Microsoft Entra ID e Requisito 1 de PCI-DSS

Requisito 1: instalar e manter os controles de segurança de rede
Requisitos de abordagem definidos

1.1 Os processos e os mecanismos usados para instalação e manutenção dos controles de segurança de rede foram definidos e compreendidos.

Requisitos de abordagem definidos pelo PCI-DSS Orientações e recomendações do Microsoft Entra
1.1.1 Todas as políticas de segurança e procedimentos operacionais identificados no Requisito 1 são:
Documentados
Mantidos atualizados
Em uso
Conhecidos por todas as partes afetadas
Use as diretrizes e os links aqui contidos para produzir a documentação para atender aos requisitos com base na configuração do seu ambiente.
1.1.2 As funções e responsabilidades para a execução das atividades no Requisito 1 são documentadas, atribuídas e compreendidas Use as diretrizes e os links aqui contidos para produzir a documentação para atender aos requisitos com base na configuração do seu ambiente.

1.2 Os Controles de Segurança de Rede (NSCS) são configurados e mantidos.

Requisitos de abordagem definidos pelo PCI-DSS Orientações e recomendações do Microsoft Entra
1.2.1 Padrões de configuração para conjuntos de regras NSC são:
Definido
Implementado
Mantido
Integre tecnologias de acesso, como VPN, área de trabalho remota e pontos de acesso à rede com o Microsoft Entra ID para autenticação e autorização, se as tecnologias de acesso suportarem a autenticação moderna. Verifique se os padrões NSC, que pertencem a controles relacionados à identidade, incluem a definição de políticas de Acesso Condicional, atribuição de aplicativo, revisões de acesso, gerenciamento de grupo, políticas de credencial etc. Guia de referência de operações do Microsoft Entra
1.2.2 Todas as alterações nas conexões de rede e nas configurações de NSCs são aprovadas e gerenciadas de acordo com o processo de controle de alterações definido no Requisito 6.5.1 Não aplicável ao Microsoft Entra ID.
1.2.3 O diagrama de rede atual que identifica todas as conexões entre o ambiente de dados do titular do cartão (CDE) e outras redes, incluindo redes sem fio. Não aplicável ao Microsoft Entra ID.
1.2.4 Um diagrama preciso de fluxo de dados é mantido que atende ao seguinte:
Mostra todos os fluxos de dados da conta entre sistemas e redes.
Atualizado conforme necessário após alterações no ambiente.
Não aplicável ao Microsoft Entra ID.
1.2.5 Todos os serviços, protocolos e portas permitidos são identificados, aprovados e têm uma necessidade de negócios definida Não aplicável ao Microsoft Entra ID.
1.2.6 Os recursos de segurança são definidos e implementados para todos os serviços, protocolos e portas em uso e considerados não seguros, de modo que o risco seja mitigado. Não aplicável ao Microsoft Entra ID.
1.2.7 As configurações de NSCs são revisadas pelo menos uma vez a cada seis meses para confirmar que são relevantes e eficazes. Use as revisões de acesso do Microsoft Entra para automatizar revisões de associação de grupo e aplicativos, como dispositivos VPN, que se alinham aos controles de segurança de rede em seu CDE. O que são revisões de acesso?
1.2.8 Arquivos de configuração para NSCs são:
Protegidos contra acesso não autorizado
Mantido consistente com configurações de rede ativas
Não aplicável ao Microsoft Entra ID.

1.3 O acesso à rede de e para o ambiente de dados do titular do cartão é restrito.

Requisitos de abordagem definidos pelo PCI-DSS Orientações e recomendações do Microsoft Entra
1.3.1 O tráfego de entrada para o CDE é restrito da seguinte maneira:
Somente para o tráfego necessário.
Todo o outro tráfego foi negado especificamente
Use o Microsoft Entra ID para configurar localizações nomeadas para criar políticas de Acesso Condicional. Calcule o risco de entrada e de usuário. A Microsoft recomenda que os clientes preencham e mantenham os endereços IP do CDE usando locais de rede. Use-os para definir os requisitos da política de Acesso Condicional. Usar a condição de localização em uma política de Acesso condicional
1.3.2 O tráfego de saída do CDE é restrito da seguinte maneira:
Somente para o tráfego necessário.
Todo o outro tráfego foi negado especificamente
Para design de NSC, inclua políticas de Acesso Condicional aos aplicativos para permitir o acesso a endereços IP do CDE.
O acesso de emergência ou o acesso remoto para estabelecer conectividade com o CDE, como dispositivos VPN (rede virtual privada), portais cativos, podem precisar de políticas para evitar o bloqueio não intencional. Usando a condição de localização em uma política de acesso condicional
Gerenciar contas de acesso de emergência no Microsoft Entra ID
1.3.3 NSCs são instalados entre todas as redes sem fio e o CDE, independentemente de a rede sem fio ser um CDE, de modo que:
Todo o tráfego sem fio de redes sem fio para o CDE é negado por padrão.
Somente o tráfego sem fio com uma finalidade comercial autorizada é permitido no CDE.
Para design de NSC, inclua políticas de Acesso Condicional aos aplicativos para permitir o acesso a endereços IP do CDE.
O acesso de emergência ou o acesso remoto para estabelecer conectividade com o CDE, como dispositivos VPN (rede virtual privada), portais cativos, podem precisar de políticas para evitar o bloqueio não intencional. Usando a condição de localização em uma política de acesso condicional
Gerenciar contas de acesso de emergência no Microsoft Entra ID

1.4 As conexões de rede entre redes confiáveis e não confiáveis são controladas.

Requisitos de abordagem definidos pelo PCI-DSS Orientações e recomendações do Microsoft Entra
1.4.1 NSCs são implementados entre redes confiáveis e não confiáveis. Não aplicável ao Microsoft Entra ID.
1.4.2 O tráfego de entrada de redes não confiáveis para redes confiáveis é restrito a:
Comunicações com componentes do sistema autorizados a fornecer serviços, protocolos e portas publicamente acessíveis.
Respostas com estado às comunicações iniciadas por componentes do sistema em uma rede confiável.
Qualquer outro tráfego será negado.
Não aplicável ao Microsoft Entra ID.
1.4.3 Medidas antifalsificação são implementadas para detectar e impedir que endereços IP de origem forjados entrem na rede confiável. Não aplicável ao Microsoft Entra ID.
1.4.4 Componentes do sistema que armazenam dados do titular do cartão não são diretamente acessíveis de redes não confiáveis. Além dos controles na camada de rede, os aplicativos no CDE que usam o Microsoft Entra ID podem utilizar políticas de Acesso Condicional. Restringir o acesso a aplicativos com base na localização. Usar o local de rede em uma política de acesso condicional
1.4.5 A divulgação de endereços IP internos e informações de roteamento são limitadas apenas a partes autorizadas. Não aplicável ao Microsoft Entra ID.

1.5 Os riscos para o CDE nos dispositivos de computação que podem se conectar a redes não confiáveis e ao CDE são mitigados.

Requisitos de abordagem definidos pelo PCI-DSS Orientações e recomendações do Microsoft Entra
1.5.1 Os controles de segurança são implementados em qualquer dispositivo de computação, incluindo dispositivos de propriedade da empresa e de funcionários, que se conectam a redes não confiáveis (incluindo a Internet) e ao CDE da seguinte maneira:
Configurações específicas são definidas para evitar que ameaças sejam introduzidas na rede da entidade.
Os controles de segurança estão em execução ativa.
Os controles de segurança não podem ser alterados pelos usuários dos dispositivos de computação, a menos que sejam especificamente documentados e autorizados pelo gerenciamento caso a caso por um período limitado.
Implante políticas de Acesso Condicional que exijam conformidade do dispositivo. Usar políticas de conformidade para definir regras para dispositivos que você gerencia com o Intune
Integrar o estado de conformidade do dispositivo com soluções antimalware. Aplicar a conformidade do Microsoft Defender para Ponto de Extremidade com acesso condicional no Intune
Integração de Defesa contra Ameaças Móveis com o Intune

Próximas etapas

Os requisitos 3, 4, 9 e 12 do PCI DSS não são aplicáveis ao Microsoft Entra ID e, portanto, não há artigos correspondentes. Para ver todos os requisitos, acesse pcisecuritystandards.org: Site oficial do Conselho de Padrões de Segurança do PCI.

Para configurar o Microsoft Entra ID em conformidade com o PCI-DSS, confira os artigos a seguir.