Microsoft Entra ID e PCI-DSS Requisito 11
Requisito 11: Testar a segurança de sistemas e redes Requisitos de abordagem definidos regularmente
11.1 São definidos e compreendidos processos e mecanismos para testar regularmente a segurança dos sistemas e redes.
| Requisitos de abordagem definidos pelo PCI-DSS | Orientações e recomendações do Microsoft Entra |
|---|---|
| 11.1.1 Todas as políticas de segurança e procedimentos operacionais identificados no Requisito 11 são: Documentado Mantido atualizado Em uso Conhecido por todas as partes afetadas |
Use as orientações e os links aqui contidos para produzir a documentação para atender aos requisitos com base na configuração do seu ambiente. |
| 11.1.2 As funções e responsabilidades para a realização de atividades no Requisito 11 são documentadas, atribuídas e compreendidas. | Use as orientações e os links aqui contidos para produzir a documentação para atender aos requisitos com base na configuração do seu ambiente. |
11.2 Os pontos de acesso sem fios são identificados e monitorizados e os pontos de acesso sem fios não autorizados são abordados.
| Requisitos de abordagem definidos pelo PCI-DSS | Orientações e recomendações do Microsoft Entra |
|---|---|
| 11.2.1 Os pontos de acesso sem fios autorizados e não autorizados são geridos da seguinte forma: A presença de pontos de acesso sem fios (Wi-Fi) é testada. Todos os pontos de acesso sem fio autorizados e não autorizados são detetados e identificados. O teste, a deteção e a identificação ocorrem pelo menos uma vez a cada três meses. Se for utilizado um controlo automatizado, o pessoal é notificado através de alertas gerados. |
Se sua organização integrar pontos de acesso de rede com o ID do Microsoft Entra para autenticação, consulte Requisito 1: Instalar e manter controles de segurança de rede |
| 11.2.2 Um inventário de pontos de acesso sem fio autorizados é mantido, incluindo uma justificativa comercial documentada. | Não aplicável ao Microsoft Entra ID. |
11.3 As vulnerabilidades externas e internas são regularmente identificadas, priorizadas e abordadas.
| Requisitos de abordagem definidos pelo PCI-DSS | Orientações e recomendações do Microsoft Entra |
|---|---|
| 11.3.1 As verificações internas de vulnerabilidades são realizadas da seguinte forma: Pelo menos uma vez a cada três meses. As vulnerabilidades críticas e de alto risco (de acordo com as classificações de risco de vulnerabilidade da entidade definidas no Requisito 6.3.1) são resolvidas. São realizadas novas verificações que confirmam que todas as vulnerabilidades críticas e de alto risco (conforme observado) foram resolvidas. A ferramenta de verificação é mantida atualizada com as informações mais recentes sobre vulnerabilidades. As varreduras são realizadas por pessoal qualificado e existe independência organizacional do testador. |
Inclua servidores que suportem recursos híbridos do Microsoft Entra. Por exemplo, Microsoft Entra Connect, conectores de proxy de aplicativos, etc. como parte de verificações de vulnerabilidade internas. Organizações que usam autenticação federada: analise e resolva vulnerabilidades da infraestrutura do sistema de federação. O que é federação com o Microsoft Entra ID? Revise e reduza as deteções de risco relatadas pelo Microsoft Entra ID Protection. Integre os sinais com uma solução SIEM para integrar mais com fluxos de trabalho de remediação ou automação. Tipos de risco e deteção Execute a ferramenta de avaliação Microsoft Entra regularmente e resolva as descobertas. AzureADAssessmentOperações de segurança para infraestrutura Integrar logs do Microsoft Entra com logs do Azure Monitor |
| 11.3.1.1 Todas as outras vulnerabilidades aplicáveis (aquelas não classificadas como de alto risco ou críticas de acordo com as classificações de risco de vulnerabilidade da entidade definidas no Requisito 6.3.1) são gerenciadas da seguinte forma: Abordadas com base no risco definido na análise de risco direcionada da entidade, que é realizada de acordo com todos os elementos especificados no Requisito 12.3.1. As novas varreduras são realizadas conforme necessário. |
Inclua servidores que suportem recursos híbridos do Microsoft Entra. Por exemplo, Microsoft Entra Connect, conectores de proxy de aplicativos, etc. como parte de verificações de vulnerabilidade internas. Organizações que usam autenticação federada: analise e resolva vulnerabilidades da infraestrutura do sistema de federação. O que é federação com o Microsoft Entra ID? Revise e reduza as deteções de risco relatadas pelo Microsoft Entra ID Protection. Integre os sinais com uma solução SIEM para integrar mais com fluxos de trabalho de remediação ou automação. Tipos de risco e deteção Execute a ferramenta de avaliação Microsoft Entra regularmente e resolva as descobertas. AzureAD/AzureADAssessmentOperações de segurança para infraestrutura Integrar logs do Microsoft Entra com logs do Azure Monitor |
| 11.3.1.2 As verificações internas de vulnerabilidades são realizadas por meio de varredura autenticada da seguinte forma: Os sistemas que não conseguem aceitar credenciais para verificação autenticada são documentados. Privilégios suficientes são usados para os sistemas que aceitam credenciais para verificação. Se as contas usadas para verificação autenticada puderem ser usadas para login interativo, elas serão gerenciadas de acordo com o Requisito 8.2.2. |
Inclua servidores que suportem recursos híbridos do Microsoft Entra. Por exemplo, Microsoft Entra Connect, conectores de proxy de aplicativos, etc. como parte de verificações de vulnerabilidade internas. Organizações que usam autenticação federada: analise e resolva vulnerabilidades da infraestrutura do sistema de federação. O que é federação com o Microsoft Entra ID? Revise e reduza as deteções de risco relatadas pelo Microsoft Entra ID Protection. Integre os sinais com uma solução SIEM para integrar mais com fluxos de trabalho de remediação ou automação. Tipos de risco e deteção Execute a ferramenta de avaliação Microsoft Entra regularmente e resolva as descobertas. AzureADAssessmentOperações de segurança para infraestrutura Integrar logs do Microsoft Entra com logs do Azure Monitor |
| 11.3.1.3 As verificações internas de vulnerabilidades são realizadas após qualquer alteração significativa, da seguinte forma: As vulnerabilidades críticas e de alto risco (de acordo com as classificações de risco de vulnerabilidade da entidade definidas no Requisito 6.3.1) são resolvidas. As novas varreduras são realizadas conforme necessário. As verificações são realizadas por pessoal qualificado e existe independência organizacional do testador (não é necessário ser um Assessor de Segurança Qualificado (QSA) ou um Fornecedor de Digitalização Aprovado (ASV)). |
Inclua servidores que suportem recursos híbridos do Microsoft Entra. Por exemplo, Microsoft Entra Connect, conectores de proxy de aplicativos, etc. como parte de verificações de vulnerabilidade internas. Organizações que usam autenticação federada: analise e resolva vulnerabilidades da infraestrutura do sistema de federação. O que é federação com o Microsoft Entra ID? Revise e reduza as deteções de risco relatadas pelo Microsoft Entra ID Protection. Integre os sinais com uma solução SIEM para integrar mais com fluxos de trabalho de remediação ou automação. Tipos de risco e deteção Execute a ferramenta de avaliação Microsoft Entra regularmente e resolva as descobertas. AzureADAssessmentOperações de segurança para infraestrutura Integrar logs do Microsoft Entra com logs do Azure Monitor |
| 11.3.2 As verificações de vulnerabilidade externa são realizadas da seguinte forma: Pelo menos uma vez a cada três meses. Por um PCI SSC ASV. As vulnerabilidades são resolvidas e os requisitos do Guia do Programa ASV para uma verificação de aprovação são atendidos. As novas verificações são realizadas conforme necessário para confirmar que as vulnerabilidades são resolvidas de acordo com os requisitos do Guia do Programa ASV para uma verificação de aprovação. |
Não aplicável ao Microsoft Entra ID. |
| 11.3.2.1 As verificações de vulnerabilidades externas são realizadas após qualquer alteração significativa da seguinte forma: As vulnerabilidades com pontuação igual ou superior a 4,0 pelo CVSS são resolvidas. As novas varreduras são realizadas conforme necessário. As varreduras são realizadas por pessoal qualificado e existe independência organizacional do testador (não é necessário ser um QSA ou ASV). |
Não aplicável ao Microsoft Entra ID. |
11.4 Testes de penetração externa e interna são realizados regularmente e vulnerabilidades exploráveis e fraquezas de segurança são corrigidas.
| Requisitos de abordagem definidos pelo PCI-DSS | Orientações e recomendações do Microsoft Entra |
|---|---|
| 11.4.1 Uma metodologia de teste de penetração é definida, documentada e implementada pela entidade, e inclui: Abordagens de teste de penetração aceitas pela indústria. Cobertura para todo o ambiente de dados do titular do cartão (CDE), perímetro e sistemas críticos. Testes dentro e fora da rede. Testes para validar quaisquer controles de segmentação e redução de escopo. Testes de penetração na camada de aplicação para identificar, no mínimo, as vulnerabilidades listadas no Requisito 6.2.4. Testes de penetração de camada de rede que abrangem todos os componentes que suportam funções de rede e sistemas operacionais. Revisão e consideração das ameaças e vulnerabilidades experimentadas nos últimos 12 meses. Abordagem documentada para avaliar e abordar o risco representado por vulnerabilidades exploráveis e deficiências de segurança encontradas durante os testes de penetração. Retenção dos resultados dos testes de penetração e das atividades de remediação durante, pelo menos, 12 meses. |
Regras de Engajamento de Testes de Penetração, Microsoft Cloud |
| 11.4.2 Realização de ensaios de penetração interna: De acordo com a metodologia definida pela entidade. Pelo menos uma vez a cada 12 meses. Após qualquer atualização ou alteração significativa de infraestrutura ou aplicativo. Por um recurso interno qualificado ou terceiro externo qualificado. A independência organizacional do testador existe (não é necessário ser um QSA ou ASV). |
Regras de Engajamento de Testes de Penetração, Microsoft Cloud |
| 11.4.3 Realização de ensaios de penetração externa: De acordo com a metodologia definida pela entidade. Pelo menos uma vez a cada 12 meses. Após qualquer atualização ou alteração significativa de infraestrutura ou aplicativo. Por um recurso interno qualificado ou terceiro externo qualificado. A independência organizacional do testador existe (não é necessário ser um QSA ou ASV). |
Regras de Engajamento de Testes de Penetração, Microsoft Cloud |
| 11.4.4 As vulnerabilidades exploráveis e as deficiências de segurança encontradas durante os testes de penetração são corrigidas da seguinte forma: De acordo com a avaliação da entidade do risco colocado pelo problema de segurança, conforme definido no Requisito 6.3.1. Os testes de penetração são repetidos para verificar as correções. |
Regras de Engajamento de Testes de Penetração, Microsoft Cloud |
| 11.4.5 Se a segmentação for utilizada para isolar o CDE de outras redes, os ensaios de penetração são realizados nos controlos de segmentação do seguinte modo: Pelo menos uma vez de 12 em 12 meses e após quaisquer alterações aos controlos/métodos de segmentação. Abrangendo todos os controlos/métodos de segmentação utilizados. De acordo com a metodologia de testes de penetração definida pela entidade. Confirmar que os controles/métodos de segmentação são operacionais e eficazes e isolar o CDE de todos os sistemas fora do escopo. Confirmar a eficácia de qualquer utilização de isolamento para separar sistemas com diferentes níveis de segurança (ver Requisito 2.2.3). Realizado por um recurso interno qualificado ou terceiro externo qualificado. A independência organizacional do testador existe (não é necessário ser um QSA ou ASV). |
Não aplicável ao Microsoft Entra ID. |
| 11.4.6 Requisito adicional apenas para os prestadores de serviços: Se a segmentação for utilizada para isolar o CDE de outras redes, os ensaios de penetração são realizados nos controlos de segmentação do seguinte modo: Pelo menos uma vez de seis em seis meses e após quaisquer alterações aos controlos/métodos de segmentação. Abrangendo todos os controlos/métodos de segmentação utilizados. De acordo com a metodologia de testes de penetração definida pela entidade. Confirmar que os controles/métodos de segmentação são operacionais e eficazes e isolar o CDE de todos os sistemas fora do escopo. Confirmar a eficácia de qualquer utilização de isolamento para separar sistemas com diferentes níveis de segurança (ver Requisito 2.2.3). Realizado por um recurso interno qualificado ou terceiro externo qualificado. A independência organizacional do testador existe (não é necessário ser um QSA ou ASV). |
Não aplicável ao Microsoft Entra ID. |
| 11.4.7 Requisito adicional apenas para provedores de serviços multilocatário: os provedores de serviços multilocatários oferecem suporte a seus clientes para testes de penetração externa de acordo com os Requisitos 11.4.3 e 11.4.4. | Regras de Engajamento de Testes de Penetração, Microsoft Cloud |
11.5 Intrusões de rede e alterações inesperadas de ficheiros são detetadas e respondidas.
| Requisitos de abordagem definidos pelo PCI-DSS | Orientações e recomendações do Microsoft Entra |
|---|---|
| 11.5.1 As técnicas de deteção e/ou prevenção de intrusões são utilizadas para detetar e/ou prevenir intrusões na rede da seguinte forma: Todo o tráfego é monitorizado no perímetro do CDE. Todo o tráfego é monitorado em pontos críticos do CDE. O pessoal é alertado para suspeitas de comprometimento. Todos os mecanismos de deteção e prevenção de intrusão, linhas de base e assinaturas são mantidos atualizados. |
Não aplicável ao Microsoft Entra ID. |
| 11.5.1.1 Requisito adicional apenas para prestadores de serviços: As técnicas de deteção e/ou prevenção de intrusões detetam, alertam/previnem e abordam canais de comunicação secretos de malware. | Não aplicável ao Microsoft Entra ID. |
| 11.5.2 Um mecanismo de deteção de alterações (por exemplo, ferramentas de monitoramento de integridade de arquivos) é implantado da seguinte forma: Para alertar o pessoal sobre modificações não autorizadas (incluindo alterações, adições e exclusões) de arquivos críticos. Para realizar comparações críticas de arquivos pelo menos uma vez por semana. |
Não aplicável ao Microsoft Entra ID. |
11.6 Alterações não autorizadas nas páginas de pagamento são detetadas e respondidas.
| Requisitos de abordagem definidos pelo PCI-DSS | Orientações e recomendações do Microsoft Entra |
|---|---|
| 11.6.1 Um mecanismo de deteção de alterações e adulterações é implantado da seguinte forma: Para alertar o pessoal sobre modificações não autorizadas (incluindo indicadores de comprometimento, alterações, adições e exclusões) nos cabeçalhos HTTP e no conteúdo das páginas de pagamento recebidas pelo navegador do consumidor. O mecanismo é configurado para avaliar o cabeçalho HTTP recebido e a página de pagamento. As funções do mecanismo são desempenhadas da seguinte forma: Pelo menos uma vez a cada sete dias OU Periodicamente com a frequência definida na análise de risco direcionada da entidade, que é realizada de acordo com todos os elementos |
Não aplicável ao Microsoft Entra ID. |
Próximos passos
Os requisitos 3, 4, 9 e 12 do PCI-DSS não são aplicáveis ao Microsoft Entra ID, portanto, não há artigos correspondentes. Para ver todos os requisitos, acesse pcisecuritystandards.org: Site Oficial do PCI Security Standards Council.
Para configurar o Microsoft Entra ID para estar em conformidade com PCI-DSS, consulte os seguintes artigos.
- Orientação do Microsoft Entra PCI-DSS
- Requisito 1: Instalar e manter controles de segurança de rede
- Requisito 2: Aplicar configurações seguras a todos os componentes do sistema
- Requisito 5: Proteger todos os sistemas e redes contra software mal-intencionado
- Requisito 6: Desenvolver e manter sistemas e software seguros
- Requisito 7: Restringir o acesso aos componentes do sistema e aos dados do titular do cartão por necessidade de conhecimento da empresa
- Requisito 8: Identificar usuários e autenticar o acesso aos componentes do sistema
- Requisito 10: Registar e monitorizar todo o acesso aos componentes do sistema e aos dados do titular do cartão
- Requisito 11: Testar a segurança de sistemas e redes regularmente (você está aqui)
- Orientação de autenticação multifator PCI-DSS do Microsoft Entra