Microsoft Entra ID 및 PCI-DSS 요구 사항 6
요구 사항 6: 보안 시스템 및 소프트웨어 개발 및 유지 관리
정의된 방식 요구 사항
6.1 보안 시스템 및 소프트웨어를 개발하고 유지 관리하기 위한 프로세스 및 메커니즘을 정의하고 이해합니다.
| PCI-DSS 정의된 방식 요구 사항 | Microsoft Entra 지침 및 권장 사항 |
|---|---|
| 6.1.1 요구 사항 6에 식별된 모든 보안 정책 및 운영 절차는 다음과 같습니다. 문서화됨 최신 상태 유지 사용 중 영향을 받는 모든 당사자에게 알려짐 |
여기에 있는 지침과 링크를 사용하여 환경 구성에 따른 요구 사항을 충족하는 설명서를 생성합니다. |
| 6.1.2 요구 사항 6의 작업을 수행하기 위한 역할과 책임을 문서화하고 할당하고 이해합니다. | 여기에 있는 지침과 링크를 사용하여 환경 구성에 따른 요구 사항을 충족하는 설명서를 생성합니다. |
6.2 맞춤형 및 사용자 지정 소프트웨어를 안전하게 개발합니다.
| PCI-DSS 정의된 방식 요구 사항 | Microsoft Entra 지침 및 권장 사항 |
|---|---|
| 6.2.1 맞춤형 및 사용자 지정 소프트웨어를 다음과 같이 안전하게 개발합니다. 안전한 개발을 위한 업계 표준 및/또는 모범 사례에 따라 PCI DSS(예: 보안 인증 및 로깅)에 따라 소프트웨어 개발 수명 주기의 각 단계에서 정보 보안 문제 고려 |
Microsoft Entra ID와 통합되는 OAuth2 및 OIDC(OpenID Connect)와 같은 최신 인증 프로토콜을 사용하는 애플리케이션을 확보하고 개발합니다. Microsoft ID 플랫폼을 사용하여 소프트웨어 빌드합니다. Microsoft ID 플랫폼 모범 사례 및 권장 사항 |
| 6.2.2 맞춤형 및 사용자 지정 소프트웨어를 작업하는 소프트웨어 개발 담당자는 12개월에 한 번 이상 다음과 같은 교육을 받습니다. 직무 및 개발 언어와 관련된 소프트웨어 보안에 대해 보안 소프트웨어 설계 및 보안 코딩 기술 포함 보안 테스트 도구를 사용하는 경우 소프트웨어의 취약성을 검색하는 도구를 사용하는 방법 포함 |
Microsoft ID 플랫폼 대한 숙련도를 증명하기 위해 다음 시험 활용: 시험 MS-600: Microsoft 365 핵심 서비스를 사용한 애플리케이션 및 솔루션 빌드 시험 준비를 위해 다음 교육 활용: MS-600: Microsoft ID 구현 |
| 6.2.3 맞춤형 및 사용자 지정 소프트웨어를 프로덕션 환경으로 또는 고객에게 릴리스하기 전에 다음과 같이 검토하여 잠재적인 코딩 취약성을 식별하고 수정합니다. 코드를 보안 코딩 지침에 따라 개발했는지 확인하는 코드 검토 기존 및 새로운 소프트웨어 취약성을 찾는 코드 검토 릴리스에 앞서 적합한 수정 조치 구현 |
Microsoft Entra ID에는 적용되지 않습니다. |
| 6.2.3.1 프로덕션 환경으로 릴리스하기 전에 맞춤형 및 사용자 지정 소프트웨어에 대해 수동 코드 검토를 수행하는 경우 코드 변경은 다음과 같이 수행합니다. 코드 검토 기술 및 보안 코딩 사례에 대해 잘 알고 원래 코드 작성자가 아닌 다른 사람이 검토 릴리스하기 전에 관리자 그룹에서 검토 및 승인 |
Microsoft Entra ID에는 적용되지 않습니다. |
| 6.2.4 소프트웨어 엔지니어링 기술 또는 기타 방법을 소프트웨어 개발 담당자가 정의하고 사용하여 다음을 포함하되 이에 제한되지 않는 맞춤형 및 사용자 지정 소프트웨어의 일반적인 소프트웨어 공격 및 관련 취약성을 방지하거나 완화합니다. 삽입 공격. SQL, LDAP, XPath 또는 기타 명령, 매개 변수, 개체, 오류 또는 삽입 유형 결함 포함 데이터 및 데이터 구조에 대한 공격. 버퍼, 포인터, 입력 데이터 또는 공유 데이터를 조작하려는 시도 포함 암호화 사용에 대한 공격. 취약하거나 안전하지 않거나 부적절한 암호화 구현, 알고리즘, 암호화 도구 모음 또는 작업 모드를 악용하려는 시도 포함 비즈니스 논리에 대한 공격. API, 통신 프로토콜 및 채널, 클라이언트 쪽 기능 또는 기타 시스템/애플리케이션 기능 및 리소스를 조작하여 애플리케이션 특징 및 기능을 남용하거나 우회하려는 시도 포함. 여기에는 XSS(교차 사이트 스크립팅) 및 CSRF(교차 사이트 요청 위조)도 포함 액세스 제어 메커니즘에 대한 공격. 인식, 인증 또는 권한 부여 메커니즘을 우회하거나 남용하려는 시도 또는 이러한 메커니즘 구현의 취약점을 악용하려는 시도 포함 요구 사항 6.3.1에 정의된 취약성 식별 프로세스에서 식별된 "높은 위험" 취약성을 통한 공격 |
Microsoft Entra ID에는 적용되지 않습니다. |
6.3 보안 취약성을 식별하고 해결합니다.
| PCI-DSS 정의된 방식 요구 사항 | Microsoft Entra 지침 및 권장 사항 |
|---|---|
| 6.3.1 보안 취약성을 다음과 같이 식별하고 관리합니다. 국제 및 국가/지역 CERT(컴퓨터 비상 대응 팀)의 경고를 비롯해 업계에서 인정받은 보안 취약성 정보에 관한 소스를 이용하여 새로운 보안 취약성을 식별합니다. 업계 모범 사례를 기반으로 하고 잠재적 영향을 고려하여 취약성에 위험 수준을 할당합니다. 최소한 위험 수준은 환경에 대해 매우 위험하거나 중요하다고 판단되는 모든 취약성을 식별해야 합니다. 맞춤형, 사용자 지정 및 타사 소프트웨어(예: 운영 체제 및 데이터베이스)에 대한 취약성을 다룹니다. |
취약성에 대해 알아봅니다. MSRC | 보안 업데이트, 보안 업데이트 가이드 |
| 6.3.2 맞춤형 및 사용자 지정 소프트웨어의 인벤토리와 맞춤형 및 사용자 지정 소프트웨어에 통합된 타사 소프트웨어 구성 요소를 유지 관리하여 취약성 및 패치 관리를 지원합니다. | 인벤토리 인증을 위해 Microsoft Entra ID를 사용하여 애플리케이션에 대한 보고서를 생성합니다. applicationSignInDetailedSummary 엔터프라이즈 애플리케이션에 나열된 리소스 종류 애플리케이션 |
| 6.3.3 다음과 같이 다음과 같이 적용 가능한 보안 패치/업데이트를 설치하여 모든 시스템 구성 요소를 알려진 취약성으로부터 보호합니다. 중요 또는 높은 위험 보안 패치/업데이트(요구 사항 6.3.1의 위험 수준 지정 프로세스에 따라 식별)는 릴리스 후 1개월 이내에 설치합니다. 다른 모든 적용 가능한 보안 패치/업데이트는 엔터티에셔 결정한 적절한 시간 프레임 내에 설치합니다(예: 릴리스 후 3개월 이내). |
Microsoft Entra ID에는 적용되지 않습니다. |
6.4 공용 웹 애플리케이션의 공격을 방지합니다.
| PCI-DSS 정의된 방식 요구 사항 | Microsoft Entra 지침 및 권장 사항 |
|---|---|
| 6.4.1 공용 웹 애플리케이션의 경우 새로운 위협과 취약성을 지속적으로 해결하며 다음과 같이 알려진 공격을 방지합니다. 수동 또는 자동 애플리케이션 취약성 보안 평가 도구 또는 방법을 통해 다음과 같이 공용 웹 애플리케이션 검토 – 적어도 12개월마다 한 번 이상 및 중요한 변경 후 – 애플리케이션 보안을 전문으로 하는 엔터티에서 수행 – 최소한 요구 사항 6.2.4의 일반적인 소프트웨어 공격 모두 포함 – 요구 사항 6.3.1에 따라 모든 취약성에 순위 지정 – 모든 취약성 수정 – 수정 후 애플리케이션 다시 평가 또는 다음과 같이 웹 기반 공격을 지속적으로 감지하고 방지하는 자동화된 기술 솔루션 설치 – 공용 웹 애플리케이션 앞에 설치하여 웹 기반 공격을 감지하고 방지 – 상황에 따라 적극적으로 실행 및 최신 상태 유지 – 감사 로그 생성 – 웹 기반 공격을 차단하거나 즉시 조사해야 하는 경고를 생성하도록 구성 |
Microsoft Entra ID에는 적용되지 않습니다. |
| 6.4.2 공용 웹 애플리케이션의 경우 최소한 다음을 포함하여 웹 기반 공격을 지속적으로 감지하고 방지하는 자동화된 기술 솔루션을 배포합니다. 공용 웹 애플리케이션 앞에 설치하여 웹 기반 공격을 감지 및 방지하도록 구성 상황에 따라 적극적으로 실행 및 최신 상태 유지 감사 로그 생성 웹 기반 공격을 차단하거나 즉시 조사해야 하는 경고를 생성하도록 구성 |
Microsoft Entra ID에는 적용되지 않습니다. |
| 6.4.3 소비자의 브라우저에서 로드되고 실행되는 모든 결제 페이지 스크립트는 다음과 같이 관리합니다. 각 스크립트에 권한이 있는지 확인하는 메서드를 구현합니다. 각 스크립트의 무결성을 보장하는 메서드를 구현합니다. 모든 스크립트의 인벤토리를 각 스크립트가 필요한 이유에 대한 서면 근거와 함께 유지 관리합니다. |
Microsoft Entra ID에는 적용되지 않습니다. |
6.5 모든 시스템 구성 요소에 대한 변경 내용을 안전하게 관리합니다.
| PCI-DSS 정의된 방식 요구 사항 | Microsoft Entra 지침 및 권장 사항 |
|---|---|
| 6.5.1 프로덕션 환경의 모든 시스템 구성 요소에 대한 변경은 다음을 포함하는 확립된 절차에 따라 수행합니다. 변경의 사유와 변경에 대한 설명 보안 영향에 대한 설명서 권한 있는 당사자의 문서화된 변경 승인 변경으로 인해 시스템 보안에 부정적인 영향이 없는지 확인하는 테스트 맞춤형 및 사용자 지정 소프트웨어 변경의 경우 모든 업데이트를 프로덕션 환경으로 배포하기 전에 요구 사항 6.2.4를 준수하는지 테스트 오류를 해결하고 보안 상태로 돌아가는 절차 |
변경 제어 프로세스에 Microsoft Entra 구성에 대한 변경 내용을 포함합니다. |
| 6.5.2 중요한 변경이 완료되면 모든 관련 PCI DSS 요구 사항이 모든 새로운 또는 변경된 시스템 및 네트워크에 적용되는지 확인하고 문서를 적절하게 업데이트합니다. | Microsoft Entra ID에는 적용되지 않습니다. |
| 6.5.3 사전 프로덕션 환경을 프로덕션 환경과 분리하고 액세스 제어를 사용하여 이 분리를 적용합니다. | 조직 요구 사항에 따라 사전 프로덕션과 프로덕션 환경을 분리하는 방식. 여러 테넌트가 있는 단일 테넌트 리소스 격리의 리소스 격리 |
| 6.5.4 프로덕션 환경과 사전 프로덕션 환경 간에 역할과 기능을 분리하여 검토되고 승인된 변경 내용만 배포되도록 책임을 부여합니다. | 권한 있는 역할 및 전용 사전 프로덕션 테넌트에 대해 알아봅니다. Microsoft Entra 역할에 대한 모범 사례 |
| 6.5.5 사전 프로덕션 환경이 CDE에 포함되고 적용 가능한 모든 PCI-DSS 요구 사항에 따라 보호되는 경우를 제외하고 라이브 PAN을 사전 프로덕션 환경에서 사용하지 않습니다. | Microsoft Entra ID에는 적용되지 않습니다. |
| 6.5.6 시스템을 프로덕션으로 전환하기 전에 테스트 데이터와 테스트 계정을 시스템 구성 요소에서 제거합니다. | Microsoft Entra ID에는 적용되지 않습니다. |
다음 단계
PCI-DSS 요구 사항 3, 4, 9 및 12는 Microsoft Entra ID에 적용되지 않으므로 해당하는 문서가 없습니다. 모든 요구 사항을 보려면 pcisecuritystandards.org(공식 PCI 보안 표준 위원회 사이트)로 이동합니다.
PCI-DSS를 준수하도록 Microsoft Entra ID를 구성하려면 다음 문서를 참조하세요.
- Microsoft Entra PCI-DSS 지침
- 요구 사항 1: 네트워크 보안 컨트롤 설치 및 유지 관리
- 요구 사항 2: 모든 시스템 구성 요소에 보안 구성 적용
- 요구 사항 5: 악성 소프트웨어로부터 모든 시스템 및 네트워크 보호
- 요구 사항 6: 보안 시스템 및 소프트웨어 개발 및 유지 관리 (현재 위치)
- 요구 사항 7: 회사별로 시스템 구성 요소 및 카드 소유자 데이터에 대한 액세스 제한 알아야 할 사항
- 요구 사항 8: 사용자 식별 및 시스템 구성 요소에 대한 액세스 인증
- 요구 사항 10: 시스템 구성 요소 및 카드 소유자 데이터에 대한 모든 액세스 기록 및 모니터링
- 요구 사항 11: 정기적으로 시스템 및 네트워크의 보안 테스트
- Microsoft Entra PCI-DSS Multi-Factor Authentication 지침