Partilhar via


ID do Microsoft Entra e Requisito 6 do PCI-DSS

Requisito 6: Desenvolver e manter sistemas seguros e requisitos de abordagem definidos por software

6.1 São definidos e compreendidos processos e mecanismos de desenvolvimento e manutenção de sistemas e software seguros.

Requisitos de abordagem definidos pelo PCI-DSS Orientações e recomendações do Microsoft Entra
6.1.1 Todas as políticas de segurança e procedimentos operacionais identificados no Requisito 6 são:
Documentado
Mantido atualizado
Em uso
Conhecido por todas as partes afetadas
Use as orientações e os links aqui contidos para produzir a documentação para atender aos requisitos com base na configuração do seu ambiente.
6.1.2 As funções e responsabilidades para a realização de atividades no Requisito 6 são documentadas, atribuídas e compreendidas. Use as orientações e os links aqui contidos para produzir a documentação para atender aos requisitos com base na configuração do seu ambiente.

6.2 Software personalizado e personalizado é desenvolvido de forma segura.

Requisitos de abordagem definidos pelo PCI-DSS Orientações e recomendações do Microsoft Entra
6.2.1 O software personalizado e personalizado é desenvolvido de forma segura, da seguinte forma:
Com base nos padrões da indústria e/ou nas melhores práticas para um desenvolvimento seguro.
De acordo com PCI-DSS (por exemplo, autenticação e registo seguros).
Incorporando a consideração de questões de segurança da informação durante cada estágio do ciclo de vida de desenvolvimento de software.
Adquirir e desenvolver aplicações que utilizem protocolos de autenticação modernos, como OAuth2 e OpenID Connect (OIDC), que se integram com o Microsoft Entra ID.
Crie software usando a plataforma de identidade da Microsoft. Práticas recomendadas e recomendações da plataforma de identidade da Microsoft
6.2.2 O pessoal de desenvolvimento de software que trabalha em software personalizado e personalizado é treinado pelo menos uma vez a cada 12 meses da seguinte forma:
Em segurança de software relevante para sua função de trabalho e linguagens de desenvolvimento.
Incluindo design de software seguro e técnicas de codificação seguras.
Incluindo, se forem usadas ferramentas de teste de segurança, como usar as ferramentas para detetar vulnerabilidades no software.
Use o seguinte exame para fornecer prova de proficiência na plataforma de identidade da Microsoft: Exame MS-600: Criando aplicativos e soluções com o Microsoft 365 Core Services Use o seguinte treinamento para se preparar para o exame: MS-600: Implementar identidade Microsoft
6.2.3 O software personalizado e personalizado é revisado antes de ser lançado em produção ou para os clientes, para identificar e corrigir possíveis vulnerabilidades de codificação, da seguinte forma:
As revisões de código garantem que o código seja desenvolvido de acordo com as diretrizes de codificação segura.
As revisões de código procuram vulnerabilidades de software existentes e emergentes.
As correções apropriadas são implementadas antes da liberação.
Não aplicável ao Microsoft Entra ID.
6.2.3.1 Se revisões manuais de código forem realizadas para software personalizado e personalizado antes do lançamento para produção, as alterações de código serão:
Revisadas por indivíduos que não sejam o autor do código de origem e que tenham conhecimento sobre técnicas de revisão de código e práticas de codificação seguras.
Revisado e aprovado pela gerência antes do lançamento.
Não aplicável ao Microsoft Entra ID.
6.2.4 Técnicas de engenharia de software ou outros métodos são definidos e estão em uso pelo pessoal de desenvolvimento de software para prevenir ou mitigar ataques comuns de software e vulnerabilidades relacionadas em software personalizado e personalizado, incluindo, entre outros, o seguinte:
Ataques de injeção, incluindo SQL, LDAP, XPath ou outras falhas de comando, parâmetro, objeto, falha ou tipo de injeção.
Ataques a dados e estruturas de dados, incluindo tentativas de manipular buffers, ponteiros, dados de entrada ou dados compartilhados.
Ataques ao uso de criptografia, incluindo tentativas de explorar implementações criptográficas fracas, inseguras ou inadequadas, algoritmos, pacotes de codificação ou modos de operação.
Ataques à lógica de negócios, incluindo tentativas de abusar ou ignorar recursos e funcionalidades de aplicativos por meio da manipulação de APIs, protocolos e canais de comunicação, funcionalidade do lado do cliente ou outras funções e recursos do sistema/aplicativo. Isso inclui scripts entre sites (XSS) e falsificação de solicitação entre sites (CSRF).
Ataques a mecanismos de controle de acesso, incluindo tentativas de ignorar ou abusar de mecanismos de identificação, autenticação ou autorização, ou tentativas de explorar fraquezas na implementação de tais mecanismos.
Ataques através de quaisquer vulnerabilidades de "alto risco" identificadas no processo de identificação de vulnerabilidades, conforme definido no Requisito 6.3.1.
Não aplicável ao Microsoft Entra ID.

6.3 As vulnerabilidades de segurança são identificadas e abordadas.

Requisitos de abordagem definidos pelo PCI-DSS Orientações e recomendações do Microsoft Entra
6.3.1 As vulnerabilidades de segurança são identificadas e geridas da seguinte forma:
Novas vulnerabilidades de segurança são identificadas utilizando fontes reconhecidas pela indústria para obter informações sobre vulnerabilidades de segurança, incluindo alertas de equipas internacionais e nacionais/regionais de resposta a emergências informáticas (CERTs).
Às vulnerabilidades é atribuída uma classificação de risco com base nas melhores práticas do setor e na consideração do impacto potencial.
As classificações de risco identificam, no mínimo, todas as vulnerabilidades consideradas de alto risco ou críticas para o ambiente.
São abordadas as vulnerabilidades de software personalizado e personalizado (por exemplo, sistemas operativos e bases de dados).
Saiba mais sobre vulnerabilidades. MSRC | Atualizações de segurança, Guia de atualizações de segurança
6.3.2 Um inventário de software personalizado e personalizado, e componentes de software de terceiros incorporados em software personalizado e personalizado é mantido para facilitar o gerenciamento de vulnerabilidades e patches. Gere relatórios para aplicativos usando o Microsoft Entra ID para autenticação de inventário. applicationSignInDetailedSummary tipo
de recurso Aplicações listadas em Aplicações empresariais
6.3.3 Todos os componentes do sistema estão protegidos contra vulnerabilidades conhecidas instalando patches/atualizações de segurança aplicáveis da seguinte forma:
Patches/atualizações críticos ou de alta segurança (identificados de acordo com o processo de classificação de risco no Requisito 6.3.1) são instalados dentro de um mês após o lançamento.
Todos os outros patches/atualizações de segurança aplicáveis são instalados dentro de um período de tempo apropriado, conforme determinado pela entidade (por exemplo, dentro de três meses após o lançamento).
Não aplicável ao Microsoft Entra ID.

6.4 As aplicações Web públicas estão protegidas contra ataques.

Requisitos de abordagem definidos pelo PCI-DSS Orientações e recomendações do Microsoft Entra
6.4.1 Para aplicações Web voltadas para o público, novas ameaças e vulnerabilidades são abordadas continuamente e essas aplicações são protegidas contra ataques conhecidos da seguinte forma: Revisão de aplicações Web voltadas para o público através de ferramentas ou métodos manuais ou automatizados de avaliação de vulnerabilidade de vulnerabilidades de aplicações, da seguinte forma:
– Pelo menos uma vez a cada 12 meses e após alterações significativas.
– Por uma entidade especializada em segurança de aplicações.
– Incluindo, no mínimo, todos os ataques de software comuns no Requisito 6.2.4.
– Todas as vulnerabilidades são classificadas de acordo com o requisito 6.3.1.
– Todas as vulnerabilidades são corrigidas.
– A aplicação é reavaliada após as correções
OU
Instalar uma solução técnica automatizada que deteta e previne continuamente ataques baseados na Web da seguinte forma:
– Instalado na frente de aplicações web voltadas para o público para detetar e prevenir ataques baseados na web.
– Ativamente em execução e atualizado, conforme aplicável.
– Geração de logs de auditoria.
– Configurado para bloquear ataques baseados na Web ou gerar um alerta que é imediatamente investigado.
Não aplicável ao Microsoft Entra ID.
6.4.2 Para aplicações Web voltadas para o público, é implantada uma solução técnica automatizada que deteta e previne continuamente ataques baseados na Web, com pelo menos o seguinte:
É instalado na frente de aplicativos Web voltados para o público e está configurado para detetar e prevenir ataques baseados na Web.
Ativamente em execução e atualizado, conforme aplicável.
Geração de logs de auditoria.
Configurado para bloquear ataques baseados na Web ou gerar um alerta que é imediatamente investigado.
Não aplicável ao Microsoft Entra ID.
6.4.3 Todos os scripts de página de pagamento carregados e executados no navegador do consumidor são gerenciados da seguinte forma:
Um método é implementado para confirmar que cada script está autorizado.
Um método é implementado para garantir a integridade de cada script.
Um inventário de todos os scripts é mantido com uma justificativa por escrito sobre por que cada um é necessário.
Não aplicável ao Microsoft Entra ID.

6.5 As alterações em todos os componentes do sistema são geridas de forma segura.

Requisitos de abordagem definidos pelo PCI-DSS Orientações e recomendações do Microsoft Entra
6.5.1 As alterações em todos os componentes do sistema no ambiente de produção são feitas de acordo com procedimentos estabelecidos que incluem:
Motivo e descrição da alteração.
Documentação do impacto na segurança.
Aprovação de alterações documentada por partes autorizadas.
Teste para verificar se a alteração não afeta negativamente a segurança do sistema.
Para alterações de software personalizadas e personalizadas, todas as atualizações são testadas quanto à conformidade com o Requisito 6.2.4 antes de serem implantadas em produção.
Procedimentos para resolver falhas e retornar a um estado seguro.
Inclua alterações na configuração do Microsoft Entra no processo de controle de alterações.
6.5.2 Após a conclusão de uma alteração significativa, todos os requisitos PCI-DSS aplicáveis são confirmados em vigor em todos os sistemas e redes novos ou alterados, e a documentação é atualizada conforme aplicável. Não aplicável ao Microsoft Entra ID.
6.5.3 Os ambientes de pré-produção são separados dos ambientes de produção e a separação é imposta com controles de acesso. Abordagens para separar ambientes de pré-produção e produção, com base em requisitos organizacionais. Isolamento de recursos em um único locatário
Isolamento de recursos com vários locatários
6.5.4 As funções e funções são separadas entre ambientes de produção e pré-produção para fornecer responsabilidade de modo que apenas as alterações revisadas e aprovadas sejam implantadas. Saiba mais sobre funções privilegiadas e locatários de pré-produção dedicados. Práticas recomendadas para funções do Microsoft Entra
6.5.5 Os Live PANs não são usados em ambientes de pré-produção, exceto quando esses ambientes estão incluídos no CDE e protegidos de acordo com todos os requisitos PCI-DSS aplicáveis. Não aplicável ao Microsoft Entra ID.
6.5.6 Os dados e contas de teste são removidos dos componentes do sistema antes que o sistema entre em produção. Não aplicável ao Microsoft Entra ID.

Próximos passos

Os requisitos 3, 4, 9 e 12 do PCI-DSS não são aplicáveis ao Microsoft Entra ID, portanto, não há artigos correspondentes. Para ver todos os requisitos, acesse pcisecuritystandards.org: Site Oficial do PCI Security Standards Council.

Para configurar o Microsoft Entra ID para estar em conformidade com PCI-DSS, consulte os seguintes artigos.