Requisito 10 do Microsoft Entra ID e PCI-DSS
Requisito 10: Registrar em log e monitorar todo o acesso aos componentes do sistema e aos dados do titular do cartão
Requisitos de abordagem definidos
10.1 Os processos e os mecanismos usados para registrar em log e monitorar todo o acesso aos componentes do sistema e dados do titular do cartão foram definidos e documentados.
| Requisitos de abordagem definidos por PCI-DSS | Orientações e recomendações do Microsoft Entra |
|---|---|
| 10.1.1 Todas as políticas de segurança e procedimentos operacionais identificados no Requisito 10 são: Documentados Mantidos atualizados Em uso Conhecidos por todas as partes afetadas |
Use as diretrizes e os links aqui para produzir a documentação para atender aos requisitos com base na configuração do seu ambiente. |
| 10.1.2 Funções e responsabilidades para executar atividades no Requisito 10 são documentadas, atribuídas e compreendidas. | Use as diretrizes e os links aqui para produzir a documentação para atender aos requisitos com base na configuração do seu ambiente. |
10.2 Os logs de auditoria são implementados para dar suporte à detecção de anomalias e atividades suspeitas e à análise forense de eventos.
| Requisitos de abordagem definidos por PCI-DSS | Orientações e recomendações do Microsoft Entra |
|---|---|
| 10.2.1 Os logs de auditoria estão habilitados e ativos para todos os componentes do sistema e dados do titular do cartão. | Arquive logs de auditoria do Microsoft Entra para obter alterações nas políticas de segurança e configuração de locatário do Microsoft Entra. Arquive logs de atividades do Microsoft Entra em um sistema SIEM (gerenciamento de eventos e informações de segurança) para saber mais sobre o uso. Logs de atividades do Microsoft Entra no Azure Monitor |
| 10.2.1.1 Os logs de auditoria capturam todo o acesso de usuário individual aos dados do titular do cartão. | Não aplicável ao Microsoft Entra ID. |
| 10.2.1.2 Os logs de auditoria capturam todas as ações executadas por qualquer indivíduo com acesso administrativo, incluindo qualquer uso interativo de contas de aplicativo ou sistema. | Não aplicável ao Microsoft Entra ID. |
| 10.2.1.3 Os logs de auditoria capturam todo o acesso aos logs de auditoria. | No Microsoft Entra ID, você não pode apagar nem modificar logs. Usuários privilegiados podem consultar logs do Microsoft Entra ID. Funções com privilégios mínimos por tarefa no Microsoft Entra ID Quando os logs de auditoria são exportados para sistemas como o Workspace do Azure Log Analytics, contas de armazenamento ou sistemas SIEM de terceiros, monitore o acesso neles. |
| 10.2.1.4 Os logs de auditoria capturam todas as tentativas de acesso lógico inválidas. | O Microsoft Entra ID gera logs de atividades quando um usuário tenta entrar com credenciais inválidas. Ele gera logs de atividades quando o acesso é negado devido a políticas de Acesso Condicional. |
| 10.2.1.5 Os logs de auditoria capturam todas as alterações nas credenciais de identificação e autenticação, incluindo, entre outras: Criação de novas contas Elevação de privilégio Todas as alterações, adições ou exclusões em contas com privilégios de administrador |
O Microsoft Entra ID gera logs de auditoria para os eventos nesse requisito. |
| 10.2.1.6 Os logs de auditoria capturam o seguinte: Toda a inicialização de novos logs de auditoria e Todos iniciando, parando ou pausando os logs de auditoria existentes. |
Não aplicável ao Microsoft Entra ID. |
| 10.2.1.7 Os logs de auditoria capturam toda a criação e exclusão de objetos no nível do sistema. | O Microsoft Entra ID gera logs de auditoria para eventos nesse requisito. |
| 10.2.2 Os logs de auditoria registram os seguintes detalhes para cada evento auditável: Identificação do usuário. Tipo de evento. Data e hora. Indicação de êxito e falha. Origem do evento. Identidade ou nome dos dados afetados, componente do sistema, recurso ou serviço (por exemplo, nome e protocolo). |
Confira Auditar os logs no Microsoft Entra ID |
10.3 Os logs de auditoria são protegidos contra destruição e modificações não autorizadas.
| Requisitos de abordagem definidos por PCI-DSS | Orientações e recomendações do Microsoft Entra |
|---|---|
| 10.3.1 O acesso de leitura aos arquivos de logs de auditoria é limitado àqueles com uma necessidade relacionada ao trabalho. | Usuários privilegiados podem consultar logs do Microsoft Entra ID. Funções com privilégios mínimos por tarefa no Microsoft Entra ID |
| 10.3.2 Os arquivos de log de auditoria são protegidos para evitar modificações por indivíduos. | No Microsoft Entra ID, você não pode apagar nem modificar logs. Quando os logs de auditoria são exportados para sistemas como o Workspace do Azure Log Analytics, contas de armazenamento ou sistemas SIEM de terceiros, monitore-os para acesso. |
| 10.3.3 Arquivos de log de auditoria, incluindo aqueles para tecnologias voltadas para o exterior, são prontamente copiados em backup para um(s) servidor(s) de log(s) interno(s) seguro(s) ou outras mídias que são difíceis de modificar. | No Microsoft Entra ID, você não pode apagar nem modificar logs. Quando os logs de auditoria são exportados para sistemas como o Workspace do Azure Log Analytics, contas de armazenamento ou sistemas SIEM de terceiros, monitore-os para acesso. |
| 10.3.4 Os mecanismos de monitoramento de integridade de arquivo ou detecção de alterações são usados em logs de auditoria para garantir que os dados de log existentes não possam ser alterados sem gerar alertas. | No Microsoft Entra ID, você não pode apagar nem modificar logs. Quando os logs de auditoria são exportados para sistemas como o Workspace do Azure Log Analytics, contas de armazenamento ou sistemas SIEM de terceiros, monitore-os para acesso. |
10.4 Os logs de auditoria são analisados para identificar anomalias ou atividades suspeitas.
| Requisitos de abordagem definidos por PCI-DSS | Orientações e recomendações do Microsoft Entra |
|---|---|
| 10.4.1 Os seguintes logs de auditoria são revisados pelo menos uma vez por dia: Todos os eventos de segurança. Logs de todos os componentes do sistema que armazenam, processam ou transmitem dados do titular do cartão (CHD) e/ou dados de autenticação confidenciais (SAD). Logs de todos os componentes essenciais do sistema. Logs de todos os servidores e componentes do sistema que executam funções de segurança (por exemplo, controles de segurança de rede, IDS/IPS (sistemas de detecção de invasão/sistemas de prevenção de invasão), servidores de autenticação). |
Inclua logs do Microsoft Entra nesse processo. |
| 10.4.1.1 Mecanismos automatizados são usados para executar revisões de log de auditoria. | Inclua logs do Microsoft Entra nesse processo. Configure ações automatizadas e alertas quando os logs do Microsoft Entra forem integrados ao Azure Monitor. Implantar o Azure Monitor: alertas e ações automatizadas |
| 10.4.2 Os logs de todos os outros componentes do sistema (aqueles não especificados no Requisito 10.4.1) são revisados periodicamente. | Não aplicável ao Microsoft Entra ID. |
| 10.4.2.1 A frequência de revisões periódicas de log para todos os outros componentes do sistema (não definidas no Requisito 10.4.1) é definida na análise de risco de destino da entidade, que é executada de acordo com todos os elementos especificados no Requisito 12.3.1 | Não aplicável ao Microsoft Entra ID. |
| 10.4.3 Exceções e anomalias identificadas durante o processo de revisão são abordadas. | Não aplicável ao Microsoft Entra ID. |
10.5 O histórico do log de auditoria foi retido e está disponível para análise.
| Requisitos de abordagem definidos por PCI-DSS | Orientações e recomendações do Microsoft Entra |
|---|---|
| 10.5.1 Manter o histórico de logs de auditoria por pelo menos 12 meses, com pelo menos os três meses mais recentes imediatamente disponíveis para análise. | Integre-se ao Azure Monitor e exporte os logs para arquivamento de longo prazo. Integrar logs do Microsoft Entra com logs do Azure Monitor Saiba mais sobre a política de retenção de dados de logs do Microsoft Entra. Retenção de dados do Microsoft Entra |
10.6 Os mecanismos de sincronização de tempo dão suporte a configurações de hora consistentes em todos os sistemas.
| Requisitos de abordagem definidos por PCI-DSS | Orientações e recomendações do Microsoft Entra |
|---|---|
| 10.6.1 Os relógios e a hora do sistema são sincronizados usando a tecnologia de sincronização de tempo. | Saiba mais sobre o mecanismo de sincronização de tempo nos serviços do Azure. Sincronização de tempo para serviços financeiros no Azure |
| 10.6.2 Os sistemas são configurados para o horário correto e consistente da seguinte maneira: um ou mais servidores de horário designados estão em uso. Somente os servidores de horário central designados recebem tempo de fontes externas. O tempo recebido de fontes externas baseia-se no Tempo Atômico Internacional ou no UTC (Tempo Universal Coordenado). Os servidores de horário designados aceitam atualizações de tempo somente de fontes externas específicas aceitas pelo setor. Onde há mais de um servidor de tempo designado, os servidores de tempo emparelham uns com os outros para manter o tempo preciso. Os sistemas internos recebem informações de tempo somente de servidores de horário central designados. |
Saiba mais sobre o mecanismo de sincronização de tempo nos serviços do Azure. Sincronização de tempo para serviços financeiros no Azure |
| 10.6.3 As configurações e os dados de sincronização de tempo são protegidos da seguinte maneira: os dados de acesso ao tempo são restritos apenas a funcionários com necessidade de negócios. Todas as alterações nas configurações de tempo em sistemas críticos são registradas, monitoradas e revisadas. |
Microsoft Entra ID depende de mecanismos de sincronização de tempo no Azure. Os procedimentos do Azure sincronizam servidores e dispositivos de rede com servidores NTP Stratum 1-time sincronizados com satélites GPS (sistema de posicionamento global). A sincronização ocorre a cada cinco minutos. O Azure garante o tempo de sincronização dos hosts de serviço. Sincronização de tempo para serviços financeiros no Azure Os componentes híbridos em Microsoft Entra ID, como servidores do Microsoft Entra Connect, interagem com a infraestrutura local. O cliente possui a sincronização de tempo de servidores locais. |
10.7 As falhas de sistemas críticos de controle de segurança são detectadas, relatadas e respondidas prontamente.
| Requisitos de abordagem definidos por PCI-DSS | Orientações e recomendações do Microsoft Entra |
|---|---|
| 10.7.2 Requisito adicional somente para provedores de serviços: falhas de sistemas críticos de controle de segurança são detectadas, alertadas e tratadas prontamente, incluindo, mas não se limitando a falhas dos seguintes sistemas críticos de controle de segurança: Controles de segurança de rede IDS/IPS Monitoramento de integridade dos dados (FIM) Soluções antimalware Controles de acesso físico Controles de acesso lógico Mecanismo de log de auditoria Controles de segmentação (se usados) |
Microsoft Entra ID depende de mecanismos de sincronização de tempo no Azure. O Azure dá suporte à análise de eventos em tempo real em seu ambiente operacional. Os sistemas internos de infraestrutura do Azure geram alertas de eventos quase em tempo real sobre um possível comprometimento. |
| 10.7.2 Falhas de sistemas críticos de controle de segurança são detectadas, alertadas e tratadas prontamente, incluindo, mas não se limitando a falhas dos seguintes sistemas críticos de controle de segurança: Controles de segurança de rede IDS/IP Mecanismos de detecção de alterações Soluções antimalware Controles de acesso físico Controles de acesso lógico Mecanismos de log de auditoria Controles de segmentação (se usados) Mecanismos de revisão de log de auditoria Ferramentas automatizadas de teste de segurança (se usadas) |
Confira guia de operações de segurança do Microsoft Entra |
| 10.7.3 Falhas de qualquer sistema de controles de segurança críticos são respondidas prontamente, incluindo, mas não se limitando a: Restaurando funções de segurança. Identificação e documentação da duração (data e hora do início ao fim) da falha de segurança. Identificação e documentação das causas da falha e documentar a correção necessária. Identificação e tratamento de problemas de segurança ocorridos durante a falha. Determinar se ações adicionais são necessárias por causa da falha de segurança. Implementação de controles para evitar que a causa da falha se repita. Retomando o monitoramento de controles de segurança. |
Confira guia de operações de segurança do Microsoft Entra |
Próximas etapas
Os requisitos 3, 4, 9 e 12 do PCI DSS não são aplicáveis ao Microsoft Entra ID e, portanto, não há artigos correspondentes. Para ver todos os requisitos, acesse pcisecuritystandards.org: Site oficial do Conselho de Padrões de Segurança do PCI.
Para configurar o Microsoft Entra ID em conformidade com o PCI-DSS, confira os artigos a seguir.
- Diretrizes do PCI-DSS no Microsoft Entra
- Requisito 1: Instalar e Manter Controles de Segurança de Rede
- Requisito 2: Aplicar Configurações Seguras a Todos os Componentes do Sistema
- Requisito 5: Proteger Todos os Sistemas e Redes Contra Softwares Mal-intencionados
- Requisito 6: Desenvolver e Manter Sistemas e Softwares Seguros
- Requisito 7: Restringir o Acesso aos Componentes do Sistema e aos Dados do Titular do Cartão com Base na Necessidade de Conhecimento de Negócios
- Requisito 8: Identificar os usuários e autenticar o acesso aos componentes do sistema
- Requisito 10: Registrar em log e monitorar todo o acesso aos componentes do sistema e aos dados do titular do cartão (Você está aqui)
- Requisito 11: Testar a segurança de sistemas e redes regularmente
- Diretrizes da Autenticação Multifator do PCI-DSS no Microsoft Entra