A Microsoft Entra PCI-DSS útmutatója

Cikk
10/28/2023

A fizetésikártya-iparág biztonsági szabványtanácsa (PCI SSC) felelős az adatbiztonsági szabványok és erőforrások fejlesztéséért és előmozdításáért, beleértve a fizetésikártya-iparág adatbiztonsági szabványát (PCI-DSS) a fizetési tranzakciók biztonságának biztosítása érdekében. A PCI-megfelelőség érdekében a Microsoft Entra-azonosítót használó szervezetek a jelen dokumentumban található útmutatásra hivatkozhatnak. Azonban a szervezetek felelőssége, hogy biztosítsák a PCI-megfelelőségüket. Informatikai csapataik, a SecOps-csapatok és a megoldástervezők felelősek a fizetésikártya-információkat kezelő, feldolgozó és tároló biztonságos rendszerek, termékek és hálózatok létrehozásáért és karbantartásáért.

Bár a Microsoft Entra ID segít teljesíteni néhány PCI-DSS-vezérlési követelményt, és modern identitás- és hozzáférési protokollokat biztosít a kártyatulajdonosi adatkörnyezet (CDE) erőforrásaihoz, nem szabad, hogy ez legyen az egyetlen mechanizmus a kártyatulajdonosok adatainak védelmére. Ezért tekintse át ezt a dokumentumkészletet és az összes PCI-DSS-követelményt egy olyan átfogó biztonsági program létrehozásához, amely megőrzi az ügyfelek bizalmát. A követelmények teljes listájáért látogasson el a PCI Biztonsági Szabványok Tanácsának hivatalos webhelyére a pcisecuritystandards.org: Hivatalos PCI Biztonsági Szabványok Tanácsának webhelye

A vezérlők PCI-követelményei

A globális PCI-DSS v4.0 a fiókadatok védelmére vonatkozó műszaki és üzemeltetési szabványok alapkonfigurációját határozza meg. "Arra fejlesztették ki, hogy ösztönözze és javítsa a fizetésikártya-fiókok adatbiztonságát, és globálisan megkönnyítse a következetes adatbiztonsági intézkedések széles körű elfogadását. A fiókadatok védelmére tervezett technikai és üzemeltetési követelmények alapkonfigurációját biztosítja. Bár úgy tervezték, hogy a fizetésikártya-fiók adataival rendelkező környezetekre összpontosítson, a PCI-DSS a fenyegetések elleni védelemre és a fizetési ökoszisztéma egyéb elemeinek védelmére is használható."

Microsoft Entra konfiguráció és PCI-DSS

Ez a dokumentum átfogó útmutatóként szolgál azoknak a műszaki és üzleti vezetőknek, akik a Payment Card Industry Data Security Standard (PCI DSS) előírásainak megfelelően felelősek az identitás- és hozzáférés-kezelés (IAM) Microsoft Entra-azonosítóval való kezeléséért. A dokumentumban ismertetett alapvető követelmények, ajánlott eljárások és megközelítések követésével a szervezetek csökkenthetik a PCI-kompatibilitás hatókörét, összetettségét és kockázatát, miközben elősegítik a biztonsági ajánlott eljárásokat és szabványoknak való megfelelést. A dokumentumban található útmutató célja, hogy segítse a szervezeteket a Microsoft Entra-azonosítók oly módon történő konfigurálásában, hogy megfeleljenek a szükséges PCI DSS-követelményeknek, és előmozdítsák a hatékony IAM-eljárásokat.

A műszaki és üzleti vezetők az alábbi útmutatással teljesíthetik az identitás- és hozzáférés-kezelési (IAM) feladatait a Microsoft Entra ID azonosítójával. További információ a PCI-DSS-ről más Microsoft-számítási feladatokban: A Microsoft felhőbiztonsági benchmarkjának áttekintése (v1).

A PCI-DSS követelményei és a tesztelési eljárások 12 fő követelményből állnak, amelyek biztosítják a fizetésikártya-információk biztonságos kezelését. Ezek a követelmények együttesen egy átfogó keretrendszert alkotnak, amely segít a szervezeteknek a fizetésikártya-tranzakciók biztonságossá tételében és a bizalmas kártyatulajdonosok adatainak védelmében.

A Microsoft Entra ID egy nagyvállalati identitásszolgáltatás, amely biztosítja az alkalmazásokat, rendszereket és erőforrásokat a PCI-DSS-megfelelőség támogatásához. Az alábbi táblázat tartalmazza a PCI-k alapvető követelményeit és a PCI-DSS-megfelelőséghez ajánlott Microsoft Entra ID-vezérlőkre mutató hivatkozásokat.

Alapvető PCI-DSS-követelmények

A PCI-DSS 3., 4., 9. és 12. követelményeit a Microsoft Entra ID nem kezeli vagy teljesíti, ezért nincsenek megfelelő cikkek. Az összes követelmény megtekintéséhez látogasson el a pcisecuritystandards.org: Hivatalos PCI Biztonsági Szabványok Tanácsának webhelye.

PCI Data Security Standard – Magas szintű áttekintés	A Microsoft Entra ID ajánlott PCI-DSS-vezérlői
Biztonságos hálózat és rendszerek létrehozása és karbantartása	1. Hálózati biztonsági vezérlők telepítése és karbantartása 2. Biztonságos konfigurációk alkalmazása az összes rendszerösszetevőre
Fiókadatok védelme	3. Tárolt fiókadatok védelme 4. Kártyaőrző adatok védelme erős titkosítással a nyilvános hálózatokon keresztüli átvitel során
Biztonságirés-kezelési program karbantartása	5. Minden rendszer és hálózat védelme a rosszindulatú szoftverektől 6. Biztonságos rendszerek és szoftverek fejlesztése és karbantartása
Erős hozzáférés-vezérlési intézkedések végrehajtása	7. Korlátozza a hozzáférést a rendszerösszetevőkhöz és a kártyatulajdonosi adatokhoz üzleti igény szerint 8. A rendszerösszetevők hozzáférésének azonosítása és hitelesítése 9. A rendszerösszetevőkhöz és a kártyaőrző adatokhoz való fizikai hozzáférés korlátozása
Hálózatok rendszeres monitorozása és tesztelése	10. Naplózza és figyelje a rendszerösszetevőkhöz és a kártyaőrző adatokhoz való minden hozzáférést 11. Rendszerek és hálózatok biztonságának rendszeres tesztelése
Információbiztonsági szabályzat karbantartása	12. Az információbiztonság támogatása szervezeti szabályzatokkal és programokkal

PCI-DSS alkalmazhatóság

A PCI-DSS azokra a szervezetekre vonatkozik, amelyek kártyaőrző adatokat (CHD) és/vagy bizalmas hitelesítési adatokat (SAD) tárolnak, dolgoznak fel vagy továbbítanak. Ezeket az együtt figyelembe vett adatelemeket fiókadatoknak nevezzük. A PCI-DSS biztonsági irányelveket és követelményeket biztosít a kártyatulajdonosi adatkörnyezetet (CDE) érintő szervezetek számára. A CDE-t védő entitások biztosítják az ügyfelek fizetési adatainak bizalmasságát és biztonságát.

A CHD a következőkből áll:

Elsődleges számlaszám (PAN) – egyedi fizetésikártya-szám (hitel-, terhelés- vagy előre fizetett kártyák stb.), amely azonosítja a kibocsátót és a kártyatulajdonosi fiókot
Kártyaőrző neve – a kártya tulajdonosa
Kártya lejárati dátuma – a kártya lejáratának napja és hónapja
Szolgáltatáskód – egy három- vagy négyjegyű érték a mágneses sávban, amely a fizetési kártya lejárati dátumát követi a pályaadatokon. Szolgáltatásattribútumokat határoz meg, megkülönbözteti a nemzetközi és a nemzeti/regionális felcserélést, vagy azonosítja a használati korlátozásokat.

A SAD a kártyatulajdonosok hitelesítéséhez és/vagy a fizetésikártya-tranzakciók engedélyezéséhez használt, biztonsággal kapcsolatos információkból áll. A SAD a következőket tartalmazza, de nem korlátozódik a következőkre:

Teljes pályás adatok – mágneses csík vagy chip-ekvivalens
Kártyaellenőrzési kódok/értékek – más néven kártyaérvényesítési kód (CVC) vagy érték (CVV). Ez a három- vagy négyjegyű érték a fizetési kártya elején vagy hátulján. CaV2, CVC2, CVN2, CVV2 vagy CID néven is ismert, amelyet a résztvevő fizetési márkák (PPB) határoznak meg.
PIN-kód – személyes azonosítószám
- PIN-kódblokkok – a bank- vagy hitelkártya-tranzakciókban használt PIN-kód titkosított ábrázolása. Biztosítja a bizalmas információk biztonságos továbbítását egy tranzakció során

A CDE védelme elengedhetetlen az ügyfelek fizetési adatainak biztonsága és bizalmassága szempontjából, és segít:

Az ügyfelek bizalmának megőrzése – az ügyfelek elvárják, hogy a fizetési adataikat biztonságosan kezeljék és bizalmasan kezeljék. Ha egy vállalat olyan adatszivárgást tapasztal, amely az ügyfelek fizetési adatainak ellopását eredményezi, az ronthatja az ügyfelek bizalmát a vállalatban, és jó hírnevét ronthatja.
Előírásoknak való megfelelés – A hitelkártya-tranzakciókat feldolgozó vállalatoknak meg kell felelniük a PCI-DSS-nek. A be nem tartása pénzbírságokat, jogi kötelezettségeket és az ebből eredő jó hírnévbeli károkat eredményez.
A pénzügyi kockázatok mérséklése – az adatsértések jelentős pénzügyi következményekkel járnak, beleértve a törvényszéki vizsgálatok költségeit, a jogi díjakat és az érintett ügyfeleknek járó kártérítést.
Üzletmenet-folytonosság – az adatsértések megzavarják az üzleti műveleteket, és hatással lehetnek a hitelkártya-tranzakciós folyamatokra. Ez a forgatókönyv bevételkiesést, működési zavarokat és hírnévbeli károkat okozhat.

PCI-naplózás hatóköre

A PCI-naplózás hatóköre a CHD és/vagy SAD tárolójában, feldolgozásában vagy átvitelében lévő rendszerekre, hálózatokra és folyamatokra vonatkozik. Ha a fiókadatokat felhőalapú környezetben tárolják, dolgozzák fel vagy továbbítják, a PCI-DSS az adott környezetre vonatkozik, és a megfelelőség általában magában foglalja a felhőkörnyezet és annak használatát. A PCI-naplózás hatókörének öt alapvető eleme van:

Kártyaőrző adatkörnyezet (CDE) – az a terület, ahol a CHD és/vagy a SAD tárolása, feldolgozása vagy továbbítása történik. Tartalmazza a chd-t érintő szervezeti összetevőket, például a hálózatokat és a hálózati összetevőket, az adatbázisokat, a kiszolgálókat, az alkalmazásokat és a fizetési terminálokat.
A CDE-hez hozzáféréssel rendelkező személyek , például az alkalmazottak, a alvállalkozók és a külső szolgáltatók, a PCI-audit hatókörébe tartoznak.
A CHD-t tartalmazó folyamatok , például a fiókadatok hitelesítése, hitelesítése, titkosítása és tárolása bármilyen formátumban, a PCI-naplózás hatókörébe tartoznak.
A CHD-t feldolgozó, tároló vagy továbbító technológia , beleértve a hardvereket, például a nyomtatókat és a többfunkciós eszközöket, amelyek szkennelnek, nyomtatnak és faxolnak, végfelhasználói eszközöket, például számítógépeket, laptop munkaállomásokat, felügyeleti munkaállomásokat, táblagépeket és mobileszközöket, szoftvereket és egyéb informatikai rendszereket, a PCI-audit hatókörébe tartoznak.
Rendszerösszetevők – amelyek nem tárolják , dolgozzák fel vagy továbbítják a CHD/SAD-t, de korlátlan kapcsolattal rendelkeznek a CHD/SAD-t tároló, feldolgozó vagy továbbító rendszerösszetevőkkel, vagy amelyek befolyásolhatják a CDE biztonságát.

Ha a PCI hatóköre minimálisra csökken, a szervezetek hatékonyan csökkenthetik a biztonsági incidensek hatásait, és csökkenthetik az adatsértések kockázatát. A szegmentálás értékes stratégia lehet a PCI CDE méretének csökkentésére, ami csökkenti a megfelelőségi költségeket és a szervezet általános előnyeit, beleértve, de nem kizárólagosan a következőket:

Költségmegtakarítás – az audit hatókörének korlátozásával a szervezetek csökkentik az auditáláshoz szükséges időt, erőforrásokat és költségeket, ami költségmegtakarításhoz vezet.
Csökkentett kockázati kitettség – a kisebb PCI-naplózási hatókör csökkenti a kártyatulajdonosi adatok feldolgozásával, tárolásával és továbbításával kapcsolatos lehetséges kockázatokat. Ha az audit tárgyát képező rendszerek, hálózatok és alkalmazások száma korlátozott, a szervezetek a kritikus fontosságú eszközök védelmére és a kockázatnak való kitettség csökkentésére összpontosítanak.
Egyszerűbb megfelelőség – A naplózási hatókör szűkítése kezelhetőbbé és egyszerűbbé teszi a PCI-DSS-megfelelőséget. Az eredmények hatékonyabb ellenőrzések, kevesebb megfelelőségi probléma, és kisebb a meg nem felelés miatti szankciók kockázata.
Továbbfejlesztett biztonsági helyzet – a rendszerek és folyamatok kisebb részhalmazával a szervezetek hatékonyan osztanak ki biztonsági erőforrásokat és erőfeszítéseket. Az eredmények erősebb biztonsági helyzetnek számítanak, mivel a biztonsági csapatok a kritikus fontosságú eszközök védelmére és a sebezhetőségek célzott és hatékony azonosítására összpontosítanak.

Stratégiák a PCI-naplózás hatókörének csökkentésére

A SZERVEZET CDE-jének definíciója határozza meg a PCI-naplózás hatókörét. A szervezetek dokumentálják és közlik ezt a definíciót az auditot végző PCI-DSS minősített biztonsági értékelő (QSA) felé. A QSA értékeli a CDE-nek a megfelelőség meghatározásához szükséges vezérlőket. A PCI-szabványok betartása és a hatékony kockázatcsökkentés használata segít a vállalkozásoknak megvédeni az ügyfelek személyes és pénzügyi adatait, ami fenntartja a működésükbe vetett bizalmat. Az alábbi szakasz a PCI-naplózás hatókörében a kockázat csökkentésére vonatkozó stratégiákat ismerteti.

Jogkivonat-osítás

A tokenizálás adatbiztonsági technika. A tokenizálással bizalmas adatokat, például hitelkártyaszámokat cserélhet le egy tranzakcióhoz tárolt és használt egyedi jogkivonatra, bizalmas adatok felfedése nélkül. A jogkivonatok csökkentik a PCI-naplózás hatókörét a következő követelmények esetén:

3 . követelmény – Tárolt fiókadatok védelme
4 . követelmény – A kártyaőrző adatok védelme erős titkosítással a nyílt nyilvános hálózatokon keresztüli átvitel során
9 . követelmény – A kártyatulajdonos adataihoz való fizikai hozzáférés korlátozása
10 . követelmény – A rendszerösszetevőkhöz és a kártyaőrző adatokhoz való minden hozzáférés naplózása és monitorozása.

Felhőalapú feldolgozási módszerek használata esetén vegye figyelembe a bizalmas adatokra és tranzakciókra vonatkozó kockázatokat. Ezeknek a kockázatoknak a mérséklése érdekében ajánlott megfelelő biztonsági intézkedéseket és készenléti terveket implementálni az adatok védelme és a tranzakciók megszakításának megakadályozása érdekében. Ajánlott eljárásként használja a fizetési jogkivonat-hitelesítést módszertanként az adatok besorolásának megszüntetéséhez, és csökkentheti a CDE lábnyomát. A fizetési jogkivonatok használatával a bizalmas adatok egy egyedi azonosítóra kerülnek, amely csökkenti az adatlopás kockázatát, és korlátozza a bizalmas információknak való kitettséget a CDE-ben.

Biztonságos CDE

A PCI-DSS megköveteli, hogy a szervezetek biztonságos CDE-t tartsanak fenn. A hatékonyan konfigurált CDE-vel a vállalatok csökkenthetik a kockázatnak való kitettségüket, és csökkenthetik a kapcsolódó költségeket mind a helyszíni, mind a felhőkörnyezetek esetében. Ez a megközelítés segít minimalizálni a PCI-naplózás hatókörét, ami megkönnyíti és költséghatékonyabbá teszi a szabványnak való megfelelést.

A Microsoft Entra ID konfigurálása a CDE biztonságossá tételéhez:

Jelszó nélküli hitelesítő adatok használata a felhasználók számára: Vállalati Windows Hello, FIDO2 biztonsági kulcsok és Microsoft Authenticator alkalmazás
Használjon erős hitelesítő adatokat a számítási feladatok identitásaihoz: az Azure-erőforrások tanúsítványaihoz és felügyelt identitásaihoz.
- A hitelesítéshez integrálhatja az olyan hozzáférési technológiákat, mint a VPN, a távoli asztal és a hálózati hozzáférési pontok a Microsoft Entra-azonosítóval, ha vannak ilyenek.
Jogosultsági identitáskezelés és hozzáférés-felülvizsgálatok engedélyezése a Microsoft Entra-szerepkörökhöz, a kiemelt hozzáférési csoportokhoz és az Azure-erőforrásokhoz
Feltételes hozzáférési szabályzatokkal kényszerítheti ki a PCI-követelmények vezérlőit: hitelesítő adatok erősségét, eszközállapotát, és kikényszeríti őket a hely, a csoporttagság, az alkalmazások és a kockázat alapján
Modern hitelesítés használata DCE-számítási feladatokhoz
A Microsoft Entra-naplók archiválása biztonsági információk és eseménykezelési (SIEM) rendszerekben

Ahol az alkalmazások és az erőforrások a Microsoft Entra-azonosítót használják identitás- és hozzáférés-kezelési (IAM) célokra, a Microsoft Entra-bérlő(k) a PCI-naplózás hatókörébe tartoznak, és az itt található útmutatás érvényes. A szervezeteknek ki kell értékelniük a nem PCI- és PCI-számítási feladatok közötti identitás- és erőforrás-elkülönítési követelményeket a legjobb architektúra meghatározásához.

További információ

Felelősségi mátrix létrehozása

A PCI-megfelelőség a fizetésikártya-tranzakciókat feldolgozó entitások felelőssége, beleértve, de nem kizárólagosan a következőket:

Kereskedők
Kártyaszolgáltatók
Kereskedői szolgáltatók
Bankok beszerzése
Fizetési processzorok
Fizetésikártya-kibocsátók
Hardvergyártók

Ezek az entitások biztosítják a fizetésikártya-tranzakciók biztonságos feldolgozását, és megfelelnek a PCI-DSS-nek. A fizetésikártya-tranzakciókban részt vevő összes entitásnak szerepe van a PCI-megfelelőség biztosításában.

Az Azure PCI DSS megfelelőségi állapota nem fordítja le automatikusan a PCI-DSS-ellenőrzésre az Azure-ban buildelt vagy üzemeltetett szolgáltatások esetében. Győződjön meg arról, hogy megfelel a PCI-DSS követelményeinek.

Folyamatos folyamatok létrehozása a megfelelőség fenntartásához

A folyamatos folyamatok a megfelelőségi állapot folyamatos monitorozását és javítását vonják maguk után. A PCI-megfelelőség fenntartásához szükséges folyamatos folyamatok előnyei:

A biztonsági incidensek és a nem megfelelőség kockázatának csökkentése
Továbbfejlesztett adatbiztonság
Jobb igazodás a szabályozási követelményekhez
Nagyobb ügyfél- és érdekelti bizalom

A folyamatban lévő folyamatok során a szervezetek hatékonyan reagálnak a szabályozási környezet változásaira és a folyamatosan változó biztonsági fenyegetésekre.

Kockázatértékelés – ennek a folyamatnak a végrehajtása a hitelkártyaadatok biztonsági réseinek és biztonsági kockázatainak azonosítására. Azonosíthatja a potenciális fenyegetéseket, felmérheti a várható fenyegetések előfordulását, és értékelheti a vállalkozásra gyakorolt lehetséges hatásokat.
Biztonságtudatossági képzés – A hitelkártyaadatokat kezelő alkalmazottak rendszeres biztonsági tudatossági képzésben részesülnek, hogy tisztázzák a kártyatulajdonosi adatok védelmének fontosságát és az erre vonatkozó intézkedéseket.
Biztonságirés-kezelés – rendszeres biztonságirés-vizsgálatok és behatolástesztek végrehajtása a támadók által kihasználható hálózati vagy rendszerhibák azonosításához.
Hozzáférés-vezérlési szabályzatok monitorozása és fenntartása – a hitelkártyaadatokhoz való hozzáférés a jogosult személyekre korlátozódik. A hozzáférési naplók monitorozása a jogosulatlan hozzáférési kísérletek azonosításához.
Incidenskezelés – az incidensmegoldási terv segít a biztonsági csapatoknak a hitelkártya-adatokat érintő biztonsági incidensek során. Azonosítja az incidens okát, tartalmazza a kárt, és időben visszaállítja a normál műveleteket.
A megfelelőség monitorozása és naplózása a PCI-DSS követelményeknek való folyamatos megfelelés biztosítása érdekében történik. Tekintse át a biztonsági naplókat, végezzen rendszeres szabályzat-felülvizsgálatokat, és győződjön meg arról, hogy a rendszerösszetevők pontosan vannak konfigurálva és karbantartva.

Erős biztonság megvalósítása a megosztott infrastruktúra számára

Az olyan webszolgáltatások, mint az Azure, általában megosztott infrastruktúrával rendelkeznek, amelyben az ügyféladatok ugyanazon a fizikai kiszolgálón vagy adattároló eszközön tárolhatók. Ez a forgatókönyv azt a kockázatot eredményezi, hogy jogosulatlan ügyfelek hozzáférnek a nem saját adataikhoz, valamint a megosztott infrastruktúrát megcélzó rosszindulatú szereplők kockázatát. A Microsoft Entra biztonsági funkciói segítenek csökkenteni a megosztott infrastruktúrával kapcsolatos kockázatokat:

A modern hitelesítési protokollokat támogató hálózati hozzáférési technológiák felhasználói hitelesítése: virtuális magánhálózat (VPN), távoli asztal és hálózati hozzáférési pontok.
Olyan hozzáférés-vezérlési szabályzatok, amelyek erős hitelesítési módszereket és eszközmegfelelést kényszerítenek ki olyan jelek alapján, mint a felhasználói környezet, az eszköz, a hely és a kockázat.
A feltételes hozzáférés identitásalapú vezérlősíkot biztosít, és jeleket hoz össze, döntéseket hoz és szervezeti szabályzatokat kényszerít ki.
Kiemelt szerepkörök szabályozása – hozzáférési felülvizsgálatok, igény szerinti (JIT) aktiválás stb.

További információ: Mi a feltételes hozzáférés?

Adattárolási hely

A PCI-DSS nem tartalmaz konkrét földrajzi helyet a hitelkártya-adattároláshoz. Azonban megköveteli a kártyatulajdonosok adatainak biztonságos tárolását, ami földrajzi korlátozásokat is tartalmazhat a szervezet biztonsági és szabályozási követelményeitől függően. A különböző országok és régiók adatvédelmi és adatvédelmi törvényekkel rendelkeznek. A vonatkozó adattárolási követelmények meghatározásához forduljon jogi vagy megfelelőségi tanácsadóhoz.

További információ: Microsoft Entra-azonosító és adattárolás

Külső biztonsági kockázatok

Egy nem PCI-kompatibilis külső szolgáltató kockázatot jelent a PCI-megfelelőségre. A külső gyártók és szolgáltatók rendszeres felmérése és monitorozása annak biztosítása érdekében, hogy fenntartsák a kártyatulajdonosok adatainak védelméhez szükséges vezérlőket.

A Microsoft Entra data residency funkciói és funkciói segítenek csökkenteni a külső biztonsági kockázatokat.

Naplózás és figyelés

Pontos naplózás és monitorozás implementálása a biztonsági incidensek időben történő észleléséhez és megválaszolásához. A Microsoft Entra ID segít kezelni a PCI-megfelelőséget a naplózási és tevékenységnaplókkal, valamint a SIEM-rendszerekkel integrálható jelentésekkel. A Microsoft Entra ID szerepköralapú hozzáférés-vezérléssel (RBAC) és MFA-val rendelkezik a bizalmas erőforrásokhoz, titkosítási és fenyegetésvédelmi funkciókhoz való hozzáférés védelméhez, hogy megvédje a szervezeteket a jogosulatlan hozzáféréstől és az adatlopástól.

További információ:

Többalkalmazásos környezetek: gazdagép a CDE-n kívül

A PCI-DSS biztosítja, hogy a hitelkártyaadatokat elfogadó, feldolgozó, tároló vagy továbbító vállalatok biztonságos környezetet tartsanak fenn. A CDE-n kívüli üzemeltetés olyan kockázatokat jelent, mint például:

A hozzáférés-vezérlés és az identitáskezelés nem megfelelő hozzáférését eredményezheti a bizalmas adatokhoz és rendszerekhez való jogosulatlan hozzáférés
A biztonsági események nem megfelelő naplózása és monitorozása akadályozza a biztonsági incidensek észlelését és elhárítását
Az elégtelen titkosítás és fenyegetésvédelem növeli az adatlopás és a jogosulatlan hozzáférés kockázatát
Gyenge vagy nem megfelelő biztonsági tudatosság és betanítás a felhasználók számára elkerülhető társadalommérnöki támadásokat, például adathalászatot eredményezhet

Következő lépések

A PCI-DSS 3., 4., 9. és 12. követelményei nem alkalmazhatók a Microsoft Entra-azonosítóra, ezért nincsenek megfelelő cikkek. Az összes követelmény megtekintéséhez látogasson el a pcisecuritystandards.org: Hivatalos PCI Biztonsági Szabványok Tanácsának webhelye.

Ha a Microsoft Entra ID-t úgy szeretné konfigurálni, hogy megfeleljen a PCI-DSS-nek, tekintse meg az alábbi cikkeket.

Megosztás a következőn keresztül: