Microsoft Entra ID y requisito 7 de PCI-DSS
Requisito 7: restringir el acceso a los componentes del sistema y a los datos de titulares de tarjetas por necesidad de saber empresarial
Requisitos de enfoque definidos
7.1 Los procesos y mecanismos para restringir el acceso a los componentes del sistema y a los datos de los titulares de las tarjetas solo por necesidad de saber de la empresa están definidos y comprendidos.
| Requisitos de enfoque definidos por PCI DSS | Instrucciones y recomendaciones de Microsoft Entra |
|---|---|
| 7.1.1 Todas las directivas de seguridad y procedimientos operativos identificados en el requisito 7 están: documentados se mantienen actualizados en uso conocidos por todas las partes afectadas |
Integre el acceso a las aplicaciones del entorno de datos del titular de la tarjeta (CDE) con Microsoft Entra ID para la autenticación y autorización. Documente directivas de acceso condicional para tecnologías de acceso remoto. Automatice con Microsoft Graph API y PowerShell. Acceso condicional: Acceso mediante programación Archivar los registros de auditoría de Microsoft Entra para registrar los cambios en la directiva de seguridad y la configuración del inquilino de Microsoft Entra. Para registrar el uso, archive los registros de inicio de sesión de Microsoft Entra en un sistema de administración de eventos e información de seguridad (SIEM). Registros de actividad de Microsoft Entra en Azure Monitor |
| 7.1.2 Los roles y responsabilidades para llevar a cabo las actividades del requisito 7 están documentadas, asignadas y comprendidas. | Integre el acceso a aplicaciones CDE con Microsoft Entra ID para autenticación y autorización. - Asigne roles de usuarios a aplicaciones o con pertenencia a grupos. - Use Microsoft Graph para enumerar las asignaciones de aplicaciones. - Use los registros de auditoría de Microsoft Entra para realizar un seguimiento de los cambios de asignación. Enumerar appRoleAssignments concedidos a un usuario Get-MgServicePrincipalAppRoleAssignedTo Acceso con privilegios Usar registros de auditoría de Microsoft Entra para realizar un seguimiento de las asignaciones de roles de directorio. Roles de Administrador relevantes para este requisito de PCI: - Global - Aplicación - Autenticación - Directiva de autenticación - Identidad híbrida Para implementar el acceso con privilegios mínimos, use Microsoft Entra para crear roles de directorio personalizados. Si crea partes de CDE en Azure, documente las asignaciones de roles con privilegios como Propietario, Colaborador, Administrador de acceso de usuario, etc., y los roles personalizados de suscripción donde hay recursos de CDE implementados. Microsoft recomienda habilitar el acceso Just-In-Time (JIT) a los roles mediante Privileged Identity Management (PIM). PIM permite el acceso JIT a los grupos de seguridad de Microsoft Entra en escenarios en los que la pertenencia a grupos representa el acceso con privilegios a las aplicaciones o recursos de CDE. Roles integrados de Microsoft Entra Guía de referencia de operaciones de administración de identidades y acceso de Microsoft Entra Crear y asignar un rol personalizado en el identificador de Microsoft Entra Proteger el acceso con privilegios para implementaciones híbridas y en la nube en Microsoft Entra ID ¿Qué es Microsoft Entra Privileged Identity Management? Procedimientos recomendados para todas las arquitecturas de aislamiento PIM para grupos |
7.2 El acceso a los componentes y datos del sistema está definido y asignado correctamente.
| Requisitos de enfoque definidos por PCI DSS | Instrucciones y recomendaciones de Microsoft Entra |
|---|---|
| 7.2.1 Se define un modelo de control de acceso e incluye la concesión de acceso de la siguiente manera: Acceso adecuado en función de las necesidades empresariales y de acceso de la entidad. Acceso a los componentes del sistema y a los recursos de datos basados en las funciones y la clasificación de trabajos de los usuarios. Los privilegios mínimos necesarios (por ejemplo, usuario, administrador) para realizar una función de trabajo. |
Utilice Microsoft Entra ID para asignar usuarios a roles en aplicaciones directamente o mediante membresía de grupo. Las organizaciones con taxonomía estandarizada implementada como atributos pueden automatizar las concesiones de acceso en función de la clasificación y la función del trabajo de los usuarios. Utilice grupos de Microsoft Entra con pertenencias dinámica y paquetes de acceso de administración de derechos de Microsoft Entra con políticas de asignación dinámica. Use la administración de derechos para definir la separación de obligaciones a fin de delinear privilegios mínimos. PIM permite el acceso JIT a grupos de seguridad de Microsoft Entra para escenarios personalizados donde la membresía del grupo representa acceso privilegiado a aplicaciones o recursos CDE. Reglas de pertenencia dinámica para grupos de Microsoft Entra ID Configurar una directiva de asignación automática para un paquete de acceso en la administración de derechos Configurar la separación de tareas para un paquete de acceso en la administración de derechos PIM para grupos |
| 7.2.2 El acceso se asigna a los usuarios, incluidos los usuarios con privilegios, en función de: Clasificación y función del trabajo. Privilegios mínimos necesarios para realizar las responsabilidades de trabajo. |
Utilice Microsoft Entra ID para asignar usuarios a roles en aplicaciones directamente o mediante membresía de grupo. Las organizaciones con taxonomía estandarizada implementada como atributos pueden automatizar las concesiones de acceso en función de la clasificación y la función del trabajo de los usuarios. Utilice grupos de Microsoft Entra con pertenencias dinámica y paquetes de acceso de administración de derechos de Microsoft Entra con políticas de asignación dinámica. Use la administración de derechos para definir la separación de obligaciones a fin de delinear privilegios mínimos. PIM permite el acceso JIT a grupos de seguridad de Microsoft Entra para escenarios personalizados donde la membresía del grupo representa acceso privilegiado a aplicaciones o recursos CDE. Reglas de pertenencia dinámica para grupos de Microsoft Entra ID Configurar una directiva de asignación automática para un paquete de acceso en la administración de derechos Configurar la separación de tareas para un paquete de acceso en la administración de derechos PIM para grupos |
| 7.2.3 El personal autorizado aprueba los privilegios necesarios. | La administración de derechos admite flujos de trabajo de aprobación para conceder acceso a los recursos y las revisiones de acceso periódicas. Aprobar o denegar solicitudes de acceso en la administración de derechos Revisar el acceso de un paquete de acceso en la administración de derechos PIM admite flujos de trabajo de aprobación para activar roles de directorio de Microsoft Entra y roles de Azure y grupos en la nube. Aprobar o denegar solicitudes de roles de Microsoft Entra en PIM Aprobar solicitudes de activación para miembros del grupo y propietarios |
| 7.2.4 Todas las cuentas de usuario y los privilegios de acceso relacionados, incluidas las cuentas de terceros o de proveedores, se revisan de la siguiente manera: Al menos una vez cada seis meses. Para garantizar que las cuentas de usuario y el acceso basados en la función de trabajo permanezcan adecuados. Se corrige cualquier acceso inadecuado. La administración reconoce que el acceso sigue siendo adecuado. |
Si concede acceso a las aplicaciones mediante la asignación directa o la pertenencia a grupos, configure las revisiones de acceso de Microsoft Entra. Si concede acceso a las aplicaciones mediante la administración de derechos, habilite las revisiones de acceso en el nivel del paquete de acceso. Crear una revisión de acceso de un paquete de acceso en la administración de derechos Usar el identificador externo de Microsoft Entra para cuentas de terceros y de proveedor. Puede realizar revisiones de acceso destinadas a identidades externas; por ejemplo, cuentas de terceros o de proveedores. Administración del acceso de los invitados con las revisiones de acceso |
| 7.2.5 Todas las cuentas de sistema y de aplicaciones y los privilegios de acceso relacionados se asignan y administran de la siguiente manera: En función de los privilegios mínimos necesarios para la operabilidad del sistema o la aplicación. El acceso se limita a los sistemas, aplicaciones o procesos que requieren específicamente su uso. |
Utilice Microsoft Entra ID para asignar usuarios a roles en aplicaciones directamente o mediante membresía de grupo. Las organizaciones con taxonomía estandarizada implementada como atributos pueden automatizar las concesiones de acceso en función de la clasificación y la función del trabajo de los usuarios. Utilice grupos de Microsoft Entra con pertenencias dinámica y paquetes de acceso de administración de derechos de Microsoft Entra con políticas de asignación dinámica. Use la administración de derechos para definir la separación de obligaciones a fin de delinear privilegios mínimos. PIM permite el acceso JIT a grupos de seguridad de Microsoft Entra para escenarios personalizados donde la membresía del grupo representa acceso privilegiado a aplicaciones o recursos CDE. Reglas de pertenencia dinámica para grupos de Microsoft Entra ID Configurar una directiva de asignación automática para un paquete de acceso en la administración de derechos Configurar la separación de tareas para un paquete de acceso en la administración de derechos PIM para grupos |
| 7.2.5.1 Todos los accesos por cuentas de aplicaciones y de sistema, y los privilegios de acceso relacionados se revisan de la siguiente manera: Periódicamente (con la frecuencia definida en el análisis de riesgos de destino de la entidad, que se realiza según todos los elementos especificados en el Requisito 12.3.1). El acceso a la aplicación o sistema sigue siendo adecuado para la función que se realiza. Se corrige cualquier acceso inadecuado. La administración reconoce que el acceso sigue siendo adecuado. |
Procedimientos recomendados al revisar los permisos de las cuentas de servicio. Gobernanza de las cuentas de servicio de Microsoft Entra Gobernar cuentas de servicio locales |
| 7.2.6 Todo acceso de usuario a los repositorios de consultas de datos almacenados de titulares de tarjetas está restringido de la siguiente manera: A través de aplicaciones u otros métodos mediante programación, con acceso y acciones permitidas basadas en roles de usuario y privilegios mínimos. Solo los administradores responsables pueden acceder directamente a los repositorios de datos almacenados de titulares de tarjetas (CHD) o consultarlos directamente. |
Las aplicaciones modernas permiten métodos de programación que restringen el acceso a los repositorios de datos. Integre aplicaciones con Microsoft Entra ID mediante protocolos de autenticación modernos, como OAuth y OpenID Connect (OIDC). Protocolos OAuth 2.0 y OIDC en la plataforma de identidad de Microsoft Definir roles específicos de la aplicación para modelar el acceso de usuario con privilegios y sin privilegios. Asigne usuarios o grupos a roles. Agregar roles de aplicación a la aplicación y recibirlos en el token Para las API expuestas por la aplicación, defina ámbitos de OAuth para habilitar el consentimiento del usuario y del administrador. Ámbitos y permisos en la plataforma de identidad de Microsoft Modele el acceso con privilegios y sin privilegios a los repositorios con el siguiente enfoque y evite el acceso directo al repositorio. Si los administradores y operadores requieren acceso, concédalo por la plataforma subyacente. Por ejemplo, las asignaciones de IAM de ARM en Azure, ventanas de listas de control de acceso (ACL), etc. Consulte la guía de arquitectura que incluye la protección de la plataforma como servicio (PaaS) de la aplicación y la infraestructura como servicio (IaaS) en Azure. Centro de arquitectura de Azure |
7.3 El acceso a los componentes y datos del sistema se administra a través de un sistema de control de acceso.
| Requisitos de enfoque definidos por PCI DSS | Instrucciones y recomendaciones de Microsoft Entra |
|---|---|
| 7.3.1 Se aplican sistemas de control de acceso que restringen el acceso en función de la necesidad de saber de un usuario y cubre todos los componentes del sistema. | Integre el acceso a las aplicaciones del CDE con Microsoft Entra ID como autenticación y autorización del sistema de control de acceso. Las directivas de acceso condicional, con asignaciones de aplicaciones controlan el acceso a las aplicaciones. ¿Qué es el acceso condicional? Asignar usuarios y grupos a una aplicación |
| 7.3.2 Los sistemas de control de acceso están configurados para aplicar permisos asignados a usuarios, aplicaciones y sistemas en función de la clasificación y la función de los trabajos. | Integre el acceso a las aplicaciones del CDE con Microsoft Entra ID como autenticación y autorización del sistema de control de acceso. Las directivas de acceso condicional, con asignaciones de aplicaciones controlan el acceso a las aplicaciones. ¿Qué es el acceso condicional? Asignar usuarios y grupos a una aplicación |
| 7.3.3 Los sistemas de control de acceso se establecen en "denegar todo" de forma predeterminada. | Use el acceso condicional para bloquear el acceso en función de las condiciones de solicitud de acceso, como la pertenencia a grupos, las aplicaciones, la ubicación de red, la seguridad de las credenciales, etc. Acceso condicional: Bloquear el acceso directiva de bloqueo mal configurada podría contribuir a bloqueos no intencionales. Diseño de una estrategia de acceso de emergencia. Administrar cuentas de administrador de acceso de emergencia en Microsoft Entra ID |
Pasos siguientes
Los requisitos 3, 4, 9 y 12 de PCI-DSS no son aplicables a Microsoft Entra ID, por lo que no hay artículos correspondientes. Para ver todos los requisitos, visite pcisecuritystandards.org: Sitio oficial del Consejo sobre el Estándar de Seguridad de Datos para la PCI.
Para configurar Microsoft Entra ID de modo que cumpla con PCI-DSS, consulte los siguientes artículos.
- Guía de Microsoft Entra PCI-DSS
- Requisito 1: instalar y mantener controles de seguridad de red
- Requisito 2: aplicar configuraciones seguras a todos los componentes del sistema
- Requisito 5: proteger todos los sistemas y redes de software malintencionado
- Requisito 6: desarrollar y mantener sistemas y programas informáticos seguros
- Requisito 7: restringir el acceso a los componentes del sistema y a los datos de titulares de tarjetas por necesidades empresariales (Está aquí)
- Requisito 8: identificar a los usuarios y autenticar el acceso a los componentes del sistema
- Requisito 10: Registrar y supervisar todo el acceso a componentes del sistema y datos de titulares de tarjetas
- Requisito 11: Probar periódicamente la seguridad de sistemas y redes
- Guía de autenticación multifactor de PCI-DSS de Microsoft Entra
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de