Руководство microsoft Entra PCI-DSS
Совет по безопасности индустрии платной карты (PCI SSC) отвечает за разработку и продвижение стандартов безопасности данных и ресурсов, включая стандарт безопасности данных индустрии оплаты карт (PCI-DSS), чтобы обеспечить безопасность транзакций оплаты. Для обеспечения соответствия требованиям PCI организации, использующие идентификатор Microsoft Entra, могут ссылаться на рекомендации в этом документе. Однако это ответственность организаций за обеспечение соответствия требованиям PCI. Их ИТ-команды, команды SecOps и архитекторы решений отвечают за создание и обслуживание безопасных систем, продуктов и сетей, которые обрабатывают, обрабатывают, обрабатывают и хранят сведения о платной карте.
Хотя идентификатор Microsoft Entra помогает удовлетворить некоторые требования к управлению PCI-DSS и предоставляет современные протоколы идентификации и доступа к ресурсам среды данных держателей карт (CDE), он не должен быть единственным механизмом защиты данных заполнителя карт. Поэтому просмотрите этот набор документов и все требования PCI-DSS, чтобы установить комплексную программу безопасности, которая сохраняет доверие клиентов. Полный список требований см. на официальном сайте Совета безопасности PCI на сайте pcisecuritystandards.org: Официальный сайт Совета безопасности PCI
Требования PCI для элементов управления
Глобальный стандарт PCI-DSS версии 4.0 устанавливает базовые технические и операционные стандарты для защиты данных учетной записи. Она "была разработана для поощрения и повышения безопасности данных учетной записи оплаты и содействия широкому внедрению согласованных мер безопасности данных во всем мире. Он предоставляет базовые показатели технических и операционных требований, предназначенных для защиты данных учетной записи. В то время как предназначено для сосредоточиться на средах с данными учетной записи карты оплаты, PCI-DSS также можно использовать для защиты от угроз и защиты других элементов в экосистеме оплаты".
Конфигурация Microsoft Entra и PCI-DSS
Этот документ выступает в качестве комплексного руководства для технических и бизнес-лидеров, которые отвечают за управление удостоверениями и доступом (IAM) с идентификатором Microsoft Entra ID в соответствии со стандартом безопасности данных индустрии платной карты (PCI DSS). Следуя ключевым требованиям, рекомендациям и подходам, описанным в этом документе, организации могут снизить область, сложность и риск несоответствия PCI, обеспечивая соблюдение рекомендаций и стандартов безопасности. Руководство, предоставленное в этом документе, призвано помочь организациям настроить идентификатор Microsoft Entra таким образом, чтобы соответствовать необходимым требованиям PCI DSS и способствует эффективной практике IAM.
Технические и бизнес-лидеры могут использовать следующие рекомендации для выполнения обязанностей по управлению удостоверениями и доступом (IAM) с идентификатором Microsoft Entra. Дополнительные сведения о PCI-DSS в других рабочих нагрузках Майкрософт см. в разделе "Общие сведения о тесте безопасности облака Майкрософт" (версия 1).
Требования и процедуры тестирования PCI-DSS состоят из 12 основных требований, которые обеспечивают безопасную обработку сведений о платной карте. Вместе эти требования представляют собой комплексную платформу, которая помогает организациям защищать транзакции с картой оплаты и защищать данные о конфиденциальных картах.
Идентификатор Microsoft Entra — это корпоративная служба удостоверений, которая защищает приложения, системы и ресурсы для поддержки соответствия PCI-DSS. В следующей таблице приведены требования к субъекту PCI и ссылки на рекомендуемые элементы управления Идентификатором Microsoft Entra для соответствия PCI-DSS.
Требования к PCI-DSS
Требования PCI-DSS 3, 4, 9 и 12 не удовлетворяются идентификатором Microsoft Entra, поэтому нет соответствующих статей. Чтобы просмотреть все требования, перейдите к pcisecuritystandards.org: официальный сайт Совета безопасности PCI.
| Стандарт безопасности данных PCI — общие сведения о высоком уровне | Рекомендуемые элементы управления PCI-DSS в Microsoft Entra ID |
|---|---|
| Создание и обслуживание безопасной сети и систем | 1. Установка и обслуживание элементов управления безопасностью сети 2. Применение безопасных конфигураций ко всем системным компонентам |
| Защита данных учетной записи | 3. Защита данных хранимой учетной записи 4. Защита данных заполнителей карт с помощью строгой криптографии во время передачи через общедоступные сети |
| Обслуживание программы управления уязвимостями | 5. Защита всех систем и сетей от вредоносного программного обеспечения 6. Разработка и обслуживание безопасных систем и программного обеспечения |
| Реализация строгих мер контроль доступа | 7. Ограничение доступа к системным компонентам и данным заполнителей карт по бизнесу необходимо знать 8. Определение и проверка подлинности доступа к системным компонентам 9. Ограничение физического доступа к системным компонентам и данным заполнителей карт |
| Регулярный мониторинг и тестирование сетей | 10. Журнал и мониторинг всех доступа к системным компонентам и данным заполнителей карт 11. Регулярное тестирование безопасности систем и сетей |
| Обслуживание политики информационной безопасности | 12. Поддержка информационной безопасности с помощью политик и программ организации |
Применимость PCI-DSS
PCI-DSS применяется к организациям, которые хранят, обрабатывают или передают данные заполнителей карт (CHD) и /или конфиденциальные данные проверки подлинности (SAD). Эти элементы данных, которые рассматриваются вместе, называются данными учетной записи. PCI-DSS предоставляет рекомендации и требования к безопасности для организаций, влияющих на среду данных заполнителей карт (CDE). Сущности, защищающие CDE, обеспечивают конфиденциальность и безопасность сведений о платеже клиента.
CHD состоит из следующих элементов:
- Номер основного счета (PAN) — уникальный номер карты оплаты (кредитные, дебетовые или предоплаченные карты и т. д.), определяющий издателя и учетную запись владельца карты.
- Имя заполнителя карточки — владелец карты
- Дата окончания срока действия карты — срок действия карточки истекает в день и месяц.
- Код службы — значение с тремя или четырьмя цифрами в магнитной полосе, которая соответствует дате окончания срока действия карты оплаты в данных отслеживания. Он определяет атрибуты службы, различия между международным и национальным и региональным обменом или определение ограничений использования.
SAD состоит из сведений, связанных с безопасностью, используемых для проверки подлинности владельцев карт и /или авторизации транзакций с оплатой карт. SAD включает в себя, но не ограничивается следующими способами:
- Полный трек данных — магнитная полоса или эквивалент чипа
- Коды и значения проверки карточки — также называются кодом проверки карты (CVC) или значением (CVV). Это значение с тремя или четырьмя цифрами на передней или задней части карты оплаты. Он также называется CAV2, CVC2, CVN2, CVV2 или CID, определяется участвующими брендами оплаты (PPB).
- ПИН-код — личный идентификационный номер
- Блоки ПИН-кода — зашифрованное представление ПИН-кода, используемого в транзакции дебетовой или кредитной карты. Это обеспечивает безопасную передачу конфиденциальной информации во время транзакции
Защита CDE имеет важное значение для безопасности и конфиденциальности информации о платеже клиента и помогает:
- Сохранение доверия клиентов — клиенты ожидают, что их платежная информация будет обрабатываться безопасно и конфиденциально. Если компания испытывает нарушение данных, которое приводит к краже данных оплаты клиентов, это может снизить доверие клиентов к компании и причинить репутационный ущерб.
- Соблюдение нормативных требований — компании, обрабатывающие транзакции кредитной карты, должны соответствовать стандарту PCI-DSS. Неспособность соблюдать приводит к штрафам, юридическим обязательствам и результирующий репутационный ущерб.
- Финансовые риски по устранению рисков - нарушения данных имеют значительные финансовые последствия, включая расходы на судебно-медицинские расследования, судебные сборы и компенсацию пострадавшим клиентам.
- Непрерывность бизнес-процессов — нарушения безопасности данных нарушают бизнес-операции и могут повлиять на процессы транзакций кредитной карты. Этот сценарий может привести к потере доходов, сбоям в работе и репутационным ущербом.
Область аудита PCI
Область аудита PCI относится к системам, сетям и процессам в хранилище, обработке или передаче CHD и /или SAD. Если данные учетной записи хранятся, обрабатываются или передаются в облачной среде, PCI-DSS применяется к этой среде и соответствию требованиям, как правило, включает проверку облачной среды и его использование. Существует пять основных элементов в области аудита PCI:
- Среда данных заполнителей карт (CDE) — область, в которой chD и/или SAD хранится, обрабатывается или передается. Он включает компоненты организации, которые касаются CHD, таких как сети, и сетевые компоненты, базы данных, серверы, приложения и терминалы оплаты.
- Люди - с доступом к CDE, такие как сотрудники, подрядчики и сторонние поставщики услуг, находятся в области аудита PCI.
- Процессы , которые включают chD, такие как авторизация, проверка подлинности, шифрование и хранение данных учетной записи в любом формате, находятся в пределах области аудита PCI.
- Технология — которая обрабатывает, хранит или передает chD, включая оборудование, такие как принтеры, и многофакторные устройства, которые сканируют, печатают и факсы, устройства конечных пользователей, такие как компьютеры, ноутбуки, административные рабочие станции, планшеты и мобильные устройства, программное обеспечение и другие ИТ-системы, находятся в области аудита PCI.
- Системные компоненты — которые могут не хранить, обрабатывать или передавать CHD/SAD, но имеют неограниченное подключение к системным компонентам, которые хранят, обрабатывают или передают CHD/SAD или могут повлиять на безопасность CDE.
Если область PCI сведена к минимуму, организации могут эффективно снизить последствия инцидентов безопасности и снизить риск нарушений данных. Сегментация может быть полезной стратегией сокращения размера PCI CDE, что приводит к снижению затрат на соответствие требованиям и общих преимуществ для организации, включая, но не ограничивается:
- Экономия затрат — путем ограничения области аудита, организации сокращают время, ресурсы и расходы, чтобы пройти аудит, что приводит к экономии затрат.
- Снижение риска — меньшая область аудита PCI снижает потенциальные риски, связанные с обработкой, хранением и передачей данных заполнителей карт. Если количество систем, сетей и приложений, подлежащих аудиту, ограничено, организации сосредоточены на защите своих критически важных активов и уменьшении их риска.
- Упрощенное соответствие — сужение области аудита делает соответствие PCI-DSS более управляемым и оптимизированным. Результаты являются более эффективными аудитами, меньшим количеством проблем соответствия требованиям и снижением риска возникновения несоответствующих штрафов.
- Улучшенная безопасность — с меньшим подмножеством систем и процессов, организации выделяют ресурсы безопасности и усилия эффективно. Результаты являются более сильным состоянием безопасности, так как группы безопасности сосредоточены на защите критически важных активов и выявлении уязвимостей в целевой и эффективной форме.
Стратегии уменьшения области аудита PCI
Определение cdE организации определяет область аудита PCI. Организации документирует это определение и сообщает об этом определении квалифицированной оценки безопасности PCI-DSS (QSA). QSA оценивает элементы управления для CDE, чтобы определить соответствие. Соблюдение стандартов PCI и использование эффективного устранения рисков помогает предприятиям защищать персональные и финансовые данные клиентов, которые поддерживают доверие к их операциям. В следующем разделе описаны стратегии снижения риска в области аудита PCI.
Выделение лексем
Маркеризация — это метод безопасности данных. Используйте маркеризацию для замены конфиденциальных данных, таких как номера кредитных карт, уникальным маркером, хранящимся и используемым для транзакций, без предоставления конфиденциальных данных. Маркеры сокращают область аудита PCI для следующих требований:
- Требование 3 . Защита данных хранимой учетной записи
- Требование 4 . Защита данных заполнителей карт с помощью строгой криптографии во время передачи через открытые общедоступные сети
- Требование 9 . Ограничение физического доступа к данным заполнителей карт
- Требование 10 . Ведение журнала и мониторинг доступа ко всем компонентам систем и данным заполнителей карт.
При использовании облачных методологий обработки учитывайте соответствующие риски для конфиденциальных данных и транзакций. Чтобы устранить эти риски, рекомендуется реализовать соответствующие меры безопасности и планы на непредвиденные случаи для защиты данных и предотвращения прерываний транзакций. Рекомендуется использовать маркеризацию платежей в качестве методологии для деклассификации данных и, возможно, уменьшения объема ресурсов CDE. При маркеризации оплаты конфиденциальные данные заменяются уникальным идентификатором, который снижает риск кражи данных и ограничивает воздействие конфиденциальной информации в CDE.
Безопасная CDE
PCI-DSS требует, чтобы организации поддерживали безопасный CDE. Благодаря эффективно настроенной cdE предприятия могут снизить риск риска и снизить связанные затраты как для локальных, так и для облачных сред. Этот подход помогает свести к минимуму область аудита PCI, что упрощает и эффективнее для демонстрации соответствия стандарту.
Чтобы настроить идентификатор Microsoft Entra для защиты CDE, выполните следующие действия.
- Использование учетных данных без пароля для пользователей: Windows Hello для бизнеса, ключей безопасности FIDO2 и приложения Microsoft Authenticator
- Используйте надежные учетные данные для удостоверений рабочей нагрузки: сертификаты и управляемые удостоверения для ресурсов Azure.
- Интеграция технологий доступа, таких как VPN, удаленный рабочий стол и точки доступа к сети с идентификатором Microsoft Entra для проверки подлинности, если применимо
- Включение проверки привилегированных удостоверений и проверки доступа для ролей Microsoft Entra, групп привилегированного доступа и ресурсов Azure
- Использование политик условного доступа для применения элементов управления требованиями PCI: уровень учетных данных, состояние устройства и применение их на основе расположения, членства в группах, приложений и рисков
- Использование современной проверки подлинности для рабочих нагрузок DCE
- Архивирование журналов Microsoft Entra в системах управления сведениями о безопасности и событиями (SIEM)
В тех случаях, когда приложения и ресурсы используют идентификатор Microsoft Entra для управления удостоверениями и доступом (IAM), клиенты Microsoft Entra находятся в области аудита PCI, и в этом руководстве применимо. Организации должны оценивать требования к изоляции удостоверений и ресурсов между рабочими нагрузками, отличными от PCI и PCI, чтобы определить их оптимальную архитектуру.
Подробнее
- Общие сведения о делегированном администрировании и изолированных средах
- Использование приложения Microsoft Authenticator
- Что такое управляемые удостоверения для ресурсов Azure?
- Общие сведения о проверках доступа
- Что представляет собой условный доступ?
- Журналы аудита в идентификаторе Microsoft Entra
Создание матрицы ответственности
Соответствие PCI — это ответственность за сущности, обрабатывающие транзакции с картой оплаты, включая, но не только:
- Купцы
- Поставщики услуг карточек
- Поставщики услуг для продавцов
- Приобретение банков
- Обработчики платежей
- Издатели карт оплаты
- Поставщики оборудования
Эти сущности обеспечивают безопасную обработку транзакций с картой оплаты и совместимы с PCI-DSS. Все сущности, участвующие в транзакциях карты оплаты, имеют роль для обеспечения соответствия ТРЕБОВАНИЯМ PCI.
Состояние соответствия требованиям AZURE PCI DSS не преобразуется в проверку PCI-DSS для служб, которые вы создаете или размещаете в Azure. Вы гарантируете соответствие требованиям PCI-DSS.
Создание непрерывных процессов для поддержания соответствия требованиям
Непрерывные процессы связаны с непрерывным мониторингом и улучшением состояния соответствия требованиям. Преимущества непрерывных процессов для обеспечения соответствия требованиям PCI:
- Снижение риска инцидентов безопасности и несоответствия
- Улучшенная безопасность данных
- Улучшение соответствия нормативным требованиям
- Повышение доверия клиентов и заинтересованных лиц
Благодаря текущим процессам организации эффективно реагируют на изменения в нормативной среде и постоянно изменяющиеся угрозы безопасности.
- Оценка рисков — проводите этот процесс для выявления уязвимостей данных кредитной карты и рисков безопасности. Определите потенциальные угрозы, оцените вероятность возникновения угроз и оцените потенциальные последствия для бизнеса.
- Обучение осведомленности о безопасности — сотрудники, обрабатывающие данные кредитной карты, получают регулярное обучение осведомленности о безопасности, чтобы уточнить важность защиты данных держателя карт и мер для этого.
- Управление уязвимостями — проводите регулярные проверки уязвимостей и тестирование на проникновение для выявления уязвимостей сети или системы, которые могут использоваться злоумышленниками.
- Мониторинг и обслуживание политик контроля доступа — доступ к данным кредитной карты ограничен авторизованными лицами. Отслеживайте журналы доступа, чтобы определить попытки несанкционированного доступа.
- Реагирование на инциденты — план реагирования на инциденты помогает группам безопасности принимать меры во время инцидентов безопасности с использованием данных кредитной карты. Определите причину инцидента, укажите ущерб и своевременно восстановите обычные операции.
- Мониторинг соответствия требованиям — и аудит проводится для обеспечения постоянного соответствия требованиям PCI-DSS. Просмотрите журналы безопасности, проводите регулярные проверки политик и убедитесь, что системные компоненты настроены точно и поддерживаются.
Реализация надежной безопасности для общей инфраструктуры
Как правило, веб-службы, такие как Azure, имеют общую инфраструктуру, в которой данные клиента могут храниться на одном физическом сервере или устройстве хранения данных. Этот сценарий создает риск несанкционированного доступа клиентов к данным, которым они не принадлежат, и риск вредоносных субъектов, предназначенных для общей инфраструктуры. Функции безопасности Microsoft Entra помогают снизить риски, связанные с общей инфраструктурой:
- Проверка подлинности пользователей в технологиях сетевого доступа, поддерживающих современные протоколы проверки подлинности: виртуальная частная сеть (VPN), удаленный рабочий стол и точки доступа к сети.
- Политики управления доступом, которые применяют строгие методы проверки подлинности и соответствие устройств на основе таких сигналов, как контекст пользователя, устройство, расположение и риск.
- Условный доступ предоставляет плоскость управления на основе удостоверений и объединяет сигналы, принимать решения и применять политики организации.
- Управление привилегированными ролями — проверки доступа, JIT-активация и т. д.
Дополнительные сведения: Что такое условный доступ?
Место расположения данных
PCI-DSS не содержит конкретных географических расположений для хранения данных кредитной карты. Однако для этого требуется безопасно хранить данные заполнителей карт, которые могут включать географические ограничения в зависимости от требований к безопасности и нормативным требованиям организации. В разных странах и регионах есть законы о защите данных и конфиденциальности. Обратитесь к консультанту по юридическим или соответствию требованиям, чтобы определить применимые требования к месту размещения данных.
Дополнительные сведения: Идентификатор и место расположения данных Microsoft Entra
Риски безопасности сторонних производителей
Сторонний поставщик, не совместимый с PCI, представляет риск соответствия ТРЕБОВАНИЯМ PCI. Регулярно оценивать и отслеживать сторонних поставщиков и поставщиков услуг, чтобы обеспечить соблюдение необходимых элементов управления для защиты данных держателя карт.
Функции и функции Microsoft Entra в месте расположения данных помогают снизить риски, связанные с безопасностью сторонних производителей.
Ведение журналов и мониторинг
Своевременно реализуйте точное ведение журнала и мониторинг для обнаружения и реагирования на инциденты безопасности. Идентификатор Microsoft Entra помогает управлять соответствием PCI журналам аудита и действий и отчетам, которые можно интегрировать с системой SIEM. Идентификатор Microsoft Entra имеет управление доступом на основе ролей (RBAC) и MFA для защиты доступа к конфиденциальным ресурсам, шифрованию и функциям защиты от угроз для защиты организаций от несанкционированного доступа и кражи данных.
Подробнее:
Среды с несколькими приложениями: узел за пределами CDE
PCI-DSS гарантирует, что компании, которые принимают, обрабатывают, хранят или передают данные кредитной карты в безопасной среде. Размещение за пределами CDE представляет такие риски, как:
- Плохое управление доступом и управление удостоверениями может привести к несанкционированному доступу к конфиденциальным данным и системам
- Недостаточно ведения журнала и мониторинга событий безопасности препятствует обнаружению и реагированию на инциденты безопасности
- Недостаточное шифрование и защита от угроз повышает риск кражи данных и несанкционированного доступа
- Плохо, или нет осведомленности и обучения безопасности для пользователей может привести к избегаемым атакам социальной инженерии, таким как фишинг
Следующие шаги
Требования PCI-DSS 3, 4, 9 и 12 не применимы к идентификатору Microsoft Entra, поэтому нет соответствующих статей. Чтобы просмотреть все требования, перейдите к pcisecuritystandards.org: официальный сайт Совета безопасности PCI.
Сведения о настройке идентификатора Microsoft Entra для соответствия ТРЕБОВАНИЯМ PCI-DSS см. в следующих статьях.
- Руководство microsoft Entra PCI-DSS (здесь)
- Требование 1. Установка и обслуживание элементов управления безопасностью сети
- Требование 2. Применение безопасных конфигураций ко всем системным компонентам
- Требование 5. Защита всех систем и сетей от вредоносного программного обеспечения
- Требование 6. Разработка и обслуживание безопасных систем и программного обеспечения
- Требование 7. Ограничение доступа к системным компонентам и данным заполнителей карт по бизнесу необходимо знать
- Требование 8. Определение пользователей и проверка подлинности доступа к системным компонентам
- Требование 10. Ведение журнала и мониторинг всех доступа к системным компонентам и данным заполнителей карт
- Требование 11. Регулярное тестирование безопасности систем и сетей
- Руководство по многофакторной идентификации Microsoft Entra PCI-DSS