ID do Microsoft Entra e Requisito 2 do PCI-DSS
Requisito 2: Aplicar configurações seguras a todos os componentes do
sistema Requisitos de abordagem definidos
2.1 Os processos e mecanismos de aplicação de configurações seguras a todos os componentes do sistema são definidos e compreendidos.
| Requisitos de abordagem definidos pelo PCI-DSS | Orientações e recomendações do Microsoft Entra |
|---|---|
| 2.1.1 Todas as políticas de segurança e procedimentos operacionais identificados no Requisito 2 são: Documentado Mantido atualizado Em uso Conhecido por todas as partes afetadas |
Use as orientações e os links aqui contidos para produzir a documentação para atender aos requisitos com base na configuração do seu ambiente. |
| 2.1.2 As funções e responsabilidades para a realização de atividades no Requisito 2 são documentadas, atribuídas e compreendidas. | Use as orientações e os links aqui contidos para produzir a documentação para atender aos requisitos com base na configuração do seu ambiente. |
2.2 Os componentes do sistema são configurados e geridos de forma segura.
| Requisitos de abordagem definidos pelo PCI-DSS | Orientações e recomendações do Microsoft Entra |
|---|---|
| 2.2.1 Os padrões de configuração são desenvolvidos, implementados e mantidos para: Abrangem todos os componentes do sistema. Resolva todas as vulnerabilidades de segurança conhecidas. Seja consistente com os padrões de proteção de sistema aceitos pelo setor ou com as recomendações de proteção do fornecedor. Ser atualizado à medida que novos problemas de vulnerabilidade são identificados, conforme definido no Requisito 6.3.1. Ser aplicado quando novos sistemas são configurados e verificados como em vigor antes ou imediatamente depois que um componente do sistema é conectado a um ambiente de produção. |
Consulte o guia de operações de segurança do Microsoft Entra |
| 2.2.2 As contas padrão do fornecedor são gerenciadas da seguinte forma: Se a(s) conta(s) padrão(is) do fornecedor forem usadas, a senha padrão será alterada de acordo com o Requisito 8.3.6. Se a(s) conta(s) padrão(ões) do fornecedor não for usada(s), a conta será removida ou desativada. |
Não aplicável ao Microsoft Entra ID. |
| 2.2.3 As funções primárias que requerem diferentes níveis de segurança são geridas da seguinte forma: Existe apenas uma função primária num componente do sistema, OU As funções primárias com diferentes níveis de segurança que existem no mesmo componente do sistema são isoladas umas das outras, OU As funções primárias com diferentes níveis de segurança no mesmo componente do sistema são todas asseguradas ao nível exigido pela função com a necessidade de segurança mais elevada. |
Saiba mais sobre como determinar funções menos privilegiadas. Funções com menos privilégios por função no Microsoft Entra ID |
| 2.2.4 Apenas os serviços, protocolos, daemons e funções necessários são ativados e todas as funcionalidades desnecessárias são removidas ou desativadas. | Revise as configurações do Microsoft Entra e desative os recursos não utilizados. Cinco etapas para proteger sua infraestrutura de identidade Guia de operações de segurança do Microsoft Entra |
| 2.2.5 Se houver serviços, protocolos ou daemons inseguros: a justificação comercial está documentada. Recursos de segurança adicionais são documentados e implementados para reduzir o risco de uso de serviços, protocolos ou daemons inseguros. |
Revise as configurações do Microsoft Entra e desative os recursos não utilizados. Cinco etapas para proteger sua infraestrutura de identidade Guia de operações de segurança do Microsoft Entra |
| 2.2.6 Os parâmetros de segurança do sistema são configurados para evitar uso indevido. | Revise as configurações do Microsoft Entra e desative os recursos não utilizados. Cinco etapas para proteger sua infraestrutura de identidade Guia de operações de segurança do Microsoft Entra |
| 2.2.7 Todo o acesso administrativo que não seja do console é criptografado usando criptografia forte. | As interfaces de ID do Microsoft Entra, como o portal de gerenciamento, o Microsoft Graph e o PowerShell, são criptografadas em trânsito usando TLS. Habilite o suporte para TLS 1.2 em seu ambiente para a substituição do Microsoft Entra TLS 1.1 e 1.0 |
2.3 Os ambientes sem fios são configurados e geridos de forma segura.
| Requisitos de abordagem definidos pelo PCI-DSS | Orientações e recomendações do Microsoft Entra |
|---|---|
| 2.3.1 Para ambientes sem fio conectados ao CDE ou transmitindo dados de conta, todos os padrões do fornecedor sem fio são alterados na instalação ou confirmados como seguros, incluindo, mas não limitado a: Chaves de encriptação sem fios predefinidas Palavras-passe em pontos de acesso sem fios Padrões SNMP Qualquer outro padrão de fornecedor sem fio relacionado à segurança |
Se sua organização integrar pontos de acesso de rede com o Microsoft Entra ID para autenticação, consulte Requisito 1: Instalar e manter controles de segurança de rede. |
| 2.3.2 Para ambientes sem fio conectados ao CDE ou transmitindo dados da conta, as chaves de criptografia sem fio são alteradas da seguinte forma: Sempre que o pessoal com conhecimento da chave deixar a empresa ou a função para a qual o conhecimento era necessário. Sempre que uma chave é suspeita ou conhecida por estar comprometida. |
Não aplicável ao Microsoft Entra ID. |
Próximos passos
Os requisitos 3, 4, 9 e 12 do PCI-DSS não são aplicáveis ao Microsoft Entra ID, portanto, não há artigos correspondentes. Para ver todos os requisitos, acesse pcisecuritystandards.org: Site Oficial do PCI Security Standards Council.
Para configurar o Microsoft Entra ID para estar em conformidade com PCI-DSS, consulte os seguintes artigos.
- Orientação do Microsoft Entra PCI-DSS
- Requisito 1: Instalar e manter controles de segurança de rede
- Requisito 2: Aplicar configurações seguras a todos os componentes do sistema (você está aqui)
- Requisito 5: Proteger todos os sistemas e redes contra software mal-intencionado
- Requisito 6: Desenvolver e manter sistemas e software seguros
- Requisito 7: Restringir o acesso aos componentes do sistema e aos dados do titular do cartão por necessidade de conhecimento da empresa
- Requisito 8: Identificar usuários e autenticar o acesso aos componentes do sistema
- Requisito 10: Registar e monitorizar todo o acesso aos componentes do sistema e aos dados do titular do cartão
- Requisito 11: Testar regularmente a segurança dos sistemas e redes
- Orientação de autenticação multifator PCI-DSS do Microsoft Entra