Microsoft Entra PCI-DSS 指引
支付卡產業安全標準委員會(PCI SSC)負責開發和推廣數據安全性標準和資源,包括支付卡產業數據安全性標準(PCI-DSS),以確保付款交易的安全性。 若要達到PCI合規性,使用 Microsoft Entra ID 的組織可以參考本檔中的指引。 不過,組織有責任確保其PCI合規性。 其 IT 小組、SecOps 小組和解決方案架構設計人員負責建立和維護安全系統、產品和網路,以處理、處理及儲存付款卡資訊。
雖然Microsoft Entra ID 有助於符合一些PCI-DSS控制需求,並提供新式身分識別和持卡人數據環境存取通訊協定(CDE)資源,但它不應該是保護持卡人數據的唯一機制。 因此,請檢閱本檔集和所有PCI-DSS需求,以建立可保留客戶信任的完整安全性計畫。 如需完整需求清單,請流覽官方PCI安全性標準委員會網站,網址為 pcisecuritystandards.org: 官方PCI安全性標準委員會網站
控件的PCI需求
全球PCI-DSS v4.0會建立保護帳戶數據的技術和操作標準的基準。 它“旨在鼓勵和增強支付卡賬戶數據安全性,並促進全球廣泛採用一致的數據安全措施。 其提供技術與操作需求的基準,其設計目的是保護帳戶數據。 雖然其設計目的是要專注於具有付款卡帳戶數據的環境,但PCI-DSS也可以用來防範威脅,並保護付款生態系統中的其他元素。
Microsoft Entra 設定和PCI-DSS
本文件是負責管理身分識別和存取管理 (IAM) 且符合支付卡產業數據安全性標準 (PCI DSS) Microsoft Entra ID 的技術與商務領導者的完整指南。 依照本檔中概述的主要需求、最佳做法和方法,組織可以降低PCI不符合規範的範圍、複雜度和風險,同時提升安全性最佳做法和標準合規性。 本檔中提供的指引旨在協助組織以符合必要PCI DSS需求的方式設定 Microsoft Entra ID,並提升有效的 IAM 做法。
技術和商務領導者可以使用下列指引,以Microsoft Entra ID 履行身分識別和存取管理 (IAM) 的責任。 如需其他Microsoft工作負載中PCI-DSS的詳細資訊,請參閱 Microsoft 雲端安全性效能評定概觀 (v1)。
PCI-DSS 需求和測試程式包含12個主要需求,以確保支付卡資訊的安全處理。 這些需求是一個全面的架構,可協助組織保護付款卡交易和保護敏感性持卡人數據。
Microsoft Entra ID 是一項企業身分識別服務,可保護應用程式、系統和資源以支援PCI-DSS合規性。 下表具有PCI主體需求和連結,可MicrosoftPCI-DSS合規性的 Entra ID 建議控制件。
主要PCI-DSS需求
PCI-DSS 需求 3、 4、 9 和 12 不會由Microsoft Entra ID 解決或符合,因此沒有對應的文章。 若要查看所有需求,請移至 pcisecuritystandards.org: 官方PCI安全性標準委員會網站。
| PCI 資料安全性標準 - 高階概觀 | Microsoft Entra ID 建議的PCI-DSS控件 |
|---|---|
| 建置和維護安全網路與系統 | 1.安裝和維護網路安全性控制 措施 2。將安全設定套用至所有系統元件 |
| 保護帳戶數據 | 3.保護預存帳戶數據 4。 在透過公用網路傳輸期間使用強密碼編譯保護持卡人數據 |
| 維護弱點管理計劃 | 5.保護所有系統和網路免於惡意軟體 6。開發和維護安全系統和軟體 |
| 實作強式 存取控制 量值 | 7.依商務需要限制 系統元件和持卡人數據的存取 8。識別和驗證系統元件 9的存取權。 限制對系統元件和持卡人數據的實體存取 |
| 定期監視及測試網路 | 10.記錄和監視系統元件和持卡人數據 11 的所有存取權。定期測試系統與網路的安全性 |
| 維護資訊安全策略 | 12.使用組織原則和程序支持資訊安全 |
PCI-DSS 適用性
PCI-DSS 適用於儲存、處理或傳輸持卡人數據(CHD)和/或敏感數據的組織(SAD)。 這些數據元素會視為一起,稱為帳戶數據。 PCI-DSS 為影響持卡人數據環境 (CDE) 的組織提供安全性指導方針和需求。 保護 CDE 的實體可確保客戶付款資訊的機密性和安全性。
CHD 包含:
- 主要帳戶號碼 (PAN) - 識別簽發者和持卡人帳戶的唯一付款卡號碼(信用卡、轉帳卡或預付卡等)
- 持卡人名稱 – 卡片擁有者
- 卡片到期日 – 卡片到期的日期和時間
- 服務代碼 - 磁條中的三位數或四位數值,緊接著追蹤數據上付款卡的到期日。 它會定義服務屬性、區分國際與國家/地區交換,或識別使用限制。
SAD 包含用來驗證持卡人和/或授權付款卡交易的安全性相關信息。 SAD 包含,但不限於:
- 完整軌道數據 - 磁條或晶元對等
- 卡片驗證碼/值 - 也稱為卡片驗證碼 (CVC), 或值 (CVV)。 這是付款卡正面或背面的三位數或四位數值。 它也稱為 CAV2、CVC2、CVN2、CVV2 或 CID,由參與付款品牌 (PPB) 決定。
- PIN - 個人識別碼
- PIN 區塊 - 用於轉帳或信用卡交易之 PIN 的加密表示法。 它可確保交易期間機密資訊的安全傳輸
保護 CDE 對於客戶付款資訊的安全性和機密性至關重要,並有助於:
- 保留客戶信任 - 客戶預期其付款資訊會安全地處理並保密。 如果公司遇到導致客戶付款數據遭竊的數據外泄,可能會降低客戶對公司的信任,並造成信譽損害。
- 遵守法規 - 處理信用卡交易的公司必須符合PCI-DSS。 不符合規定會導致罰款、法律責任和信譽損害。
- 財務風險降低 -數據外泄具有顯著的財務影響,包括法醫調查的成本、法律費用,以及受影響客戶的補償。
- 商務持續性 - 數據外泄會中斷商務營運,並可能會影響信用卡交易程式。 此案例可能會導致營收、營運中斷和信譽損失。
PCI 稽核範圍
PCI 稽核範圍與記憶體、處理或傳輸 CHD 和/或 SAD 中的系統、網路和進程有關。 如果在雲端環境中儲存、處理或傳輸帳戶數據,PCI-DSS 會套用至該環境,且合規性通常涉及雲端環境的驗證及其使用方式。 PCI 稽核的範圍中有五個基本元素:
- 持卡人數據環境 (CDE) - CHD 和/或 SAD 儲存、處理或傳輸的區域。 它包含連絡 CHD 的組織元件,例如網路和網路元件、資料庫、伺服器、應用程式和付款終端。
- 人員 - 可存取 CDE 的人員,例如員工、承包商和第三方服務提供者,都在PCI稽核的範圍內。
- 涉及 CHD 的程式 ,例如任何格式的帳戶數據的授權、驗證、加密和記憶體,都在 PCI 稽核的範圍內。
- 技術 - 處理、儲存或傳輸 CHD,包括印表機等硬體,以及掃描、列印和傳真的多功能裝置、計算機、膝上型電腦工作站、系統管理工作站、平板電腦和行動裝置、軟體和其他 IT 系統等使用者裝置,都在 PCI 稽核的範圍內。
- 系統元件 – 可能不會儲存、處理或傳輸 CHD/SAD,但對儲存、處理或傳輸 CHD/SAD 的系統元件具有不受限制的連線,或可能會影響 CDE 安全性的系統元件。
如果PCI範圍最小化,組織可以有效地降低安全性事件的影響,並降低數據外泄的風險。 分割對於降低PCI CDE大小來說可能是一個寶貴的策略,因而降低組織的合規性成本和整體優點,包括但不限於:
- 節省 成本 - 藉由限制稽核範圍,組織可減少進行稽核的時間、資源和費用,進而節省成本。
- 降低風險暴露 - 較小的PCI稽核範圍可降低與處理、儲存及傳輸持卡人數據相關的潛在風險。 如果受限於稽核的系統、網路和應用程式數目有限,組織會專注於保護其重要資產並降低其風險暴露。
- 簡化的合規性 - 縮小稽核範圍可讓PCI-DSS合規性更容易管理及簡化。 結果更有效率的稽核、較少的合規性問題,以及產生不符合規範的處罰風險降低。
- 改善安全性狀態 - 系統與程式子集較小,組織會有效率地配置安全性資源和工作。 結果是更強大的安全性狀態,因為安全性小組專注於保護重要資產,並以有針對性且有效的方式識別弱點。
減少PCI稽核範圍的策略
組織的 CDE 定義決定 PCI 稽核範圍。 組織會記錄此定義,並將此定義傳達給執行稽核的PCI-DSS合格安全性評估者(QSA)。 QSA 會評估 CDE 的控制,以判斷合規性。 遵循PCI標準並使用有效風險降低可協助企業保護客戶個人和財務數據,以維持其作業的信任。 下一節概述降低PCI稽核範圍風險的策略。
語彙基元化
令牌化是數據安全性技術。 使用令牌化來取代敏感性資訊,例如信用卡號碼,以儲存並用於交易的唯一令牌,而不公開敏感數據。 令牌可減少PCI稽核的範圍,以符合下列需求:
- 需求 3 - 保護預存帳戶數據
- 需求 4 - 在透過開放式公用網路傳輸期間使用強密碼編譯保護持卡人數據
- 需求 9 - 限制持卡人數據的實體存取
- 需求 10 - 記錄和監視系統元件和持卡人數據的所有存取權。
使用雲端式處理方法時,請考慮敏感數據和交易的相關風險。 若要降低這些風險,建議您實作相關的安全性措施和應變計劃,以保護數據並防止交易中斷。 最佳做法是使用付款令牌化作為解密數據的方法,並可能降低CDE的使用量。 使用付款令牌化,敏感數據會取代為唯一標識符,以降低數據竊取的風險,並限制 CDE 中敏感性資訊暴露的風險。
安全 CDE
PCI-DSS 需要組織維護安全的 CDE。 透過有效設定的 CDE,企業可以降低其風險暴露,並降低內部部署和雲端環境的相關成本。 這種方法有助於將PCI稽核的範圍降到最低,讓您更容易且更具成本效益地示範標準合規性。
若要設定 Microsoft Entra ID 來保護 CDE:
- 針對使用者使用無密碼認證:Windows Hello 企業版、FIDO2 安全性密鑰和 Microsoft Authenticator 應用程式
- 針對工作負載身分識別使用強認證:Azure 資源的憑證和受控識別。
- 視需要將 VPN、遠端桌面和網路存取點等存取技術與 Microsoft Entra ID 整合以進行驗證
- 針對Microsoft Entra 角色、特殊許可權存取群組和 Azure 資源啟用特殊許可權身分識別管理和存取權檢閱
- 使用條件式存取原則來強制執行PCI需求控制件:認證強度、裝置狀態,並根據位置、群組成員資格、應用程式和風險強制執行它們
- 針對 DCE 工作負載使用新式驗證
- 在安全性資訊和事件管理中封存Microsoft Entra 記錄
當應用程式和資源使用Microsoft Entra ID 進行身分識別和存取管理時,Microsoft Entra tenant(s) 位於PCI稽核的範圍內,且此處的指導方針適用。 組織必須評估非PCI與PCI工作負載之間的身分識別和資源隔離需求,以判斷其最佳架構。
深入了解
- 委派管理和隔離式環境的簡介
- 如何使用 Microsoft Authenticator 應用程式
- 什麼是 Azure 資源受控識別?
- 什麼是存取權檢閱?
- 何謂條件式存取?
- 在 Microsoft Entra ID 中稽核記錄
建立責任矩陣
PCI 合規性是處理付款卡交易的實體的責任,包括但不限於:
- 客商
- 卡片服務提供者
- 商家服務提供者
- 收購銀行
- 付款處理器
- 付款卡簽發者
- 硬體廠商
這些實體可確保安全地處理付款卡交易,且符合PCI-DSS規範。 支付卡交易所涉及的所有實體都有一個角色,可協助確保PCI合規性。
Azure PCI DSS 合規性狀態不會針對您在 Azure 上建置或裝載的服務自動轉譯為 PCI-DSS 驗證。 您確定符合PCI-DSS需求。
建立持續程式以維護合規性
持續程式需要持續監視和改善合規性狀態。 持續程序維護PCI合規性的優點:
- 降低安全性事件和不符合規範的風險
- 改善的數據安全性
- 更符合法規需求
- 提高客戶和項目關係人的信心
透過進行中的程式,組織會有效地回應法規環境中的變更,以及不斷演變的安全性威脅。
- 風險評估 – 進行此程式,以識別信用卡數據弱點和安全性風險。 識別潛在威脅、評估發生的可能性威脅,以及評估業務的潛在影響。
- 安全性意識訓練 - 處理信用卡數據的員工會定期接受安全性意識訓練,以釐清保護持卡人數據的重要性,以及執行此動作的措施。
- 弱點管理 - 定期進行弱點掃描和滲透測試,以識別攻擊者可利用的網路或系統弱點。
- 監視和維護訪問控制原則 - 信用卡數據的存取僅限於已授權的個人。 監視存取記錄,以識別未經授權的存取嘗試。
- 事件回應 – 事件回應計劃可協助安全性小組在涉及信用卡數據的安全性事件期間採取動作。 識別事件原因、包含損毀,並及時還原正常作業。
- 合規性監視 - 和稽核會進行,以確保持續符合PCI-DSS需求。 檢閱安全性記錄、定期進行原則檢閱,並確保系統元件已正確設定和維護。
實作共用基礎結構的強式安全性
一般而言,Azure 之類的 Web 服務具有共用基礎結構,其中客戶數據可能會儲存在相同的實體伺服器或數據記憶體裝置上。 此案例會建立未經授權的客戶存取其不擁有的數據的風險,以及以共用基礎結構為目標的惡意執行者的風險。 Microsoft Entra 安全性功能有助於降低與共用基礎結構相關聯的風險:
- 支援新式驗證通訊協定的網路存取技術的使用者驗證:虛擬專用網(VPN)、遠端桌面和網路存取點。
- 根據使用者內容、裝置、位置和風險等訊號強制執行強式驗證方法和裝置合規性的訪問控制原則。
- 條件式存取提供身分識別驅動控制平面,並將訊號結合在一起,以做出決策並強制執行組織原則。
- 特殊許可權角色控管 - 存取權檢閱、Just-In-Time (JIT) 啟用等。
深入了解:什麼是條件式存取?(部分機器翻譯)
資料落地
PCI-DSS 未列舉信用卡數據儲存的特定地理位置。 不過,它需要持卡人數據安全地儲存,這可能包括地理限制,視組織的安全性和法規需求而定。 不同的國家和地區都有數據保護和隱私權法。 請洽詢法律或合規性顧問,以判斷適用的數據落地需求。
深入瞭解: Microsoft Entra 標識符和數據落地
第三方安全性風險
不符合PCI規範的第三方提供者會對PCI合規性造成風險。 定期評估及監視第三方廠商和服務提供者,以確保它們維持必要的控制,以保護持卡人數據。
Microsoft數據落地中的 Entra 特性和功能,有助於降低與第三方安全性相關聯的風險。
記錄和監視
實作精確的記錄和監視,以及時偵測及回應安全性事件。 Microsoft Entra ID 可協助管理 PCI 合規性與稽核和活動記錄,以及可與 SIEM 系統整合的報告。 Microsoft Entra ID 具有角色型存取控制 (RBAC) 和 MFA,以保護敏感性資源、加密和威脅防護功能的存取,以保護組織免於未經授權的存取和數據竊取。
深入了解:
多應用程式環境:CDE 外部主機
PCI-DSS 可確保接受、處理、儲存或傳輸信用卡資訊的公司會維護安全的環境。 在 CDE 外部裝載會帶來風險,例如:
- 訪問控制和身分識別管理不佳可能會導致未經授權存取敏感數據和系統
- 安全性事件的記錄和監視不足會妨礙偵測及回應安全性事件
- 加密和威脅防護不足會增加數據竊取和未經授權的存取風險
- 不良或沒有使用者的安全性意識和訓練可能會導致可避免的社會工程攻擊,例如網路釣魚
下一步
PCI-DSS 需求 3、 4、 9 和 12 不適用於 Microsoft Entra ID,因此沒有對應的文章。 若要查看所有需求,請移至 pcisecuritystandards.org: 官方PCI安全性標準委員會網站。
若要設定 Microsoft Entra ID 以符合 PCI-DSS,請參閱下列文章。