Compartir vía


id. de Microsoft Entra y requisito 11 de PCI-DSS

Requisito 11: Probar periódicamente la seguridad de sistemas y redes
Requisitos de enfoque definidos

11.1 Se definen y entienden los procesos y mecanismos para probar periódicamente la seguridad de los sistemas y las redes.

Requisitos de enfoque definidos por PCI-DSS Instrucciones y recomendaciones de Microsoft Entra
11.1.1 Todas las directivas de seguridad y procedimientos operativos identificados en el requisito 11 son:
documentados
se mantienen actualizados
en uso
conocidos por todas las partes afectadas
Use la guía y los enlaces que se indican a continuación para elaborar la documentación que cumpla los requisitos en función de la configuración de su entorno.
11.1.2 Las funciones y responsabilidades para llevar a cabo las actividades del requisito 11 están documentadas, asignadas y comprendidas. Use la guía y los enlaces que se indican a continuación para elaborar la documentación que cumpla los requisitos en función de la configuración de su entorno.

11.2 Los puntos de acceso inalámbrico se identifican y supervisan, y se abordan los puntos de acceso inalámbrico no autorizados.

Requisitos de enfoque definidos por PCI-DSS Instrucciones y recomendaciones de Microsoft Entra
11.2.1 Los puntos de acceso inalámbrico autorizados y no autorizados se administran de la siguiente manera:
la presencia de puntos de acceso inalámbricos (Wi-Fi) se prueba para.
Todos los puntos de acceso inalámbrico autorizados y no autorizados se detectan e identifican.
Las pruebas, la detección y la identificación se producen al menos una vez cada tres meses.
Si se usa la supervisión automatizada, se notificará al personal a través de alertas generadas.
Si tu organización integra puntos de acceso de red con Microsoft Entra ID para la autenticación, consulta Requisito 1: instalar y mantener controles de seguridad de red
11.2.2 Se mantiene un inventario de los puntos de acceso inalámbrico autorizados, incluyendo una justificación comercial documentada. No es aplicable a Microsoft Entra ID.

11.3 Las vulnerabilidades externas e internas se identifican, priorizan y abordan periódicamente.

Requisitos de enfoque definidos por PCI-DSS Instrucciones y recomendaciones de Microsoft Entra
11.3.1 Los exámenes de vulnerabilidad internos se realizan de la siguiente manera:
al menos una vez cada tres meses.
Se resuelven las vulnerabilidades críticas y de alto riesgo (según las clasificaciones de riesgo de vulnerabilidades de la entidad definidas en el requisito 6.3.1).
Se vuelven a realizar exámenes que confirman que se han resuelto todas las vulnerabilidades críticas y de alto riesgo (como se indica).
La herramienta de examen se mantiene actualizada con la información de vulnerabilidades más reciente.
Los exámenes se realizan por personal calificado y la independencia organizativa del evaluador existe.
Incluya servidores que admitan funcionalidades híbridas de Azure AD. Por ejemplo, Microsoft Entra Connect, conectores de proxy de aplicaciones, etc., como parte de los exámenes de vulnerabilidades internos.
Organizaciones que usan la autenticación federada: revise y solucione las vulnerabilidades de la infraestructura del sistema de federación. ¿Qué es la federación con el identificador de Microsoft Entra?
Revise y mitigue las detecciones de riesgo notificadas por Protección de id. de Microsoft Entra. Integre las señales con una solución SIEM para integrar más con flujos de trabajo de corrección o automatización. Tipos de riesgo y detección
Ejecute la herramienta de evaluación de Microsoft Entra periódicamente y solucione los resultados. AzureADAssessment
Operaciones de seguridad para la infraestructura
Integración de los registros de Microsoft Entra con los registros de Azure Monitor
11.3.1.1 Todas las demás vulnerabilidades aplicables (aquellas que no se clasifican como de alto riesgo o críticas según las clasificaciones de riesgo de vulnerabilidades definidas en el requisito 6.3.1) se administran de la siguiente manera:
se abordan en función del riesgo definido en el análisis de riesgos dirigido de la entidad, que se realiza según todos los elementos especificados en el requisito 12.3.1.
Los exámenes realizados de nuevo se realizan según sea necesario.
Incluya servidores que admitan funcionalidades híbridas de Azure AD. Por ejemplo, Microsoft Entra Connect, conectores de proxy de aplicaciones, etc., como parte de los exámenes de vulnerabilidades internos.
Organizaciones que usan la autenticación federada: revise y solucione las vulnerabilidades de la infraestructura del sistema de federación. ¿Qué es la federación con el identificador de Microsoft Entra?
Revise y mitigue las detecciones de riesgo notificadas por Protección de id. de Microsoft Entra. Integre las señales con una solución SIEM para integrar más con flujos de trabajo de corrección o automatización. Tipos de riesgo y detección
Ejecute la herramienta de evaluación de Microsoft Entra periódicamente y solucione los resultados. AzureAD/AzureADAssessment
Operaciones de seguridad para la infraestructura
Integración de los registros de Microsoft Entra con los registros de Azure Monitor
11.3.1.2 Los exámenes de vulnerabilidades internos se realizan a través del examen autenticado de la siguiente manera:
los sistemas que no pueden aceptar credenciales para el examen autenticado se documentan.
Se usan privilegios suficientes para aquellos sistemas que aceptan credenciales para el examen.
Si las cuentas usadas para el examen autenticado se pueden usar para el inicio de sesión interactivo, se administrarán de acuerdo con el requisito 8.2.2.
Incluya servidores que admitan funcionalidades híbridas de Azure AD. Por ejemplo, Microsoft Entra Connect, conectores de proxy de aplicaciones, etc., como parte de los exámenes de vulnerabilidades internos.
Organizaciones que usan la autenticación federada: revise y solucione las vulnerabilidades de la infraestructura del sistema de federación. ¿Qué es la federación con el identificador de Microsoft Entra?
Revise y mitigue las detecciones de riesgo notificadas por Protección de id. de Microsoft Entra. Integre las señales con una solución SIEM para integrar más con flujos de trabajo de corrección o automatización. Tipos de riesgo y detección
Ejecute la herramienta de evaluación de Microsoft Entra periódicamente y solucione los resultados. AzureADAssessment
Operaciones de seguridad para la infraestructura
Integración de los registros de Microsoft Entra con los registros de Azure Monitor
11.3.1.3 Los exámenes de vulnerabilidades internos se realizan después de cualquier cambio significativo, tal y como se indica a continuación:
se resuelven las vulnerabilidades críticas y de alto riesgo (según las clasificaciones de riesgo de vulnerabilidades definidas en el requisito 6.3.1).
Los exámenes realizados de nuevo se realizan según sea necesario.
El personal calificado y la independencia organizativa del evaluador realizan exámenes (no es necesario ser evaluador de seguridad calificado (QSA) o proveedor de análisis aprobado (ASV)).
Incluya servidores que admitan funcionalidades híbridas de Azure AD. Por ejemplo, Microsoft Entra Connect, conectores de proxy de aplicaciones, etc., como parte de los exámenes de vulnerabilidades internos.
Organizaciones que usan la autenticación federada: revise y solucione las vulnerabilidades de la infraestructura del sistema de federación. ¿Qué es la federación con el identificador de Microsoft Entra?
Revise y mitigue las detecciones de riesgo notificadas por Protección de id. de Microsoft Entra. Integre las señales con una solución SIEM para integrar más con flujos de trabajo de corrección o automatización. Tipos de riesgo y detección
Ejecute la herramienta de evaluación de Microsoft Entra periódicamente y solucione los resultados. AzureADAssessment
Operaciones de seguridad para la infraestructura
Integración de los registros de Microsoft Entra con los registros de Azure Monitor
11.3.2 Los exámenes de vulnerabilidades internos se realizan de la siguiente manera:
al menos una vez cada tres meses.
Por un PCI SSC ASV.
Las vulnerabilidades se resuelven y se cumplen los requisitos de la guía del programa de ASV para un examen de paso.
Los exámenes se vuelven a realizar según sea necesario para confirmar que las vulnerabilidades se resuelvan según los requisitos de la guía del programa ASV para un examen de paso.
No es aplicable a Microsoft Entra ID.
11.3.2.1 Los exámenes de vulnerabilidades externos se realizarán después de cualquier cambio significativo, tal y como se indica a continuación:
se resuelven las vulnerabilidades con una puntuación de 4.0 o superior por el CVSS.
Los exámenes realizados de nuevo se realizan según sea necesario.
Los exámenes se realizan por personal calificado y existe independencia organizativa del evaluador (no se requiere que sea un QSA o ASV).
No es aplicable a Microsoft Entra ID.

11.4 Las pruebas de penetración externas e internas se realizan periódicamente, y se corrigen las vulnerabilidades y los puntos débiles de seguridad que se pudieran aprovechar.

Requisitos de enfoque definidos por PCI-DSS Instrucciones y recomendaciones de Microsoft Entra
11.4.1 Una metodología de pruebas de penetración se define, documenta e implementa por la entidad, e incluye:
enfoques de pruebas de penetración aceptados por el sector.
Cobertura de todo el perímetro del entorno de datos de titulares de tarjetas (CDE) y sistemas críticos.
Pruebas del interior y exterior de la red.
Pruebas para validar cualquier control de segmentación y reducción del ámbito.
Pruebas de penetración de nivel de aplicación para identificar, como mínimo, las vulnerabilidades descritas en el Requisito 6.2.4.
Pruebas de penetración de la capa de red que abarquen todos los componentes que admitan las funciones de red y los sistemas operativos.
Revisión y consideración de las amenazas y vulnerabilidades que se han producido en los últimos 12 meses.
Enfoque documentado para evaluar y abordar el riesgo que suponen las vulnerabilidades explotables y las debilidades de seguridad detectados durante las pruebas de penetración.
Retención de los resultados de las pruebas de penetración y las actividades de corrección por al menos 12 meses.
Reglas de involucración de las pruebas de penetración en Microsoft Cloud
11.4.2 Se realizan pruebas de penetración internas:
según la metodología definida por la entidad.
Al menos una vez cada 12 meses.
Después de cualquier actualización o cambio significativos de la infraestructura o la aplicación.
Por un recurso interno calificado o un tercero externo calificado.
Existe la independencia organizativa del evaluador (no es necesario que sea un QSA o ASV).
Reglas de involucración de las pruebas de penetración en Microsoft Cloud
11.4.3 Se realizan pruebas de penetración externas:
según la metodología definida por la entidad.
Al menos una vez cada 12 meses.
Después de cualquier actualización o cambio significativos de la infraestructura o la aplicación.
Por un recurso interno calificado o un tercero externo calificado.
Existe la independencia organizativa del evaluador (no es necesario que sea un QSA o ASV).
Reglas de involucración de las pruebas de penetración en Microsoft Cloud
11.4.4 Las vulnerabilidades explotables y los puntos débiles de seguridad detectados durante las pruebas de penetración se corregirán de la siguiente manera:
de acuerdo con la evaluación del riesgo que plantee la entidad en el problema de seguridad, tal y como se define en el requisito 6.3.1.
Las pruebas de penetración se repiten para comprobar las correcciones.
Reglas de involucración de las pruebas de penetración en Microsoft Cloud
11.4.5 Si la segmentación se usase para aislar el CDE de otras redes, las pruebas de penetración se realizarán en los controles de segmentación de la siguiente manera:
al menos una vez cada 12 meses y después de cualquier cambio en los controles o métodos de segmentación.
Cubrir todos los controles o métodos de segmentación en uso.
Según la metodología de pruebas de penetración definida por la entidad.
Confirmando que los controles o métodos de segmentación sean operativos y eficaces, y que aíslen el CDE de todos los sistemas de fuera del ámbito.
Confirmar la eficacia de cualquier uso de aislamiento para separar sistemas con niveles de seguridad diferentes (consulte el requisito 2.2.3).
Se realiza por un recurso interno calificado o un tercero externo calificado.
Existe la independencia organizativa del evaluador (no es necesario que sea un QSA o ASV).
No es aplicable a Microsoft Entra ID.
11.4.6 Requisito adicional solo para proveedores de servicios: si la segmentación se usase para aislar el CDE de otras redes, las pruebas de penetración se realizarán en los controles de segmentación de la siguiente manera:
al menos una vez cada 12 meses y después de cualquier cambio en los controles o métodos de segmentación.
Cubrir todos los controles o métodos de segmentación en uso.
Según la metodología de pruebas de penetración definida por la entidad.
Confirmando que los controles o métodos de segmentación sean operativos y eficaces, y que aíslen el CDE de todos los sistemas de fuera del ámbito.
Confirmar la eficacia de cualquier uso de aislamiento para separar sistemas con niveles de seguridad diferentes (consulte el requisito 2.2.3).
Se realiza por un recurso interno calificado o un tercero externo calificado.
Existe la independencia organizativa del evaluador (no es necesario que sea un QSA o ASV).
No es aplicable a Microsoft Entra ID.
11.4.7 Requisito adicional solo para proveedores de servicios multiinquilino: los proveedores de servicios multiinquilino admiten a sus clientes para pruebas de penetración externas por los requisitos 11.4.3 y 11.4.4. Reglas de involucración de las pruebas de penetración en Microsoft Cloud

11.5 Las intrusiones de red y los cambios inesperados en los archivos se detectan y responden.

Requisitos de enfoque definidos por PCI-DSS Instrucciones y recomendaciones de Microsoft Entra
11.5.1 Las técnicas de detección e intrusión y/o prevención e intrusión se usan para detectar y/o evitar intrusiones en la red de la siguiente manera:
todo el tráfico se supervisa en el perímetro del CDE.
Todo el tráfico se supervisa en puntos críticos del CDE.
El personal está alertado de posibles riesgos.
Se mantienen al día los motores, las líneas base y las firmas de detección y prevención de intrusiones.
No es aplicable a Microsoft Entra ID.
11.5.1.1 Requisito adicional solo para los proveedores de servicios: técnicas de intrusión/detección y/o prevención/intrusión detectan, alertan e impiden, además de abordar canales de comunicación de malware encubierto. No es aplicable a Microsoft Entra ID.
11.5.2 Un mecanismo de detección de cambios (por ejemplo, herramientas de supervisión de integridad de archivos) se implementa de la siguiente manera:
para alertar al personal a modificaciones no autorizadas (incluidos los cambios, adiciones y eliminaciones) de archivos críticos.
Para realizar comparaciones críticas de archivos al menos una vez semanalmente.
No es aplicable a Microsoft Entra ID.

11.6 Se detectan los cambios no autorizados en las páginas de pago y se responde a ellos.

Requisitos de enfoque definidos por PCI-DSS Instrucciones y recomendaciones de Microsoft Entra
11.6.1 Un mecanismo de detección de cambios y alteraciones se implementa de la siguiente manera:
para alertar al personal de modificaciones no autorizadas (incluidos los indicadores de peligro, cambios, adiciones y eliminaciones) de los encabezados HTTP y del contenido de las páginas de pago que reciba el explorador del consumidor.
El mecanismo se configura para evaluar el encabezado HTTP recibido y la página de pago.
Las funciones del mecanismo se realizan de la siguiente manera: al menos una vez cada siete días
O
periódicamente, con la frecuencia definida en el análisis de riesgos de destino de la entidad, que se realiza según todos los elementos
No es aplicable a Microsoft Entra ID.

Pasos siguientes

Los requisitos 3, 4, 9 y 12 de PCI-DSS no son aplicables a Microsoft Entra ID, por lo que no hay artículos correspondientes. Para ver todos los requisitos, visite pcisecuritystandards.org: Sitio oficial del Consejo sobre el Estándar de Seguridad de Datos para la PCI.

Para configurar Microsoft Entra ID de modo que cumpla con PCI-DSS, consulte los siguientes artículos.