Microsoft Entra ID e PCI-DSS Requirement 5
Requisito 5: Proteger Todos os Sistemas e Redes Contra Softwares Mal-intencionados
Requisitos de abordagem definidos
5.1 Os processos e os mecanismos usados para proteger todos os sistemas e todas as redes contra programas de software mal-intencionados foram definidos e compreendidos.
| Requisitos de abordagem definidos pelo PCI-DSS | Orientações e recomendações do Microsoft Entra |
|---|---|
| 5.1.1 Todas as políticas de segurança e procedimentos operacionais identificados no Requisito 5 são: Documentados Mantidos atualizados Em uso Conhecidos por todas as partes afetadas |
Use as diretrizes e os links aqui contidos para produzir a documentação para atender aos requisitos com base na configuração do seu ambiente. |
| 5.1.2 As funções e responsabilidades para a execução das atividades do Requisito 5 são documentadas, atribuídas e compreendidas. | Use as diretrizes e os links aqui contidos para produzir a documentação para atender aos requisitos com base na configuração do seu ambiente. |
5.2 Os programas de software mal-intencionados (malware) são prevenidos ou detectados e resolvidos.
| Requisitos de abordagem definidos pelo PCI-DSS | Orientações e recomendações do Microsoft Entra |
|---|---|
| 5.2.1 Uma solução antimalware é implantada em todos os componentes do sistema, exceto nos componentes do sistema identificados em avaliações periódicas pelo Requisito 5.2.3, que conclui que os componentes do sistema não correm riscos relacionados a malware. | Implante políticas de Acesso Condicional que exijam conformidade do dispositivo. Usar políticas de conformidade para definir regras para dispositivos que você gerencia com o Intune Integrar o estado de conformidade do dispositivo com soluções antimalware. Aplicar a conformidade do Microsoft Defender para Ponto de Extremidade com Acesso Condicional no Intune Integração do Mobile Threat Defense com o Intune |
| 5.2.2 As soluções antimalware implantadas: Detectam todos os tipos conhecidos de malware. Removem, bloqueiam ou contêm todos os tipos conhecidos de malware. |
Não aplicável ao Microsoft Entra ID. |
| 5.2.3 Todos os componentes do sistema que não correm riscos relacionados a malware são avaliados periodicamente para incluir o seguinte: Uma lista documentada de todos os componentes do sistema que não correm riscos relacionados a malware. Identificação e avaliação de ameaças de malware em evolução para esses componentes do sistema. Confirmação se esses componentes do sistema continuam não exigindo proteção antimalware. |
Não aplicável ao Microsoft Entra ID. |
| 5.2.3.1 A frequência das avaliações periódicas dos componentes do sistema identificados como sem riscos relacionados a malware é definida na análise de risco direcionada da entidade, que é realizada de acordo com todos os elementos especificados no Requisito 12.3.1. | Não aplicável ao Microsoft Entra ID. |
5.3 Os mecanismos e os processos antimalware estão ativos e são mantidos e monitorados.
| Requisitos de abordagem definidos pelo PCI-DSS | Orientações e recomendações do Microsoft Entra |
|---|---|
| 5.3.1 As soluções antimalware são mantidas atualizadas por meio de atualizações automáticas. | Não aplicável ao Microsoft Entra ID. |
| 5.3.2 As soluções antimalware: Executam verificações periódicas e verificações ativas ou em tempo real. OU Executam a análise comportamental contínua de sistemas ou processos. |
Não aplicável ao Microsoft Entra ID. |
| 5.3.2.1 Se verificações periódicas de malware forem executadas para atender ao Requisito 5.3.2, a frequência das verificações será definida na análise de risco direcionada da entidade, que é executada de acordo com todos os elementos especificados no Requisito 12.3.1. | Não aplicável ao Microsoft Entra ID. |
| 5.3.3 Para mídias eletrônicas removíveis, as soluções antimalware: Executam verificações automáticas quando a mídia é inserida, conectada ou montada logicamente, OU Executam análise comportamental contínua de sistemas ou processos quando a mídia é inserida, conectada ou montada logicamente. |
Não aplicável ao Microsoft Entra ID. |
| 5.3.4 Os logs de auditoria para as soluções antimalware são habilitados e mantidos de acordo com o Requisito 10.5.1. | Não aplicável ao Microsoft Entra ID. |
| 5.3.5 Os mecanismos antimalware não podem ser desabilitados ou alterados por usuários, a menos que especificamente documentado e autorizado pela administração, em caráter individual e por período limitado. | Não aplicável ao Microsoft Entra ID. |
5.4 Os mecanismos anti-phishing protegem os usuários contra ataques de phishing.
| Requisitos de abordagem definidos pelo PCI-DSS | Orientações e recomendações do Microsoft Entra |
|---|---|
| 5.4.1 Existem processos e mecanismos automatizados implementados para detectar e proteger a equipe contra ataques de phishing. | Configure o Microsoft Entra ID para usar credenciais resistentes a phishing. Considerações para implementação de MFA resistente a phishing Use controles no Acesso Condicional para exigir autenticação com credenciais resistentes a phishing. Força de autenticação de Acesso Condicional As diretrizes aqui contidas estão relacionadas à configuração do gerenciamento de identidade e acesso. Para atenuar ataques de phishing, implante recursos de carga de trabalho, como no Microsoft 365. Proteção anti-phishing no Microsoft 365 |
Próximas etapas
Os requisitos 3, 4, 9 e 12 do PCI DSS não são aplicáveis ao Microsoft Entra ID e, portanto, não há artigos correspondentes. Para ver todos os requisitos, acesse pcisecuritystandards.org: Site oficial do Conselho de Padrões de Segurança do PCI.
Para configurar o Microsoft Entra ID em conformidade com o PCI-DSS, confira os artigos a seguir.
- Diretrizes do PCI-DSS no Microsoft Entra
- Requisito 1: Instalar e Manter Controles de Segurança de Rede
- Requisito 2: Aplicar Configurações Seguras a Todos os Componentes do Sistema
- Requisito 5: Proteger Todos os Sistemas e Redes Contra Softwares Mal-intencionados (Você está aqui)
- Requisito 6: Desenvolver e Manter Sistemas e Softwares Seguros
- Requisito 7: Restringir o Acesso aos Componentes do Sistema e aos Dados do Titular do Cartão com Base na Necessidade de Conhecimento de Negócios
- Requisito 8: Identificar Usuários e Autenticar o Acesso aos Componentes do Sistema
- Requisito 10: Registrar em log e monitorar todo o acesso aos componentes do sistema e aos dados do titular do cartão
- Requisito 11: Testar a segurança de sistemas e redes regularmente
- Diretrizes da Autenticação Multifator do PCI-DSS no Microsoft Entra