ID do Microsoft Entra e Requisito 1 do PCI-DSS
Requisito 1: Instalar e manter controles
de segurança de rede Requisitos de abordagem definidos
1.1 Os processos e mecanismos de instalação e manutenção dos controlos de segurança da rede são definidos e compreendidos.
| Requisitos de abordagem definidos pelo PCI-DSS | Orientações e recomendações do Microsoft Entra |
|---|---|
| 1.1.1 Todas as políticas de segurança e procedimentos operacionais identificados no Requisito 1 são: Documentado Mantido atualizado Em uso Conhecido por todas as partes afetadas |
Use as orientações e os links aqui contidos para produzir a documentação para atender aos requisitos com base na configuração do seu ambiente. |
| 1.1.2 As funções e responsabilidades para a realização de atividades no Requisito 1 são documentadas, atribuídas e compreendidas | Use as orientações e os links aqui contidos para produzir a documentação para atender aos requisitos com base na configuração do seu ambiente. |
1.2 Os controles de segurança de rede (NSCs) são configurados e mantidos.
| Requisitos de abordagem definidos pelo PCI-DSS | Orientações e recomendações do Microsoft Entra |
|---|---|
| 1.2.1 Os padrões de configuração para conjuntos de regras NSC são: Definido Implementado Mantido |
Integre tecnologias de acesso, como VPN, área de trabalho remota e pontos de acesso de rede, com o Microsoft Entra ID para autenticação e autorização, se as tecnologias de acesso oferecerem suporte à autenticação moderna. Garantir que os padrões NSC, que dizem respeito a controles relacionados à identidade, incluam definição de políticas de Acesso Condicional, atribuição de aplicativos, revisões de acesso, gerenciamento de grupos, políticas de credenciais, etc. Guia de referência de operações do Microsoft Entra |
| 1.2.2 Todas as alterações nas conexões de rede e nas configurações dos NSCs são aprovadas e gerenciadas de acordo com o processo de controle de alterações definido no Requisito 6.5.1 | Não aplicável ao Microsoft Entra ID. |
| 1.2.3 É mantido um diagrama de rede preciso que mostra todas as ligações entre o ambiente de dados do titular do cartão (CDE) e outras redes, incluindo quaisquer redes sem fios. | Não aplicável ao Microsoft Entra ID. |
| 1.2.4 É mantido um diagrama de fluxo de dados preciso que atenda ao seguinte: Mostra todos os fluxos de dados de conta entre sistemas e redes. Atualizado conforme necessário após alterações no ambiente. |
Não aplicável ao Microsoft Entra ID. |
| 1.2.5 Todos os serviços, protocolos e portas permitidos são identificados, aprovados e têm uma necessidade comercial definida | Não aplicável ao Microsoft Entra ID. |
| 1.2.6 Os elementos de segurança são definidos e implementados para todos os serviços, protocolos e portas em uso e considerados inseguros, de modo que o risco seja mitigado. | Não aplicável ao Microsoft Entra ID. |
| 1.2.7 As configurações dos NSCs são revistas pelo menos uma vez a cada seis meses para confirmar que são relevantes e eficazes. | Use as revisões de acesso do Microsoft Entra para automatizar revisões e aplicativos de associação a grupos, como dispositivos VPN, que se alinham aos controles de segurança de rede em seu CDE. O que são revisões de acesso? |
| 1.2.8 Os arquivos de configuração para NSCs são: Protegido contra acesso não autorizado Mantido consistente com as configurações de rede ativas |
Não aplicável ao Microsoft Entra ID. |
1.3 O acesso à rede de e para o ambiente de dados do titular do cartão é restrito.
| Requisitos de abordagem definidos pelo PCI-DSS | Orientações e recomendações do Microsoft Entra |
|---|---|
| 1.3.1 O tráfego de entrada para o CDE é restrito da seguinte forma: Apenas ao tráfego necessário. Todo o outro tráfego é especificamente negado |
Use a ID do Microsoft Entra para configurar locais nomeados para criar políticas de Acesso Condicional. Calcule o risco do utilizador e do início de sessão. A Microsoft recomenda que os clientes preencham e mantenham os endereços IP CDE usando locais de rede. Use-os para definir os requisitos da política de Acesso Condicional. Utilizar a condição de localização numa política de Acesso Condicional |
| 1.3.2 O tráfego de saída do CDE é restrito da seguinte forma: Apenas ao tráfego necessário. Todo o outro tráfego é especificamente negado |
Para o design NSC, inclua políticas de acesso condicional para aplicativos para permitir o acesso a endereços IP CDE. O acesso de emergência ou o acesso remoto para estabelecer conectividade com o CDE, como dispositivos de rede virtual privada (VPN), portais cativos, pode precisar de políticas para evitar o bloqueio não intencional. Usando a condição de local em uma política de Acesso Condicional Gerenciar contas de acesso de emergência no Microsoft Entra ID |
| 1.3.3 Os NSCs são instalados entre todas as redes sem fio e o CDE, independentemente de a rede sem fio ser um CDE, de modo que: Todo o tráfego sem fio de redes sem fio para o CDE é negado por padrão. Apenas o tráfego sem fio com uma finalidade comercial autorizada é permitido no CDE. |
Para o design NSC, inclua políticas de acesso condicional para aplicativos para permitir o acesso a endereços IP CDE. O acesso de emergência ou o acesso remoto para estabelecer conectividade com o CDE, como dispositivos de rede virtual privada (VPN), portais cativos, pode precisar de políticas para evitar o bloqueio não intencional. Usando a condição de local em uma política de Acesso Condicional Gerenciar contas de acesso de emergência no Microsoft Entra ID |
1.4 As ligações de rede entre redes fidedignas e não fidedignas são controladas.
| Requisitos de abordagem definidos pelo PCI-DSS | Orientações e recomendações do Microsoft Entra |
|---|---|
| 1.4.1 Os NSCs são implementados entre redes confiáveis e não confiáveis. | Não aplicável ao Microsoft Entra ID. |
| 1.4.2 O tráfego de entrada de redes não confiáveis para redes confiáveis está restrito a: Comunicações com componentes do sistema autorizados a fornecer serviços, protocolos e portas acessíveis publicamente. Respostas com estado a comunicações iniciadas por componentes do sistema numa rede fidedigna. Todos os outros tráfegos são negados. |
Não aplicável ao Microsoft Entra ID. |
| 1.4.3 Medidas anti-falsificação são implementadas para detetar e impedir que endereços IP de origem falsificados entrem na rede confiável. | Não aplicável ao Microsoft Entra ID. |
| 1.4.4 Os componentes do sistema que armazenam dados do titular do cartão não são diretamente acessíveis a partir de redes não fidedignas. | Além dos controles na camada de rede, os aplicativos no CDE usando o Microsoft Entra ID podem usar políticas de Acesso Condicional. Restrinja o acesso a aplicativos com base na localização. Usando o local de rede em uma política de Acesso Condicional |
| 1.4.5 A divulgação de endereços IP internos e informações de roteamento é limitada apenas a partes autorizadas. | Não aplicável ao Microsoft Entra ID. |
1.5 Os riscos para o CDE decorrentes de dispositivos informáticos capazes de se ligar tanto a redes não fidedignas como ao CDE são mitigados.
| Requisitos de abordagem definidos pelo PCI-DSS | Orientações e recomendações do Microsoft Entra |
|---|---|
| 1.5.1 Os controles de segurança são implementados em quaisquer dispositivos de computação, incluindo dispositivos de propriedade da empresa e dos funcionários, que se conectam a redes não confiáveis (incluindo a Internet) e ao CDE da seguinte forma: Definições de configuração específicas são definidas para evitar que ameaças sejam introduzidas na rede da entidade. Os controles de segurança estão sendo executados ativamente. Os controles de segurança não são alteráveis pelos usuários dos dispositivos de computação, a menos que especificamente documentados e autorizados pela gerência caso a caso por um período limitado. |
Implante políticas de Acesso Condicional que exijam conformidade do dispositivo. Utilizar políticas de conformidade para definir regras para dispositivos que gere com o Intune Integre o estado de conformidade do dispositivo com soluções antimalware. Impor conformidade para o Microsoft Defender for Endpoint com Acesso Condicional no Intune Integração do Mobile Threat Defense com o Intune |
Próximos passos
Os requisitos 3, 4, 9 e 12 do PCI-DSS não são aplicáveis ao Microsoft Entra ID, portanto, não há artigos correspondentes. Para ver todos os requisitos, acesse pcisecuritystandards.org: Site Oficial do PCI Security Standards Council.
Para configurar o Microsoft Entra ID para estar em conformidade com PCI-DSS, consulte os seguintes artigos.
- Orientação do Microsoft Entra PCI-DSS
- Requisito 1: Instalar e manter controles de segurança de rede (você está aqui)
- Requisito 2: Aplicar configurações seguras a todos os componentes do sistema
- Requisito 5: Proteger todos os sistemas e redes contra software mal-intencionado
- Requisito 6: Desenvolver e manter sistemas e software seguros
- Requisito 7: Restringir o acesso aos componentes do sistema e aos dados do titular do cartão por necessidade de conhecimento da empresa
- Requisito 8: Identificar usuários e autenticar o acesso aos componentes do sistema
- Requisito 10: Registar e monitorizar todo o acesso aos componentes do sistema e aos dados do titular do cartão
- Requisito 11: Testar regularmente a segurança dos sistemas e redes
- Orientação de autenticação multifator PCI-DSS do Microsoft Entra