Orientação do Microsoft Entra PCI-DSS

O Payment Card Industry Security Standards Council (PCI SSC) é responsável por desenvolver e promover padrões e recursos de segurança de dados, incluindo o Padrão de Segurança de Dados da Indústria de Cartões de Pagamento (PCI-DSS), para garantir a segurança das transações de pagamento. Para alcançar a conformidade com PCI, as organizações que usam o Microsoft Entra ID podem consultar as orientações deste documento. No entanto, é responsabilidade das organizações garantir sua conformidade com PCI. Suas equipes de TI, equipes SecOps e arquitetos de soluções são responsáveis pela criação e manutenção de sistemas, produtos e redes seguros que manipulam, processam e armazenam informações de cartões de pagamento.

Embora o Microsoft Entra ID ajude a atender a alguns requisitos de controle PCI-DSS e forneça protocolos modernos de identidade e acesso para recursos do ambiente de dados do titular do cartão (CDE), ele não deve ser o único mecanismo para proteger os dados do titular do cartão. Portanto, revise este conjunto de documentos e todos os requisitos do PCI-DSS para estabelecer um programa de segurança abrangente que preserve a confiança do cliente. Para obter uma lista completa de requisitos, visite o site oficial do PCI Security Standards Council em pcisecuritystandards.org: Site oficial do PCI Security Standards Council

Requisitos PCI para controles

O PCI-DSS v4.0 global estabelece uma linha de base de padrões técnicos e operacionais para proteger os dados da conta. "Foi desenvolvido para incentivar e melhorar a segurança dos dados das contas de cartões de pagamento e facilitar a ampla adoção de medidas consistentes de segurança de dados, globalmente. Ele fornece uma linha de base de requisitos técnicos e operacionais projetados para proteger os dados da conta. Embora projetado para se concentrar em ambientes com dados de contas de cartões de pagamento, o PCI-DSS também pode ser usado para proteger contra ameaças e proteger outros elementos no ecossistema de pagamentos."

Configuração do Microsoft Entra e PCI-DSS

Este documento serve como um guia abrangente para líderes técnicos e de negócios que são responsáveis pelo gerenciamento de identidade e acesso (IAM) com o Microsoft Entra ID em conformidade com o Padrão de Segurança de Dados do Setor de Cartões de Pagamento (PCI DSS). Seguindo os principais requisitos, práticas recomendadas e abordagens descritas neste documento, as organizações podem reduzir o escopo, a complexidade e o risco de não conformidade com PCI, ao mesmo tempo em que promovem as práticas recomendadas de segurança e a conformidade com os padrões. As orientações fornecidas neste documento visam ajudar as organizações a configurar o Microsoft Entra ID de uma forma que atenda aos requisitos necessários do PCI DSS e promova práticas eficazes do IAM.

Os líderes técnicos e de negócios podem usar as orientações a seguir para cumprir responsabilidades pelo gerenciamento de identidade e acesso (IAM) com o Microsoft Entra ID. Para obter mais informações sobre PCI-DSS em outras cargas de trabalho da Microsoft, consulte Visão geral do benchmark de segurança na nuvem da Microsoft (v1).

Os requisitos PCI-DSS e os procedimentos de teste consistem em 12 requisitos principais que garantem o tratamento seguro das informações do cartão de pagamento. Juntos, esses requisitos são uma estrutura abrangente que ajuda as organizações a proteger as transações com cartões de pagamento e proteger dados confidenciais do titular do cartão.

O Microsoft Entra ID é um serviço de identidade empresarial que protege aplicações, sistemas e recursos para suportar a conformidade com PCI-DSS. A tabela a seguir tem os requisitos principais do PCI e links para os controles recomendados pelo Microsoft Entra ID para conformidade com PCI-DSS.

Principais requisitos do PCI-DSS

Os requisitos 3, 4, 9 e 12 do PCI-DSS não são abordados ou atendidos pelo Microsoft Entra ID, portanto, não há artigos correspondentes. Para ver todos os requisitos, acesse pcisecuritystandards.org: Site Oficial do PCI Security Standards Council.

PCI Data Security Standard - Visão geral de alto nível	Controles PCI-DSS recomendados pelo Microsoft Entra ID
Construa e mantenha redes e sistemas seguros	1. Instalar e manter controles de segurança de rede 2. Aplique configurações seguras a todos os componentes do sistema
Proteja os dados da conta	3. Proteja os dados armazenados da conta 4. Proteja os dados do titular do cartão com criptografia forte durante a transmissão por redes públicas
Manter um programa de gerenciamento de vulnerabilidades	5. Proteja todos os sistemas e redes contra software malicioso 6. Desenvolver e manter sistemas e software seguros
Implementar medidas fortes de controle de acesso	7. Restrinja o acesso aos componentes do sistema e aos dados do titular do cartão por necessidade comercial de saber 8. Identificar e autenticar o acesso aos componentes do sistema 9. Restringir o acesso físico aos componentes do sistema e aos dados do titular do cartão
Monitore e teste redes regularmente	10. Registar e monitorizar todo o acesso aos componentes do sistema e aos dados do titular do cartão 11. Testar a segurança de sistemas e redes regularmente
Manter uma Política de Segurança da Informação	12. Apoiar a Segurança da Informação com Políticas e Programas Organizacionais

Aplicabilidade PCI-DSS

O PC-DSS aplica-se a organizações que armazenam, processam ou transmitem dados de titulares de cartão (CHD) e/ou dados de autenticação confidenciais (SAD). Esses elementos de dados, considerados em conjunto, são conhecidos como dados de conta. O PC-DSS fornece diretrizes e requisitos de segurança para organizações que afetam o ambiente de dados do titular do cartão (CDE). As entidades que salvaguardam a CDE garantem a confidencialidade e segurança das informações de pagamento dos clientes.

A CHD consiste em:

• Número de conta principal (PAN) - um número de cartão de pagamento único (cartões de crédito, débito ou pré-pagos, etc.) que identifica o emissor e a conta do titular do cartão
• Nome do titular do cartão – o proprietário do cartão
• Data de validade do cartão – o dia e o mês em que o cartão expira
• Código de serviço - um valor de três ou quatro dígitos na banda magnética que segue a data de validade do cartão de pagamento nos dados da faixa. Define atributos de serviço, diferenciando entre intercâmbio internacional e nacional/regional, ou identificando restrições de uso.

O SAD consiste em informações relacionadas à segurança usadas para autenticar titulares de cartões e/ou autorizar transações com cartões de pagamento. O SAD inclui, mas não está limitado a:

• Dados completos da pista - banda magnética ou chip equivalente
• Códigos/valores de verificação do cartão - também conhecido como código de validação do cartão (CVC) ou valor (CVV). É o valor de três ou quatro dígitos na frente ou no verso do cartão de pagamento. Também é referido como CAV2, CVC2, CVN2, CVV2 ou CID, determinado pelas marcas de pagamento participantes (PPB).
• PIN - número de identificação pessoal
  • Blocos de PIN - uma representação encriptada do PIN utilizado numa transação com cartão de débito ou crédito. Ele garante a transmissão segura de informações confidenciais durante uma transação

Proteger a CDE é essencial para a segurança e confidencialidade das informações de pagamento dos clientes e ajuda:

• Preservar a confiança do cliente - os clientes esperam que suas informações de pagamento sejam tratadas de forma segura e mantidas confidenciais. Se uma empresa sofrer uma violação de dados que resulte no roubo de dados de pagamento do cliente, isso pode degradar a confiança do cliente na empresa e causar danos à reputação.
• Cumprir os regulamentos - as empresas que processam transações com cartão de crédito são obrigadas a cumprir o PCI-DSS. O não cumprimento resulta em multas, responsabilidades legais e danos à reputação resultantes.
• Mitigação de riscos financeiros - as violações de dados têm efeitos financeiros significativos, incluindo custos para investigações forenses, honorários advocatícios e compensação para os clientes afetados.
• Continuidade de negócios - violações de dados interrompem as operações de negócios e podem afetar os processos de transação de cartão de crédito. Esse cenário pode levar à perda de receita, interrupções operacionais e danos à reputação.

Escopo da auditoria PCI

O escopo da auditoria PCI refere-se aos sistemas, redes e processos no armazenamento, processamento ou transmissão de CHD e/ou SAD. Se os Dados da Conta forem armazenados, processados ou transmitidos em um ambiente de nuvem, o PCI-DSS se aplicará a esse ambiente e a conformidade normalmente envolve a validação do ambiente de nuvem e o uso dele. Há cinco elementos fundamentais no âmbito de uma auditoria PCI:

• Ambiente de dados do titular do cartão (CDE) - a área onde o CHD e/ou SAD é armazenado, processado ou transmitido. Ele inclui os componentes de uma organização que tocam CHD, como redes e componentes de rede, bancos de dados, servidores, aplicativos e terminais de pagamento.
• Pessoas - com acesso ao CDE, como funcionários, contratados e prestadores de serviços terceirizados, estão no escopo de uma auditoria PCI.
• Processos - que envolvem CHD, como autorização, autenticação, criptografia e armazenamento de dados de conta em qualquer formato, estão dentro do escopo de uma auditoria PCI.
• Tecnologia - que processa, armazena ou transmite CHD, incluindo hardware como impressoras e dispositivos multifuncionais que digitalizam, imprimem e enviam fax, dispositivos de usuário final, como computadores, estações de trabalho laptops, estações de trabalho administrativas, tablets e dispositivos móveis, software e outros sistemas de TI, estão no escopo de uma auditoria PCI.
• Componentes do sistema – que podem não armazenar, processar ou transmitir CHD/SAD, mas têm conectividade irrestrita com componentes do sistema que armazenam, processam ou transmitem CHD/SAD, ou que podem afetar a segurança do CDE.

Se o escopo do PCI for minimizado, as organizações podem efetivamente reduzir os efeitos de incidentes de segurança e diminuir o risco de violações de dados. A segmentação pode ser uma estratégia valiosa para reduzir o tamanho do PCI CDE, resultando em custos de conformidade reduzidos e benefícios gerais para a organização, incluindo, mas não limitado a:

• Economia de custos - ao limitar o escopo da auditoria, as organizações reduzem o tempo, os recursos e as despesas para passar por uma auditoria, o que leva à economia de custos .
• Exposição ao risco reduzida - um escopo de auditoria PCI menor reduz os riscos potenciais associados ao processamento, armazenamento e transmissão de dados do titular do cartão. Se o número de sistemas, redes e aplicativos sujeitos a uma auditoria for limitado, as organizações se concentrarão em proteger seus ativos críticos e reduzir sua exposição ao risco.
• Conformidade simplificada - o estreitamento do escopo da auditoria torna a conformidade com o PCI-DSS mais gerenciável e simplificada. Os resultados são auditorias mais eficientes, menos problemas de conformidade e um risco reduzido de incorrer em penalidades por não conformidade.
• Melhor postura de segurança - com um subconjunto menor de sistemas e processos, as organizações alocam recursos e esforços de segurança de forma eficiente. Os resultados são uma postura de segurança mais forte, à medida que as equipes de segurança se concentram em proteger ativos críticos e identificar vulnerabilidades de forma direcionada e eficaz.

Estratégias para reduzir o escopo da auditoria PCI

A definição de CDE de uma organização determina o escopo da auditoria PCI. As organizações documentam e comunicam essa definição ao Assessor de Segurança Qualificado (QSA) PCI-DSS que realiza a auditoria. O QSA avalia os controles para que o CDE determine a conformidade. A adesão aos padrões PCI e o uso de mitigação de riscos eficaz ajudam as empresas a proteger os dados pessoais e financeiros dos clientes, o que mantém a confiança em suas operações. A seção a seguir descreve estratégias para reduzir o risco no escopo da auditoria PCI.

Tokenização

A tokenização é uma técnica de segurança de dados. Use a tokenização para substituir informações confidenciais, como números de cartão de crédito, por um token exclusivo armazenado e usado para transações, sem expor dados confidenciais. Os tokens reduzem o escopo de uma auditoria PCI para os seguintes requisitos:

• Requisito 3 - Proteger os dados armazenados da conta
• Requisito 4 - Proteger os dados do titular do cartão com criptografia forte durante a transmissão através de redes públicas abertas
• Requisito 9 - Restringir o acesso físico aos dados do titular do cartão
• Requisito 10 - Registar e monitorizar todo o acesso aos componentes dos sistemas e aos dados do titular do cartão.

Ao usar metodologias de processamento baseadas em nuvem, considere os riscos relevantes para dados e transações confidenciais. Para mitigar esses riscos, é recomendável implementar medidas de segurança e planos de contingência relevantes para proteger os dados e evitar interrupções nas transações. Como prática recomendada, use a tokenização de pagamento como uma metodologia para desclassificar dados e, potencialmente, reduzir a pegada do CDE. Com a tokenização de pagamentos, os dados sensíveis são substituídos por um identificador único que reduz o risco de roubo de dados e limita a exposição de informações confidenciais no CDE.

CDE Seguro

O PC-DSS exige que as organizações mantenham um CDE seguro. Com o CDE configurado de forma eficaz, as empresas podem reduzir sua exposição ao risco e reduzir os custos associados para ambientes locais e em nuvem. Essa abordagem ajuda a minimizar o escopo de uma auditoria PCI, tornando mais fácil e econômico demonstrar a conformidade com o padrão.

Para configurar o Microsoft Entra ID para proteger o CDE:

• Use credenciais sem senha para usuários: Windows Hello for Business, chaves de segurança FIDO2 e aplicativo Microsoft Authenticator
• Use credenciais fortes para identidades de carga de trabalho: certificados e identidades gerenciadas para recursos do Azure.
  • Integre tecnologias de acesso como VPN, área de trabalho remota e pontos de acesso de rede com o Microsoft Entra ID para autenticação, se aplicável
• Habilite o gerenciamento de identidades privilegiadas e as revisões de acesso para funções do Microsoft Entra, grupos de acesso privilegiado e recursos do Azure
• Use políticas de Acesso Condicional para impor controles de requisitos PCI: força da credencial, estado do dispositivo e impô-los com base na localização, associação ao grupo, aplicativos e risco
• Usar autenticação moderna para cargas de trabalho DCE
• Arquivar logs do Microsoft Entra em sistemas de gerenciamento de eventos e informações de segurança (SIEM)

Quando os aplicativos e recursos usam o Microsoft Entra ID para gerenciamento de identidade e acesso (IAM), o(s) locatário(s) do Microsoft Entra estão no escopo da auditoria PCI e as diretrizes aqui contidas são aplicáveis. As organizações devem avaliar os requisitos de isolamento de identidade e recursos, entre cargas de trabalho não PCI e PCI, para determinar sua melhor arquitetura.

Saber mais

• Introdução à administração delegada e ambientes isolados
• Como usar o aplicativo Microsoft Authenticator
• O que são identidades gerenciadas para recursos do Azure?
• O que são revisões de acesso?
• O que é o Acesso Condicional?
• Logs de auditoria no Microsoft Entra ID

Estabelecer uma matriz de responsabilidades

A conformidade com PCI é da responsabilidade das entidades que processam transações com cartões de pagamento, incluindo, entre outras:

• Comerciantes
• Prestadores de serviços de cartões
• Prestadores de serviços comerciais
• Bancos adquirentes
• Processadores de pagamento
• Emissores de cartões de pagamento
• Fornecedores de hardware

Essas entidades garantem que as transações com cartões de pagamento sejam processadas de forma segura e estejam em conformidade com PCI-DSS. Todas as entidades envolvidas em transações com cartões de pagamento têm um papel para ajudar a garantir a conformidade com PCI.

O status de conformidade do Azure PCI DSS não se traduz automaticamente em validação PCI-DSS para os serviços que você cria ou hospeda no Azure. Você garante a conformidade com os requisitos do PCI-DSS.

Estabelecer processos contínuos para manter a conformidade

Processos contínuos implicam monitoramento contínuo e melhoria da postura de compliance. Benefícios dos processos contínuos para manter a conformidade com PCI:

• Risco reduzido de incidentes de segurança e não conformidade
• Segurança de dados melhorada
• Melhor alinhamento com os requisitos regulamentares
• Aumento da confiança dos clientes e das partes interessadas

Com processos contínuos, as organizações respondem de forma eficaz às mudanças no ambiente regulatório e às ameaças de segurança em constante evolução.

• Avaliação de riscos – conduza este processo para identificar vulnerabilidades de dados de cartão de crédito e riscos de segurança. Identifique ameaças potenciais, avalie a probabilidade de ocorrência de ameaças e avalie os efeitos potenciais nos negócios.
• Formação de sensibilização para a segurança - os funcionários que lidam com dados de cartões de crédito recebem regularmente formação de sensibilização para a segurança para esclarecer a importância de proteger os dados do titular do cartão e as medidas para o fazer.
• Gerenciamento de vulnerabilidades - realize varreduras regulares de vulnerabilidades e testes de penetração para identificar fraquezas da rede ou do sistema exploráveis por invasores.
• Monitorar e manter políticas de controle de acesso - o acesso aos dados do cartão de crédito é restrito a indivíduos autorizados. Monitore os logs de acesso para identificar tentativas de acesso não autorizadas.
• Resposta a incidentes – um plano de resposta a incidentes ajuda as equipes de segurança a agir durante incidentes de segurança envolvendo dados de cartão de crédito. Identifique a causa do incidente, contenha os danos e restaure as operações normais em tempo hábil.
• Monitoramento de conformidade - e auditoria é conduzida para garantir a conformidade contínua com os requisitos PCI-DSS. Revise os logs de segurança, realize revisões regulares de políticas e garanta que os componentes do sistema sejam configurados e mantidos com precisão.

Implemente uma forte segurança para a infraestrutura compartilhada

Normalmente, os serviços Web, como o Azure, têm uma infraestrutura compartilhada na qual os dados do cliente podem ser armazenados no mesmo servidor físico ou dispositivo de armazenamento de dados. Esse cenário cria o risco de clientes não autorizados acessarem dados que não possuem e o risco de agentes mal-intencionados terem como alvo a infraestrutura compartilhada. Os recursos de segurança do Microsoft Entra ajudam a reduzir os riscos associados à infraestrutura compartilhada:

• Autenticação de utilizador para tecnologias de acesso à rede que suportam protocolos de autenticação modernos: rede privada virtual (VPN), ambiente de trabalho remoto e pontos de acesso de rede.
• Políticas de controle de acesso que impõem métodos de autenticação forte e conformidade do dispositivo com base em sinais como contexto do usuário, dispositivo, localização e risco.
• O Acesso Condicional fornece um plano de controle orientado por identidade e reúne sinais, para tomar decisões e aplicar políticas organizacionais.
• Governança de funções privilegiadas - revisões de acesso, ativação just-in-time (JIT), etc.

Saiba mais: O que é o Acesso Condicional?

Residência de dados

O PC-DSS não cita nenhuma localização geográfica específica para o armazenamento de dados de cartão de crédito. No entanto, exige que os dados do titular do cartão sejam armazenados de forma segura, o que pode incluir restrições geográficas, dependendo dos requisitos regulamentares e de segurança da organização. Diferentes países e regiões têm leis de proteção de dados e privacidade. Consulte um consultor jurídico ou de conformidade para determinar os requisitos de residência de dados aplicáveis.

Saiba mais: Microsoft Entra ID e residência de dados

Riscos de segurança de terceiros

Um fornecedor terceiro não compatível com PCI representa um risco para a conformidade com PCI. Avalie e monitore regularmente fornecedores e prestadores de serviços terceirizados para garantir que eles mantenham os controles necessários para proteger os dados do titular do cartão.

Os recursos e funções do Microsoft Entra na residência de dados ajudam a mitigar os riscos associados à segurança de terceiros.

Registos e monitorização

Implemente registro e monitoramento precisos para detetar e responder a incidentes de segurança em tempo hábil. O Microsoft Entra ID ajuda a gerenciar a conformidade PCI com logs de auditoria e atividades e relatórios que podem ser integrados a um sistema SIEM. O Microsoft Entra ID tem controle de acesso baseado em função (RBAC) e MFA para proteger o acesso a recursos confidenciais, criptografia e recursos de proteção contra ameaças para proteger as organizações contra acesso não autorizado e roubo de dados.

Saiba mais:

• O que são relatórios do Microsoft Entra?
• Funções incorporadas do Microsoft Entra

Ambientes multi-aplicação: host fora do CDE

O PC-DSS garante que as empresas que aceitam, processam, armazenam ou transmitem informações de cartão de crédito mantenham um ambiente seguro. A hospedagem fora do CDE apresenta riscos como:

• O controle de acesso e o gerenciamento de identidade deficientes podem resultar em acesso não autorizado a dados e sistemas confidenciais
• Registro e monitoramento insuficientes de eventos de segurança impedem a deteção e a resposta a incidentes de segurança
• Criptografia insuficiente e proteção contra ameaças aumentam o risco de roubo de dados e acesso não autorizado
• Uma fraca ou nenhuma sensibilização e formação em matéria de segurança para os utilizadores podem resultar em ataques evitáveis de engenharia social, como phishing

Próximos passos

Os requisitos 3, 4, 9 e 12 do PCI-DSS não são aplicáveis ao Microsoft Entra ID, portanto, não há artigos correspondentes. Para ver todos os requisitos, acesse pcisecuritystandards.org: Site Oficial do PCI Security Standards Council.

Para configurar o Microsoft Entra ID para estar em conformidade com PCI-DSS, consulte os seguintes artigos.

• Orientação do Microsoft Entra PCI-DSS (Você está aqui)
• Requisito 1: Instalar e manter controles de segurança de rede
• Requisito 2: Aplicar configurações seguras a todos os componentes do sistema
• Requisito 5: Proteger todos os sistemas e redes contra software mal-intencionado
• Requisito 6: Desenvolver e manter sistemas e software seguros
• Requisito 7: Restringir o acesso aos componentes do sistema e aos dados do titular do cartão por necessidade de conhecimento da empresa
• Requisito 8: Identificar usuários e autenticar o acesso aos componentes do sistema
• Requisito 10: Registar e monitorizar todo o acesso aos componentes do sistema e aos dados do titular do cartão
• Requisito 11: Testar regularmente a segurança dos sistemas e redes
• Orientação de autenticação multifator PCI-DSS do Microsoft Entra