Руководство Microsoft Entra PCI-DSS

Совет по безопасности индустрии платной карты (PCI SSC) отвечает за разработку и продвижение стандартов безопасности данных и ресурсов, включая стандарт безопасности данных индустрии оплаты карт (PCI-DSS), чтобы обеспечить безопасность транзакций оплаты. Для обеспечения соответствия требованиям PCI организации, использующие Microsoft Entra ID, могут ссылаться на рекомендации в этом документе. Однако это ответственность организаций за обеспечение соответствия требованиям PCI. Их ИТ-команды, команды SecOps и архитекторы решений отвечают за создание и обслуживание безопасных систем, продуктов и сетей, которые обрабатывают, обрабатывают, обрабатывают и хранят информацию о платежных картах.

Хотя Microsoft Entra ID помогает удовлетворить некоторые требования управления PCI-DSS и предоставляет современные протоколы идентификации и доступа для ресурсов среды данных держателей карт (CDE), он не должен быть единственным механизмом защиты данных владельцев карт. Поэтому просмотрите этот набор документов и все требования PCI-DSS, чтобы установить комплексную программу безопасности, которая сохраняет доверие клиентов. Полный список требований см. на официальном сайте Совета безопасности PCI на сайте pcisecuritystandards.org: Официальный сайт Совета безопасности PCI

Требования PCI для элементов управления

Глобальный стандарт PCI-DSS версии 4.0 устанавливает базовые технические и операционные стандарты для защиты данных учетной записи. Она "была разработана для поощрения и повышения безопасности данных учетной записи оплаты и содействия широкому внедрению согласованных мер безопасности данных во всем мире. Он предоставляет базовые показатели технических и операционных требований, предназначенных для защиты данных учетной записи. Хотя PCI-DSS изначально предназначен для сосредоточения на средах, в которых обрабатываются данные счетов по банковским картам, его также можно использовать для защиты от угроз и обеспечения безопасности других элементов в платежной экосистеме.

Конфигурация Microsoft Entra и PCI-DSS

Этот документ служит исчерпывающим руководством для технических и бизнес-лидеров, которые отвечают за управление удостоверениями и доступом (IAM) с Microsoft Entra ID в соответствии со стандартом безопасности данных индустрии платёжных карт (PCI DSS). Следуя ключевым требованиям, рекомендациям и подходам, описанным в этом документе, организации могут снизить область, сложность и риск несоответствия PCI, обеспечивая соблюдение рекомендаций и стандартов безопасности. Руководство, предоставленное в этом документе, призвано помочь организациям настроить Microsoft Entra ID таким образом, чтобы соответствовать необходимым требованиям PCI DSS и способствует эффективной практике IAM.

Технические и бизнес-лидеры могут использовать следующие рекомендации для выполнения обязанностей по управлению идентификацией и доступом (IAM), используя Microsoft Entra ID. Для получения дополнительной информации о PCI-DSS в других рабочих нагрузках Microsoft см. в статье Обзор Microsoft Cloud Security Benchmark (v1).

Требования и процедуры тестирования PCI-DSS состоят из 12 основных требований, которые обеспечивают безопасную обработку сведений о платной карте. Вместе эти требования представляют собой комплексную платформу, которая помогает организациям защищать транзакции с картой оплаты и защищать данные о конфиденциальных картах.

Microsoft Entra ID — это корпоративная служба удостоверений, которая защищает приложения, системы и ресурсы для поддержки PCI-DSS соответствия требованиям. В следующей таблице приведены основные требования PCI и ссылки на рекомендуемые элементы управления Microsoft Entra ID для соответствия требованиям PCI-DSS.

Основные требования к PCI-DSS

PCI-DSS требования 3, 4, 9 и 12 не охватываются и не выполняются Microsoft Entra ID, таким образом, нет соответствующих статей. Чтобы просмотреть все требования, перейдите к pcisecuritystandards.org: официальный сайт Совета безопасности PCI.

Стандарт безопасности данных PCI — краткий обзор на высоком уровне Microsoft Entra ID рекомендуемые меры контроля PCI-DSS
Создание и обслуживание безопасной сети и систем 1. Установка и обслуживание элементов управления
безопасностью сети 2. Применение безопасных конфигураций ко всем системным компонентам
Защита данных учетной записи 3. Защита данных
хранимой учетной записи 4. Защита данных заполнителей карт с помощью строгой криптографии во время передачи через общедоступные сети
Обслуживание программы управления уязвимостями 5. Защита всех систем и сетей от вредоносного программного обеспечения
6. Разработка и обслуживание безопасных систем и программного обеспечения
Реализация строгих мер управления доступом 7. Ограничить доступ к системным компонентам и данным держателей карт в зависимости от необходимости по бизнесу
8. Идентификация и аутентификация доступа к системным компонентам
9. Ограничьте физический доступ к системным компонентам и данным держателей карт.
Регулярный мониторинг и тестирование сетей 10. Логируйте и отслеживайте все обращения к системным компонентам и данным держателей карт
11. Регулярно тестируйте безопасность систем и сетей
Поддерживать политику информационной безопасности 12. Поддержка информационной безопасности с помощью политик и программ организации

Применимость PCI-DSS

PCI-DSS применяется к организациям, которые хранят, обрабатывают или передают данные заполнителей карт (CHD) и /или конфиденциальные данные проверки подлинности (SAD). Эти элементы данных, которые рассматриваются вместе, называются данными учетной записи. PCI-DSS предоставляет рекомендации и требования к безопасности для организаций, влияющих на среду данных заполнителей карт (CDE). Сущности, защищающие CDE, обеспечивают конфиденциальность и безопасность сведений о платеже клиента.

CHD состоит из следующих элементов:

  • Номер основного счета (PAN) — уникальный номер карты оплаты (кредитные, дебетовые или предоплаченные карты и т. д.), определяющий издателя и учетную запись владельца карты.
  • Имя заполнителя карточки — владелец карты
  • Дата окончания срока действия карты — срок действия карточки истекает в день и месяц.
  • Код службы — значение с тремя или четырьмя цифрами в магнитной полосе, которая соответствует дате окончания срока действия карты оплаты в данных отслеживания. Он определяет атрибуты службы, различия между международным и национальным и региональным обменом или определение ограничений использования.

SAD состоит из сведений, связанных с безопасностью, используемых для проверки подлинности владельцев карт и /или авторизации транзакций с оплатой карт. SAD включает в себя, но не ограничивается следующим:

  • Полный трек данных — магнитная полоса или эквивалент чипа
  • Коды и значения проверки карточки — также называются кодом проверки карты (CVC) или значением (CVV). Это значение с тремя или четырьмя цифрами на передней или задней части платежной карты. Он также называется CAV2, CVC2, CVN2, CVV2 или CID, определяется участвующими брендами оплаты (PPB).
  • ПИН-код — личный идентификационный номер
    • Блоки ПИН-кода — зашифрованное представление ПИН-кода, используемого в транзакции дебетовой или кредитной карты. Это обеспечивает безопасную передачу конфиденциальной информации во время транзакции

Защита CDE имеет важное значение для безопасности и конфиденциальности информации о платеже клиента и помогает:

  • Сохранение доверия клиентов — клиенты ожидают, что их платежная информация будет обрабатываться безопасно и конфиденциально. Если компания испытывает нарушение данных, которое приводит к краже данных оплаты клиентов, это может снизить доверие клиентов к компании и причинить репутационный ущерб.
  • Соблюдение нормативных требований — компании, обрабатывающие транзакции кредитной карты, должны соответствовать стандарту PCI-DSS. Несоблюдение приводит к штрафам, юридическим обязательствам и вызванному репутационному ущербу.
  • Смягчение финансовых рисков — утечки данных имеют значительные финансовые последствия, включая расходы на судебно-медицинские расследования, судебные сборы и компенсацию пострадавшим клиентам.
  • Непрерывность бизнес-процессов — нарушения безопасности данных нарушают бизнес-операции и могут повлиять на процессы транзакций кредитной карты. Этот сценарий может привести к потере доходов, сбоям в работе и репутационным ущербом.

Область аудита PCI

Область аудита PCI включает системы, сети и процессы, связанные с хранением, обработкой или передачей CHD и/или SAD. Если данные учетной записи хранятся, обрабатываются или передаются в облачной среде, PCI-DSS применяется к этой среде и соответствию требованиям, как правило, включает проверку облачной среды и его использование. Существует пять основных элементов в области аудита PCI:

  • Среда данных держателей карт (CDE) — область, в которой CHD и/или SAD хранится, обрабатывается или передается. Он включает компоненты организации, которые касаются CHD, таких как сети, и сетевые компоненты, базы данных, серверы, приложения и терминалы оплаты.
  • Люди - с доступом к CDE, такие как сотрудники, подрядчики и сторонние поставщики услуг, попадают в сферу проверки на соответствие PCI.
  • Процессы, которые включают CHD, такие как авторизация, проверка подлинности, шифрование и хранение данных учетной записи в любом формате, подпадают под область аудита PCI.
  • Технология — которая обрабатывает, хранит или передает chD, включая оборудование, такие как принтеры, и многофакторные устройства, которые сканируют, печатают и факсы, устройства конечных пользователей, такие как компьютеры, ноутбуки, административные рабочие станции, планшеты и мобильные устройства, программное обеспечение и другие ИТ-системы, находятся в области аудита PCI.
  • Системные компоненты — которые могут не хранить, обрабатывать или передавать CHD/SAD, но имеют неограниченное подключение к системным компонентам, которые хранят, обрабатывают или передают CHD/SAD или могут повлиять на безопасность CDE.

Если область PCI сведена к минимуму, организации могут эффективно снизить последствия инцидентов безопасности и снизить риск нарушений данных. Сегментация может быть полезной стратегией сокращения размера PCI CDE, что приводит к снижению затрат на соответствие требованиям и общих преимуществ для организации, включая, но не ограничивается:

  • Экономия затрат — путем ограничения области аудита, организации сокращают время, ресурсы и расходы, чтобы пройти аудит, что приводит к экономии затрат.
  • Снижение риска — меньшая область аудита PCI снижает потенциальные риски, связанные с обработкой, хранением и передачей данных заполнителей карт. Если количество систем, сетей и приложений, подлежащих аудиту, ограничено, организации сосредоточены на защите своих критически важных активов и уменьшении их риска.
  • Упрощенное соответствие — сужение области аудита делает соответствие PCI-DSS более управляемым и оптимизированным. Результаты являются более эффективными аудитами, меньшим количеством проблем соответствия требованиям и снижением риска возникновения несоответствующих штрафов.
  • Улучшенная безопасность — с меньшим подмножеством систем и процессов, организации выделяют ресурсы безопасности и усилия эффективно. Результаты являются более сильным состоянием безопасности, так как группы безопасности сосредоточены на защите критически важных активов и выявлении уязвимостей в целевой и эффективной форме.

Стратегии уменьшения области аудита PCI

Определение cdE организации определяет область аудита PCI. Организации документируют это определение и передают его квалифицированному специалисту по безопасности PCI-DSS (QSA), проводящему аудит. QSA оценивает элементы управления для CDE, чтобы определить соответствие. Соблюдение стандартов PCI и использование эффективного устранения рисков помогает предприятиям защищать персональные и финансовые данные клиентов, которые поддерживают доверие к их операциям. В следующем разделе описаны стратегии снижения риска в области аудита PCI.

Токенизация

Маркеризация — это метод безопасности данных. Используйте маркеризацию для замены конфиденциальных данных, таких как номера кредитных карт, уникальным маркером, хранящимся и используемым для транзакций, без предоставления конфиденциальных данных. Токены сокращают масштаб аудита PCI для следующих требований:

  • Требование 3 . Защита данных хранимой учетной записи
  • Требование 4 . Защита данных заполнителей карт с помощью строгой криптографии во время передачи через открытые общедоступные сети
  • Requirement 9 — ограничение физического доступа к данным держателей карт
  • Requirement 10 — регистрация и мониторинг всех доступов к компонентам системы и данным держателей карт.

При использовании облачных методологий обработки учитывайте соответствующие риски для конфиденциальных данных и транзакций. Чтобы устранить эти риски, рекомендуется реализовать соответствующие меры безопасности и планы на непредвиденные случаи для защиты данных и предотвращения прерываний транзакций. Рекомендуется использовать маркеризацию платежей в качестве методологии для деклассификации данных и, возможно, уменьшения объема ресурсов CDE. При маркеризации оплаты конфиденциальные данные заменяются уникальным идентификатором, который снижает риск кражи данных и ограничивает воздействие конфиденциальной информации в CDE.

Безопасная среда обработки данных (CDE)

PCI-DSS требует, чтобы организации поддерживали безопасный CDE. Благодаря эффективно настроенной cdE предприятия могут снизить риск риска и снизить связанные затраты как для локальных, так и для облачных сред. Этот подход помогает свести к минимуму область аудита PCI, что упрощает и эффективнее для демонстрации соответствия стандарту.

Чтобы настроить Microsoft Entra ID для защиты CDE, выполните следующие действия.

  • Использование учетных данных без пароля для пользователей: Windows Hello для бизнеса, ключей безопасности FIDO2 и приложения Microsoft Authenticator
  • Используйте надежные учетные данные для идентификаторов рабочих нагрузок: сертификаты и управляемые удостоверения для ресурсов Azure.
    • Интегрируйте технологии доступа, такие как VPN, удаленный рабочий стол и точки доступа сети, с Microsoft Entra ID для аутентификации, если это применимо.
  • Включите привилегированное управление идентичностью и проверки доступа для ролей Microsoft Entra, привилегированных групп доступа и ресурсов Azure.
  • Используйте политики условного доступа для применения элементов управления, необходимых для соответствия требованиям PCI: сила учетных данных, состояние устройства и применять их на основе местоположения, членства в группах, приложений и уровня риска.
  • Использование современной аутентификации для рабочих нагрузок DCE
  • Архивирование журналов Microsoft Entra в системах управления сведениями о безопасности и событиями (SIEM)

В тех случаях, когда приложения и ресурсы используют Microsoft Entra ID для управления идентификацией и доступом (IAM), арендаторы Microsoft Entra входят в область действия аудита PCI, и следующие рекомендации являются применимыми. Организации должны оценивать требования к изоляции удостоверений и ресурсов для рабочих нагрузок, не связанных с PCI, и тех, которые связаны с PCI, чтобы определить их оптимальную архитектуру.

Подробнее

Создание матрицы ответственности

Соответствие PCI — это ответственность организаций, которые обрабатывают транзакции с платежными картами, включая, но не ограничиваясь:

  • Купцы
  • Поставщики услуг карточек
  • Поставщики услуг для продавцов
  • Приобретение банков
  • Обработчики платежей
  • Издатели карт оплаты
  • Поставщики оборудования

Эти компании обеспечивают безопасную обработку транзакций с использованием платежных карт и соответствуют стандартам PCI-DSS. Все субъекты, участвующие в транзакциях платёжных карт, играют свою роль в обеспечении соответствия стандартам PCI.

Состояние соответствия Azure PCI DSS не автоматически означает проверку PCI DSS для служб, которые вы создаете или размещаете в Azure. Вы гарантируете соответствие требованиям PCI-DSS.

Создание непрерывных процессов для поддержания соответствия требованиям

Непрерывные процессы связаны с непрерывным мониторингом и улучшением состояния соответствия требованиям. Преимущества непрерывных процессов для обеспечения соответствия требованиям PCI:

  • Снижение риска инцидентов безопасности и несоответствия
  • Улучшенная безопасность данных
  • Улучшение соответствия нормативным требованиям
  • Повышение доверия клиентов и заинтересованных лиц

Благодаря текущим процессам организации эффективно реагируют на изменения в нормативной среде и постоянно изменяющиеся угрозы безопасности.

  • Оценка рисков — проводите этот процесс для выявления уязвимостей данных кредитной карты и рисков безопасности. Определите потенциальные угрозы, оцените вероятность возникновения угроз и оцените потенциальные последствия для бизнеса.
  • Security awareness training — сотрудники, которые обрабатывают данные кредитных карт, проходят регулярное обучение по вопросам осведомленности о безопасности, чтобы понять важность защиты данных держателей карт и меры, которые необходимо предпринять для их обеспечения.
  • Управление уязвимостями — проводите регулярные проверки уязвимостей и тестирование на проникновение для выявления уязвимостей сети или системы, которые могут использоваться злоумышленниками.
  • Контроль и поддержание политики управления доступом — доступ к данным кредитной карты ограничен авторизованными лицами. Отслеживайте журналы доступа, чтобы определить несанкционированные попытки доступа.
  • Реагирование на инциденты — план реагирования на инциденты помогает группам безопасности принимать меры во время инцидентов безопасности с использованием данных кредитной карты. Определите причину инцидента, ограничьте ущерб и своевременно восстановите нормальную работу.
  • Мониторинг соответствия требованиям — и аудит проводится для обеспечения постоянного соответствия требованиям PCI-DSS. Просмотрите журналы безопасности, проводите регулярные проверки политик и убедитесь, что системные компоненты настроены точно и поддерживаются.

Реализация надежной безопасности для общей инфраструктуры

Как правило, веб-службы, такие как Azure, имеют общую инфраструктуру, в которой данные клиента могут храниться на том же физическом сервере или на устройстве storage данных. Этот сценарий создает риск несанкционированного доступа незаконных пользователей к данным, которым они не принадлежат, и риск нападения вредоносных субъектов на общую инфраструктуру. Функции безопасности Microsoft Entra помогают снизить риски, связанные с общей инфраструктурой:

  • Проверка подлинности пользователей в сетевых технологиях доступа, поддерживающих современные протоколы проверки подлинности: виртуальная частная сеть (VPN), удаленный рабочий стол и точки доступа сети.
  • Политики управления доступом, которые применяют строгие методы аутентификации и комплаентность устройств на основе таких сигналов, как контекст пользователя, устройство, расположение и риск.
  • Условный Доступ предоставляет управляющую плоскость на основе идентификации и объединяет сигналы, чтобы принимать решения и применять политики организации.
  • Управление привилегированными ролями — проверки доступа, активация по требованию (JIT) и т. д.

Дополнительные сведения: Что такое условный доступ?

Место расположения данных

PCI-DSS ссылается на отсутствие определенного географического расположения для хранения данных кредитных карт. Однако для этого требуется безопасно хранить данные заполнителей карт, которые могут включать географические ограничения в зависимости от требований к безопасности и нормативным требованиям организации. В разных странах и регионах есть законы о защите данных и конфиденциальности. Обратитесь к консультанту по юридическим или соответствию требованиям, чтобы определить применимые требования к месту размещения данных.

Дополнительные сведения: Microsoft Entra ID и место расположения данных

Риски безопасности сторонних поставщиков

Сторонний поставщик, не совместимый с PCI, представляет риск соответствия ТРЕБОВАНИЯМ PCI. Регулярно оценивать и отслеживать сторонних поставщиков и поставщиков услуг, чтобы обеспечить соблюдение необходимых элементов управления для защиты данных держателя карт.

Функции и функции Microsoft Entra в месте расположения данных помогают снизить риски, связанные с безопасностью сторонних производителей.

Ведение журналов и мониторинг

Своевременно реализуйте точное ведение журнала и мониторинг для обнаружения и реагирования на инциденты безопасности. Microsoft Entra ID помогает управлять соответствием PCI журналам аудита и действий и отчетам, которые можно интегрировать с системой SIEM. Microsoft Entra ID имеет ролевое управление доступом (RBAC) и многофакторную аутентификацию (MFA) для обеспечения доступа к конфиденциальным ресурсам, шифрования и защиты от угроз, чтобы защищать организации от несанкционированного доступа и кражи данных.

Подробнее:

Среды с несколькими приложениями: размещены за пределами CDE

PCI-DSS гарантирует, что компании, которые принимают, обрабатывают, хранят или передают данные кредитной карты в безопасной среде. Размещение за пределами CDE представляет такие риски, как:

  • Плохое управление доступом и идентификацией может привести к несанкционированному доступу к конфиденциальным данным и системам.
  • Недостаточно ведения журнала и мониторинга событий безопасности препятствует обнаружению и реагированию на инциденты безопасности
  • Недостаточное шифрование и защита от угроз безопасности повышают риск кражи данных и несанкционированного доступа.
  • Отсутствие или недостаточная осведомленность и обучение вопросам безопасности пользователей могут привести к потенциально избежимым атакам социальной инженерии, таким как фишинговые атаки.

Следующие шаги

требованияPCI-DSS 34, 9 и 12 не применимы к Microsoft Entra ID, поэтому нет соответствующих статей. Чтобы просмотреть все требования, перейдите к pcisecuritystandards.org: официальный сайт Совета безопасности PCI.

Сведения о настройке Microsoft Entra ID соответствия требованиям PCI-DSS см. в следующих статьях.