ID do Microsoft Entra e Requisito 5 do PCI-DSS
Requisito 5: Proteger todos os sistemas e redes contra software
mal-intencionado Requisitos de abordagem definidos
5.1 Os processos e mecanismos para proteger todos os sistemas e redes de software malicioso são definidos e compreendidos.
| Requisitos de abordagem definidos pelo PCI-DSS | Orientações e recomendações do Microsoft Entra |
|---|---|
| 5.1.1 Todas as políticas de segurança e procedimentos operacionais identificados no Requisito 5 são: Documentado Mantido atualizado Em uso Conhecido por todas as partes afetadas |
Use as orientações e os links aqui contidos para produzir a documentação para atender aos requisitos com base na configuração do seu ambiente. |
| 5.1.2 As funções e responsabilidades para a realização de atividades no Requisito 5 são documentadas, atribuídas e compreendidas. | Use as orientações e os links aqui contidos para produzir a documentação para atender aos requisitos com base na configuração do seu ambiente. |
5.2 O software malicioso (malware) é prevenido ou detetado e abordado.
| Requisitos de abordagem definidos pelo PCI-DSS | Orientações e recomendações do Microsoft Entra |
|---|---|
| 5.2.1 Uma solução antimalware é implantada em todos os componentes do sistema, exceto nos componentes do sistema identificados em avaliações periódicas de acordo com o Requisito 5.2.3 que conclui que os componentes do sistema não estão em risco de malware. | Implante políticas de Acesso Condicional que exijam conformidade do dispositivo. Utilizar políticas de conformidade para definir regras para dispositivos que gere com o Intune Integre o estado de conformidade do dispositivo com soluções antimalware. Impor conformidade para o Microsoft Defender for Endpoint com Acesso Condicional no Intune Integração do Mobile Threat Defense com o Intune |
| 5.2.2 A(s) solução(ões) anti-malware implementada(s): Deteta todos os tipos conhecidos de malware. Retira, bloqueia ou contém todos os tipos conhecidos de malware. |
Não aplicável ao Microsoft Entra ID. |
| 5.2.3 Todos os componentes do sistema que não estão em risco de malware são avaliados periodicamente para incluir o seguinte: Uma lista documentada de todos os componentes do sistema que não correm risco de malware. Identificação e avaliação de ameaças de malware em evolução para esses componentes do sistema. Confirmação se esses componentes do sistema continuam a não exigir proteção antimalware. |
Não aplicável ao Microsoft Entra ID. |
| 5.2.3.1 A frequência das avaliações periódicas dos componentes do sistema identificados como não estando em risco de malware é definida na análise de risco direcionada da entidade, que é realizada de acordo com todos os elementos especificados no Requisito 12.3.1. | Não aplicável ao Microsoft Entra ID. |
5.3 Os mecanismos e processos antimalware são ativos, mantidos e monitorados.
| Requisitos de abordagem definidos pelo PCI-DSS | Orientações e recomendações do Microsoft Entra |
|---|---|
| 5.3.1 A(s) solução(ões) anti-malware é(são) mantida(s) atualizada(s) através de atualizações automáticas. | Não aplicável ao Microsoft Entra ID. |
| 5.3.2 A(s) solução(ões) antimalware: Executa verificações periódicas e verificações ativas ou em tempo real. OR Realiza análise comportamental contínua de sistemas ou processos. |
Não aplicável ao Microsoft Entra ID. |
| 5.3.2.1 Se forem realizadas verificações periódicas de malware para cumprir o Requisito 5.3.2, a frequência das verificações é definida na análise de risco direcionada da entidade, que é realizada de acordo com todos os elementos especificados no Requisito 12.3.1. | Não aplicável ao Microsoft Entra ID. |
| 5.3.3 Para mídia eletrônica removível, a(s) solução(ões) antimalware: Executa verificações automáticas de quando a mídia é inserida, conectada ou montada logicamente, OU Executa análise comportamental contínua de sistemas ou processos quando a mídia é inserida, conectada ou montada logicamente. |
Não aplicável ao Microsoft Entra ID. |
| 5.3.4 Os logs de auditoria da(s) solução(ões) antimalware são ativados e mantidos de acordo com o Requisito 10.5.1. | Não aplicável ao Microsoft Entra ID. |
| 5.3.5 Os mecanismos antimalware não podem ser desativados ou alterados pelos usuários, a menos que especificamente documentados e autorizados pela gerência caso a caso por um período de tempo limitado. | Não aplicável ao Microsoft Entra ID. |
5.4 Os mecanismos antiphishing protegem os utilizadores contra ataques de phishing.
| Requisitos de abordagem definidos pelo PCI-DSS | Orientações e recomendações do Microsoft Entra |
|---|---|
| 5.4.1 Existem processos e mecanismos automatizados para detetar e proteger o pessoal contra ataques de phishing. | Configure o Microsoft Entra ID para usar credenciais resistentes a phishing. Considerações de implementação para MFA resistente a phishing Use controles no Acesso Condicional para exigir autenticação com credenciais resistentes a phishing. Força da autenticação de acesso condicional As diretrizes aqui contidas estão relacionadas à configuração de gerenciamento de identidade e acesso. Para mitigar ataques de phishing, implante recursos de carga de trabalho, como no Microsoft 365. Proteção antiphishing no Microsoft 365 |
Próximos passos
Os requisitos 3, 4, 9 e 12 do PCI-DSS não são aplicáveis ao Microsoft Entra ID, portanto, não há artigos correspondentes. Para ver todos os requisitos, acesse pcisecuritystandards.org: Site Oficial do PCI Security Standards Council.
Para configurar o Microsoft Entra ID para estar em conformidade com PCI-DSS, consulte os seguintes artigos.
- Orientação do Microsoft Entra PCI-DSS
- Requisito 1: Instalar e manter controles de segurança de rede
- Requisito 2: Aplicar configurações seguras a todos os componentes do sistema
- Requisito 5: Proteger todos os sistemas e redes contra software mal-intencionado (Você está aqui)
- Requisito 6: Desenvolver e manter sistemas e software seguros
- Requisito 7: Restringir o acesso aos componentes do sistema e aos dados do titular do cartão por necessidade de conhecimento da empresa
- Requisito 8: Identificar usuários e autenticar o acesso aos componentes do sistema
- Requisito 10: Registar e monitorizar todo o acesso aos componentes do sistema e aos dados do titular do cartão
- Requisito 11: Testar regularmente a segurança dos sistemas e redes
- Orientação de autenticação multifator PCI-DSS do Microsoft Entra