Compartilhar via


Microsoft Entra ID e PCI-DSS Requirement 5

Requisito 5: Proteger Todos os Sistemas e Redes Contra Softwares Mal-intencionados
Requisitos de abordagem definidos

5.1 Os processos e os mecanismos usados para proteger todos os sistemas e todas as redes contra programas de software mal-intencionados foram definidos e compreendidos.

Requisitos de abordagem definidos pelo PCI-DSS Orientações e recomendações do Microsoft Entra
5.1.1 Todas as políticas de segurança e procedimentos operacionais identificados no Requisito 5 são:
Documentados
Mantidos atualizados
Em uso
Conhecidos por todas as partes afetadas
Use as diretrizes e os links aqui contidos para produzir a documentação para atender aos requisitos com base na configuração do seu ambiente.
5.1.2 As funções e responsabilidades para a execução das atividades do Requisito 5 são documentadas, atribuídas e compreendidas. Use as diretrizes e os links aqui contidos para produzir a documentação para atender aos requisitos com base na configuração do seu ambiente.

5.2 Os programas de software mal-intencionados (malware) são prevenidos ou detectados e resolvidos.

Requisitos de abordagem definidos pelo PCI-DSS Orientações e recomendações do Microsoft Entra
5.2.1 Uma solução antimalware é implantada em todos os componentes do sistema, exceto nos componentes do sistema identificados em avaliações periódicas pelo Requisito 5.2.3, que conclui que os componentes do sistema não correm riscos relacionados a malware. Implante políticas de Acesso Condicional que exijam conformidade do dispositivo. Use as políticas de conformidade para definir regras para dispositivos que você gerencia com o Intune
Integre o estado de conformidade do dispositivo com soluções antimalware. Aplicar a conformidade do Microsoft Defender para Ponto de Extremidade com Acesso Condicional no Intune
Integração do Mobile Threat Defense com o Intune
5.2.2 As soluções antimalware implantadas:
Detectam todos os tipos conhecidos de malware. Removem, bloqueiam ou contêm todos os tipos conhecidos de malware.
Não aplicável ao Microsoft Entra ID.
5.2.3 Todos os componentes do sistema que não correm riscos relacionados a malware são avaliados periodicamente para incluir o seguinte:
Uma lista documentada de todos os componentes do sistema que não correm riscos relacionados a malware.
Identificação e avaliação de ameaças de malware em evolução para esses componentes do sistema.
Confirmação se esses componentes do sistema continuam não exigindo proteção antimalware.
Não aplicável ao Microsoft Entra ID.
5.2.3.1 A frequência das avaliações periódicas dos componentes do sistema identificados como sem riscos relacionados a malware é definida na análise de risco direcionada da entidade, que é realizada de acordo com todos os elementos especificados no Requisito 12.3.1. Não aplicável ao Microsoft Entra ID.

5.3 Os mecanismos e os processos antimalware estão ativos e são mantidos e monitorados.

Requisitos de abordagem definidos pelo PCI-DSS Orientações e recomendações do Microsoft Entra
5.3.1 As soluções antimalware são mantidas atualizadas por meio de atualizações automáticas. Não aplicável ao Microsoft Entra ID.
5.3.2 As soluções antimalware:
Executam verificações periódicas e verificações ativas ou em tempo real.
OU
Executam a análise comportamental contínua de sistemas ou processos.
Não aplicável ao Microsoft Entra ID.
5.3.2.1 Se verificações periódicas de malware forem executadas para atender ao Requisito 5.3.2, a frequência das verificações será definida na análise de risco direcionada da entidade, que é executada de acordo com todos os elementos especificados no Requisito 12.3.1. Não aplicável ao Microsoft Entra ID.
5.3.3 Para mídias eletrônicas removíveis, as soluções antimalware:
Executam verificações automáticas quando a mídia é inserida, conectada ou montada logicamente,
OU
Executam análise comportamental contínua de sistemas ou processos quando a mídia é inserida, conectada ou montada logicamente.
Não aplicável ao Microsoft Entra ID.
5.3.4 Os logs de auditoria para as soluções antimalware são habilitados e mantidos de acordo com o Requisito 10.5.1. Não aplicável ao Microsoft Entra ID.
5.3.5 Os mecanismos antimalware não podem ser desabilitados ou alterados por usuários, a menos que especificamente documentado e autorizado pela administração, em caráter individual e por período limitado. Não aplicável ao Microsoft Entra ID.

5.4 Os mecanismos anti-phishing protegem os usuários contra ataques de phishing.

Requisitos de abordagem definidos pelo PCI-DSS Orientações e recomendações do Microsoft Entra
5.4.1 Existem processos e mecanismos automatizados implementados para detectar e proteger a equipe contra ataques de phishing. Configure o Microsoft Entra ID para usar credenciais resistentes a phishing. Considerações para implementação de MFA resistente a phishing
Use controles no Acesso Condicional para exigir autenticação com credenciais resistentes a phishing. Força de autenticação de Acesso Condicional
As diretrizes aqui contidas estão relacionadas à configuração do gerenciamento de identidade e acesso. Para atenuar ataques de phishing, implante recursos de carga de trabalho, como no Microsoft 365. Proteção anti-phishing no Microsoft 365

Próximas etapas

Os requisitos 3, 4, 9 e 12 do PCI DSS não são aplicáveis ao Microsoft Entra ID e, portanto, não há artigos correspondentes. Para ver todos os requisitos, acesse pcisecuritystandards.org: Site oficial do Conselho de Padrões de Segurança do PCI.

Para configurar o Microsoft Entra ID em conformidade com o PCI-DSS, confira os artigos a seguir.