Requisito 7 do Microsoft Entra ID e PCI-DSS
Requisito 7: Restringir o Acesso aos Componentes do Sistema e aos Dados do Titular do Cartão com Base na Necessidade de Conhecimento de Negócios
Requisitos de abordagem definidos
7.1 Os processos e os mecanismos usados para restringir o acesso aos componentes do sistema e aos dados do titular do cartão à divulgação restrita àqueles diretamente interessados na empresa foram definidos e compreendidos.
| Requisitos de abordagem definidos por PCI-DSS | Orientações e recomendações do Microsoft Entra |
|---|---|
| 7.1.1 Todas as políticas de segurança e procedimentos operacionais identificados no Requisito 7 são: Documentados Mantidos atualizados Em uso Conhecidos por todas as partes afetadas |
Integre o acesso a aplicativos CDE (ambiente de dados do titular do cartão) com o Microsoft Entra ID para autenticação e autorização. Documente políticas de Acesso Condicional para tecnologias de acesso remoto. Automatize com a API do Microsoft Graph e o PowerShell. Acesso Condicional: Acesso programático Arquive os logs de auditoria do Microsoft Entra para registrar alterações de política de segurança e Microsoft Entra configuração de locatário. Para registrar o uso, arquive Microsoft Entra logs de entrada em um sistema SIEM (gerenciamento de eventos e informações de segurança). Logs de atividades do Microsoft Entra no Azure Monitor |
| 7.1.2 Funções e responsabilidades para executar atividades no Requisito 7 são documentadas, atribuídas e compreendidas. | Integre o acesso a aplicativos CDE ao Microsoft Entra ID para autenticação e autorização. – Atribuir funções de usuários a aplicativos ou com associação de grupo – Use o Microsoft Graph para listar atribuições de aplicativo – Use Microsoft Entra logs de auditoria para controlar as alterações de atribuição. Listar appRoleAssignments concedidos a um usuário Get-MgServicePrincipalAppRoleAssignedTo Acesso privilegiado Use logs de auditoria do Microsoft Entra para rastrear atribuições de função do diretório. Funções de administrador relevantes para esse requisito de PCI: - Global - Aplicativo - Autenticação - Política de Autenticação - Identidade Híbrida Para implementar o acesso de privilégios mínimos, use Microsoft Entra ID para criar funções de diretório personalizadas. Se você criar partes do CDE no Azure, documente atribuições de função com privilégios, como Proprietário, Colaborador, Administrador de Acesso do Usuário etc., e funções personalizadas de assinatura em que os recursos do CDE são implantados. A Microsoft recomenda que você habilite o acesso JIT (Just-In-Time) a funções usando Privileged Identity Management (PIM). O PIM permite o acesso JIT a Microsoft Entra grupos de segurança para cenários em que a associação de grupo representa acesso privilegiado a aplicativos ou recursos CDE. Funções internas do Microsoft Entra Guia de referência de operações de gerenciamento de identidade e acesso do Microsoft Entra Criar e atribuir uma função personalizada no Microsoft Entra ID Proteger o acesso privilegiado para implantações híbridas e de nuvem no Microsoft Entra ID O que é o Microsoft Entra Privileged Identity Management? Práticas recomendadas para todas as arquiteturas de isolamento PIM para Grupos |
7.2 O acesso a componentes e dados do sistema é definido e atribuído adequadamente.
| Requisitos de abordagem definidos por PCI-DSS | Orientações e recomendações do Microsoft Entra |
|---|---|
| 7.2.1 Um modelo de controle de acesso é definido e inclui a concessão de acesso da seguinte maneira: Acesso apropriado, dependendo das necessidades de negócios e acesso da entidade. Acesso a componentes do sistema e recursos de dados baseados na classificação e funções de trabalho dos usuários. Os privilégios mínimos necessários (por exemplo, usuário, administrador) para executar uma função de trabalho. |
Use o Microsoft Entra ID para atribuir usuários a funções em aplicativos diretamente ou por meio de associações de grupo. Organizações com taxonomia padronizada implementada como atributos podem automatizar concessões de acesso com base na classificação e na função de trabalho do usuário. Use grupos do Microsoft Entra com associação de grupo e pacotes de acesso de gerenciamento de direitos do Microsoft Entra com políticas de atribuição dinâmica. Use o gerenciamento de direitos para definir a separação de tarefas para delinear privilégios mínimos. O PIM permite o acesso JIT a grupos de segurança do Microsoft Entra para cenários personalizados em que a associação de grupo representa acesso privilegiado a aplicativos ou recursos CDE. Gerenciar regras de grupos de associação dinâmica Configurar uma política de atribuição automática de um pacote de acesso no gerenciamento de direitos Configurar a separação de tarefas de um pacote de acesso no gerenciamento de direitos PIM para grupos |
| 7.2.2 O acesso é atribuído aos usuários, incluindo usuários privilegiados, com base em: Classificação e função de trabalho. Privilégios mínimos necessários para executar responsabilidades de trabalho. |
Use o Microsoft Entra ID para atribuir usuários a funções em aplicativos diretamente ou por meio da associação de grupo. Organizações com taxonomia padronizada implementada como atributos podem automatizar concessões de acesso com base na classificação e na função de trabalho do usuário. Use grupos do Microsoft Entra com associação de grupo e pacotes de acesso de gerenciamento de direitos do Microsoft Entra com políticas de atribuição dinâmica. Use o gerenciamento de direitos para definir a separação de tarefas para delinear privilégios mínimos. O PIM permite o acesso JIT a grupos de segurança do Microsoft Entra para cenários personalizados em que a associação de grupo representa acesso privilegiado a aplicativos ou recursos CDE. Gerenciar regras de grupos de associação dinâmica Configurar uma política de atribuição automática de um pacote de acesso no gerenciamento de direitos Configurar a separação de tarefas de um pacote de acesso no gerenciamento de direitos PIM para grupos |
| 7.2.3 Os privilégios necessários são aprovados pelo pessoal autorizado. | O gerenciamento de direitos dá suporte a fluxos de trabalho de aprovação para conceder acesso a recursos e revisões periódicas de acesso. Aprovar ou negar solicitações de acesso no gerenciamento de direitos Examinar o acesso de um pacote de acesso no gerenciamento de direitos O PIM dá suporte a fluxos de trabalho de aprovação para ativar funções de diretório do Microsoft Entra e funções do Azure, bem como grupos de nuvem. Aprovar ou negar solicitações de funções Microsoft Entra no PIM Aprovar solicitações de ativação para membros e proprietários do grupo |
| 7.2.4 Todas as contas de usuário e privilégios de acesso relacionados, incluindo contas de terceiros/fornecedores, são revisados da seguinte maneira: Pelo menos uma vez a cada seis meses. Para garantir que as contas de usuário e o acesso permaneçam apropriados com base na função de trabalho. Qualquer acesso inadequado é resolvido. O gerenciamento reconhece que o acesso permanece apropriado. |
Se você conceder acesso a aplicativos usando atribuição direta ou com associação de grupo, configure Microsoft Entra revisões de acesso. Se você conceder acesso a aplicativos usando o gerenciamento de direitos, habilite as revisões de acesso no nível do pacote de acesso. Criar uma revisão de acesso de um pacote de acesso no gerenciamento de direitos Use identidades externas do Microsoft Entra para contas de terceiros e fornecedores. Você pode executar revisões de acesso direcionadas a identidades externas, por exemplo, contas de terceiros ou fornecedores. Gerenciar o acesso do convidado com revisões de acesso |
| 7.2.5 Todas as contas de aplicativo e sistema e privilégios de acesso relacionados são atribuídos e gerenciados da seguinte maneira: Com base nos privilégios mínimos necessários para a operabilidade do sistema ou aplicativo. O acesso é limitado aos sistemas, aplicativos ou processos que exigem especificamente seu uso. |
Use o Microsoft Entra ID para atribuir usuários a funções em aplicativos diretamente ou por meio da associação de grupo. Organizações com taxonomia padronizada implementada como atributos podem automatizar concessões de acesso com base na classificação e na função de trabalho do usuário. Use grupos do Microsoft Entra com associação de grupo e pacotes de acesso de gerenciamento de direitos do Microsoft Entra com políticas de atribuição dinâmica. Use o gerenciamento de direitos para definir a separação de tarefas para delinear privilégios mínimos. O PIM permite o acesso JIT a grupos de segurança do Microsoft Entra para cenários personalizados em que a associação de grupo representa acesso privilegiado a aplicativos ou recursos CDE. Gerenciar regras de grupos de associação dinâmica Configurar uma política de atribuição automática de um pacote de acesso no gerenciamento de direitos Configurar a separação de tarefas de um pacote de acesso no gerenciamento de direitos PIM para grupos |
| 7.2.5.1 Todo o acesso por contas de aplicativo e sistema e privilégios de acesso relacionados são revisados da seguinte maneira: Periodicamente (na frequência definida na análise de risco direcionada da entidade, que é executada de acordo com todos os elementos especificados no Requisito 12.3.1). O acesso do aplicativo/sistema permanece apropriado para a função que está sendo executada. Qualquer acesso inadequado é resolvido. O gerenciamento reconhece que o acesso permanece apropriado. |
Práticas recomendadas ao revisar permissões de contas de serviço. Controle de contas de serviço do Microsoft Entra Controlar contas de serviço no local |
| 7.2.6 Todo o acesso do usuário a repositórios de consulta de dados armazenados do titular do cartão é restrito da seguinte maneira: Por meio de aplicativos ou outros métodos programáticos, com acesso e ações permitidas com base em funções de usuário e privilégios mínimos. Somente os administradores responsáveis podem acessar diretamente ou consultar repositórios de dados armazenados cartão titulares (CHD). |
Os aplicativos modernos permitem métodos programáticos que restringem o acesso a repositórios de dados. Integre aplicativos com Microsoft Entra ID usando protocolos de autenticação modernos, como OAuth e OIDC (OpenID Connect). Protocolos OAuth 2.0 e OIDC no plataforma de identidade da Microsoft Defina funções específicas do aplicativo para modelar o acesso de usuário privilegiado e não privilegiado. Atribuir usuários ou grupos a funções. Adicionar funções de aplicativo ao aplicativo e recebê-las no token Para APIs expostas por seu aplicativo, defina escopos OAuth para habilitar o consentimento do usuário e do administrador. Escopos e permissões no plataforma de identidade da Microsoft Modele o acesso privilegiado e não privilegiado aos repositórios com a abordagem a seguir e evite o acesso direto ao repositório. Se os administradores e operadores exigirem acesso, conceda-o de acordo com a plataforma subjacente. Por exemplo, atribuições de IAM do ARM no Azure, janelas de Listas de Controle de Acesso (ACLs), etc. Confira as diretrizes de arquitetura que incluem a proteção de PaaS (plataforma como serviço) de aplicativo e IaaS (infraestrutura como serviço) no Azure. Centro de Arquitetura do Azure |
7.3 O acesso a componentes e dados do sistema é gerenciado por meio de sistema(s) de controle de acesso.
| Requisitos de abordagem definidos por PCI-DSS | Orientações e recomendações do Microsoft Entra |
|---|---|
| 7.3.1 Um(s) sistema(s) de controle de acesso está em vigor que restringe o acesso com base na necessidade de um usuário conhecer e abrange todos os componentes do sistema. | Integre o acesso a aplicativos no CDE com Microsoft Entra ID como uma autenticação e autorização do sistema de controle de acesso. Políticas de Acesso Condicional, com atribuições de aplicativo, controlam o acesso a aplicativos. O que é Acesso Condicional? Atribuir usuários e grupos a um aplicativo |
| 7.3.2 Os sistemas de controle de acesso são configurados para impor permissões atribuídas a indivíduos, aplicativos e sistemas com base na classificação e na função do trabalho. | Integre o acesso a aplicativos no CDE com Microsoft Entra ID como uma autenticação e autorização do sistema de controle de acesso. Políticas de Acesso Condicional, com atribuições de aplicativo, controlam o acesso a aplicativos. O que é Acesso Condicional? Atribuir usuários e grupos a um aplicativo |
| 7.3.3 O(s) sistema(s) de controle de acesso são definidos como "negar tudo" por padrão. | Use o Acesso Condicional para bloquear o acesso com base em condições de solicitação de acesso, como associação de grupo, aplicativos, local de rede, força de credencial etc. Acesso Condicional: bloquear o acesso A configuração incorreta da política de bloqueio pode contribuir para bloqueios não intencionais. Planejar uma estratégia de acesso de emergência. Gerenciar contas de administrador de acesso de emergência no Microsoft Entra ID |
Próximas etapas
Os requisitos 3, 4, 9 e 12 do PCI DSS não são aplicáveis ao Microsoft Entra ID e, portanto, não há artigos correspondentes. Para ver todos os requisitos, acesse pcisecuritystandards.org: Site oficial do Conselho de Padrões de Segurança do PCI.
Para configurar o Microsoft Entra ID em conformidade com o PCI-DSS, confira os artigos a seguir.
- Diretrizes do PCI-DSS no Microsoft Entra
- Requisito 1: Instalar e Manter Controles de Segurança de Rede
- Requisito 2: Aplicar Configurações Seguras a Todos os Componentes do Sistema
- Requisito 5: Proteger Todos os Sistemas e Redes Contra Softwares Mal-intencionados
- Requisito 6: Desenvolver e Manter Sistemas e Softwares Seguros
- Requisito 7: Restringir o Acesso aos Componentes do Sistema e aos Dados do Titular do Cartão com Base na Necessidade de Conhecimento de Negócios (Você está aqui)
- Requisito 8: Identificar Usuários e Autenticar o Acesso aos Componentes do Sistema
- Requisito 10: Registrar em log e monitorar todo o acesso aos componentes do sistema e aos dados do titular do cartão
- Requisito 11: Testar a segurança de sistemas e redes regularmente
- Diretrizes da Autenticação Multifator do PCI-DSS no Microsoft Entra