Requisito 5 di Microsoft Entra ID e PCI-DSS
Requisito 5: Proteggere tutti i sistemi e le reti dai requisiti di approccio software definito da software
dannoso
5.1 I processi e i meccanismi per proteggere tutti i sistemi e le reti da software dannoso sono definiti e riconosciuti.
Requisiti di approccio definiti dallo standard PCI-DSS | Indicazioni e consigli per Microsoft Entra |
---|---|
5.1.1 Tutti i criteri di sicurezza e le procedure operative identificate nel requisito 5 sono: Documentati mantenuti aggiornati In uso noti a tutte le parti interessate |
Usare le indicazioni e i collegamenti qui riportati per produrre la documentazione per soddisfare i requisiti in base alla configurazione dell'ambiente. |
5.1.2 Ruoli e responsabilità per l'esecuzione di attività nel requisito 5 sono documentati, assegnati e riconosciuti. | Usare le indicazioni e i collegamenti qui riportati per produrre la documentazione per soddisfare i requisiti in base alla configurazione dell'ambiente. |
5.2 Il software dannoso (malware) viene impedito o rilevato e risolto.
Requisiti di approccio definiti dallo standard PCI-DSS | Indicazioni e consigli per Microsoft Entra |
---|---|
5.2.1 Una o più soluzioni antimalware vengono distribuite in tutti i componenti di sistema, ad eccezione dei componenti di sistema identificati nelle valutazioni periodiche per requisito 5.2.3 che conclude che i componenti di sistema non sono a rischio di malware. | Distribuire criteri di accesso condizionale che richiedono la conformità dei dispositivi. Usare i criteri di conformità per impostare le regole per i dispositivi gestiti con Intune Integrare lo stato di conformità dei dispositivi con soluzioni antimalware. Applicare la conformità per Microsoft Defender per endpoint con l'accesso condizionale nell'integrazione di Intune Mobile Threat Defense con Intune |
5.2.2 La soluzione antimalware distribuita: rileva tutti i tipi noti di malware. Rimuove, blocca o contiene tutti i tipi noti di malware. |
Non applicabile a Microsoft Entra ID. |
5.2.3 Tutti i componenti di sistema che non sono a rischio di malware vengono valutati periodicamente per includere quanto segue: un elenco documentato di tutti i componenti di sistema non a rischio di malware. Identificazione e valutazione delle minacce malware in continua evoluzione per tali componenti di sistema. Confermare se tali componenti di sistema continuano a non richiedere la protezione antimalware. |
Non applicabile a Microsoft Entra ID. |
5.2.3.1 La frequenza delle valutazioni periodiche dei componenti di sistema identificati come non a rischio per il malware viene definita nell'analisi dei rischi mirata dell'entità, eseguita in base a tutti gli elementi specificati nel requisito 12.3.1. | Non applicabile a Microsoft Entra ID. |
5.3 I meccanismi e i processi antimalware sono attivi, gestiti e monitorati.
Requisiti di approccio definiti dallo standard PCI-DSS | Indicazioni e consigli per Microsoft Entra |
---|---|
5.3.1 Le soluzioni antimalware vengono mantenute aggiornate tramite aggiornamenti automatici. | Non applicabile a Microsoft Entra ID. |
5.3.2 Le soluzioni antimalware: esegue analisi periodiche e analisi attive o in tempo reale. OR esegue l'analisi comportamentale continua dei sistemi o dei processi. |
Non applicabile a Microsoft Entra ID. |
5.3.2.1 Se vengono eseguite analisi periodiche di malware per soddisfare il requisito 5.3.2, la frequenza delle analisi viene definita nell'analisi dei rischi mirata dell'entità, eseguita in base a tutti gli elementi specificati nel requisito 12.3.1. | Non applicabile a Microsoft Entra ID. |
5.3.3 Per supporti elettronici rimovibili, le soluzioni antimalware: esegue analisi automatiche di quando il supporto viene inserito, connesso o montato logicamente, OR esegue l'analisi comportamentale continua dei sistemi o dei processi quando il supporto viene inserito, connesso o montato logicamente. |
Non applicabile a Microsoft Entra ID. |
5.3.4 I log di controllo per le soluzioni antimalware sono abilitati e conservati in base al requisito 10.5.1. | Non applicabile a Microsoft Entra ID. |
5.3.5 I meccanismi antimalware non possono essere disabilitati o modificati dagli utenti, a meno che non siano documentati specificamente e autorizzati dalla gestione per caso per un periodo di tempo limitato. | Non applicabile a Microsoft Entra ID. |
5.4 Meccanismi anti-phishing proteggono gli utenti dagli attacchi di phishing.
Requisiti di approccio definiti dallo standard PCI-DSS | Indicazioni e consigli per Microsoft Entra |
---|---|
5.4.1 I processi e i meccanismi automatizzati sono disponibili per rilevare e proteggere il personale dagli attacchi di phishing. | Configurare l'ID Microsoft Entra per l'uso di credenziali resistenti al phishing. Considerazioni sull'implementazione per i controlli MFA resistenti al phishing nell'accesso condizionale per richiedere l'autenticazione con credenziali resistenti al phishing. Il materiale sussidiario per l'autenticazione con l'accesso condizionale è correlato alla configurazione della gestione delle identità e degli accessi. Per attenuare gli attacchi di phishing, distribuire funzionalità del carico di lavoro, ad esempio in Microsoft 365. Protezione anti-phishing in Microsoft 365 |
Passaggi successivi
I requisiti PCI-DSS 3, 4, 9 e 12 non sono applicabili a Microsoft Entra ID, pertanto non esistono articoli corrispondenti. Per visualizzare tutti i requisiti, passare a pcisecuritystandards.org: Sito ufficiale del Consiglio per gli standard di sicurezza PCI.
Per configurare Microsoft Entra ID in modo che sia conforme a PCI-DSS, vedere gli articoli seguenti.
- Linee guida per Microsoft Entra PCI-DSS
- Requisito 1: Installare e mantenere i controlli di sicurezza di rete
- Requisito 2: applicare configurazioni sicure a tutti i componenti di sistema
- Requisito 5: Proteggere tutti i sistemi e le reti da software dannoso (qui)
- Requisito 6: sviluppare e gestire sistemi e software sicuri
- Requisito 7: limitare l'accesso ai componenti di sistema e ai dati dei titolari da parte del personale per motivi professionali
- Requisito 8: Identificare gli utenti e autenticare l'accesso ai componenti di sistema
- Requisito 10: Registrare e monitorare tutti gli accessi ai componenti di sistema e ai dati di titolari di carte
- Requisito 11: Testare regolarmente la sicurezza dei sistemi e delle reti
- Materiale sussdiario per Microsoft Entra PCI-DSS Multi-Factor Authentication