ID do Microsoft Entra e Requisito 7 do PCI-DSS
Requisito 7: Restringir o acesso aos componentes do sistema e aos dados do titular do cartão por necessidade comercial de conhecer
Requisitos de abordagem definidos
7.1 Os processos e mecanismos para restringir o acesso aos componentes do sistema e aos dados do titular do cartão por necessidade de conhecimento da empresa são definidos e compreendidos.
| Requisitos de abordagem definidos pelo PCI-DSS | Orientações e recomendações do Microsoft Entra |
|---|---|
| 7.1.1 Todas as políticas de segurança e procedimentos operacionais identificados no Requisito 7 são: Documentado Mantido atualizado Em uso Conhecido por todas as partes afetadas |
Integre o acesso a aplicativos de ambiente de dados do titular do cartão (CDE) com o Microsoft Entra ID para autenticação e autorização. Políticas de Acesso Condicional de Documentos para tecnologias de acesso remoto. Automatize com a API do Microsoft Graph e o PowerShell. Acesso condicional: acesso programático Arquive os logs de auditoria do Microsoft Entra para registrar as alterações na política de segurança e a configuração do locatário do Microsoft Entra. Para registrar o uso, arquive os logs de entrada do Microsoft Entra em um sistema de gerenciamento de eventos e informações de segurança (SIEM). Logs de atividade do Microsoft Entra no Azure Monitor |
| 7.1.2 As funções e responsabilidades para a realização de atividades no Requisito 7 são documentadas, atribuídas e compreendidas. | Integre o acesso a aplicações CDE com o Microsoft Entra ID para autenticação e autorização. - Atribuir funções de usuários a aplicativos ou com associação a grupos - Use o Microsoft Graph para listar atribuições de aplicativos - Use os logs de auditoria do Microsoft Entra para controlar as alterações de atribuição. Listar appRoleAssignments concedidas a um usuário Get-MgServicePrincipalAppRoleAssignedTo Acesso privilegiado Use os logs de auditoria do Microsoft Entra para controlar as atribuições de função de diretório. Funções de administrador relevantes para este requisito PCI: - Global - Aplicação - Autenticação - Política de Autenticação - Identidade Híbrida Para implementar o acesso com privilégios mínimos, use o Microsoft Entra ID para criar funções de diretório personalizadas. Se você criar partes do CDE no Azure, documente atribuições de função privilegiadas, como Proprietário, Colaborador, Administrador de Acesso do usuário, etc., e funções personalizadas de assinatura onde os recursos do CDE são implantados. A Microsoft recomenda que você habilite o acesso Just-In-Time (JIT) a funções usando o Privileged Identity Management (PIM). O PIM permite o acesso JIT a grupos de segurança do Microsoft Entra para cenários em que a associação ao grupo representa acesso privilegiado a aplicativos ou recursos CDE. Funções internas do Microsoft Entra Guia de referência de operações de gerenciamento de identidade e acesso do Microsoft Entra Criar e atribuir uma função personalizada no Microsoft Entra ID Protegendo o acesso privilegiado para implantações híbridas e em nuvem no Microsoft Entra ID O que é o Microsoft Entra Privileged Identity Management? Práticas recomendadas para todas as arquiteturas de isolamento PIM for Groups |
7.2 O acesso aos componentes e dados do sistema é adequadamente definido e atribuído.
| Requisitos de abordagem definidos pelo PCI-DSS | Orientações e recomendações do Microsoft Entra |
|---|---|
| 7.2.1 É definido um modelo de controlo de acessos que inclui a concessão de acesso da seguinte forma: Acesso adequado em função do negócio e das necessidades de acesso da entidade. Acesso a componentes do sistema e recursos de dados com base na classificação de trabalho e funções dos usuários. Os privilégios mínimos necessários (por exemplo, usuário, administrador) para executar uma função de trabalho. |
Use o Microsoft Entra ID para atribuir usuários a funções em aplicativos diretamente ou por meio de associações de grupo. Organizações com taxonomia padronizada implementada como atributos podem automatizar concessões de acesso com base na classificação de trabalho e função do usuário. Use grupos do Microsoft Entra com associação de grupo e pacotes de acesso de gerenciamento de direitos do Microsoft Entra com políticas de atribuição dinâmica. Use o gerenciamento de direitos para definir a separação de funções para delinear o menor privilégio. O PIM permite o acesso JIT a grupos de segurança do Microsoft Entra para cenários personalizados em que a associação ao grupo representa acesso privilegiado a aplicativos ou recursos CDE. Gerenciar regras para grupos dinâmicos de associação Configurar uma política de atribuição automática para um pacote de acesso no gerenciamento de direitos Configurar a separação de funções para um pacote de acesso no PIM de gerenciamento de direitos para grupos |
| 7.2.2 O acesso é atribuído a utilizadores, incluindo utilizadores privilegiados, com base em: Classificação profissional e função. Privilégios mínimos necessários para desempenhar as responsabilidades do trabalho. |
Use o Microsoft Entra ID para atribuir usuários a funções em aplicativos diretamente ou por meio de associação a grupos. Organizações com taxonomia padronizada implementada como atributos podem automatizar concessões de acesso com base na classificação de trabalho e função do usuário. Use grupos do Microsoft Entra com associação de grupo e pacotes de acesso de gerenciamento de direitos do Microsoft Entra com políticas de atribuição dinâmica. Use o gerenciamento de direitos para definir a separação de funções para delinear o menor privilégio. O PIM permite o acesso JIT a grupos de segurança do Microsoft Entra para cenários personalizados em que a associação ao grupo representa acesso privilegiado a aplicativos ou recursos CDE. Gerenciar regras para grupos dinâmicos de associação Configurar uma política de atribuição automática para um pacote de acesso no gerenciamento de direitos Configurar a separação de funções para um pacote de acesso no PIM de gerenciamento de direitos para grupos |
| 7.2.3 Os privilégios necessários são aprovados por pessoal autorizado. | O gerenciamento de direitos oferece suporte a fluxos de trabalho de aprovação para conceder acesso a recursos e revisões periódicas de acesso. Aprovar ou negar solicitações de acesso no gerenciamento de direitos Revisar o acesso de um pacote de acesso no gerenciamento de direitos O PIM oferece suporte a fluxos de trabalho de aprovação para ativar funções de diretório do Microsoft Entra, funções do Azure e grupos de nuvem. Aprovar ou negar solicitações para funções do Microsoft Entra no PIM Aprovar solicitações de ativação para membros e proprietários do grupo |
| 7.2.4 Todas as contas de utilizador e privilégios de acesso relacionados, incluindo contas de terceiros/fornecedores, são analisados da seguinte forma: Pelo menos uma vez a cada seis meses. Para garantir que as contas de usuário e o acesso permaneçam apropriados com base na função do trabalho. Qualquer acesso inadequado é abordado. A administração reconhece que o acesso continua a ser adequado. |
Se você conceder acesso a aplicativos usando atribuição direta ou com associação de grupo, configure as revisões de acesso do Microsoft Entra. Se você conceder acesso a aplicativos usando o gerenciamento de direitos, habilite as revisões de acesso no nível do pacote de acesso. Criar uma revisão de acesso de um pacote de acesso no gerenciamento de direitos Use a ID Externa do Microsoft Entra para contas de terceiros e fornecedores. Você pode realizar revisões de acesso direcionadas a identidades externas, por exemplo, contas de terceiros ou de fornecedores. Gerir o acesso de convidado com as revisões de acesso |
| 7.2.5 Todas as contas de aplicativo e sistema e privilégios de acesso relacionados são atribuídos e gerenciados da seguinte forma: Com base nos privilégios mínimos necessários para a operacionalidade do sistema ou aplicativo. O acesso é limitado aos sistemas, aplicações ou processos que requerem especificamente a sua utilização. |
Use o Microsoft Entra ID para atribuir usuários a funções em aplicativos diretamente ou por meio de associação a grupos. Organizações com taxonomia padronizada implementada como atributos podem automatizar concessões de acesso com base na classificação de trabalho e função do usuário. Use grupos do Microsoft Entra com associação de grupo e pacotes de acesso de gerenciamento de direitos do Microsoft Entra com políticas de atribuição dinâmica. Use o gerenciamento de direitos para definir a separação de funções para delinear o menor privilégio. O PIM permite o acesso JIT a grupos de segurança do Microsoft Entra para cenários personalizados em que a associação ao grupo representa acesso privilegiado a aplicativos ou recursos CDE. Gerenciar regras para grupos dinâmicos de associação Configurar uma política de atribuição automática para um pacote de acesso no gerenciamento de direitos Configurar a separação de funções para um pacote de acesso no PIM de gerenciamento de direitos para grupos |
| 7.2.5.1 Todos os acessos por contas de aplicações e sistemas e privilégios de acesso relacionados são revistos da seguinte forma: Periodicamente (com a frequência definida na análise de risco orientada da entidade, que é realizada de acordo com todos os elementos especificados no Requisito 12.3.1). O acesso à aplicação/sistema permanece apropriado para a função que está a ser executada. Qualquer acesso inadequado é abordado. A administração reconhece que o acesso continua a ser adequado. |
Práticas recomendadas ao revisar permissões de contas de serviço. Governando contas de serviço do Microsoft Entra Governar contas de serviço locais |
| 7.2.6 Todo o acesso do usuário aos repositórios de consulta de dados armazenados do titular do cartão é restrito da seguinte forma: Através de aplicativos ou outros métodos programáticos, com acesso e ações permitidas com base nas funções do usuário e privilégios mínimos. Somente o(s) administrador(es) responsável(is) pode(m) acessar diretamente ou consultar repositórios de dados armazenados do titular do cartão (CHD). |
Os aplicativos modernos permitem métodos programáticos que restringem o acesso a repositórios de dados. Integre aplicativos com o Microsoft Entra ID usando protocolos de autenticação modernos, como OAuth e OpenID connect (OIDC). Protocolos OAuth 2.0 e OIDC na plataforma de identidade da Microsoft Defina funções específicas do aplicativo para modelar o acesso de usuário privilegiado e não privilegiado. Atribua usuários ou grupos a funções. Adicionar funções de aplicativo ao seu aplicativo e recebê-las no token Para APIs expostas pelo seu aplicativo, defina escopos OAuth para habilitar o consentimento do usuário e do administrador. Escopos e permissões na plataforma de identidade da Microsoft Modele o acesso privilegiado e não privilegiado aos repositórios com a seguinte abordagem e evite o acesso direto ao repositório. Se os administradores e operadores precisarem de acesso, conceda-o de acordo com a plataforma subjacente. Por exemplo, atribuições do ARM IAM no Azure, janelas de Listas de Controle de Acesso (ACLs), etc. Consulte as diretrizes de arquitetura que incluem a proteção da plataforma de aplicativos como serviço (PaaS) e da infraestrutura como serviço (IaaS) no Azure. Centro de Arquitetura do Azure |
7.3 O acesso aos componentes e dados do sistema é gerido através de um ou mais sistemas de controlo de acesso.
| Requisitos de abordagem definidos pelo PCI-DSS | Orientações e recomendações do Microsoft Entra |
|---|---|
| 7.3.1 Existe um sistema de controlo de acesso que restringe o acesso com base na necessidade de conhecimento do utilizador e abrange todos os componentes do sistema. | Integre o acesso a aplicações no CDE com o Microsoft Entra ID como autenticação e autorização do sistema de controlo de acessos. Políticas de acesso condicional, com atribuições de aplicativos que controlam o acesso aos aplicativos. O que é Acesso Condicional? Atribuir usuários e grupos a um aplicativo |
| 7.3.2 O(s) sistema(s) de controle de acesso está configurado(s) para impor permissões atribuídas a indivíduos, aplicativos e sistemas com base na classificação de trabalho e função. | Integre o acesso a aplicações no CDE com o Microsoft Entra ID como autenticação e autorização do sistema de controlo de acessos. Políticas de acesso condicional, com atribuições de aplicativos que controlam o acesso aos aplicativos. O que é Acesso Condicional? Atribuir usuários e grupos a um aplicativo |
| 7.3.3 O(s) sistema(s) de controlo de acesso está(ão) configurado(s) para "negar tudo" por defeito. | Use o Acesso Condicional para bloquear o acesso com base nas condições de solicitação de acesso, como associação ao grupo, aplicativos, local da rede, força da credencial, etc. Acesso condicional: a política de bloqueio de bloqueio mal configurada pode contribuir para bloqueios não intencionais. Conceber uma estratégia de acesso de emergência. Gerenciar contas de administrador de acesso de emergência no Microsoft Entra ID |
Próximos passos
Os requisitos 3, 4, 9 e 12 do PCI-DSS não são aplicáveis ao Microsoft Entra ID, portanto, não há artigos correspondentes. Para ver todos os requisitos, acesse pcisecuritystandards.org: Site Oficial do PCI Security Standards Council.
Para configurar o Microsoft Entra ID para estar em conformidade com PCI-DSS, consulte os seguintes artigos.
- Orientação do Microsoft Entra PCI-DSS
- Requisito 1: Instalar e manter controles de segurança de rede
- Requisito 2: Aplicar configurações seguras a todos os componentes do sistema
- Requisito 5: Proteger todos os sistemas e redes contra software mal-intencionado
- Requisito 6: Desenvolver e manter sistemas e software seguros
- Requisito 7: Restringir o acesso aos componentes do sistema e aos dados do titular do cartão por necessidade comercial de saber (Você está aqui)
- Requisito 8: Identificar usuários e autenticar o acesso aos componentes do sistema
- Requisito 10: Registar e monitorizar todo o acesso aos componentes do sistema e aos dados do titular do cartão
- Requisito 11: Testar regularmente a segurança dos sistemas e redes
- Orientação de autenticação multifator PCI-DSS do Microsoft Entra