Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Совет по безопасности индустрии платной карты (PCI SSC) отвечает за разработку и продвижение стандартов безопасности данных и ресурсов, включая стандарт безопасности данных индустрии оплаты карт (PCI-DSS), чтобы обеспечить безопасность транзакций оплаты. Для обеспечения соответствия требованиям PCI организации, использующие Microsoft Entra ID, могут ссылаться на рекомендации в этом документе. Однако это ответственность организаций за обеспечение соответствия требованиям PCI. Их ИТ-команды, команды SecOps и архитекторы решений отвечают за создание и обслуживание безопасных систем, продуктов и сетей, которые обрабатывают, обрабатывают, обрабатывают и хранят информацию о платежных картах.
Хотя Microsoft Entra ID помогает удовлетворить некоторые требования управления PCI-DSS и предоставляет современные протоколы идентификации и доступа для ресурсов среды данных держателей карт (CDE), он не должен быть единственным механизмом защиты данных владельцев карт. Поэтому просмотрите этот набор документов и все требования PCI-DSS, чтобы установить комплексную программу безопасности, которая сохраняет доверие клиентов. Полный список требований см. на официальном сайте Совета безопасности PCI на сайте pcisecuritystandards.org: Официальный сайт Совета безопасности PCI
Требования PCI для элементов управления
Глобальный стандарт PCI-DSS версии 4.0 устанавливает базовые технические и операционные стандарты для защиты данных учетной записи. Она "была разработана для поощрения и повышения безопасности данных учетной записи оплаты и содействия широкому внедрению согласованных мер безопасности данных во всем мире. Он предоставляет базовые показатели технических и операционных требований, предназначенных для защиты данных учетной записи. Хотя PCI-DSS изначально предназначен для сосредоточения на средах, в которых обрабатываются данные счетов по банковским картам, его также можно использовать для защиты от угроз и обеспечения безопасности других элементов в платежной экосистеме.
Конфигурация Microsoft Entra и PCI-DSS
Этот документ служит исчерпывающим руководством для технических и бизнес-лидеров, которые отвечают за управление удостоверениями и доступом (IAM) с Microsoft Entra ID в соответствии со стандартом безопасности данных индустрии платёжных карт (PCI DSS). Следуя ключевым требованиям, рекомендациям и подходам, описанным в этом документе, организации могут снизить область, сложность и риск несоответствия PCI, обеспечивая соблюдение рекомендаций и стандартов безопасности. Руководство, предоставленное в этом документе, призвано помочь организациям настроить Microsoft Entra ID таким образом, чтобы соответствовать необходимым требованиям PCI DSS и способствует эффективной практике IAM.
Технические и бизнес-лидеры могут использовать следующие рекомендации для выполнения обязанностей по управлению идентификацией и доступом (IAM), используя Microsoft Entra ID. Для получения дополнительной информации о PCI-DSS в других рабочих нагрузках Microsoft см. в статье Обзор Microsoft Cloud Security Benchmark (v1).
Требования и процедуры тестирования PCI-DSS состоят из 12 основных требований, которые обеспечивают безопасную обработку сведений о платной карте. Вместе эти требования представляют собой комплексную платформу, которая помогает организациям защищать транзакции с картой оплаты и защищать данные о конфиденциальных картах.
Microsoft Entra ID — это корпоративная служба удостоверений, которая защищает приложения, системы и ресурсы для поддержки PCI-DSS соответствия требованиям. В следующей таблице приведены основные требования PCI и ссылки на рекомендуемые элементы управления Microsoft Entra ID для соответствия требованиям PCI-DSS.
Основные требования к PCI-DSS
PCI-DSS требования 3, 4, 9 и 12 не охватываются и не выполняются Microsoft Entra ID, таким образом, нет соответствующих статей. Чтобы просмотреть все требования, перейдите к pcisecuritystandards.org: официальный сайт Совета безопасности PCI.
| Стандарт безопасности данных PCI — краткий обзор на высоком уровне | Microsoft Entra ID рекомендуемые меры контроля PCI-DSS |
|---|---|
| Создание и обслуживание безопасной сети и систем |
1. Установка и обслуживание элементов управления безопасностью сети 2. Применение безопасных конфигураций ко всем системным компонентам |
| Защита данных учетной записи | 3. Защита данных хранимой учетной записи 4. Защита данных заполнителей карт с помощью строгой криптографии во время передачи через общедоступные сети |
| Обслуживание программы управления уязвимостями |
5. Защита всех систем и сетей от вредоносного программного обеспечения 6. Разработка и обслуживание безопасных систем и программного обеспечения |
| Реализация строгих мер управления доступом |
7. Ограничить доступ к системным компонентам и данным держателей карт в зависимости от необходимости по бизнесу 8. Идентификация и аутентификация доступа к системным компонентам 9. Ограничьте физический доступ к системным компонентам и данным держателей карт. |
| Регулярный мониторинг и тестирование сетей |
10. Логируйте и отслеживайте все обращения к системным компонентам и данным держателей карт 11. Регулярно тестируйте безопасность систем и сетей |
| Поддерживать политику информационной безопасности | 12. Поддержка информационной безопасности с помощью политик и программ организации |
Применимость PCI-DSS
PCI-DSS применяется к организациям, которые хранят, обрабатывают или передают данные заполнителей карт (CHD) и /или конфиденциальные данные проверки подлинности (SAD). Эти элементы данных, которые рассматриваются вместе, называются данными учетной записи. PCI-DSS предоставляет рекомендации и требования к безопасности для организаций, влияющих на среду данных заполнителей карт (CDE). Сущности, защищающие CDE, обеспечивают конфиденциальность и безопасность сведений о платеже клиента.
CHD состоит из следующих элементов:
- Номер основного счета (PAN) — уникальный номер карты оплаты (кредитные, дебетовые или предоплаченные карты и т. д.), определяющий издателя и учетную запись владельца карты.
- Имя заполнителя карточки — владелец карты
- Дата окончания срока действия карты — срок действия карточки истекает в день и месяц.
- Код службы — значение с тремя или четырьмя цифрами в магнитной полосе, которая соответствует дате окончания срока действия карты оплаты в данных отслеживания. Он определяет атрибуты службы, различия между международным и национальным и региональным обменом или определение ограничений использования.
SAD состоит из сведений, связанных с безопасностью, используемых для проверки подлинности владельцев карт и /или авторизации транзакций с оплатой карт. SAD включает в себя, но не ограничивается следующим:
- Полный трек данных — магнитная полоса или эквивалент чипа
- Коды и значения проверки карточки — также называются кодом проверки карты (CVC) или значением (CVV). Это значение с тремя или четырьмя цифрами на передней или задней части платежной карты. Он также называется CAV2, CVC2, CVN2, CVV2 или CID, определяется участвующими брендами оплаты (PPB).
-
ПИН-код — личный идентификационный номер
- Блоки ПИН-кода — зашифрованное представление ПИН-кода, используемого в транзакции дебетовой или кредитной карты. Это обеспечивает безопасную передачу конфиденциальной информации во время транзакции
Защита CDE имеет важное значение для безопасности и конфиденциальности информации о платеже клиента и помогает:
- Сохранение доверия клиентов — клиенты ожидают, что их платежная информация будет обрабатываться безопасно и конфиденциально. Если компания испытывает нарушение данных, которое приводит к краже данных оплаты клиентов, это может снизить доверие клиентов к компании и причинить репутационный ущерб.
- Соблюдение нормативных требований — компании, обрабатывающие транзакции кредитной карты, должны соответствовать стандарту PCI-DSS. Несоблюдение приводит к штрафам, юридическим обязательствам и вызванному репутационному ущербу.
- Смягчение финансовых рисков — утечки данных имеют значительные финансовые последствия, включая расходы на судебно-медицинские расследования, судебные сборы и компенсацию пострадавшим клиентам.
- Непрерывность бизнес-процессов — нарушения безопасности данных нарушают бизнес-операции и могут повлиять на процессы транзакций кредитной карты. Этот сценарий может привести к потере доходов, сбоям в работе и репутационным ущербом.
Область аудита PCI
Область аудита PCI включает системы, сети и процессы, связанные с хранением, обработкой или передачей CHD и/или SAD. Если данные учетной записи хранятся, обрабатываются или передаются в облачной среде, PCI-DSS применяется к этой среде и соответствию требованиям, как правило, включает проверку облачной среды и его использование. Существует пять основных элементов в области аудита PCI:
- Среда данных держателей карт (CDE) — область, в которой CHD и/или SAD хранится, обрабатывается или передается. Он включает компоненты организации, которые касаются CHD, таких как сети, и сетевые компоненты, базы данных, серверы, приложения и терминалы оплаты.
- Люди - с доступом к CDE, такие как сотрудники, подрядчики и сторонние поставщики услуг, попадают в сферу проверки на соответствие PCI.
- Процессы, которые включают CHD, такие как авторизация, проверка подлинности, шифрование и хранение данных учетной записи в любом формате, подпадают под область аудита PCI.
- Технология — которая обрабатывает, хранит или передает chD, включая оборудование, такие как принтеры, и многофакторные устройства, которые сканируют, печатают и факсы, устройства конечных пользователей, такие как компьютеры, ноутбуки, административные рабочие станции, планшеты и мобильные устройства, программное обеспечение и другие ИТ-системы, находятся в области аудита PCI.
- Системные компоненты — которые могут не хранить, обрабатывать или передавать CHD/SAD, но имеют неограниченное подключение к системным компонентам, которые хранят, обрабатывают или передают CHD/SAD или могут повлиять на безопасность CDE.
Если область PCI сведена к минимуму, организации могут эффективно снизить последствия инцидентов безопасности и снизить риск нарушений данных. Сегментация может быть полезной стратегией сокращения размера PCI CDE, что приводит к снижению затрат на соответствие требованиям и общих преимуществ для организации, включая, но не ограничивается:
- Экономия затрат — путем ограничения области аудита, организации сокращают время, ресурсы и расходы, чтобы пройти аудит, что приводит к экономии затрат.
- Снижение риска — меньшая область аудита PCI снижает потенциальные риски, связанные с обработкой, хранением и передачей данных заполнителей карт. Если количество систем, сетей и приложений, подлежащих аудиту, ограничено, организации сосредоточены на защите своих критически важных активов и уменьшении их риска.
- Упрощенное соответствие — сужение области аудита делает соответствие PCI-DSS более управляемым и оптимизированным. Результаты являются более эффективными аудитами, меньшим количеством проблем соответствия требованиям и снижением риска возникновения несоответствующих штрафов.
- Улучшенная безопасность — с меньшим подмножеством систем и процессов, организации выделяют ресурсы безопасности и усилия эффективно. Результаты являются более сильным состоянием безопасности, так как группы безопасности сосредоточены на защите критически важных активов и выявлении уязвимостей в целевой и эффективной форме.
Стратегии уменьшения области аудита PCI
Определение cdE организации определяет область аудита PCI. Организации документируют это определение и передают его квалифицированному специалисту по безопасности PCI-DSS (QSA), проводящему аудит. QSA оценивает элементы управления для CDE, чтобы определить соответствие. Соблюдение стандартов PCI и использование эффективного устранения рисков помогает предприятиям защищать персональные и финансовые данные клиентов, которые поддерживают доверие к их операциям. В следующем разделе описаны стратегии снижения риска в области аудита PCI.
Токенизация
Маркеризация — это метод безопасности данных. Используйте маркеризацию для замены конфиденциальных данных, таких как номера кредитных карт, уникальным маркером, хранящимся и используемым для транзакций, без предоставления конфиденциальных данных. Токены сокращают масштаб аудита PCI для следующих требований:
- Требование 3 . Защита данных хранимой учетной записи
- Требование 4 . Защита данных заполнителей карт с помощью строгой криптографии во время передачи через открытые общедоступные сети
- Requirement 9 — ограничение физического доступа к данным держателей карт
- Requirement 10 — регистрация и мониторинг всех доступов к компонентам системы и данным держателей карт.
При использовании облачных методологий обработки учитывайте соответствующие риски для конфиденциальных данных и транзакций. Чтобы устранить эти риски, рекомендуется реализовать соответствующие меры безопасности и планы на непредвиденные случаи для защиты данных и предотвращения прерываний транзакций. Рекомендуется использовать маркеризацию платежей в качестве методологии для деклассификации данных и, возможно, уменьшения объема ресурсов CDE. При маркеризации оплаты конфиденциальные данные заменяются уникальным идентификатором, который снижает риск кражи данных и ограничивает воздействие конфиденциальной информации в CDE.
Безопасная среда обработки данных (CDE)
PCI-DSS требует, чтобы организации поддерживали безопасный CDE. Благодаря эффективно настроенной cdE предприятия могут снизить риск риска и снизить связанные затраты как для локальных, так и для облачных сред. Этот подход помогает свести к минимуму область аудита PCI, что упрощает и эффективнее для демонстрации соответствия стандарту.
Чтобы настроить Microsoft Entra ID для защиты CDE, выполните следующие действия.
- Использование учетных данных без пароля для пользователей: Windows Hello для бизнеса, ключей безопасности FIDO2 и приложения Microsoft Authenticator
- Используйте надежные учетные данные для идентификаторов рабочих нагрузок: сертификаты и управляемые удостоверения для ресурсов Azure.
- Интегрируйте технологии доступа, такие как VPN, удаленный рабочий стол и точки доступа сети, с Microsoft Entra ID для аутентификации, если это применимо.
- Включите привилегированное управление идентичностью и проверки доступа для ролей Microsoft Entra, привилегированных групп доступа и ресурсов Azure.
- Используйте политики условного доступа для применения элементов управления, необходимых для соответствия требованиям PCI: сила учетных данных, состояние устройства и применять их на основе местоположения, членства в группах, приложений и уровня риска.
- Использование современной аутентификации для рабочих нагрузок DCE
- Архивирование журналов Microsoft Entra в системах управления сведениями о безопасности и событиями (SIEM)
В тех случаях, когда приложения и ресурсы используют Microsoft Entra ID для управления идентификацией и доступом (IAM), арендаторы Microsoft Entra входят в область действия аудита PCI, и следующие рекомендации являются применимыми. Организации должны оценивать требования к изоляции удостоверений и ресурсов для рабочих нагрузок, не связанных с PCI, и тех, которые связаны с PCI, чтобы определить их оптимальную архитектуру.
Подробнее
- Общие сведения о делегированном администрировании и изолированных средах
- Как использовать приложение Microsoft Authenticator
- Что такое управляемые удостоверения для ресурсов Azure?
- Что такое проверки доступа?
- Что такое условный доступ?
- Журналы аудита в Microsoft Entra ID
Создание матрицы ответственности
Соответствие PCI — это ответственность организаций, которые обрабатывают транзакции с платежными картами, включая, но не ограничиваясь:
- Купцы
- Поставщики услуг карточек
- Поставщики услуг для продавцов
- Приобретение банков
- Обработчики платежей
- Издатели карт оплаты
- Поставщики оборудования
Эти компании обеспечивают безопасную обработку транзакций с использованием платежных карт и соответствуют стандартам PCI-DSS. Все субъекты, участвующие в транзакциях платёжных карт, играют свою роль в обеспечении соответствия стандартам PCI.
Состояние соответствия Azure PCI DSS не автоматически означает проверку PCI DSS для служб, которые вы создаете или размещаете в Azure. Вы гарантируете соответствие требованиям PCI-DSS.
Создание непрерывных процессов для поддержания соответствия требованиям
Непрерывные процессы связаны с непрерывным мониторингом и улучшением состояния соответствия требованиям. Преимущества непрерывных процессов для обеспечения соответствия требованиям PCI:
- Снижение риска инцидентов безопасности и несоответствия
- Улучшенная безопасность данных
- Улучшение соответствия нормативным требованиям
- Повышение доверия клиентов и заинтересованных лиц
Благодаря текущим процессам организации эффективно реагируют на изменения в нормативной среде и постоянно изменяющиеся угрозы безопасности.
- Оценка рисков — проводите этот процесс для выявления уязвимостей данных кредитной карты и рисков безопасности. Определите потенциальные угрозы, оцените вероятность возникновения угроз и оцените потенциальные последствия для бизнеса.
- Security awareness training — сотрудники, которые обрабатывают данные кредитных карт, проходят регулярное обучение по вопросам осведомленности о безопасности, чтобы понять важность защиты данных держателей карт и меры, которые необходимо предпринять для их обеспечения.
- Управление уязвимостями — проводите регулярные проверки уязвимостей и тестирование на проникновение для выявления уязвимостей сети или системы, которые могут использоваться злоумышленниками.
- Контроль и поддержание политики управления доступом — доступ к данным кредитной карты ограничен авторизованными лицами. Отслеживайте журналы доступа, чтобы определить несанкционированные попытки доступа.
- Реагирование на инциденты — план реагирования на инциденты помогает группам безопасности принимать меры во время инцидентов безопасности с использованием данных кредитной карты. Определите причину инцидента, ограничьте ущерб и своевременно восстановите нормальную работу.
- Мониторинг соответствия требованиям — и аудит проводится для обеспечения постоянного соответствия требованиям PCI-DSS. Просмотрите журналы безопасности, проводите регулярные проверки политик и убедитесь, что системные компоненты настроены точно и поддерживаются.
Реализация надежной безопасности для общей инфраструктуры
Как правило, веб-службы, такие как Azure, имеют общую инфраструктуру, в которой данные клиента могут храниться на том же физическом сервере или на устройстве storage данных. Этот сценарий создает риск несанкционированного доступа незаконных пользователей к данным, которым они не принадлежат, и риск нападения вредоносных субъектов на общую инфраструктуру. Функции безопасности Microsoft Entra помогают снизить риски, связанные с общей инфраструктурой:
- Проверка подлинности пользователей в сетевых технологиях доступа, поддерживающих современные протоколы проверки подлинности: виртуальная частная сеть (VPN), удаленный рабочий стол и точки доступа сети.
- Политики управления доступом, которые применяют строгие методы аутентификации и комплаентность устройств на основе таких сигналов, как контекст пользователя, устройство, расположение и риск.
- Условный Доступ предоставляет управляющую плоскость на основе идентификации и объединяет сигналы, чтобы принимать решения и применять политики организации.
- Управление привилегированными ролями — проверки доступа, активация по требованию (JIT) и т. д.
Дополнительные сведения: Что такое условный доступ?
Место расположения данных
PCI-DSS ссылается на отсутствие определенного географического расположения для хранения данных кредитных карт. Однако для этого требуется безопасно хранить данные заполнителей карт, которые могут включать географические ограничения в зависимости от требований к безопасности и нормативным требованиям организации. В разных странах и регионах есть законы о защите данных и конфиденциальности. Обратитесь к консультанту по юридическим или соответствию требованиям, чтобы определить применимые требования к месту размещения данных.
Дополнительные сведения: Microsoft Entra ID и место расположения данных
Риски безопасности сторонних поставщиков
Сторонний поставщик, не совместимый с PCI, представляет риск соответствия ТРЕБОВАНИЯМ PCI. Регулярно оценивать и отслеживать сторонних поставщиков и поставщиков услуг, чтобы обеспечить соблюдение необходимых элементов управления для защиты данных держателя карт.
Функции и функции Microsoft Entra в месте расположения данных помогают снизить риски, связанные с безопасностью сторонних производителей.
Ведение журналов и мониторинг
Своевременно реализуйте точное ведение журнала и мониторинг для обнаружения и реагирования на инциденты безопасности. Microsoft Entra ID помогает управлять соответствием PCI журналам аудита и действий и отчетам, которые можно интегрировать с системой SIEM. Microsoft Entra ID имеет ролевое управление доступом (RBAC) и многофакторную аутентификацию (MFA) для обеспечения доступа к конфиденциальным ресурсам, шифрования и защиты от угроз, чтобы защищать организации от несанкционированного доступа и кражи данных.
Подробнее:
Среды с несколькими приложениями: размещены за пределами CDE
PCI-DSS гарантирует, что компании, которые принимают, обрабатывают, хранят или передают данные кредитной карты в безопасной среде. Размещение за пределами CDE представляет такие риски, как:
- Плохое управление доступом и идентификацией может привести к несанкционированному доступу к конфиденциальным данным и системам.
- Недостаточно ведения журнала и мониторинга событий безопасности препятствует обнаружению и реагированию на инциденты безопасности
- Недостаточное шифрование и защита от угроз безопасности повышают риск кражи данных и несанкционированного доступа.
- Отсутствие или недостаточная осведомленность и обучение вопросам безопасности пользователей могут привести к потенциально избежимым атакам социальной инженерии, таким как фишинговые атаки.
Следующие шаги
требованияPCI-DSS 34, 9 и 12 не применимы к Microsoft Entra ID, поэтому нет соответствующих статей. Чтобы просмотреть все требования, перейдите к pcisecuritystandards.org: официальный сайт Совета безопасности PCI.
Сведения о настройке Microsoft Entra ID соответствия требованиям PCI-DSS см. в следующих статьях.
- Руководство по Microsoft Entra PCI-DSS (Вы здесь)
- Требование 1. Установка и обслуживание элементов управления безопасностью сети
- Требование 2. Применение безопасных конфигураций ко всем системным компонентам
- Требование 5. Защита всех систем и сетей от вредоносного программного обеспечения
- Требование 6. Разработка и обслуживание безопасных систем и программного обеспечения
- Требование 7: ограничение доступа к системным компонентам и данным держателей карт на основе служебной необходимости
- Требование 8: Определение пользователей и аутентификация доступа к системным компонентам
- Требование 10: ведение журнала и мониторинг всех доступов к системным компонентам и данным держателей карт
- Требование 11. Регулярное тестирование безопасности систем и сетей
- Руководство по многофакторной идентификации Microsoft Entra PCI-DSS