Microsoft Entra ID y requisito 10 de PCI-DSS
Requisito 10: registrar y supervisar todo el acceso a componentes del sistema y datos de titulares de tarjetas
Requisitos de enfoque definidos
10.1 Se definen y documentan los procesos y mecanismos de registro y control de todos los accesos a los componentes del sistema y a los datos de los titulares de las tarjetas.
| Requisitos del enfoque definido por PCI-DSS | Instrucciones y recomendaciones de Microsoft Entra |
|---|---|
| 10.1.1 Todas las directivas de seguridad y procedimientos operativos identificados en el requisito 10 están: documentados actualizados a la fecha en uso conocidos por todas las partes afectadas |
Use la guía y los enlaces que se indican a continuación para elaborar la documentación que cumpla los requisitos en función de la configuración de su entorno. |
| 10.1.2 Las funciones y responsabilidades para llevar a cabo las actividades del requisito 10 están documentadas, asignadas y se entienden. | Use la guía y los enlaces que se indican a continuación para elaborar la documentación que cumpla los requisitos en función de la configuración de su entorno. |
10.2 Los registros de auditoría se implementan para admitir la detección de anomalías y actividad sospechosa, así como el análisis forense de eventos.
| Requisitos del enfoque definido por PCI-DSS | Instrucciones y recomendaciones de Microsoft Entra |
|---|---|
| 10.2.1 Los registros de auditoría están habilitados y activos para todos los componentes del sistema y los datos de los titulares de tarjetas. | Archive Microsoft Entra registros de auditoría para obtener cambios en las directivas de seguridad y Microsoft Entra configuración del inquilino. Archive los registros de actividad de Microsoft Entra en un sistema de administración de eventos e información de seguridad (SIEM) para obtener información sobre el uso. Microsoft Entra registros de actividad en Azure Monitor |
| 10.2.1.1 Los registros de auditoría capturan todo el acceso de usuario individual a los datos de los titulares de tarjetas. | No es aplicable a Microsoft Entra ID. |
| 10.2.1.2 Los registros de auditoría capturan todas las acciones realizadas por cualquier individuo con acceso administrativo, incluyendo cualquier uso interactivo de las cuentas del sistema o de la aplicación. | No es aplicable a Microsoft Entra ID. |
| 10.2.1.3 Los registros de auditoría capturan todo el acceso a los registros de auditoría. | En Microsoft Entra identificador, no se pueden borrar ni modificar registros. Los usuarios con privilegios pueden consultar registros desde Microsoft Entra ID. Roles con privilegios mínimos por tarea en Microsoft Entra ID Cuando los registros de auditoría se exportan a sistemas como el área de trabajo de Log Analytics de Azure, las cuentas de almacenamiento o los sistemas SIEM de terceros, supervise el acceso. |
| 10.2.1.4 Los registros de auditoría capturan todos los intentos de acceso lógico no válidos. | Microsoft Entra ID genera registros de actividad cuando un usuario intenta iniciar sesión con credenciales no válidas. Genera registros de actividad cuando se deniega el acceso debido a las directivas de acceso condicional. |
| 10.2.1.5 Los registros de auditoría capturan todos los cambios en las credenciales de identificación y autenticación, incluyendo, entre otros: creación de cuentas nuevas elevación de privilegios todos los cambios, adiciones o eliminaciones a cuentas con acceso administrativo |
Microsoft Entra ID genera registros de auditoría para los eventos de este requisito. |
| 10.2.1.6 Los registros de auditoría capturan lo siguiente: todas las inicializaciones de nuevos registros de auditoría y todos los registros de auditoría que se inician, detienen o pausan de los registros de auditoría existentes. |
No es aplicable a Microsoft Entra ID. |
| 10.2.1.7 Los registros de auditoría capturan toda la creación y eliminación de objetos de nivel de sistema. | Microsoft Entra ID genera registros de auditoría para eventos de este requisito. |
| 10.2.2 Los registros de auditoría registran los detalles siguientes para cada evento auditable: identificación del usuario. Tipo de evento. Fecha y hora. Indicación correcta y errónea. Origen del evento. Identidad o nombre de los datos afectados, componente del sistema, recurso o servicio (por ejemplo, nombre y protocolo). |
Consulte Registros de auditoría en Microsoft Entra ID |
10.3 Los registros de auditoría están protegidos contra la destrucción y las modificaciones no autorizadas.
| Requisitos del enfoque definido por PCI-DSS | Instrucciones y recomendaciones de Microsoft Entra |
|---|---|
| 10.3.1 El acceso de lectura a los archivos de registros de auditoría se limita a aquellos que tengan una necesidad relacionada con el trabajo. | Los usuarios con privilegios pueden consultar registros desde Microsoft Entra ID. Roles con privilegios mínimos por tarea en Microsoft Entra ID |
| 10.3.2 Los archivos de registro de auditoría están protegidos para evitar modificaciones por parte de personas. | En Microsoft Entra identificador, no se pueden borrar ni modificar registros. Cuando los registros de auditoría se exporten a sistemas como el área de trabajo de Azure Log Analytics, las cuentas de almacenamiento o los sistemas SIEM de terceros, supervise el acceso. |
| 10.3.3 Con los archivos de registro de auditoría, incluyendo los de tecnologías orientadas al exterior, se realizan rápidamente copias de seguridad en un servidor de registro interno seguro, central u otro medio que sea difícil de modificar. | En Microsoft Entra identificador, no se pueden borrar ni modificar registros. Cuando los registros de auditoría se exporten a sistemas como el área de trabajo de Azure Log Analytics, las cuentas de almacenamiento o los sistemas SIEM de terceros, supervise el acceso. |
| 10.3.4 La supervisión de la integridad de archivos o los mecanismos de detección de cambios se usan en los registros de auditoría para asegurarse de que los datos de registro existentes no se puedan cambiar sin generar alertas. | En Microsoft Entra identificador, no se pueden borrar ni modificar registros. Cuando los registros de auditoría se exporten a sistemas como el área de trabajo de Azure Log Analytics, las cuentas de almacenamiento o los sistemas SIEM de terceros, supervise el acceso. |
10.4 Los registros de auditoría se revisan para identificar anomalías o actividades sospechosas.
| Requisitos del enfoque definido por PCI-DSS | Instrucciones y recomendaciones de Microsoft Entra |
|---|---|
| 10.4.1 Los siguientes registros de auditoría se revisan al menos una vez al día: todos los eventos de seguridad. Registros de todos los componentes del sistema que almacenan, procesan o transmiten datos del titular de la tarjeta (CHD) o datos de autenticación confidenciales (SAD). Registros de todos los componentes críticos del sistema. Registros de todos los servidores y componentes del sistema que realizan funciones de seguridad (por ejemplo, controles de seguridad de red, sistemas de detección o prevención de intrusiones (IDS/IPS) o servidores de autenticación). |
Incluya los registros de Microsoft Entra en este proceso. |
| 10.4.1.1 Se usan mecanismos automatizados para realizar revisiones de registros de auditoría. | Incluya los registros de Microsoft Entra en este proceso. Configure acciones automatizadas y alertas cuando los registros de Microsoft Entra se integren con Azure Monitor. Implementación de Azure Monitor: alertas y acciones automatizadas |
| 10.4.2 Los registros de todos los demás componentes del sistema (los que no se especifican en el requisito 10.4.1) se revisan periódicamente. | No es aplicable a Microsoft Entra ID. |
| 10.4.2.1 La frecuencia de las revisiones periódicas de registros para todos los demás componentes del sistema (no definidos en el requisito 10.4.1) se define en el análisis de riesgos de destino de la entidad, que se realiza según todos los elementos especificados en el requisito 12.3.1 | No es aplicable a Microsoft Entra ID. |
| 10.4.3 Se abordan las excepciones y anomalías identificadas durante el proceso de revisión. | No es aplicable a Microsoft Entra ID. |
10.5 El historial de registros de auditoría se conserva y está disponible para su análisis.
| Requisitos del enfoque definido por PCI-DSS | Instrucciones y recomendaciones de Microsoft Entra |
|---|---|
| 10.5.1 Conservar el historial de registro de auditoría durante al menos 12 meses, con al menos los tres meses más recientes disponibles inmediatamente para su análisis. | Integre con Azure Monitor y exporte los registros para el archivado a largo plazo. Integración de registros de Microsoft Entra con registros de Azure Monitor Obtenga información sobre la directiva de retención de datos para los registros de Microsoft Entra. Retención de datos de Microsoft Entra |
10.6 Los mecanismos de sincronización de hora admiten una configuración de hora coherente en todos los sistemas.
| Requisitos del enfoque definido por PCI-DSS | Instrucciones y recomendaciones de Microsoft Entra |
|---|---|
| 10.6.1 Los relojes y la hora del sistema se sincronizan mediante la tecnología de sincronización de hora. | Obtenga información sobre el mecanismo de sincronización de hora en los servicios de Azure. Sincronización de hora para servicios financieros en Azure |
| 10.6.2 Los sistemas están configurados para el tiempo correcto y coherente de la siguiente manera: uno o varios servidores de hora designados están en uso. Solo los servidores de hora central designados reciben la hora de los orígenes externos. La hora recibida de orígenes externos se basa en la hora atómica internacional o en la hora universal coordinada (UTC). Los servidores de hora designados aceptan actualizaciones de hora solo de orígenes externos específicos aceptados por el sector. Donde haya más de un servidor de hora designado, los servidores de hora se emparejarán entre sí para mantener la hora precisa. Los sistemas internos reciben información de la hora solo de los servidores de hora central designados. |
Obtenga información sobre el mecanismo de sincronización de hora en los servicios de Azure. Sincronización de hora para servicios financieros en Azure |
| 10.6.3 La configuración de sincronización de hora y los datos están protegidos de la siguiente manera: el acceso a los datos de hora está restringido solo al personal con una necesidad empresarial. Los cambios en la configuración de hora en los sistemas críticos se registran, supervisan y revisan. |
Microsoft Entra identificador se basa en mecanismos de sincronización de hora en Azure. Los procedimientos de Azure sincronizan servidores y dispositivos de red con servidores NTP Stratum 1-time sincronizados con satélites del sistema de posicionamiento global (GPS). La sincronización se produce cada cinco minutos. Azure garantiza la hora de sincronización de los hosts de servicios. Sincronización de hora para los servicios financieros en Azure Los componentes híbridos de Microsoft Entra ID, como los servidores de Microsoft Entra Connect, interactúan con la infraestructura local. El cliente posee la sincronización de hora de los servidores locales. |
10.7 Los errores de los sistemas de control de seguridad críticos se detectan, notifican y responden rápidamente.
| Requisitos del enfoque definido por PCI-DSS | Instrucciones y recomendaciones de Microsoft Entra |
|---|---|
| 10.7.2 Requisito adicional solo para los proveedores de servicios: Los errores de los sistemas de control de seguridad críticos se detectan, alertan y abordan rápidamente, incluyendo, entre otros, los errores de los siguientes sistemas de control de seguridad críticos: Controles de seguridad de red IDS/IPS Supervisión de la integridad de los archivos (FIM) Soluciones antimalware Controles de acceso físico Controles de acceso lógico Mecanismo de registro de auditoría Controles de segmentación (si se usan) |
Microsoft Entra identificador se basa en mecanismos de sincronización de hora en Azure. Azure admite el análisis de eventos en tiempo real en su entorno operativo. Los sistemas internos de la infraestructura de Azure generan alertas de eventos casi en tiempo real sobre posibles riesgos. |
| 10.7.2 Los errores de los sistemas de control de seguridad críticos se detectan, alertan y abordan rápidamente, incluyendo, entre otros, los errores de los siguientes sistemas de control de seguridad críticos: controles de seguridad de red IDS/IP mecanismos de detección de cambios soluciones antimalware controles de acceso físico controles de acceso lógico mecanismos de registro de auditoría controles de segmentación (si se usa) mecanismos de revisión de mecanismos de auditoría herramientas de prueba de seguridad automatizada (si se usa) |
Consulte, Guía de operaciones de seguridad de Microsoft Entra |
| 10.7.3 Los errores de cualquier sistema de control de seguridad críticos se responden rápidamente, entre los que se incluyen, entre otros: restaurar funciones de seguridad. Identificación y documentación de la duración (fecha y hora de principio a fin) del error de seguridad. Identificar y documentar las causas del error y documentar la corrección necesaria. Identificación y direccionamiento de los problemas de seguridad que se produjeron durante el error. Determinar si son necesarias más acciones como resultado del error de seguridad. Implementar controles para evitar que la causa del error se vuelva a producir. Reanudación de la supervisión de los controles de seguridad. |
Consulte, Guía de operaciones de seguridad de Microsoft Entra |
Pasos siguientes
Los requisitos 3, 4, 9 y 12 de PCI-DSS no son aplicables a Microsoft Entra ID, por lo que no hay artículos correspondientes. Para ver todos los requisitos, visite pcisecuritystandards.org: Sitio oficial del Consejo sobre el Estándar de Seguridad de Datos para la PCI.
Para configurar Microsoft Entra ID de modo que cumpla con PCI-DSS, consulte los siguientes artículos.
- Guía de Microsoft Entra PCI-DSS
- Requisito 1: instalar y mantener controles de seguridad de red
- Requisito 2: aplicar configuraciones seguras a todos los componentes del sistema
- Requisito 5: proteger todos los sistemas y redes de software malintencionado
- Requisito 6: desarrollar y mantener sistemas y programas informáticos seguros
- Requisito 7: restringir el acceso a los componentes del sistema y a los datos de titulares de tarjetas por necesidad empresarial
- Requisito 8: identificar a los usuarios y autenticar el acceso a los componentes del sistema
- Requisito 10: registrar y supervisar todo el acceso a componentes del sistema y datos de titulares de tarjetas (usted está aquí)
- Requisito 11: Probar periódicamente la seguridad de sistemas y redes
- Guía de autenticación multifactor de PCI-DSS de Microsoft Entra