Diretrizes do PCI DSS no Microsoft Entra

  • Artigo

O Conselho de Padrões de Segurança do Setor de Cartões de Pagamento (PCI SSC ) é responsável por desenvolver e promover padrões e recursos de segurança de dados, incluindo o Padrão de Segurança de Dados do Setor de Cartões de Pagamento (PCI-DSS), para garantir a segurança das transações de pagamento. Para obter conformidade com o PCI, as organizações que usam a ID do Microsoft Entra podem consultar as diretrizes deste documento. No entanto, as organizações são responsáveis por garantir a conformidade com o PCI. Suas equipes de TI, equipes de SecOps e arquitetos de soluções são responsáveis pela criação e manutenção de sistemas, produtos e redes seguros que identificam, processam e armazenam informações de cartão de pagamento.

Embora a ID do Microsoft Entra ajude a atender a alguns requisitos de controle do PCI DSS e forneça protocolos modernos de identidade e acesso para recursos do CDE (ambiente de dados do titular do cartão), ela não deve ser o único mecanismo para proteger os dados do titular do cartão. Portanto, examine este conjunto de documentos e todos os requisitos do PCI-DSS para estabelecer um programa de segurança abrangente que preserve a confiança do cliente. Para ver uma lista completa dos requisitos, visite o site oficial do PCI Security Standards Council em pcisecuritystandards.org: Site oficial do PCI Security Standards Council

Requisitos do PCI para os controles

O PCI-DSS v4.0 global estabelece uma linha de base de padrões técnicos e operacionais para proteger os dados da conta. Ele “foi desenvolvido para incentivar e aumentar a segurança dos dados das contas de cartão de pagamento e facilitar a ampla adoção de medidas consistentes de segurança de dados em todo o mundo. Ele fornece uma linha de base de requisitos técnicos e operacionais projetada para proteger os dados da conta. Embora tenha sido projetado para se concentrar em ambientes que tenham dados de contas de cartão de pagamento, o PCI-DSS também pode ser usado para a proteção contra ameaças e a proteção de outros elementos do ecossistema de pagamentos”.

Configuração do Microsoft Entra e PCI DSS

Este documento serve como um guia abrangente para líderes técnicos e de negócios responsáveis pelo gerenciamento do IAM (Gerenciamento de Identidades e Acesso) com a ID do Microsoft Entra em conformidade com o PCI DSS (Padrão de Segurança de Dados do Setor de Cartões de Pagamento). Ao seguir os principais requisitos, as melhores práticas e as abordagens descritas neste documento, as organizações podem reduzir o escopo, a complexidade e o risco de não conformidade com o PCI e, ao mesmo tempo, promover melhores práticas de segurança e a conformidade com os padrões. As diretrizes fornecidas neste documento visam ajudar as organizações a configurar a ID do Microsoft Entra de modo a atender aos requisitos necessários do PCI DSS e promover práticas eficazes de IAM.

Os líderes técnicos e de negócios podem usar as diretrizes a seguir para cumprir as responsabilidades do IAM (Gerenciamento de Identidades e Acesso) com a ID do Microsoft Entra. Para obter mais informações sobre o PCI-DSS em outras cargas de trabalho da Microsoft, consulte Visão geral do parâmetro de comparação de segurança em nuvem da Microsoft (v1).

Os requisitos e procedimentos de teste do PCI-DSS consistem em 12 requisitos principais que garantem a manuseio seguro das informações de cartões de pagamento. Juntos, esses requisitos constituem uma estrutura abrangente que ajuda as organizações a proteger as transações com cartões de pagamento e os dados confidenciais do titular do cartão.

A ID do Microsoft Entra é um serviço de identidade corporativa que protege aplicativos, sistemas e recursos para dar suporte à conformidade com o PCI DSS. A tabela a seguir contém os principais requisitos do PCI, além de links para os controles recomendados da ID do Microsoft Entra para conformidade com o PCI DSS.

Principais requisitos para o PCI-DSS

Os requisitos 3, 4, 9 e 12 do PCI DSS não são abordados nem atendidos pela ID do Microsoft Entra e, portanto, não há artigos correspondentes. Para ver todos os requisitos, acesse pcisecuritystandards.org: Site oficial do Conselho de Padrões de Segurança do PCI.

Padrão de Segurança de Dados do PCI - Visão Geral de Alto Nível Controles do PCI DSS recomendados pela ID do Microsoft Entra
Compilar e Manter redes e Sistemas Seguros 1. Instalar e manter controles de segurança de rede
2. Aplicar configurações seguras a todos os componentes do sistema
Proteger Dados da Conta 3. Proteger Dados da Conta Armazenada
4. Proteger Dados do Titular do Cartão com Criptografia Forte Durante Transmissões em Redes Públicas
Manter um Programa de Gerenciamento de Vulnerabilidades 5. Proteger todos os sistemas e redes contra softwares mal-intencionados
6. Desenvolver e manter sistemas seguros e software
Implementar Medidas Avançadas de Controle de Acesso 7. Restringir o acesso aos componentes do sistema e aos dados do titular do cartão de acordo com a necessidade de conhecimento dos negócios
8. Identificar e autenticar o acesso aos componentes do sistema
9. Restringir o Acesso Físico aos Componentes do Sistema e aos Dados do Titular do Cartão
Monitorar e testar redes regularmente 10. Registrar e monitorar todo o acesso a componentes do sistema e dados do titular do cartão
11. Testar a segurança de sistemas e redes regularmente
Manter uma Política de Segurança de Informações 12. Dar Suporte à Segurança da Informação com Políticas e Programas Organizacionais

Aplicabilidade do PCI-DSS

O PCI DSS se aplica a organizações que armazenam, processam ou transmitem dados do titular do cartão (CHD) e/ou dados de autenticação confidenciais (SAD). Esses elementos de dados, considerados em conjunto, são conhecidos como dados da conta. O PCI-DSS fornece diretrizes e requisitos de segurança para organizações que afetam o ambiente de dados do titular do cartão (CDE). As entidades que protegem o CDE garantem a confidencialidade e a segurança das informações de pagamento do cliente.

O CHD consiste de:

  • Número da conta primária (PAN) - um número exclusivo de cartão de pagamento (cartões de crédito, débito ou pré-pago, etc.) que identifica o emissor e a conta do titular do cartão
  • Nome do titular do cartão - o proprietário do cartão
  • Data de validade do cartão - o dia e o mês em que o cartão expira
  • Código de segurança - um valor de três ou quatro dígitos na faixa magnética que segue a data de validade da cartão de pagamento nos dados da rastreamento. Ele define atributos de serviço, diferenciando entre intercâmbio internacional e nacional/regional ou identificando restrições de uso.

O SAD consiste em informações relacionadas à segurança usadas para autenticar titulares de cartão e/ou autorizar transações com cartões de pagamento. O SAD inclui, mas não está limitado a:

  • Dados de rastreamento completo - faixa magnética ou chip equivalente
  • Códigos/valores de verificação de cartão - também chamados de código de validação de cartão (CVC), ou valor (CVV). Ele é o número de três ou quatro dígitos encontrado na frente ou no verso do cartão de pagamento. Ele também é chamado de CAV2, CVC2, CVN2, CVV2 ou CID, determinado pelas marcas de cartão de pagamento participantes (PPB).
  • PIN - número de identificação pessoal
    • Blocos de PIN - uma representação criptografada do PIN usado em uma transação com cartão de débito ou crédito. Ele garante a transmissão segura de informações confidenciais durante uma transação

A proteção do CDE é essencial para a segurança e a confidencialidade das informações de pagamento do cliente e ajuda a:

  • Preservar a confiança do cliente - os clientes esperam que suas informações de pagamento sejam tratadas com segurança e mantidas em sigilo. Se uma empresa sofrer uma violação de dados que resulte no roubo de dados de pagamento do cliente, isso pode diminuir a confiança do cliente na empresa e causar danos à reputação.
  • Cumprir as normas - as empresas que processam transações com cartão precisam cumprir o PCI-DSS. A não conformidade resulta em multas, responsabilidades legais e danos à reputação.
  • Mitigação de riscos financeiros - as violações de dados têm efeitos financeiros significativos, incluindo custos de investigações forenses, honorários advocatícios e indenizações para os clientes afetados.
  • Continuidade dos negócios - as violações de dados interrompem as operações de negócios e podem afetar os processos de transação com cartão de crédito. Esse cenário pode resultar em perda de receita, interrupções operacionais e danos à reputação.

Escopo de auditoria do PCI

O escopo de auditoria do PCI está relacionado aos sistemas, redes e processos de armazenamento, processamento ou transmissão de CHD e/ou SAD. Se os Dados da Conta forem armazenados, processados ou transmitidos em um ambiente de nuvem, o PCI-DSS se aplica a esse ambiente e a conformidade normalmente envolve a validação do ambiente de nuvem e o uso dele. Há cinco elementos fundamentais no escopo de uma auditoria do PCI:

  • Ambiente de dados do titular do cartão (CDE) - a área em que CHD e/ou SAD são armazenados, processados ou transmitidos. Ele inclui os componentes de uma organização que interagem com o CHD, como redes e componentes de rede, bancos de dados, servidores, aplicativos e terminais de pagamento.
  • Pessoas - com acesso ao CDE, como funcionários, contratados, prestadores de serviços terceirizados, estão no escopo de uma auditoria do PCI.
  • Processos - que envolvem CHD, como autorização, autenticação, criptografia e armazenamento de dados de conta em qualquer formato, estão dentro do escopo de uma auditoria do PCI.
  • Tecnologia - que processa, armazena ou transmite CHD, incluindo hardware, como impressoras e dispositivos multifuncionais que digitalizam, imprimem e enviam fax, dispositivos de usuário final, como computadores, estações de trabalho de laptops, estações de trabalho administrativas, tablets e dispositivos móveis, software e outros sistemas de TI, estão no escopo de uma auditoria do PCI.
  • Componentes do sistema – que podem não armazenar, processar ou transmitir o CHD/SAD, mas que têm conectividade irrestrita com componentes do sistema que armazenam, processam ou transmitem o CHD/SAD ou que podem afetar a segurança do CDE.

Se o escopo do PCI for minimizado, as organizações poderão reduzir efetivamente os efeitos de incidentes de segurança e diminuir o risco de violações de dados. A segmentação pode ser uma estratégia valiosa para reduzir o tamanho do PCI CDE, resultando em custos de conformidade reduzidos e benefícios gerais para a organização, incluindo, entre outros, os seguintes:

  • Economia de custos - ao limitar o escopo da auditoria, as organizações reduzem o tempo, os recursos e as despesas para se submeterem a uma auditoria, o que leva à economia de custos.
  • Redução da exposição a riscos - um escopo menor de auditoria do PCI reduz os possíveis riscos associados ao processamento, ao armazenamento e à transmissão de dados do titular do cartão. Se o número de sistemas, redes e aplicativos sujeitos a uma auditoria for limitado, as organizações se concentrarão em proteger seus ativos essenciais e reduzir sua exposição a riscos.
  • Conformidade simplificada - a redução do escopo da auditoria torna a conformidade com o PCI-DSS mais gerenciável e simplificada. Os resultados são auditorias mais eficientes, menos problemas de conformidade e um risco reduzido de incorrer em penalidades por não conformidade.
  • Postura de segurança aprimorada - com um subconjunto menor de sistemas e processos, as organizações alocam recursos e esforços de segurança de forma eficiente. Os resultados são uma postura de segurança mais forte, pois as equipes de segurança se concentram na proteção de ativos essenciais e na identificação de vulnerabilidades de forma direcionada e eficaz.

Estratégias para reduzir o escopo da auditoria do PCI

A definição de CDE de uma organização determina o escopo da auditoria do PCI. As organizações documentam e comunicam essa definição ao Assessor de Segurança Qualificada (QSA) do PCI-DSS que está realizando a auditoria. O QSA avalia os controles do CDE para determinar a conformidade. A adesão aos padrões do PCI e o uso da mitigação eficaz de riscos ajudam as empresas a proteger os dados pessoais e financeiros do cliente, o que mantém a confiança em suas operações. A seção a seguir descreve estratégias para reduzir o risco no escopo da auditoria do PCI.

Geração de tokens

A geração de tokens é uma técnica de segurança de dados. Use a geração de tokens para substituir informações confidenciais, como números de cartão de crédito, por um token exclusivo armazenado e usado para transações, sem expor dados confidenciais. Os tokens reduzem o escopo de uma auditoria do PCI para os seguintes requisitos:

  • Requisito 3 - Proteger os Dados Armazenados da Conta
  • Requisito 4 - Proteger os dados do Titular do Cartão com Criptografia forte Durante a Transmissão Em Redes Públicas Abertas
  • Requisito 9 - Restringir o Acesso Físico aos Dados do Titular do Cartão
  • Requisito 10 - Registrar e Monitorar Todo Acesso aos Componentes do Sistema e aos Dados do Titular do Cartão.

Ao usar metodologias de processamento baseadas em nuvem, considere os riscos relevantes para dados e transações confidenciais. Para reduzir esses riscos, é recomendável implementar medidas de segurança e planos de contingência relevantes para proteger os dados e evitar interrupções nas transações. Como melhor prática, use a geração de tokens de pagamentos como uma metodologia para desclassificar dados e, possivelmente reduzir o rastro do CDE. Com a geração de tokens de pagamentos, os dados confidenciais são substituídos por um identificador exclusivo que reduz o risco de roubo de dados e limita a exposição de informações confidenciais no CDE.

Proteção do CDE

O PCI-DSS exige que as organizações mantenham um CDE protegido. Com um CDE configurado de forma eficaz, as empresas podem reduzir a exposição ao risco e os custos associados aos ambientes no local e na nuvem. Essa abordagem ajuda a minimizar o escopo de uma auditoria do PCI, tornando mais fácil e econômico demonstrar a conformidade com o padrão.

Para configurar a ID do Microsoft Entra para proteger o CDE:

  • Use credenciais sem senha para os usuários: Windows Hello para Empresas, chaves de segurança FIDO2 e aplicativo Microsoft Authenticator
  • Use credenciais fortes para identidades de carga de trabalho: certificados e identidades gerenciadas para recursos do Azure.
    • Integre tecnologias de acesso, como VPN, área de trabalho remota e pontos de acesso à rede com a ID do Microsoft Entra para autenticação, se aplicável
  • Habilite o gerenciamento de identidades privilegiadas e as revisões de acesso para funções do Microsoft Entra, grupos de acesso privilegiado e recursos do Azure
  • Use políticas de Acesso Condicional para impor os controles de requisitos do PCI: credencial forte, estado do dispositivo e aplicá-los com base na localização, associação a grupos, aplicativos e riscos
  • Use autenticação moderna para cargas de trabalho do DCE
  • Arquive os logs do Microsoft Entra em sistemas SIEM (gerenciamento de eventos e informações de segurança)

Quando aplicativos e recursos usam a ID do Microsoft Entra para o IAM (Gerenciamento de Identidades e Acesso), os locatários do Microsoft Entra entram no escopo da auditoria do PCI e as diretrizes descritas aqui são aplicáveis. As organizações devem avaliar os requisitos de isolamento de identidade e recursos, entre cargas de trabalho do PCI e não PCI, para determinar a melhor arquitetura.

Saiba mais

Estabelecer uma matriz de responsabilidades

A conformidade com o PCI é responsabilidade das entidades que processam transações com cartões de pagamento, incluindo, entre outras, as seguintes:

  • Comerciantes
  • Provedores de serviços de cartão
  • Provedores de serviços ao comerciante
  • Bancos adquirentes
  • Processadores de pagamento
  • Emissores de cartões de pagamento
  • Fornecedores de hardware

Essas entidades garantem que as transações com cartões de pagamento sejam processadas com segurança e estejam em conformidade com o PCI-DSS. Todas as entidades envolvidas em transações com cartões de pagamento têm a função de ajudar a garantir a conformidade com o PCI.

O status de conformidade com o PCI DSS do Azure não é convertido automaticamente em validação do PCI-DSS para os serviços que você cria ou hospeda no Azure. Você garante a conformidade com os requisitos do PCI-DSS.

Estabelecer processos contínuos para manter a conformidade

Os processos contínuos implicam o monitoramento e o aprimoramento contínuo da postura de conformidade. Benefícios dos processos contínuos para manter a conformidade com o PCI:

  • Redução do risco de incidentes de segurança e não conformidade
  • Segurança de dados aprimorada
  • Melhor alinhamento com os requisitos regulatórios
  • Aumento da confiança do cliente e das partes interessadas

Com processos contínuos, as organizações respondem de forma eficaz às alterações no ambiente regulatório e às ameaças à segurança em constante evolução.

  • Avaliação de risco - conduza esse processo para identificar vulnerabilidades de dados de cartão de crédito e riscos de segurança. Identifique possíveis ameaças, avalie a probabilidade de ocorrência de ameaças e avalie os possíveis efeitos sobre os negócios.
  • Treinamento de conscientização sobre segurança - os funcionários que lidam com dados de cartão de crédito recebem treinamento regular de conscientização sobre segurança para esclarecer a importância de proteger os dados do titular do cartão e as medidas para fazê-lo.
  • Gerenciamento de vulnerabilidades - realize varreduras regulares de vulnerabilidade e testes de penetração para identificar os pontos fracos da rede ou do sistema que podem ser explorados por invasores.
  • Monitorar e manter políticas de controle de acesso - o acesso aos dados do cartão de crédito é restrito a indivíduos autorizados. Monitore os logs de acesso para identificar tentativas de acesso não autorizado.
  • Resposta a incidentes - um plano de resposta a incidentes ajuda as equipes de segurança a agir durante incidentes de segurança envolvendo dados de cartão de crédito. Identifique a causa do incidente, contenha os danos e restaure as operações normais em tempo hábil.
  • Monitoramento de conformidade - e auditorias são realizada para garantir a conformidade contínua com os requisitos do PCI-DSS. Examine os logs de segurança, realize revisões regulares das políticas e garanta que os componentes do sistema sejam configurados e mantidos com precisão.

Implemente uma segurança forte para a infraestrutura compartilhada

Normalmente, os serviços da Web, como o Azure, têm uma infraestrutura compartilhada em que os dados do cliente podem ser armazenados no mesmo servidor físico ou dispositivo de armazenamento de dados. Esse cenário cria o risco de clientes não autorizados acessarem dados que não lhes pertencem e o risco de atores mal-intencionados atacarem a infraestrutura compartilhada. Os recursos de segurança do Microsoft Entra ajudam a atenuar os riscos associados à infraestrutura compartilhada:

  • Autenticação do usuário em tecnologias de acesso à rede que dão suporte a protocolos de autenticação modernos: rede virtual privada (VPN), área de trabalho remota e pontos de acesso à rede.
  • Políticas de controle de acesso que impõem métodos de autenticação fortes e conformidade do dispositivos com base em sinais como contexto do usuário, dispositivo, localização e risco.
  • O Acesso Condicional fornece um plano de controle orientado por identidade e reúne sinais para tomar decisões e impor políticas organizacionais.
  • Governança de função com privilégios - revisões de acesso, ativação just-in-time (JIT), etc.

Saiba mais sobre: o que é acesso condicional?

Residência de dadosResidência de dados

O PCI-DSS não cita nenhuma localização geográfica específica para o armazenamento de dados do cartão de crédito. No entanto, ele exige que os dados do titular do cartão sejam armazenados com segurança, o que pode incluir restrições geográficas, dependendo dos requisitos regulatórios e de segurança da organização. Diferentes países e regiões têm leis de proteção de dados e privacidade. Consulte um consultor jurídico ou de conformidade para determinar os requisitos de residência de dados aplicáveis.

Saiba mais: ID do Microsoft Entra e residência de dados

Riscos à segurança de terceiros

Um provedor terceirizado não esteja em conformidade com o PCI representa um risco para a conformidade com o PCI. Avalie e monitore regularmente os fornecedores e prestadores de serviços terceirizados para garantir que eles mantenham os controles necessários para proteger os dados do titular do cartão.

Os recursos e as funções do Microsoft Entra na Residência de dados ajudam a atenuar os riscos associados à segurança de terceiros.

Log e monitoramento

Implemente registros em log e monitoramento precisos para detectar e responder a incidentes de segurança em tempo hábil. A ID do Microsoft Entra ajuda a gerenciar a conformidade com o PCI por meio de logs de atividades e auditoria, além de relatórios que podem ser integrados a um sistema SIEM. A ID do Microsoft Entra conta com o RBAC (controle de acesso baseado em função) e a MFA para proteger o acesso a recursos confidenciais, criptografia e recursos de proteção contra ameaças para proteger as organizações contra o acesso não autorizado e o roubo de dados.

Saiba mais:

Ambientes com vários aplicativos: host fora do CDE

O PCI-DSS garante que as empresas que aceitam, processam, armazenam ou transmitam informações de cartão de crédito mantenham um ambiente seguro. A hospedagem fora do CDE apresenta riscos como, por exemplo:

  • O controle de acesso e o gerenciamento de identidades deficientes podem resultar em acesso não autorizado a dados e sistemas confidenciais
  • O registro em log e o monitoramento insuficientes de eventos de segurança impedem a detecção e a resposta a incidentes de segurança
  • A criptografia e a proteção contra ameaças insuficientes aumentam o risco de roubo de dados e acesso não autorizado
  • O treinamento e a conscientização de segurança insuficientes ou inexistentes para os usuários pode resultar em ataques evitáveis de engenharia social, como phishing

Próximas etapas

Os requisitos 3, 4, 9 e 12 do PCI DSS não são aplicáveis ao Microsoft Entra ID e, portanto, não há artigos correspondentes. Para ver todos os requisitos, acesse pcisecuritystandards.org: Site oficial do Conselho de Padrões de Segurança do PCI.

Para configurar a ID do Microsoft Entra em conformidade com o PCI DSS, confira os artigos a seguir.