Microsoft Entra ID y requisito 5 de PCI-DSS
Requisito 5: proteger todos los sistemas y redes de software malintencionado
Requisitos de enfoque definidos
5.1 Se definen y entienden los procesos y mecanismos para proteger todos los sistemas y redes de software malintencionado.
| Requisitos del enfoque definido por PCI-DSS | Instrucciones y recomendaciones de Microsoft Entra |
|---|---|
| 5.1.1 Todas las directivas de seguridad y procedimientos operativos identificados en el requisito 5 están: documentados actualizados a la fecha en uso conocidos por todas las partes afectadas |
Use la guía y los enlaces que se indican a continuación para elaborar la documentación que cumpla los requisitos en función de la configuración de su entorno. |
| 5.1.2 Las funciones y responsabilidades para llevar a cabo las actividades del requisito 5 están documentadas, asignadas y se entienden. | Use la guía y los enlaces que se indican a continuación para elaborar la documentación que cumpla los requisitos en función de la configuración de su entorno. |
5.2 El software malintencionado (malware) se evita, se detecta y se soluciona.
| Requisitos del enfoque definido por PCI-DSS | Instrucciones y recomendaciones de Microsoft Entra |
|---|---|
| 5.2.1 Se implementa(n) una(s) solución(es) antimalware en todos los componentes del sistema, excepto en aquellos componentes del sistema identificados en las evaluaciones periódicas según el requisito 5.2.3 que concluye que los componentes del sistema no están en riesgo de malware. | Implemente directivas de acceso condicional que exijan el cumplimiento de los dispositivos. Use directivas de cumplimiento para establecer reglas para los dispositivos que administra con Intune Integre el estado de cumplimiento de dispositivos con soluciones antimalware. Imponga el cumplimiento de Microsoft Defender for Endpoint con acceso condicional en Intune Integración de Mobile Threat Defense con Intune |
| 5.2.2 Las soluciones antimalware implementadas: detecta todos los tipos conocidos de malware. Quita, bloquea o contiene todos los tipos conocidos de malware. |
No es aplicable a Microsoft Entra ID. |
| 5.2.3 Todos los componentes del sistema que no están en riesgo de malware se evalúan periódicamente para incluir lo siguiente: una lista documentada de todos los componentes del sistema que no están en riesgo de malware. Identificación y evaluación de amenazas de malware en evolución para esos componentes del sistema. Confirmación de si dichos componentes del sistema siguen sin requerir protección contra malware. |
No es aplicable a Microsoft Entra ID. |
| 5.2.3.1 La frecuencia de las evaluaciones periódicas de los componentes del sistema identificados como sin riesgo de malware se define en el análisis de riesgos específico de la entidad, que se realiza de acuerdo con todos los elementos especificados en el requisito 12.3.1. | No es aplicable a Microsoft Entra ID. |
5.3 Los mecanismos y procesos antimalware están activos, mantenidos y supervisados.
| Requisitos del enfoque definido por PCI-DSS | Instrucciones y recomendaciones de Microsoft Entra |
|---|---|
| 5.3.1 Las soluciones antimalware se mantienen actualizadas a través de actualizaciones automáticas. | No es aplicable a Microsoft Entra ID. |
| 5.3.2 Las soluciones antimalware: Realiza exámenes periódicos y exámenes activos o en tiempo real. O Realiza un análisis continuo del comportamiento de los sistemas o procesos. |
No es aplicable a Microsoft Entra ID. |
| 5.3.2.1 Si se realizan exámenes periódicos de malware para cumplir el requisito 5.3.2, la frecuencia de los exámenes se define en el análisis de riesgos específico de la entidad, que se realiza de acuerdo con todos los elementos especificados en el requisito 12.3.1. | No es aplicable a Microsoft Entra ID. |
| 5.3.3 Para soportes físicos electrónicos extraíbles, la(s) solución(es) antimalware: Realiza exámenes automáticos cuando el soporte físico está insertado, conectado o montado lógicamente, O Realiza análisis continuos del comportamiento de los sistemas o procesos cuando el soporte físico está insertado, conectado o montado lógicamente. |
No es aplicable a Microsoft Entra ID. |
| 5.3.4 Los registros de auditoría de las soluciones antimalware están habilitados y se conservan de acuerdo con el requisito 10.5.1. | No es aplicable a Microsoft Entra ID. |
| 5.3.5 Los usuarios no pueden desactivar ni alterar los mecanismos antimalware, salvo que se especifique expresamente y la dirección lo autorice para un caso en concreto y durante un periodo de tiempo limitado. | No es aplicable a Microsoft Entra ID. |
5.4 Los mecanismos contra la suplantación de identidad protegen a los usuarios frente a ataques de suplantación de identidad (phishing).
| Requisitos del enfoque definido por PCI-DSS | Instrucciones y recomendaciones de Microsoft Entra |
|---|---|
| 5.4.1 Existen procesos y mecanismos automatizados para detectar y proteger al personal contra los ataques de phishing. | Configure Microsoft Entra ID para usar credenciales resistentes a la suplantación de identidad (phishing). Consideraciones de implementación de MFA resistente a la suplantación de identidad Use controles en el acceso condicional para requerir autenticación con credenciales resistentes a la suplantación de identidad. Fuerza de autenticación de acceso condicional La presente guía trata sobre la configuración de la administración de identidades y accesos. Para mitigar los ataques de phishing, implemente capacidades de carga de trabajo, como en Microsoft 365. Protección contra la suplantación de identidad en Microsoft 365 |
Pasos siguientes
Los requisitos 3, 4, 9 y 12 de PCI-DSS no son aplicables a Microsoft Entra ID, por lo que no hay artículos correspondientes. Para ver todos los requisitos, visite pcisecuritystandards.org: Sitio oficial del Consejo sobre el Estándar de Seguridad de Datos para la PCI.
Para configurar Microsoft Entra ID de modo que cumpla con PCI-DSS, consulte los siguientes artículos.
- Guía de Microsoft Entra PCI-DSS
- Requisito 1: instalar y mantener controles de seguridad de red
- Requisito 2: aplicar configuraciones seguras a todos los componentes del sistema
- Requisito 5: proteger todos los sistemas y redes de software malintencionado (usted está aquí)
- Requisito 6: desarrollar y mantener sistemas y programas informáticos seguros
- Requisito 7: restringir el acceso a los componentes del sistema y a los datos de titulares de tarjetas por necesidad empresarial
- Requisito 8: identificar a los usuarios y autenticar el acceso a los componentes del sistema
- Requisito 10: Registrar y supervisar todo el acceso a componentes del sistema y datos de titulares de tarjetas
- Requisito 11: Probar periódicamente la seguridad de sistemas y redes
- Guía de autenticación multifactor de PCI-DSS de Microsoft Entra
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de