Diretrizes da Autenticação Multifator do PCI-DSS no Microsoft Entra
Suplemento de informações: Autenticação Multifator v 1.0
Use a seguinte tabela de métodos de autenticação com suporte do Microsoft Entra ID para atender aos requisitos no Suplemento de Informações do Conselho de Padrões de Segurança PCI, Autenticação Multifator v 1.0.
| Método | Para atender aos requisitos | Proteção | Elemento MFA |
|---|---|---|---|
| Entrada por telefone sem senha com o Microsoft Authenticator | Algo que você tem (dispositivo com uma chave), algo que você sabe ou é (PIN ou biométrico) No iOS, o Elemento Seguro do Authenticator (SE) armazena a chave no Conjunto de chaves. Segurança da Plataforma Apple, proteção de dados do conjunto de chaves No Android, o Authenticator usa o Ambiente de Execução Confiável (TEE) armazenando a chave no Repositório de Chaves. Desenvolvedores, sistema de repositório de chaves do Android Quando os usuários se autenticam usando o Microsoft Authenticator, o Microsoft Entra ID gera um número aleatório que o usuário insere no aplicativo. Essa ação atende ao requisito de autenticação fora de banda. |
Os clientes configuram políticas de proteção de dispositivo para atenuar o risco de comprometimento do dispositivo. Por exemplo, políticas de conformidade do Microsoft Intune. | Os usuários desbloqueiam a chave com o gesto e, em seguida, o Microsoft Entra ID valida o método de autenticação. |
| Visão geral de pré-requisitos de implantação do Windows Hello para Empresas | Algo que você tem (dispositivo Windows com uma chave) e algo que você sabe ou é (PIN ou biométrico). As chaves são armazenadas com o Trusted Platform Module (TPM) do dispositivo. Os clientes usam dispositivos com hardware TPM 2.0 ou posterior para atender aos requisitos de independência e fora de banda do método de autenticação. Níveis certificados do Authenticator |
Configure as políticas de proteção do dispositivo para atenuar o risco de comprometimento do dispositivo. Por exemplo, políticas de conformidade do Microsoft Intune. | Os usuários desbloqueiam a chave com o gesto de entrar no dispositivo Windows. |
| Habilitar a entrada com chave de segurança sem senha, habilitar o método de chave de segurança FIDO2 | Algo que você tem (chave de segurança FIDO2) e algo que você sabe ou é (PIN ou biométrico). As chaves são armazenadas com recursos criptográficos de hardware. Os clientes usam chaves FIDO2, pelo menos com Nível de Certificação de Autenticação 2 (L2) para atender ao requisito de independência e fora de banda do método de autenticação. |
Adquirir hardware com proteção contra adulteração e comprometimento. | Os usuários desbloqueiam a chave com o gesto e, em seguida,o Microsoft Entra ID valida a credencial. |
| Visão geral da autenticação baseada em certificado do Microsoft Entra | Algo que você tem (cartão inteligente) e algo que você sabe (PIN). Cartões inteligentes físicos ou cartões inteligentes virtuais armazenados no TPM 2.0 ou posterior são um Elemento Seguro (SE). Essa ação atende ao requisito de independência e fora de banda do método de autenticação. |
Adquirir cartões inteligentes com proteção contra adulteração e comprometimento. | Os usuários desbloqueiam a chave privada do certificado com o gesto ou o PIN e, em seguida, o Microsoft Entra ID valida a credencial. |
Próximas etapas
Os requisitos 3, 4, 9 e 12 do PCI DSS não são aplicáveis ao Microsoft Entra ID e, portanto, não há artigos correspondentes. Para ver todos os requisitos, acesse pcisecuritystandards.org: Site oficial do Conselho de Padrões de Segurança do PCI.
Para configurar o Microsoft Entra ID em conformidade com o PCI-DSS, confira os artigos a seguir.
- Diretrizes do PCI-DSS no Microsoft Entra
- Requisito 1: Instalar e Manter Controles de Segurança de Rede
- Requisito 2: Aplicar Configurações Seguras a Todos os Componentes do Sistema
- Requisito 5: Proteger Todos os Sistemas e Redes Contra Softwares Mal-intencionados
- Requisito 6: Desenvolver e Manter Sistemas e Softwares Seguros
- Requisito 7: Restringir o Acesso aos Componentes do Sistema e aos Dados do Titular do Cartão com Base na Necessidade de Conhecimento de Negócios
- Requisito 8: Identificar Usuários e Autenticar o Acesso aos Componentes do Sistema
- Requisito 10: Registrar em log e monitorar todo o acesso aos componentes do sistema e aos dados do titular do cartão
- Requisito 11: Testar a segurança de sistemas e redes regularmente
- Diretrizes da Autenticação Multifator do PCI-DSS no Microsoft Entra (Você está aqui)