Microsoft Entra ID e Requisito 2 do PCI-DSS
Requisito 2: aplicar configurações seguras a todos os componentes do sistema
Requisitos de abordagem definidos
2.1 Os processos e os mecanismos usados para aplicar configurações seguras a todos os componentes do sistema foram definidos e compreendidos.
| Requisitos de abordagem definidos por PCI-DSS | Orientações e recomendações do Microsoft Entra |
|---|---|
| 2.1.1 Todas as políticas de segurança e procedimentos operacionais identificados no Requisito 2 são: Documentados Mantidos atualizados Em uso Conhecidos por todas as partes afetadas |
Use as diretrizes e os links aqui para produzir a documentação para atender aos requisitos com base na configuração do seu ambiente. |
| 2.1.2 As funções e responsabilidades para a execução das atividades no Requisito 2 são documentadas, atribuídas e compreendidas. | Use as diretrizes e os links aqui para produzir a documentação para atender aos requisitos com base na configuração do seu ambiente. |
2.2 Os componentes do sistema são configurados e gerenciados com segurança.
| Requisitos de abordagem definidos por PCI-DSS | Orientações e recomendações do Microsoft Entra |
|---|---|
| 2.2.1 Os padrões de configuração são desenvolvidos, implementados e mantidos para: Abranger todos os componentes do sistema. Resolva todas as vulnerabilidades de segurança conhecidas. Seja consistente com padrões de proteção do sistema aceitos pelo setor ou recomendações de proteção do fornecedor. Seja atualizado à medida que novos problemas de vulnerabilidade forem identificados, conforme definido no Requisito 6.3.1. Ser aplicado quando novos sistemas são configurados e verificados como em vigor antes ou imediatamente depois que um componente do sistema é conectado a um ambiente de produção. |
Confira guia de operações de segurança do Microsoft Entra |
| 2.2.2 As contas padrão do fornecedor são gerenciadas da seguinte maneira: Se as contas padrão do fornecedor forem usadas, a senha padrão será alterada de acordo com o Requisito 8.3.6. Se as contas padrão do fornecedor não forem usadas, a conta será removida ou desabilitada. |
Não aplicável ao Microsoft Entra ID. |
| 2.2.3 As funções primárias que exigem diferentes níveis de segurança são gerenciadas da seguinte maneira: apenas uma função primária existe em um componente do sistema, OU As funções primárias com diferentes níveis de segurança que existem no mesmo componente do sistema são isoladas umas das outras, OU as funções primárias com diferentes níveis de segurança no mesmo componente do sistema são todas protegidas ao nível exigido pela função com a maior necessidade de segurança. |
Saiba mais sobre como determinar funções com privilégios mínimos. Funções com privilégios mínimos por tarefa no Microsoft Entra ID |
| 2.2.4 Somente serviços, protocolos, daemons e funções necessários estão habilitados e todas as funcionalidades desnecessárias são removidas ou desabilitadas. | Examine as configurações do Microsoft Entra e desabilite os recursos não utilizados. Cinco etapas para proteger sua infraestrutura de identidade Guia de operações de segurança do Microsoft Entra |
| 2.2.5 Se houver serviços, protocolos ou daemons inseguros presentes: a justificativa comercial está documentada. Recursos de segurança adicionais são documentados e implementados que reduzem o risco de usar serviços, protocolos ou daemons inseguros. |
Examine as configurações do Microsoft Entra e desabilite os recursos não utilizados. Cinco etapas para proteger sua infraestrutura de identidade Guia de operações de segurança do Microsoft Entra |
| 2.2.6 Os parâmetros de segurança do sistema são configurados para evitar o uso indevido. | Examine as configurações do Microsoft Entra e desabilite os recursos não utilizados. Cinco etapas para proteger sua infraestrutura de identidade Guia de operações de segurança do Microsoft Entra |
| 2.2.7 Todo o acesso administrativo não gerenciado é criptografado usando criptografia forte. | Interfaces do Microsoft Entra ID, como o portal de gerenciamento, o Microsoft Graph e o PowerShell, são criptografadas em trânsito usando TLS. Habilitar suporte ao TLS 1.2 no ambiente no caso de preterição do TLS 1.1 e 1.0 do Microsoft Entra |
2.3 Os ambientes sem fio são configurados e gerenciados com segurança.
| Requisitos de abordagem definidos por PCI-DSS | Orientações e recomendações do Microsoft Entra |
|---|---|
| 2.3.1 Para ambientes sem fio conectados ao CDE ou transmitindo dados de conta, todos os padrões de fornecedor sem fio são alterados na instalação ou confirmados como seguros, incluindo, mas não se limitando a: Chaves de criptografia sem fio padrão Senhas em pontos de acesso sem fio Padrão SNMP Qualquer outro fornecedor sem fio relacionado à segurança padrão |
Se sua organização integrar pontos de acesso de rede ao Microsoft Entra ID para autenticação, consulte Requisito 1: Instalar e Manter os Controles de Segurança de Rede. |
| 2.3.2 Para ambientes sem fio conectados ao CDE ou transmitindo dados de conta, as chaves de criptografia sem fio são alteradas da seguinte maneira: Sempre que a equipe com conhecimento da chave deixar a empresa ou a função para a qual o conhecimento foi necessário. Sempre que houver suspeita ou comprometimento de uma chave. |
Não aplicável ao Microsoft Entra ID. |
Próximas etapas
Os requisitos 3, 4, 9 e 12 do PCI DSS não são aplicáveis ao Microsoft Entra ID e, portanto, não há artigos correspondentes. Para ver todos os requisitos, acesse pcisecuritystandards.org: Site oficial do Conselho de Padrões de Segurança do PCI.
Para configurar o Microsoft Entra ID em conformidade com o PCI-DSS, confira os artigos a seguir.
- Diretrizes do PCI-DSS no Microsoft Entra
- Requisito 1: Instalar e Manter Controles de Segurança de Rede
- Requisito 2: Aplicar Configurações Seguras a Todos os Componentes do Sistema (Você está aqui)
- Requisito 5: Proteger Todos os Sistemas e Redes Contra Softwares Mal-intencionados
- Requisito 6: Desenvolver e Manter Sistemas e Softwares Seguros
- Requisito 7: Restringir o Acesso aos Componentes do Sistema e aos Dados do Titular do Cartão com Base na Necessidade de Conhecimento de Negócios
- Requisito 8: Identificar Usuários e Autenticar o Acesso aos Componentes do Sistema
- Requisito 10: Registrar em log e monitorar todo o acesso aos componentes do sistema e aos dados do titular do cartão
- Requisito 11: Testar a segurança de sistemas e redes regularmente
- Diretrizes da Autenticação Multifator do PCI-DSS no Microsoft Entra
Comentários
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulte https://aka.ms/ContentUserFeedback.
Enviar e exibir comentários de