her birinin neden gerekli olduğu konusunda yazılı gerekçeyle korunur. |
Microsoft Entra Id için geçerli değildir. |
6.5 Tüm sistem bileşenlerindeki değişiklikler güvenli bir şekilde yönetilir.
| PCI-DSS Tanımlı yaklaşım gereksinimleri | Microsoft Entra kılavuzu ve önerileri |
|---|---|
| 6.5.1 Üretim ortamındaki tüm sistem bileşenlerinde yapılan değişiklikler, değişikliğin nedeni ve açıklaması gibi yerleşik yordamlara göre yapılır. Güvenlik etkisi belgeleri. Yetkili taraflarca belgelenmiş değişiklik onayı. Değişikliğin sistem güvenliğini olumsuz etkilemediğini doğrulamak için test etme. ısmarlama ve özel yazılım değişiklikleri için tüm güncelleştirmeler üretime dağıtılmadan önce Gereksinim 6.2.4 ile uyumluluk açısından test edilir. Hataları gidermek ve güvenli bir duruma dönmek için yordamlar. |
Değişiklik denetimi işlemine Microsoft Entra yapılandırmasında yapılan değişiklikleri ekleyin. |
| 6.5.2 Önemli bir değişikliğin tamamlanmasının ardından, tüm geçerli PCI-DSS gereksinimlerinin tüm yeni veya değiştirilmiş sistemlerde ve ağlarda geçerli olduğu onaylanır ve belgeler uygun olduğu şekilde güncelleştirilir. | Microsoft Entra Id için geçerli değildir. |
| 6.5.3 Üretim öncesi ortamlar üretim ortamlarından ayrılır ve erişim denetimleriyle ayrım uygulanır. | Kuruluş gereksinimlerine göre üretim öncesi ve üretim ortamlarını ayırma yaklaşımları. Tek bir kiracıda kaynak yalıtımı Birden çok kiracılı kaynak yalıtımı |
| 6.5.4 Roller ve işlevler, yalnızca gözden geçirilmiş ve onaylanan değişiklikler dağıtılacak şekilde sorumluluk sağlamak için üretim ve üretim öncesi ortamlar arasında ayrılır. | Ayrıcalıklı roller ve ayrılmış üretim öncesi kiracılar hakkında bilgi edinin. Microsoft Entra rolleri için en iyi yöntemler |
| 6.5.5 Canlı PAN'lar, bu ortamların CDE'ye dahil edildiği ve tüm uygulanabilir PCI-DSS gereksinimlerine uygun olarak korunduğu durumlar dışında ön üretim ortamlarında kullanılmaz. | Microsoft Entra Id için geçerli değildir. |
| 6.5.6 Test verileri ve test hesapları, sistem üretime geçmeden önce sistem bileşenlerinden kaldırılır. | Microsoft Entra Id için geçerli değildir. |
Sonraki adımlar
PCI-DSS gereksinimleri 3, 4, 9 ve 12 , Microsoft Entra Id'ye uygun değildir, bu nedenle buna karşılık gelen makale yoktur. Tüm gereksinimleri görmek için pcisecuritystandards.org: Resmi PCI Güvenlik Standartları Konseyi Sitesi'ne gidin.
Microsoft Entra Id'yi PCI-DSS ile uyumlu olacak şekilde yapılandırmak için aşağıdaki makalelere bakın.
- Microsoft Entra PCI-DSS kılavuzu
- Gereksinim 1: Ağ Güvenlik Denetimlerini Yükleme ve Koruma
- Gereksinim 2: Tüm Sistem Bileşenlerine Güvenli Yapılandırmalar Uygulama
- Gereksinim 5: Tüm Sistemleri ve Ağları Kötü Amaçlı Yazılımlardan Koruma
- Gereksinim 6: Güvenli Sistemleri ve Yazılımları Geliştirme ve Koruma (Buradasınız)
- Gereksinim 7: Sistem Bileşenlerine ve Kart Sahibi Verilerine Erişimi İşletmelerin Bilmesi Gerekenlere Göre Kısıtlama
- Gereksinim 8: Kullanıcıları Tanımlama ve Sistem Bileşenlerine Erişimin Kimliğini Doğrulama
- Gereksinim 10: Sistem Bileşenlerine ve Kart Sahibi Verilerine Tüm Erişimi Günlüğe Kaydetme ve İzleme
- Gereksinim 11: Sistemlerin ve Ağların Güvenliğini Düzenli Olarak Test Edin
- Microsoft Entra PCI-DSS Multi-Factor Authentication kılavuzu