Compartilhar via


Microsoft Entra ID e Requisito 11 do PCI-DSS

Requisito 11: Testar a Segurança de Sistemas e Redes Regularmente
Requisitos de abordagem definidos

11.1 Processos e mecanismos para testar regularmente a segurança de sistemas e redes são definidos e compreendidos.

Requisitos de abordagem definidos pelo PCI-DSS Orientações e recomendações do Microsoft Entra
11.1.1 Todas as políticas de segurança e procedimentos operacionais identificados no Requisito 11 são:
Documentados
Mantidos atualizados
Em uso
Conhecidos por todas as partes afetadas
Use as diretrizes e os links aqui contidos para produzir a documentação para atender aos requisitos com base na configuração do seu ambiente.
11.1.2 As funções e responsabilidades para a execução das atividades no Requisito 11 são documentadas, atribuídas e compreendidas. Use as diretrizes e os links aqui contidos para produzir a documentação para atender aos requisitos com base na configuração do seu ambiente.

11.2 Os pontos de acesso sem fio são identificados e monitorados e os pontos de acesso sem fio não autorizados são resolvidos.

Requisitos de abordagem definidos pelo PCI-DSS Orientações e recomendações do Microsoft Entra
11.2.1 Os pontos de acesso sem fio autorizados e não autorizados são gerenciados da seguinte forma:
A presença de pontos de acesso sem fio (Wi-Fi) é testada.
Todos os pontos de acesso sem fio autorizados e não autorizados são detectados e identificados.
O teste, a detecção e a identificação ocorrem pelo menos uma vez a cada três meses.
Se o monitoramento automatizado for usado, o pessoal será notificado por meio de alertas gerados.
Se sua organização integrar pontos de acesso de rede ao Microsoft Entra ID para autenticação, consulte Requisito 1: Instalar e Manter os Controles de Segurança de Rede
11.2.2 É mantido um inventário de pontos de acesso sem fio autorizados, incluindo uma justificativa comercial documentada. Não aplicável ao Microsoft Entra ID.

11.3 As vulnerabilidades externas e internas são regularmente identificadas, priorizadas e resolvidas.

Requisitos de abordagem definidos pelo PCI-DSS Orientações e recomendações do Microsoft Entra
11.3.1 As verificações internas de vulnerabilidade são realizadas da seguinte forma:
pelo menos uma vez a cada três meses.
Vulnerabilidades críticas e de alto risco (de acordo com as classificações de risco de vulnerabilidade da entidade definidas no Requisito 6.3.1) são resolvidas.
São realizadas novas verificações para confirmar se todas as vulnerabilidades críticas e de alto risco (conforme indicado) foram resolvidas.
A ferramenta de verificação é mantida atualizada com as informações mais recentes sobre vulnerabilidades.
As verificações são realizadas por pessoal qualificado e existe independência organizacional do testador.
Inclua servidores que ofereçam suporte aos recursos híbridos do Microsoft Entra. Por exemplo, Microsoft Entra Connect, conectores de proxy do Aplicativo, etc. como parte das verificações de vulnerabilidades internas.
Organizações que usam a autenticação federada: examinar e resolver as vulnerabilidades da infraestrutura do sistema de federação. O que é federação com o Microsoft Entra ID?
Analise e mitigue as detecções de riscos relatadas pelo Microsoft Entra ID Protection. Integre os sinais com uma solução SIEM para integrar mais com fluxos de trabalho de correção ou automação. Tipos de riscos e detecção
Execute a ferramenta de avaliação do Microsoft Entra regularmente e resolva os resultados encontrados. AzureADAssessment
Operações de segurança para infraestrutura
Integrar os logs do Microsoft Entra com os logs do Azure Monitor
11.3.1.1 Todas as outras vulnerabilidades aplicáveis (aquelas não classificadas como de alto risco ou críticas de acordo com as classificações de risco de vulnerabilidade da entidade definidas no Requisito 6.3.1) são gerenciadas da seguinte forma:
Resolvidas com base no risco definido na análise de risco direcionada da entidade, que é realizada de acordo com todos os elementos especificados no Requisito 12.3.1.
Novas verificações são realizadas conforme necessário.
Inclua servidores que ofereçam suporte aos recursos híbridos do Microsoft Entra. Por exemplo, Microsoft Entra Connect, conectores de proxy do Aplicativo, etc. como parte das verificações de vulnerabilidades internas.
Organizações que usam a autenticação federada: examinar e resolver as vulnerabilidades da infraestrutura do sistema de federação. O que é federação com o Microsoft Entra ID?
Analise e mitigue as detecções de riscos relatadas pelo Microsoft Entra ID Protection. Integre os sinais com uma solução SIEM para integrar mais com fluxos de trabalho de correção ou automação. Tipos de riscos e detecção
Execute a ferramenta de avaliação do Microsoft Entra regularmente e resolva os resultados encontrados. AzureAD/AzureADAssessment
Operações de segurança para infraestrutura
Integrar os logs do Microsoft Entra com os logs do Azure Monitor
11.3.1.2 As verificações de vulnerabilidades internas são realizadas por meio de verificações autenticadas da seguinte forma:
os sistemas que não conseguem aceitar credenciais para a verificação autenticada são documentados.
Privilégios suficientes são usados para os sistemas que aceitam credenciais para verificação.
Se as contas usadas para verificação autenticada puderem ser usadas para o logon interativo, elas serão gerenciadas de acordo com o Requisito 8.2.2.
Inclua servidores que ofereçam suporte aos recursos híbridos do Microsoft Entra. Por exemplo, Microsoft Entra Connect, conectores de proxy do Aplicativo, etc. como parte das verificações de vulnerabilidades internas.
Organizações que usam a autenticação federada: examinar e resolver as vulnerabilidades da infraestrutura do sistema de federação. O que é federação com o Microsoft Entra ID?
Analise e mitigue as detecções de riscos relatadas pelo Microsoft Entra ID Protection. Integre os sinais com uma solução SIEM para integrar mais com fluxos de trabalho de correção ou automação. Tipos de riscos e detecção
Execute a ferramenta de avaliação do Microsoft Entra regularmente e resolva os resultados encontrados. AzureADAssessment
Operações de segurança para infraestrutura
Integrar os logs do Microsoft Entra com os logs do Azure Monitor
11.3.1.3 As verificações internas de vulnerabilidade são realizadas após qualquer alteração significativa da seguinte forma:
vulnerabilidades críticas e de alto risco (de acordo com as classificações de risco de vulnerabilidades da entidade definidas no Requisito 6.3.1) são resolvidas.
Novas verificações são realizadas conforme necessário.
As verificações são realizadas por pessoal qualificado e existe independência organizacional do testador (não é necessário ser um Avaliador de Segurança Qualificado (QSA) ou Fornecedor de Verificação Aprovado (ASV)).
Inclua servidores que ofereçam suporte aos recursos híbridos do Microsoft Entra. Por exemplo, Microsoft Entra Connect, conectores de proxy do Aplicativo, etc. como parte das verificações de vulnerabilidades internas.
Organizações que usam a autenticação federada: examinar e resolver as vulnerabilidades da infraestrutura do sistema de federação. O que é federação com o Microsoft Entra ID?
Analise e mitigue as detecções de riscos relatadas pelo Microsoft Entra ID Protection. Integre os sinais com uma solução SIEM para integrar mais com fluxos de trabalho de correção ou automação. Tipos de riscos e detecção
Execute a ferramenta de avaliação do Microsoft Entra regularmente e resolva os resultados encontrados. AzureADAssessment
Operações de segurança para infraestrutura
Integrar os logs do Microsoft Entra com os logs do Azure Monitor
11.3.2 As verificações de vulnerabilidades externas são realizadas da seguinte forma:
pelo menos uma vez a cada três meses.
Por um ASV do PCI SSC.
As vulnerabilidades foram resolvidas e os requisitos do Guia do Programa ASV para aprovação na verificação foram atendidos.
Novas verificações são realizadas conforme necessário para confirmar se as vulnerabilidades foram resolvidas de acordo com os requisitos do Guia do Programa ASV para uma verificação aprovada.
Não aplicável ao Microsoft Entra ID.
11.3.2.1 As verificações de vulnerabilidades externas são realizadas após qualquer alteração significativa da seguinte forma:
as vulnerabilidades com pontuação 4.0 ou superior pelo CVSS são resolvidas.
Novas verificações são realizadas conforme necessário.
As verificações são realizadas por pessoal qualificado e existe independência organizacional do testador (não é necessário ser um QSA ou ASV).
Não aplicável ao Microsoft Entra ID.

11.4 Testes de penetração externa e interna são realizados regularmente e vulnerabilidades exploráveis e fraquezas de segurança são corrigidas.

Requisitos de abordagem definidos pelo PCI-DSS Orientações e recomendações do Microsoft Entra
11.4.1 Uma metodologia de teste de penetração é definida, documentada e implementada pela entidade e inclui:
abordagens de teste de penetração aceitas pelo setor.
Cobertura para todo o perímetro do ambiente de dados do titular do cartão (CDE) e sistemas críticos.
Testes de dentro e de fora da rede.
Testes para validar quaisquer controles de segmentação e redução de escopo.
Teste de penetração da camada de aplicação para identificar, no mínimo, as vulnerabilidades listadas no Requisito 6.2.4.
Testes de penetração da camada de rede que abrangem todos os componentes que suportam funções de rede e sistemas operacionais.
Revisão e consideração de ameaças e vulnerabilidades experimentadas nos últimos 12 meses.
Abordagem documentada para avaliar e abordar o risco apresentado por vulnerabilidades exploráveis e fraquezas de segurança encontradas durante os testes de penetração.
Retenção dos resultados dos testes de penetração e dos resultados das atividades de correção por pelo menos 12 meses.
Regras de Engajamento de Teste de Penetração, Microsoft Cloud
11.4.2 O teste de penetração interna é realizado:
de acordo com a metodologia definida pela entidade.
Pelo menos uma vez a cada 12 meses.
Após qualquer atualização ou alteração significativa de infraestrutura ou aplicativo.
Por um recurso interno qualificado ou por um terceiro externo qualificado.
Existe independência organizacional do testador (não é necessário ser um QSA ou ASV).
Regras de Engajamento de Teste de Penetração, Microsoft Cloud
11.4.3 O teste de penetração externa é realizado:
de acordo com a metodologia definida pela entidade.
Pelo menos uma vez a cada 12 meses.
Após qualquer atualização ou alteração significativa de infraestrutura ou aplicativo.
Por um recurso interno qualificado ou por um terceiro externo qualificado.
Existe independência organizacional do testador (não é necessário ser um QSA ou ASV).
Regras de Engajamento de Teste de Penetração, Microsoft Cloud
11.4.4 As vulnerabilidades exploráveis e as fraquezas de segurança encontradas durante os testes de penetração são corrigidas da seguinte forma:
de acordo com a avaliação da entidade sobre o risco representado pelo problema de segurança, conforme definido no Requisito 6.3.1.
O teste de penetração é repetido para verificar as correções.
Regras de Engajamento de Teste de Penetração, Microsoft Cloud
11.4.5 Se a segmentação for usada para isolar o CDE de outras redes, os testes de penetração serão realizados nos controles de segmentação da seguinte forma:
pelo menos uma vez a cada 12 meses e após quaisquer alterações nos controles/métodos de segmentação.
Abrangendo todos os controles/métodos de segmentação em uso.
De acordo com a metodologia de teste de penetração definida pela entidade.
Confirmar se os controles/métodos de segmentação estão operacionais e eficazes e isolar o CDE de todos os sistemas fora do escopo.
Confirmar a eficácia de qualquer uso de isolamento para separar sistemas com diferentes níveis de segurança (ver Requisito 2.2.3).
Realizado por um recurso interno qualificado ou terceiro externo qualificado.
Existe independência organizacional do testador (não é necessário ser um QSA ou ASV).
Não aplicável ao Microsoft Entra ID.
11.4.6 Requisito adicional apenas para provedores de serviços : se a segmentação for usada para isolar o CDE de outras redes, os testes de penetração serão realizados nos controles de segmentação da seguinte forma:
pelo menos uma vez a cada seis meses e após alterações nos controles/métodos de segmentação.
Abrangendo todos os controles/métodos de segmentação em uso.
De acordo com a metodologia de teste de penetração definida pela entidade.
Confirmar se os controles/métodos de segmentação estão operacionais e eficazes e isolar o CDE de todos os sistemas fora do escopo.
Confirmar a eficácia de qualquer uso de isolamento para separar sistemas com diferentes níveis de segurança (ver Requisito 2.2.3).
Realizado por um recurso interno qualificado ou terceiro externo qualificado.
Existe independência organizacional do testador (não é necessário ser um QSA ou ASV).
Não aplicável ao Microsoft Entra ID.
11.4.7 Requisito adicional apenas para provedores de serviços multilocatários : os provedores de serviços multilocatários dão suporte aos seus clientes na realização de testes de penetração externos de acordo com os Requisitos 11.4.3 e 11.4.4. Regras de Engajamento de Teste de Penetração, Microsoft Cloud

11.5 Intrusões de rede e alterações inesperadas nos arquivos são detectadas e respondidas.

Requisitos de abordagem definidos pelo PCI-DSS Orientações e recomendações do Microsoft Entra
11.5.1 Técnicas de detecção e/ou prevenção de intrusões são usadas para detectar e/ou evitar intrusões na rede da seguinte forma:
todo o tráfego é monitorado no perímetro do CDE.
Todo o tráfego é monitorado em pontos críticos no CDE.
O pessoal é alertado sobre suspeitas de comprometimento.
Todos os mecanismos de detecção e prevenção de intrusão, linhas de base e assinaturas são mantidos atualizados.
Não aplicável ao Microsoft Entra ID.
11.5.1.1 Requisito adicional apenas para provedores de serviços : técnicas de detecção e/ou prevenção de intrusões detectam, alertam, evitam e abordam canais secretos de comunicação de malware. Não aplicável ao Microsoft Entra ID.
11.5.2 Um mecanismo de detecção de alterações (por exemplo, ferramentas de monitoramento de integridade de arquivos) é implantado da seguinte forma:
para alertar o pessoal sobre modificações não autorizadas (incluindo alterações, adições e exclusões) de arquivos críticos.
Para realizar comparações de arquivos críticos pelo menos uma vez por semana.
Não aplicável ao Microsoft Entra ID.

11.6 Alterações não autorizadas nas páginas de pagamento são detectadas e respondidas.

Requisitos de abordagem definidos pelo PCI-DSS Orientações e recomendações do Microsoft Entra
11.6.1 Um mecanismo de detecção de alterações e adulterações é implantado da seguinte forma:
Para alertar o pessoal sobre modificações não autorizadas (incluindo indicadores de comprometimento, alterações, adições e exclusões) nos cabeçalhos HTTP e no conteúdo das páginas de pagamento, conforme recebidos pelo navegador do consumidor.
O mecanismo está configurado para avaliar o cabeçalho HTTP recebido e a página de pagamento.
As funções do mecanismo são executadas da seguinte forma: pelo menos uma vez a cada sete dias
OU
periodicamente na frequência definida na análise de risco direcionada da entidade, que é realizada de acordo com todos os elementos
Não aplicável ao Microsoft Entra ID.

Próximas etapas

Os requisitos 3, 4, 9 e 12 do PCI DSS não são aplicáveis ao Microsoft Entra ID e, portanto, não há artigos correspondentes. Para ver todos os requisitos, acesse pcisecuritystandards.org: Site oficial do Conselho de Padrões de Segurança do PCI.

Para configurar o Microsoft Entra ID em conformidade com o PCI-DSS, confira os artigos a seguir.