Compartilhar via


Microsoft Entra ID e PCI-DSS Requirement 6

Requisito 6: Desenvolver e manter sistemas e software seguros
Requisitos de abordagem definidos

6.1 Os processos e os mecanismos usados para desenvolver e manter sistemas e programas de software seguros foram definidos e compreendidos.

Requisitos de abordagem definidos por PCI-DSS Orientações e recomendações do Microsoft Entra
6.1.1 Todas as políticas de segurança e procedimentos operacionais identificados no Requisito 6 são:
Documentados
Mantidos atualizados
Em uso
Conhecidos por todas as partes afetadas
Use as diretrizes e os links aqui para produzir a documentação para atender aos requisitos com base na configuração do seu ambiente.
6.1.2 As funções e responsabilidades para a execução das atividades do Requisito 6 são documentadas, atribuídas e compreendidas. Use as diretrizes e os links aqui para produzir a documentação para atender aos requisitos com base na configuração do seu ambiente.

6.2 Os programas de software sob medida e personalizados são desenvolvidos com segurança.

Requisitos de abordagem definidos por PCI-DSS Orientações e recomendações do Microsoft Entra
6.2.1 Software sob medida e personalizado são desenvolvidos com segurança, da seguinte maneira:
Com base nos padrões do setor e/ou nas práticas recomendadas para o desenvolvimento seguro.
De acordo com o PCI DSS (por exemplo, autenticação de segurança e registro em log).
Incorporando a consideração de problemas de segurança da informação durante cada estágio do ciclo de vida de desenvolvimento de software.
Adquirir e desenvolver aplicativos que usam protocolos de autenticação modernos, como OAuth2 e OIDC (OpenID Connect), que se integram ao Microsoft Entra ID.
Criar software usando o plataforma de identidade da Microsoft. Melhores práticas e recomendações da plataforma de identidade da Microsoft
6.2.2 A equipe de desenvolvimento de software que trabalha em software personalizado e sob medida é treinada pelo menos uma vez a cada 12 meses da seguinte maneira:
Sobre a segurança de software relevante para suas linguagens de função de trabalho e desenvolvimento.
Incluindo design de software seguro e técnicas de codificação seguras.
Incluindo, se ferramentas de teste de segurança forem usadas, como usar as ferramentas para detectar vulnerabilidades no software.
Use o seguinte exame para fornecer prova de proficiência em plataforma de identidade da Microsoft: Exame MS-600: Criando aplicativos e soluções com o Microsoft 365 Core Services Use o seguinte treinamento para se preparar para o exame: MS-600: Implementar a identidade da Microsoft
6.2.3 Software personalizado e personalizado é revisado antes de ser lançado em produção ou para os clientes, para identificar e corrigir possíveis vulnerabilidades de codificação, da seguinte maneira:
Revisões de código garantem que o código seja desenvolvido de acordo com diretrizes de codificação seguras.
As revisões de código buscam vulnerabilidades de software existentes e emergentes.
As correções apropriadas são implementadas antes do lançamento.
Não aplicável ao Microsoft Entra ID.
6.2.3.1 Se as revisões manuais de código forem executadas para software personalizado e sob medida antes do lançamento para produção, as alterações de código serão:
Revisadas por indivíduos que não sejam o autor do código de origem e que têm conhecimento sobre técnicas de revisão de código e práticas de codificação seguras.
Revisados e aprovados pela gerência antes do lançamento.
Não aplicável ao Microsoft Entra ID.
6.2.4 Técnicas de engenharia de software ou outros métodos são definidos e em uso pela equipe de desenvolvimento de software para evitar ou mitigar ataques comuns de software e vulnerabilidades relacionadas em software personalizado e sob medida, incluindo, mas não se limitando ao seguinte:
Ataques de injeção, incluindo SQL, LDAP, XPath ou outras falhas de comando, parâmetro, objeto, falha ou tipo de injeção.
Ataques a estruturas de dados e dados, incluindo tentativas de manipular buffers, ponteiros, dados de entrada ou dados compartilhados.
Ataques ao uso de criptografia, incluindo tentativas de explorar implementações criptográficas fracas, inseguras ou inadequadas, algoritmos, pacotes de criptografia ou modos de operação.
Ataques à lógica de negócios, incluindo tentativas de abusar ou ignorar recursos e funcionalidades de aplicativos por meio da manipulação de APIs, protocolos de comunicação e canais, funcionalidade do lado do cliente ou outras funções e recursos do sistema/aplicativo. Isso inclui XSS (script entre sites) e CSRF (solicitação entre sites forjada).
Ataques a mecanismos de controle de acesso, incluindo tentativas de ignorar ou abusar de mecanismos de identificação, autenticação ou autorização ou tentativas de explorar pontos fracos na implementação desses mecanismos.
Ataques por meio de vulnerabilidades de "alto risco" identificadas no processo de identificação de vulnerabilidade, conforme definido no Requisito 6.3.1.
Não aplicável ao Microsoft Entra ID.

6.3 As vulnerabilidades de segurança são identificadas e resolvidas.

Requisitos de abordagem definidos por PCI-DSS Orientações e recomendações do Microsoft Entra
6.3.1 Vulnerabilidades de segurança são identificadas e gerenciadas da seguinte maneira:
novas vulnerabilidades de segurança são identificadas usando fontes reconhecidas pelo setor para informações de vulnerabilidade de segurança, incluindo alertas de CERTs (equipes de resposta a emergências de computador) internacionais e nacionais.
As vulnerabilidades recebem uma classificação de risco com base nas práticas recomendadas do setor e na consideração do impacto potencial.
As classificações de risco identificam, no mínimo, todas as vulnerabilidades consideradas de alto risco ou críticas para o ambiente.
As vulnerabilidades para software personalizado e personalizado sob medida e de terceiros (por exemplo, sistemas operacionais e bancos de dados) são abordadas.
Saiba mais sobre vulnerabilidades. MSRC | Atualizações de segurança, Guia de Atualização de Segurança
6.3.2 Um inventário de software personalizado e sob medida e componentes de software de terceiros incorporados em software personalizado e sob medida é mantido para facilitar o gerenciamento de vulnerabilidades e patch. Gere relatórios para aplicativos usando Microsoft Entra ID para autenticação para inventário. applicationSignInDetailedSummarytipo de recurso
Aplicativos listados em Aplicativos empresariais
6.3.3 Todos os componentes do sistema são protegidos contra vulnerabilidades conhecidas instalando patches/atualizações de segurança aplicáveis da seguinte maneira:
Patches/atualizações críticos ou de alta segurança (identificados de acordo com o processo de classificação de risco no Requisito 6.3.1) são instalados dentro de um mês após a versão.
Todos os outros patches/atualizações de segurança aplicáveis são instalados em um período de tempo apropriado, conforme determinado pela entidade (por exemplo, dentro de três meses após a versão).
Não aplicável ao Microsoft Entra ID.

6.4 Aplicativos Web voltados para o público são protegidos contra ataques.

Requisitos de abordagem definidos por PCI-DSS Orientações e recomendações do Microsoft Entra
6.4.1 Para aplicativos Web voltados para o público, novas ameaças e vulnerabilidades são abordadas continuamente e esses aplicativos são protegidos contra ataques conhecidos da seguinte maneira: Revisão de aplicativos Web voltados para o público por meio de ferramentas ou métodos de avaliação de segurança de vulnerabilidade de aplicativos manuais ou automatizados da seguinte maneira:
– Pelo menos uma vez a cada 12 meses e após alterações significativas.
– Por uma entidade especializada na segurança do aplicativo.
– Incluindo, no mínimo, todos os ataques comuns de software no Requisito 6.2.4.
– Todas as vulnerabilidades são classificadas de acordo com o requisito 6.3.1.
– Todas as vulnerabilidades são corrigidas.
– O aplicativo é reavaliado após as correções
OU
Instalando uma solução técnica automatizada que detecta e impede continuamente ataques baseados na Web da seguinte maneira:
– Instalado na frente de aplicativos Web voltados para o público para detectar e prevenir ataques baseados na Web.
– Em execução ativa e atualizada conforme aplicável.
– Gerando logs de auditoria.
– Configurado para bloquear ataques baseados na Web ou gerar um alerta que é imediatamente investigado.
Não aplicável ao Microsoft Entra ID.
6.4.2 Para aplicativos Web voltados para o público, uma solução técnica automatizada é implantada que detecta e impede continuamente ataques baseados na Web, com pelo menos o seguinte:
É instalado na frente de aplicativos Web voltados para o público e é configurado para detectar e evitar ataques baseados na Web.
Em execução ativa e atualizada conforme aplicável.
Gerando logs de auditoria.
Configurado para bloquear ataques baseados na Web ou gerar um alerta que é imediatamente investigado.
Não aplicável ao Microsoft Entra ID.
6.4.3 Todos os scripts de página de pagamento carregados e executados no navegador do consumidor são gerenciados da seguinte maneira:
Um método é implementado para confirmar se cada script está autorizado.
Um método é implementado para garantir a integridade de cada script.
Um inventário de todos os scripts é mantido com justificativa por escrito sobre por que cada um é necessário.
Não aplicável ao Microsoft Entra ID.

6.5 As alterações em todos os componentes do sistema são gerenciadas com segurança.

Requisitos de abordagem definidos por PCI-DSS Orientações e recomendações do Microsoft Entra
6.5.1 As alterações em todos os componentes do sistema no ambiente de produção são feitas de acordo com procedimentos estabelecidos que incluem:
Motivo e descrição da alteração.
Documentação do impacto de segurança.
Aprovação da alteração documentada por pessoas autorizadas.
Teste para verificar se a alteração não afeta negativamente a segurança do sistema.
Para alterações de software personalizadas e sob medida, todas as atualizações são testadas para conformidade com o Requisito 6.2.4 antes de serem implantadas em produção.
Procedimentos para resolver falhas e retornar a um estado seguro.
Inclua alterações na configuração de Microsoft Entra no processo de controle de alterações.
6.5.2 Após a conclusão de uma alteração significativa, todos os requisitos PCI-DSS aplicáveis são confirmados em vigor em todos os sistemas e redes novos ou alterados, e a documentação é atualizada conforme aplicável. Não aplicável ao Microsoft Entra ID.
6.5.3 Os ambientes de pré-produção são separados dos ambientes de produção e a separação é imposta com controles de acesso. Abordagens para separar ambientes de pré-produção e produção, com base em requisitos organizacionais. Isolamento de recursos em um único locatário
Isolamento de recursos com vários locatários
6.5.4 Funções e funções são separadas entre ambientes de produção e pré-produção para fornecer responsabilidade de modo que apenas as alterações revisadas e aprovadas sejam implantadas. Saiba mais sobre funções privilegiadas e locatários de pré-produção dedicados. Práticas recomendadas das funções do Microsoft Entra
6.5.5 PANs dinâmicos não são usados em ambientes de pré-produção, exceto quando esses ambientes são incluídos no CDE e protegidos de acordo com todos os requisitos PCI-DSS aplicáveis. Não aplicável ao Microsoft Entra ID.
6.5.6 Testar dados e contas de teste são removidos dos componentes do sistema antes que o sistema entre em produção. Não aplicável ao Microsoft Entra ID.

Próximas etapas

Os requisitos 3, 4, 9 e 12 do PCI DSS não são aplicáveis ao Microsoft Entra ID e, portanto, não há artigos correspondentes. Para ver todos os requisitos, acesse pcisecuritystandards.org: Site oficial do Conselho de Padrões de Segurança do PCI.

Para configurar o Microsoft Entra ID em conformidade com o PCI-DSS, confira os artigos a seguir.