Microsoft Entra ID 和 PCI-DSS 需求 6
需求 6:開發和維護安全系統和軟體
定義方法需求
6.1 開發和維護安全系統和軟體的程式和機制已定義並瞭解。
| PCI-DSS 定義的方法需求 | Microsoft Entra 指導方針和建議 |
|---|---|
| 6.1.1 需求 6 中識別的所有安全策略和操作程式皆為: 記載 在 所有受影響的合作物件使用 已知 |
使用此處的指引和連結來產生檔,以根據您的環境設定滿足需求。 |
| 6.1.2 需求 6 中執行活動的角色和責任記載、指派及瞭解。 | 使用此處的指引和連結來產生檔,以根據您的環境設定滿足需求。 |
6.2 定製和自定義軟體是安全地開發。
| PCI-DSS 定義的方法需求 | Microsoft Entra 指導方針和建議 |
|---|---|
| 6.2.1 定製和自定義軟體會安全地開發,如下所示: 根據業界標準和/或安全開發的最佳做法。 根據PCI-DSS(例如,安全驗證和記錄)。 在軟體開發生命週期的每個階段納入資訊安全性問題的考慮。 |
採購並開發使用新式驗證通訊協議的應用程式,例如 OAuth2 和 OpenID Connect (OIDC),其與Microsoft Entra ID 整合。 使用 Microsoft 身分識別平台 建置軟體。 Microsoft 身分識別平台最佳做法和建議 (部分機器翻譯) |
| 6.2.2 從事定製和自定義軟體的軟體開發人員每12個月至少訓練一次,如下所示: 關於與其工作功能和開發語言相關的軟體安全性。 包括安全軟體設計和安全編碼技術。 包括,如果使用安全性測試工具,如何使用工具來偵測軟體中的弱點。 |
使用下列測驗提供 Microsoft 身分識別平台 能力證明:測驗 MS-600:使用 Microsoft 365 核心服務建置應用程式和解決方案 使用下列訓練來準備測驗:MS-600:實作Microsoft身分識別 |
| 6.2.3 自定義和自定義軟體會在發行至生產環境或客戶之前進行檢閱,以識別並更正潛在的編碼弱點,如下所示: 程式代碼檢閱可確保程式代碼是根據安全的編碼指導方針所開發。 程式代碼檢閱會同時尋找現有和新興的軟體弱點。 在發行之前會實作適當的更正。 |
不適用於Microsoft Entra標識符。 |
| 6.2.3.1 如果在生產環境發行前針對定製和自定義軟體執行手動程式代碼檢閱,則程式代碼變更為: 由原始程式碼作者以外的個人檢閱,以及瞭解程式代碼檢閱技術和安全程式代碼撰寫做法的人員進行檢閱。 在發行前由管理檢閱並核准。 |
不適用於Microsoft Entra標識符。 |
| 6.2.4 軟體工程技術或其他方法由軟體開發人員定義及使用,以防止或減輕自定義和自定義軟體中的常見軟體攻擊和相關弱點,包括但不限於下列專案: 插入式攻擊,包括 SQL、LDAP、XPath 或其他命令、參數、物件、錯誤或插入類型缺陷。 對數據和數據結構的攻擊,包括嘗試操作緩衝區、指標、輸入數據或共享數據。 密碼編譯使用方式的攻擊,包括嘗試利用弱式、不安全或不適當的密碼編譯實作、演算法、加密套件或作業模式。 商業規則的攻擊,包括嘗試透過操作 API、通訊協定和通道、用戶端功能或其他系統/應用程式函式和資源,濫用或略過應用程式特性和功能。 這包括跨網站腳本 (XSS) 和跨網站偽造要求 (CSRF)。 訪問控制機制的攻擊,包括嘗試略過或濫用識別、驗證或授權機制,或嘗試利用這類機制實作中的弱點。 透過弱點識別程序中識別的任何「高風險」弱點的攻擊,如需求 6.3.1 中所定義。 |
不適用於Microsoft Entra標識符。 |
6.3 已識別並解決安全性弱點。
| PCI-DSS 定義的方法需求 | Microsoft Entra 指導方針和建議 |
|---|---|
| 6.3.1 已識別及管理安全性弱點,如下所示: 使用業界認可的安全性弱點來源來識別安全性弱點資訊,包括來自國際和國家/地區計算機緊急回應小組(CERT)的警示。 弱點會根據產業最佳做法指派風險排名,並考慮潛在影響。 風險排名會至少識別視為高風險或對環境至關重要的所有弱點。 涵蓋定製和自定義以及第三方軟體(例如作業系統和資料庫)的弱點。 |
瞭解弱點。 MSRC |安全性更新、安全性更新指南 |
| 6.3.2 定製和自定義軟體的清查,併入定製和自定義軟體的第三方軟體元件,以利於弱點和修補程式管理。 | 使用 Microsoft Entra ID 來產生應用程式的報告,以進行清查的驗證。 applicationSignInDetailedSummary 資源類型 企業應用程式中所列的應用程式 |
| 6.3.3 所有系統元件都會藉由安裝適用的安全性修補程式/更新來保護已知弱點,如下所示: 重大或高安全性修補程式/更新(根據需求 6.3.1 的風險排名程序識別)會在發行后的一個月內安裝。 所有其他適用的安全性修補程式/更新都會在實體決定的適當時間範圍內安裝(例如,在發行后的三個月內)。 |
不適用於Microsoft Entra標識符。 |
6.4 公開的 Web 應用程式會受到保護,以防止攻擊。
| PCI-DSS 定義的方法需求 | Microsoft Entra 指導方針和建議 |
|---|---|
| 6.4.1 針對公開的 Web 應用程式,會持續解決新的威脅和弱點,而且這些應用程式會受到下列已知攻擊的保護:透過手動或自動化應用程式弱點安全性評估工具或方法檢閱公開 Web 應用程式,如下所示: - 至少每 12 個月和重大變更之後一次。 – 由專門負責應用程式安全性的實體。 – 至少包括需求 6.2.4 中的所有常見軟體攻擊。 – 所有弱點都會根據需求 6.3.1 進行排名。 – 修正所有弱點。 – 在修正 或 安裝持續偵測及防止 Web 型攻擊的自動化技術解決方案之後重新評估應用程式: – 安裝在公開 Web 應用程式前,以偵測及防止 Web 型攻擊。 – 如適用,主動執行及最新狀態。 – 產生稽核記錄。 – 設定為封鎖 Web 型攻擊,或產生立即調查的警示。 |
不適用於Microsoft Entra標識符。 |
| 6.4.2 針對公開的 Web 應用程式,會部署自動化技術解決方案,持續偵測並防止 Web 型攻擊,至少具有下列專案: 已安裝在公開的 Web 應用程式前面,並設定為偵測及防止 Web 型攻擊。 主動執行,並視需要更新。 產生稽核記錄。 設定為封鎖 Web 型攻擊,或產生立即調查的警示。 |
不適用於Microsoft Entra標識符。 |
| 6.4.3 在取用者的瀏覽器中載入和執行的所有付款頁面腳本都會依下列方式進行管理: 實作方法以確認每個腳本都已獲得授權。 實作 方法可確保每個腳本的完整性。 所有腳本的清查都會以書面理由維護,說明每個腳本為何是必要的。 |
不適用於Microsoft Entra標識符。 |
6.5 所有系統元件的變更都會安全地管理。
| PCI-DSS 定義的方法需求 | Microsoft Entra 指導方針和建議 |
|---|---|
| 6.5.1 根據已建立的程式進行生產環境中所有系統元件的變更,包括: 變更的原因和描述。 安全性影響的檔。 已記載授權合作物件變更核准。 測試以確認變更不會對系統安全性造成負面影響。 針對定製和自定義軟體變更,所有更新都會在部署至生產環境之前測試是否符合需求 6.2.4。 解決失敗並返回安全狀態的程式。 |
在變更控制程式中包含Microsoft Entra 組態的變更。 |
| 6.5.2 完成重大變更后,所有適用的PCI-DSS需求都會在所有新的或變更的系統與網路上確認就緒,並視需要更新檔。 | 不適用於Microsoft Entra標識符。 |
| 6.5.3 生產前環境會與生產環境分開,並使用訪問控制強制執行分隔。 | 根據組織需求來分隔生產前環境與生產環境的方法。 具有多個租用戶的單一租 用戶資源隔離中的資源隔離 |
| 6.5.4 角色和函式會在生產環境與生產前環境之間分隔,以提供責任,以便只部署已檢閱和核准的變更。 | 瞭解特殊許可權角色和專用生產前租使用者。 Microsoft Entra 角色的最佳做法 |
| 6.5.5 Live PAN 不會用於生產階段前環境,除非這些環境包含在 CDE 中,並根據所有適用的 PCI-DSS 需求加以保護。 | 不適用於Microsoft Entra標識符。 |
| 6.5.6 測試數據和測試帳戶會在系統進入生產環境之前,從系統元件中移除。 | 不適用於Microsoft Entra標識符。 |
下一步
PCI-DSS 需求 3、 4、 9 和 12 不適用於 Microsoft Entra ID,因此沒有對應的文章。 若要查看所有需求,請移至 pcisecuritystandards.org: 官方PCI安全性標準委員會網站。
若要設定 Microsoft Entra ID 以符合 PCI-DSS,請參閱下列文章。