Microsoft Entra ID y requisito 1 de PCI-DSS
Requisito 1: Instalar y mantener controles de seguridad de red
Requisitos de enfoque definidos
1.1 Los procesos y mecanismos para instalar y mantener los controles de seguridad de red se definen y entienden
| Requisitos del enfoque definido por PCI-DSS | Instrucciones y recomendaciones de Microsoft Entra |
|---|---|
| 1.1.1 Todas las directivas de seguridad y procedimientos operativos identificados en el requisito 1 son: Documentados Se mantienen actualizados En uso Conocidos por todas las partes afectadas |
Use la guía y los enlaces que se indican a continuación para elaborar la documentación que cumpla los requisitos en función de la configuración de su entorno. |
| 1.1.2 Las funciones y responsabilidades para llevar a cabo las actividades del requisito 1 están documentadas, asignadas y comprendidas. | Use la orientación y los enlaces que se indican a continuación para elaborar la documentación que cumpla los requisitos en función de la configuración de su entorno. |
1.2 Los controles de seguridad de red (NSCs) están configurados y mantenidos.
| Requisitos del enfoque definido por PCI-DSS | Instrucciones y recomendaciones de Microsoft Entra |
|---|---|
| 1.2.1 Los estándares de configuración para los conjuntos de reglas NSC son: Definidas Implementadas Mantenidas |
Integre tecnologías de acceso como VPN, escritorio remoto y puntos de acceso de red con Microsoft Entra ID para autenticación y autorización, si las tecnologías de acceso admiten autenticación moderna. Asegurarse de que los estándares NSC, que pertenecen a controles relacionados con la identidad, incluyen la definición de políticas de Acceso Condicional, asignación de aplicaciones, revisiones de acceso, gestión de grupos, políticas de credenciales, etc. Guía de referencia de operaciones de Microsoft Entra |
| 1.2.2 Todos los cambios en las conexiones de red y en las configuraciones de los NSC se aprueban y administran de acuerdo con el proceso de control de cambios definido en el requisito 6.5.1. | No es aplicable a Microsoft Entra ID. |
| 1.2.3 Se mantienen diagramas de red precisos que muestran todas las conexiones entre el entorno de datos del titular de la tarjeta (CDE) y otras redes, incluidas las redes inalámbricas. | No es aplicable a Microsoft Entra ID. |
| 1.2.4 Se mantienen diagramas de flujo de datos precisos que cumplen lo siguiente: Muestra todos los flujos de datos de cuentas a través de sistemas y redes. Se actualiza en caso necesario cuando se producen cambios en el entorno. |
No es aplicable a Microsoft Entra ID. |
| 1.2.5 Todos los servicios, protocolos y puertos permitidos están identificados, aprobados y tienen una necesidad empresarial definida. | No es aplicable a Microsoft Entra ID. |
| 1.2.6 Las características de seguridad están definidas e implementadas para todos los servicios, protocolos y puertos en uso y considerados inseguros, de tal forma que se mitiga el riesgo. | No es aplicable a Microsoft Entra ID. |
| 1.2.7 Las configuraciones de los NSC se revisan al menos una vez cada seis meses para confirmar que son relevantes y efectivas. | Use las revisiones de acceso de Microsoft Entra para automatizar las revisiones de pertenencia a grupos y aplicaciones, como dispositivos VPN, que se alinean con los controles de seguridad de red en su CDE. ¿Qué son las revisiones de acceso? |
| 1.2.8 Los archivos de configuración para los NSC están: Protegidos de accesos no autorizados Se mantienen coherentes con las configuraciones de red activas |
No es aplicable a Microsoft Entra ID. |
1.3 El acceso de red hacia y desde el entorno de datos del titular de la tarjeta está restringido
| Requisitos del enfoque definido por PCI-DSS | Instrucciones y recomendaciones de Microsoft Entra |
|---|---|
| 1.3.1 El tráfico entrante al CDE está restringido como sigue: Solo al tráfico que sea necesario. Todo el resto del tráfico está específicamente denegado |
Use Microsoft Entra ID para configurar ubicaciones con nombre para crear políticas de Acceso Condicional. Calcule el riesgo del usuario y del inicio de sesión Microsoft recomienda a los clientes rellenar y mantener las direcciones IP de CDE mediante ubicaciones de red. Úselas para definir los requisitos de las directivas de acceso condicional. Uso la condición de ubicación en una directiva de acceso condicional |
| 1.3.2 El tráfico saliente del CDE se restringe de la siguiente manera: Solo al tráfico que sea necesario. Todo el resto del tráfico está específicamente denegado |
Para el diseño del NSC, incluya directivas de acceso condicional para que las aplicaciones permitan el acceso a las direcciones IP del CDE. El acceso de emergencia o el acceso remoto para establecer conectividad con el CDE, como los dispositivos de red privada virtual (VPN) o los portales cautivos, podrían necesitar políticas para evitar el bloqueo involuntario. Uso de la condición de ubicación en una directiva de acceso condicional Administración de cuentas de acceso de emergencia en Microsoft Entra ID |
| 1.3.3 Los NSC se instalan entre todas las redes inalámbricas y el CDE, independientemente de si la red inalámbrica es un CDE, de forma que: Todo el tráfico inalámbrico desde redes inalámbricas hacia el CDE es denegado de manera predeterminada. Solo el tráfico inalámbrico con un propósito de negocio autorizado es permitido en el CDE. |
Para el diseño del NSC, incluya directivas de acceso condicional para que las aplicaciones permitan el acceso a las direcciones IP del CDE. El acceso de emergencia o el acceso remoto para establecer conectividad con el CDE, como los dispositivos de red privada virtual (VPN) o los portales cautivos, podrían necesitar políticas para evitar el bloqueo involuntario. Uso de la condición de ubicación en una directiva de acceso condicional Administración de cuentas de acceso de emergencia en Microsoft Entra ID |
1.4 Se controlan las conexiones de red entre redes de confianza y que no son de confianza
| Requisitos del enfoque definido por PCI-DSS | Instrucciones y recomendaciones de Microsoft Entra |
|---|---|
| 1.4.1 Se implementan NSCs entre redes confiables y no confiables. | No es aplicable a Microsoft Entra ID. |
| 1.4.2 El tráfico entrante de redes no fiables a redes fiables está restringido a: Las comunicaciones con componentes del sistema autorizados a prestar servicios, protocolos y puertos de acceso público. Respuestas con estado a comunicaciones iniciadas por componentes del sistema en una red de confianza. El resto del tráfico queda bloqueado. |
No es aplicable a Microsoft Entra ID. |
| 1.4.3 Se implementan medidas contra la suplantación de identidad para detectar y bloquear direcciones IP de origen falsificadas para que no entren en la red de confianza. | No es aplicable a Microsoft Entra ID. |
| 1.4.4 Los componentes del sistema que almacenan datos de titulares de tarjetas no son accesibles directamente desde redes no fiables. | Además de los controles en la capa de red, las aplicaciones en el CDE que usan Microsoft Entra ID pueden usar directivas de acceso condicional. Restringir el acceso a las aplicaciones en función de la ubicación. Usar la ubicación de red en una directiva de acceso condicional |
| 1.4.5 La divulgación de direcciones IP internas e información de enrutamiento se limita únicamente a las partes autorizadas. | No es aplicable a Microsoft Entra ID. |
1.5 Se mitigan los riesgos para la CDE de los dispositivos informáticos que pueden conectarse a redes que no son de confianza y a CDE
| Requisitos del enfoque definido por PCI-DSS | Instrucciones y recomendaciones de Microsoft Entra |
|---|---|
| 1.5.1 Los controles de seguridad se implementan en todos los dispositivos informáticos, incluidos los dispositivos propiedad de la empresa y de los empleados, que se conectan tanto a redes no fiables (incluida Internet) como al CDE de la siguiente manera: Se definen ajustes de configuración específicos para evitar que se introduzcan amenazas en la red de la entidad. Los controles de seguridad se ejecutan activamente. Los controles de seguridad no son alterables por los usuarios de los dispositivos informáticos a menos que estén específicamente documentados y autorizados por la dirección caso por caso durante un período limitado. |
Implemente directivas de acceso condicional que exijan el cumplimiento de los dispositivos. Use directivas de cumplimiento para establecer reglas para los dispositivos que administra con Intune Integre el estado de cumplimiento de dispositivos con soluciones antimalware. Imponga el cumplimiento de Microsoft Defender for Endpoint con acceso condicional en Intune Integración de Mobile Threat Defense con Intune |
Pasos siguientes
Los requisitos 3, 4, 9 y 12 de PCI-DSS no son aplicables a Microsoft Entra ID, por lo que no hay artículos correspondientes. Para ver todos los requisitos, visite pcisecuritystandards.org: Sitio oficial del Consejo sobre el Estándar de Seguridad de Datos para la PCI.
Para configurar Microsoft Entra ID de modo que cumpla con PCI-DSS, consulte los siguientes artículos.
- Guía de Microsoft Entra PCI-DSS
- Requisito 1: instalar y mantener controles de seguridad de red (Está aquí)
- Requisito 2: aplicar configuraciones seguras a todos los componentes del sistema
- Requisito 5: proteger todos los sistemas y redes de software malintencionado
- Requisito 6: desarrollar y mantener sistemas y programas informáticos seguros
- Requisito 7: restringir el acceso a los componentes del sistema y a los datos de titulares de tarjetas por necesidad empresarial
- Requisito 8: identificar a los usuarios y autenticar el acceso a los componentes del sistema
- Requisito 10: Registrar y supervisar todo el acceso a componentes del sistema y datos de titulares de tarjetas
- Requisito 11: Probar periódicamente la seguridad de sistemas y redes
- Guía de autenticación multifactor de PCI-DSS de Microsoft Entra
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de