Guía de autenticación multifactor de PCI DSS de Microsoft Entra
Suplemento informativo: Multi-Factor Authentication v 1.0
Use la siguiente tabla de métodos de autenticación que admite Microsoft Entra ID para cumplir los requisitos del Suplemento informativo del Consejo sobre Normas de Seguridad de la PCI, Multi-Factor Authentication v 1.0.
| Método | Para cumplir los requisitos | Protección | Elemento de MFA |
|---|---|---|---|
| Inicio de sesión por teléfono sin contraseña con Microsoft Authenticator | Algo que tenga (dispositivo con una clave), algo que sepa o sea (PIN o elemento biométrico) En iOS, Authenticator Secure Element (SE) almacena la clave en una cadena de claves. Seguridad de la plataforma Apple, protección de datos de llaves En Android, Authenticator usa motor de ejecución de confianza (TEE) almacenando la clave en almacén de claves. Desarrolladores, el sistema Android Keystore Cuando los usuarios se autentican mediante Microsoft Authenticator, el identificador de Microsoft Entra genera un número aleatorio que el usuario escribe en la aplicación. Esta acción cumple el requisito de autenticación fuera de banda. |
Los clientes configuran directivas de protección de dispositivos para mitigar el riesgo de vulnerabilidad de los dispositivos. Por ejemplo, las directivas de cumplimiento de Microsoft Intune. | Los usuarios desbloquean la clave realizando un gesto y, a continuación, Microsoft Entra ID valida el método de autenticación. |
| Información general de requisito previo de implementación de Windows Hello para empresas | Algo que tiene (dispositivo Windows con una clave), y algo que sabe o es (PIN o elemento biométrico). Las claves se almacenan con el módulo de plataforma segura (TPM) del dispositivo. Los clientes usan dispositivos con hardware TPM 2.0 o versiones posteriores para cumplir los requisitos de independencia del método de autenticación y fuera de banda. Niveles de autenticación certificados |
Configurar directivas de protección de dispositivos para mitigar el riesgo de vulnerabilidad de los dispositivos. Por ejemplo, las directivas de cumplimiento de Microsoft Intune. | Los usuarios desbloquean la clave con un gesto de inicio de sesión en dispositivos Windows. |
| Habilitar el inicio de sesión con clave de seguridad sin contraseña, habilitar el método de clave de seguridad FIDO2 | Algo que tenga (clave de seguridad FIDO2) y algo que sepa o sea (PIN o elemento biométrico). Las claves se almacenan con características criptográficas de hardware. Los clientes usan claves FIDO2, al menos de nivel de certificación de autenticación 2 (L2) para cumplir el requisito de independencia del método de autenticación y fuera de banda. |
Adquiera hardware con protección contra alteraciones y riesgos. | Los usuarios desbloquean la clave realizando un gesto y, a continuación, Microsoft Entra ID valida la credencial. |
| Introducción a la autenticación basada en certificados de Microsoft Entra | Algo que tiene (tarjeta inteligente) y algo que conoce (PIN). Las tarjetas inteligentes físicas o virtuales almacenadas en TPM 2.0 o versiones posteriores son un elemento seguro (SE). Esta acción cumple el requisito de independencia del método de autenticación y fuera de banda. |
Adquiera tarjetas inteligentes con protección contra alteraciones y riesgos. | Los usuarios desbloquean la clave privada del certificado con un gesto o el PIN y, a continuación, Microsoft Entra ID valida la credencial. |
Pasos siguientes
Los requisitos 3, 4, 9 y 12 de PCI-DSS no son aplicables a Microsoft Entra ID, por lo que no hay artículos correspondientes. Para ver todos los requisitos, visite pcisecuritystandards.org: Sitio oficial del Consejo sobre el Estándar de Seguridad de Datos para la PCI.
Para configurar Microsoft Entra ID de modo que cumpla con PCI-DSS, consulte los siguientes artículos.
- Guía de Microsoft Entra PCI-DSS
- Requisito 1: instalar y mantener controles de seguridad de red
- Requisito 2: aplicar configuraciones seguras a todos los componentes del sistema
- Requisito 5: proteger todos los sistemas y redes de software malintencionado
- Requisito 6: desarrollar y mantener sistemas y programas informáticos seguros
- Requisito 7: restringir el acceso a los componentes del sistema y a los datos de titulares de tarjetas por necesidad empresarial
- Requisito 8: identificar a los usuarios y autenticar el acceso a los componentes del sistema
- Requisito 10: Registrar y supervisar todo el acceso a componentes del sistema y datos de titulares de tarjetas
- Requisito 11: Probar periódicamente la seguridad de sistemas y redes
- Guía de autenticación multifactor de PCI DSS de Microsoft Entra (está aquí)