Microsoft Entra PCI-DSS 指引

支付卡產業安全標準委員會（PCI SSC）負責開發和推廣資料安全性標準和資源，包括支付卡產業資料安全性標準（PCI-DSS），以確保付款交易的安全性。 若要達到 PCI 合規性，使用 Microsoft Entra ID 的組織可以參考本檔中的指引。 不過，組織有責任確保其 PCI 合規性。 其 IT 小組、SecOps 小組和解決方案架構設計人員負責建立和維護安全系統、產品和網路，以處理、處理及儲存付款卡資訊。

雖然 Microsoft Entra ID 有助於符合一些 PCI-DSS 控制需求，並提供新式身分識別和持卡人資料環境的存取通訊協定（CDE）資源，但它不應該是保護持卡人資料的唯一機制。 因此，請檢閱本檔集和所有 PCI-DSS 需求，以建立可保留客戶信任的完整安全性計畫。 如需完整需求清單，請流覽官方 PCI 安全性標準委員會網站，網址為 pcisecuritystandards.org： 官方 PCI 安全性標準委員會網站

控制項的 PCI 需求

全球 PCI-DSS v4.0 會建立保護帳戶資料的技術和操作標準的基準。 它「旨在鼓勵和增強支付卡帳戶資料安全性，並促進全球廣泛採用一致的資料安全措施。 其提供技術與操作需求的基準，其設計目的是保護帳戶資料。 雖然其設計目的是要專注于具有付款卡帳戶資料的環境，但 PCI-DSS 也可以用來防範威脅，並保護付款生態系統中的其他元素。

Microsoft Entra 設定和 PCI-DSS

本檔是負責管理身分識別和存取管理 （IAM） 與 Microsoft Entra ID，以符合支付卡產業資料安全性標準 （PCI DSS） 的技術和商務領導者的完整指南。 依照本檔中概述的主要需求、最佳做法和方法，組織可以降低 PCI 不符合規範的範圍、複雜度和風險，同時提升安全性最佳做法和標準合規性。 本檔中提供的指引旨在協助組織以符合必要 PCI DSS 需求的方式設定 Microsoft Entra ID，並提升有效的 IAM 做法。

技術和商務領導者可以使用下列指引，以使用 Microsoft Entra ID 履行身分識別和存取管理 （IAM） 的責任。 如需其他 Microsoft 工作負載中 PCI-DSS 的詳細資訊，請參閱 Microsoft 雲端安全性基準測試概觀（v1）。

PCI-DSS 需求和測試套裝程式含 12 個主要需求，以確保支付卡資訊的安全處理。 這些需求是一個全面的架構，可協助組織保護付款卡交易和保護敏感性持卡人資料。

Microsoft Entra ID 是一項企業身分識別服務，可保護應用程式、系統和資源，以支援 PCI-DSS 合規性。 下表具有 PCI 主體需求和 Microsoft Entra ID 建議的 PCI-DSS 合規性控制項連結。

主要 PCI-DSS 需求

PCI-DSS 需求 3 、 4 、 9 和 12 不會由 Microsoft Entra ID 處理或符合，因此沒有對應的文章。 若要查看所有需求，請移至 pcisecuritystandards.org： 官方 PCI 安全性標準委員會網站 。

PCI 資料安全性標準 - 高階概觀	Microsoft Entra ID 建議的 PCI-DSS 控制項
建置和維護安全網路與系統	1.安裝和維護網路安全性控制 措施 2。將安全設定套用至所有系統元件
保護帳戶資料	3.保護預存帳戶資料 4。 在透過公用網路傳輸期間使用強式密碼編譯保護持卡人資料
維護弱點管理計畫	5.保護所有系統和網路免于惡意軟體 6。開發和維護安全系統和軟體
實作強式存取控制量值	7.依商務需要限制 系統元件和持卡人資料的存取 8。識別和驗證系統元件 9 的存取權。 限制對系統元件和持卡人資料的實體存取
定期監視及測試網路	10.記錄和監視系統元件和持卡人資料 11 的所有存取權。定期測試系統與網路的安全性
維護資訊安全性原則	12.使用組織原則和程式支援資訊安全

PCI-DSS 適用性

PCI-DSS 適用于儲存、處理或傳輸持卡人資料（CHD）和/或敏感性資料的組織（SAD）。 這些資料元素會視為一起，稱為帳戶資料。 PCI-DSS 為影響持卡人資料環境 （CDE） 的組織提供安全性指導方針和需求。 保護 CDE 的實體可確保客戶付款資訊的機密性和安全性。

CHD 包含：

• 主要帳戶號碼 （PAN） - 識別簽發者和持卡人帳戶的唯一付款卡號碼（信用卡、轉帳卡或預付卡等）
• 持卡人名稱 – 卡片擁有者
• 卡片到期日 – 卡片到期的日期和時間
• 服務代碼 - 磁條中的三位數或四位數值，緊接著追蹤資料上付款卡的到期日。 它會定義服務屬性、區分國際與國家/地區交換，或識別使用限制。

SAD 包含用來驗證持卡人和/或授權付款卡交易的安全性相關資訊。 SAD 包含，但不限於：

• 完整軌道資料 - 磁條或晶片對等
• 卡片驗證碼/值 - 也稱為卡片驗證碼 （CVC）， 或值 （CVV）。 這是付款卡正面或背面的三位數或四位數值。 它也稱為 CAV2、CVC2、CVN2、CVV2 或 CID，由參與付款品牌 （PPB） 決定。
• PIN - 個人識別碼
  • PIN 區塊 - 用於轉帳或信用卡交易之 PIN 的加密標記法。 它可確保交易期間機密資訊的安全傳輸

保護 CDE 對於客戶付款資訊的安全性和機密性至關重要，並有助於：

• 保留客戶信任 - 客戶預期其付款資訊會安全地處理並保密。 如果公司遇到導致客戶付款資料遭竊的資料外泄，可能會降低客戶對公司的信任，並造成信譽損害。
• 遵守法規 - 處理信用卡交易的公司必須符合 PCI-DSS。 不符合規定會導致罰款、法律責任和信譽損害。
• 財務風險降低 -資料外泄具有顯著的財務影響，包括法醫調查的成本、法律費用，以及受影響客戶的補償。
• 商務持續性 - 資料外泄會中斷商務營運，並可能會影響信用卡交易程式。 此案例可能會導致營收、營運中斷和信譽損失。

PCI 稽核範圍

PCI 稽核範圍與儲存體、處理或傳輸 CHD 和/或 SAD 中的系統、網路和進程有關。 如果在雲端環境中儲存、處理或傳輸帳戶資料，PCI-DSS 會套用至該環境，且合規性通常涉及雲端環境的驗證及其使用方式。 PCI 稽核的範圍中有五個基本元素：

• 持卡人資料環境 （CDE） - CHD 和/或 SAD 儲存、處理或傳輸的區域。 它包含連絡 CHD 的組織元件，例如網路和網路元件、資料庫、伺服器、應用程式和付款終端。
• 人員 - 可存取 CDE，例如員工、承包商和協力廠商服務提供者，都在 PCI 稽核的範圍內。
• 涉及 CHD 的程式 ，例如任何格式的帳戶資料的授權、驗證、加密和儲存體，都在 PCI 稽核的範圍內。
• 技術 - 處理、儲存或傳輸 CHD，包括印表機等硬體，以及掃描、列印和傳真的多功能裝置、電腦、膝上型電腦工作站、系統管理工作站、平板電腦和行動裝置、軟體和其他 IT 系統等使用者裝置，都在 PCI 稽核的範圍內。
• 系統元件 – 可能不會儲存、處理或傳輸 CHD/SAD，但對儲存、處理或傳輸 CHD/SAD 的系統元件具有不受限制的連線，或可能會影響 CDE 安全性的系統元件。

如果 PCI 範圍最小化，組織可以有效地降低安全性事件的影響，並降低資料外泄的風險。 分割對於降低 PCI CDE 大小來說可能是一個寶貴的策略，因而降低組織的合規性成本和整體優點，包括但不限於：

• 節省 成本 - 藉由限制稽核範圍，組織可減少進行稽核的時間、資源和費用，進而節省成本。
• 降低風險暴露 - 較小的 PCI 稽核範圍可降低與處理、儲存及傳輸持卡人資料相關的潛在風險。 如果受限於稽核的系統、網路和應用程式數目有限，組織會專注于保護其重要資產並降低其風險暴露。
• 簡化的合規性 - 縮小稽核範圍可讓 PCI-DSS 合規性更容易管理及簡化。 結果更有效率的稽核、較少的合規性問題，以及產生不符合規範的處罰風險降低。
• 改善安全性狀態 - 系統與程式子集較小，組織會有效率地配置安全性資源和工作。 結果是更強大的安全性狀態，因為安全性小組專注于保護重要資產，並以有針對性且有效的方式識別弱點。

減少 PCI 稽核範圍的策略

組織的 CDE 定義決定 PCI 稽核範圍。 組織會記錄此定義，並將此定義傳達給執行稽核的 PCI-DSS 合格安全性評估者（QSA）。 QSA 會評估 CDE 的控制，以判斷合規性。 遵循 PCI 標準並使用有效風險降低可協助企業保護客戶個人和財務資料，以維持其作業的信任。 下一節概述降低 PCI 稽核範圍風險的策略。

語彙基元化

權杖化是資料安全性技術。 使用權杖化來取代敏感性資訊，例如信用卡號碼，以儲存並用於交易的唯一權杖，而不公開敏感性資料。 權杖可減少 PCI 稽核的範圍，以符合下列需求：

• 需求 3 - 保護預存帳戶資料
• 需求 4 - 在透過開放式公用網路傳輸期間使用強式密碼編譯保護持卡人資料
• 需求 9 - 限制持卡人資料的實體存取
• 需求 10 - 記錄和監視系統元件和持卡人資料的所有存取權。

使用雲端式處理方法時，請考慮敏感性資料和交易的相關風險。 若要降低這些風險，建議您實作相關的安全性措施和應變計劃，以保護資料並防止交易中斷。 最佳做法是使用付款權杖化作為解密資料的方法，並可能降低 CDE 的使用量。 使用付款權杖化，敏感性資料會取代為唯一識別碼，以降低資料竊取的風險，並限制 CDE 中敏感性資訊暴露的風險。

安全 CDE

PCI-DSS 需要組織維護安全的 CDE。 透過有效設定的 CDE，企業可以降低其風險暴露，並降低內部部署和雲端環境的相關成本。 這種方法有助於將 PCI 稽核的範圍降到最低，讓您更容易且更具成本效益地示範標準合規性。

若要設定 Microsoft Entra ID 來保護 CDE：

• 針對使用者使用無密碼認證：Windows Hello 企業版、FIDO2 安全性金鑰和 Microsoft Authenticator 應用程式
• 針對工作負載身分識別使用強認證：Azure 資源的憑證和受控識別。
  • 視需要整合 VPN、遠端桌面和網路存取點等存取技術與 Microsoft Entra ID 進行驗證
• 為 Microsoft Entra 角色、特殊許可權存取群組和 Azure 資源啟用特殊許可權身分識別管理和存取權檢閱
• 使用條件式存取原則來強制執行 PCI 需求控制項：認證強度、裝置狀態，並根據位置、群組成員資格、應用程式和風險強制執行它們
• 針對 DCE 工作負載使用新式驗證
• 在安全性資訊和事件管理中封存 Microsoft Entra 記錄 （SIEM） 系統

當應用程式和資源使用 Microsoft Entra ID 進行身分識別和存取管理（IAM）時，Microsoft Entra 租使用者位於 PCI 稽核的範圍內，並適用此處的指引。 組織必須評估非 PCI 與 PCI 工作負載之間的身分識別和資源隔離需求，以判斷其最佳架構。

深入了解

• 委派的管理與隔離環境簡介
• 如何使用 Microsoft Authenticator 應用程式
• 什麼是 Azure 資源受控識別？
• 什麼是存取權檢閱？
• 何謂條件式存取？
• Microsoft Entra 識別碼中的稽核記錄

建立責任矩陣

PCI 合規性是處理付款卡交易的實體的責任，包括但不限於：

• 客商
• 卡片服務提供者
• 商家服務提供者
• 收購銀行
• 付款處理器
• 付款卡簽發者
• 硬體廠商

這些實體可確保安全地處理付款卡交易，且符合 PCI-DSS 規範。 支付卡交易所涉及的所有實體都有一個角色，可協助確保 PCI 合規性。

Azure PCI DSS 合規性狀態不會針對您在 Azure 上建置或裝載的服務自動轉譯為 PCI-DSS 驗證。 您確定符合 PCI-DSS 需求。

建立持續程式以維護合規性

持續程式需要持續監視和改善合規性狀態。 持續程式維護 PCI 合規性的優點：

• 降低安全性事件和不符合規範的風險
• 改善的資料安全性
• 更符合法規需求
• 提高客戶和專案關係人的信心

透過進行中的程式，組織會有效地回應法規環境中的變更，以及不斷演變的安全性威脅。

• 風險評估 – 進行此程式，以識別信用卡資料弱點和安全性風險。 識別潛在威脅、評估發生的可能性威脅，以及評估業務的潛在影響。
• 安全性意識訓練 - 處理信用卡資料的員工會定期接受安全性意識訓練，以厘清保護持卡人資料的重要性，以及執行此動作的措施。
• 弱點管理 - 定期進行弱點掃描和滲透測試，以識別攻擊者可利用的網路或系統弱點。
• 監視和維護存取控制原則 - 信用卡資料的存取僅限於已授權的個人。 監視存取記錄，以識別未經授權的存取嘗試。
• 事件回應 – 事件回應計畫可協助安全性小組在涉及信用卡資料的安全性事件期間採取動作。 識別事件原因、包含損毀，並及時還原正常作業。
• 合規性監視 - 和稽核會進行，以確保持續符合 PCI-DSS 需求。 檢閱安全性記錄、定期進行原則檢閱，並確保系統元件已正確設定和維護。

實作共用基礎結構的強式安全性

一般而言，Azure 之類的 Web 服務具有共用基礎結構，其中客戶資料可能會儲存在相同的實體伺服器或資料儲存體裝置上。 此案例會建立未經授權的客戶存取其不擁有的資料的風險，以及以共用基礎結構為目標的惡意執行者的風險。 Microsoft Entra 安全性功能可協助降低與共享基礎結構相關聯的風險：

• 支援新式驗證通訊協定的網路存取技術的使用者驗證：虛擬私人網路（VPN）、遠端桌面和網路存取點。
• 根據使用者內容、裝置、位置和風險等訊號強制執行強式驗證方法和裝置合規性的存取控制原則。
• 條件式存取提供身分識別驅動控制平面，並將訊號結合在一起，以做出決策並強制執行組織原則。
• 特殊許可權角色控管 - 存取權檢閱、Just-In-Time （JIT） 啟用等。

深入瞭解： 什麼是條件式存取？

資料落地

PCI-DSS 未列舉信用卡資料儲存的特定地理位置。 不過，它需要持卡人資料安全地儲存，這可能包括地理限制，視組織的安全性和法規需求而定。 不同的國家和地區都有資料保護和隱私權法。 請洽詢法律或合規性顧問，以判斷適用的資料落地需求。

深入瞭解： Microsoft Entra 識別碼和資料落地

協力廠商安全性風險

不符合 PCI 規範的協力廠商提供者會對 PCI 合規性造成風險。 定期評估及監視協力廠商廠商和服務提供者，以確保它們維持必要的控制，以保護持卡人資料。

資料落地 中的 Microsoft Entra 特性和功能有助於降低與協力廠商安全性相關聯的風險。

記錄和監視

實作精確的記錄和監視，以及時偵測及回應安全性事件。 Microsoft Entra ID 可協助管理 PCI 合規性與稽核和活動記錄，以及可與 SIEM 系統整合的報告。 Microsoft Entra ID 具有角色型存取控制 （RBAC） 和 MFA，以保護敏感性資源、加密和威脅防護功能的存取，以保護組織免于未經授權的存取和資料竊取。

深入了解：

• 什麼是 Microsoft Entra 報表？
• Microsoft Entra 內建角色

多應用程式環境：CDE 外部主機

PCI-DSS 可確保接受、處理、儲存或傳輸信用卡資訊的公司會維護安全的環境。 在 CDE 外部裝載會帶來風險，例如：

• 存取控制和身分識別管理不佳可能會導致未經授權存取敏感性資料和系統
• 安全性事件的記錄和監視不足會妨礙偵測及回應安全性事件
• 加密和威脅防護不足會增加資料竊取和未經授權的存取風險
• 不良或沒有使用者的安全性意識和訓練可能會導致可避免的社交工程攻擊，例如網路釣魚

下一步

PCI-DSS 需求 3 、 4 、 9 和 12 不適用於 Microsoft Entra ID，因此沒有對應的文章。 若要查看所有需求，請移至 pcisecuritystandards.org： 官方 PCI 安全性標準委員會網站 。

若要設定 Microsoft Entra ID 以符合 PCI-DSS，請參閱下列文章。

• Microsoft Entra PCI-DSS 指引 （您在這裡）
• 需求 1：安裝和維護網路安全性控制
• 需求 2：將安全設定套用至所有系統元件
• 需求 5：保護所有系統和網路免于惡意軟體
• 需求 6：開發和維護安全系統和軟體
• 需求 7：依商務需求限制系統元件和持卡人資料的存取
• 需求 8：識別使用者並驗證系統元件的存取權
• 需求 10：記錄和監視系統元件和持卡人資料的所有存取
• 需求 11：定期測試系統和網路的安全性
• Microsoft Entra PCI-DSS Multi-Factor Authentication 指引