Orientação de autenticação multifator PCI-DSS do Microsoft Entra
Suplemento de informação: Multi-Factor Authentication v 1.0
Use a tabela a seguir de métodos de autenticação suportados pelo Microsoft Entra ID para atender aos requisitos do Suplemento de Informações do PCI Security Standards Council , Multi-Factor Authentication v 1.0.
| Método | Para atender aos requisitos | Proteção | Elemento MFA |
|---|---|---|---|
| Login de telefone sem senha com o Microsoft Authenticator | Algo que você tem (dispositivo com uma chave), algo que você sabe ou é (PIN ou biometria) No iOS, o Authenticator Secure Element (SE) armazena a chave no Porta-chaves. Apple Platform Security, Proteção de dados do Keychain No Android, o Authenticator usa o Trusted Execution Engine (TEE) armazenando a chave no Keystore. Desenvolvedores, sistema Android Keystore Quando os usuários se autenticam usando o Microsoft Authenticator, o Microsoft Entra ID gera um número aleatório que o usuário insere no aplicativo. Esta ação cumpre o requisito de autenticação fora de banda. |
Os clientes configuram políticas de proteção de dispositivos para reduzir o risco de comprometimento do dispositivo. Por exemplo, políticas de conformidade do Microsoft Intune. | Os usuários desbloqueiam a chave com o gesto e, em seguida, o Microsoft Entra ID valida o método de autenticação. |
| Visão geral dos pré-requisitos de implantação do Windows Hello for Business | Algo que você tem (dispositivo Windows com uma chave) e algo que você sabe ou é (PIN ou biometria). As chaves são armazenadas com o Trusted Platform Module (TPM) do dispositivo. Os clientes usam dispositivos com hardware TPM 2.0 ou posterior para atender aos requisitos de independência do método de autenticação e fora de banda. Níveis de autenticador certificado |
Configure políticas de proteção de dispositivo para reduzir o risco de comprometimento do dispositivo. Por exemplo, políticas de conformidade do Microsoft Intune. | Os usuários desbloqueiam a chave com o gesto para entrar no dispositivo Windows. |
| Ativar login de chave de segurança sem senha, Habilitar método de chave de segurança FIDO2 | Algo que você tem (chave de segurança FIDO2) e algo que você sabe ou é (PIN ou biometria). As chaves são armazenadas com recursos criptográficos de hardware. Os clientes usam chaves FIDO2, pelo menos o Nível de Certificação de Autenticação 2 (L2) para atender à independência do método de autenticação e ao requisito de fora da banda. |
Adquira hardware com proteção contra adulteração e comprometimento. | Os usuários desbloqueiam a chave com o gesto e, em seguida, o Microsoft Entra ID valida a credencial. |
| Visão geral da autenticação baseada em certificado do Microsoft Entra | Algo que você tem (cartão inteligente) e algo que você sabe (PIN). Os cartões inteligentes físicos ou cartões inteligentes virtuais armazenados no TPM 2.0 ou posterior são um Elemento Seguro (SE). Essa ação atende à independência do método de autenticação e ao requisito de fora da banda. |
Adquira cartões inteligentes com proteção contra adulteração e comprometimento. | Os usuários desbloqueiam a chave privada do certificado com o gesto ou PIN e, em seguida, o Microsoft Entra ID valida a credencial. |
Próximos passos
Os requisitos 3, 4, 9 e 12 do PCI-DSS não são aplicáveis ao Microsoft Entra ID, portanto, não há artigos correspondentes. Para ver todos os requisitos, acesse pcisecuritystandards.org: Site Oficial do PCI Security Standards Council.
Para configurar o Microsoft Entra ID para estar em conformidade com PCI-DSS, consulte os seguintes artigos.
- Orientação do Microsoft Entra PCI-DSS
- Requisito 1: Instalar e manter controles de segurança de rede
- Requisito 2: Aplicar configurações seguras a todos os componentes do sistema
- Requisito 5: Proteger todos os sistemas e redes contra software mal-intencionado
- Requisito 6: Desenvolver e manter sistemas e software seguros
- Requisito 7: Restringir o acesso aos componentes do sistema e aos dados do titular do cartão por necessidade de conhecimento da empresa
- Requisito 8: Identificar usuários e autenticar o acesso aos componentes do sistema
- Requisito 10: Registar e monitorizar todo o acesso aos componentes do sistema e aos dados do titular do cartão
- Requisito 11: Testar regularmente a segurança dos sistemas e redes
- Orientação do Microsoft Entra PCI-DSS Multi-Factor Authentication (Você está aqui)