Compartilhar via

Controle de segurança: acesso privilegiado

O Acesso Privilegiado abrange controles para proteger o acesso privilegiado ao seu locatário e recursos, incluindo uma variedade de controles para proteger seu modelo administrativo, contas administrativas e estações de trabalho de acesso privilegiado contra risco proposital e inadvertido.

PA-1: separar e limitar usuários altamente privilegiados/administrativos

ID(s) do CIS Controls v8 ID(s) do NIST SP 800-53 r4 ID(s) do PCI-DSS v3.2.1
5,4, 6,8 AC-2, AC-6 7.1, 7.2, 8.1

Princípio de segurança: certifique-se de identificar todas as contas de alto impacto nos negócios. Limite o número de contas privilegiadas/administrativas no plano de controle, plano de gerenciamento e plano de dados/carga de trabalho da nuvem.

Diretrizes do Azure: você deve proteger todas as funções com acesso administrativo direto ou indireto aos recursos hospedados do Azure.

O Azure AD (Azure Active Directory) é o serviço de gerenciamento de acesso e identidade padrão do Azure. As funções internas mais críticas no Azure AD são Administrador Global e Administrador de Funções Privilegiadas, pois os usuários atribuídos a essas duas funções podem delegar funções de administrador. Com esses privilégios, os usuários podem ler ou modificar indiretamente cada recurso em seu ambiente do Azure:

  • Administrador Global/Administrador da Empresa: os usuários com essa função têm acesso a todos os recursos administrativos no Azure AD, bem como aos serviços que usam identidades do Azure AD.
  • Administrador de funções com privilégios: os usuários com essa função podem gerenciar atribuições de função no Azure AD, bem como no Azure AD Privileged Identity Management (PIM). Além disso, essa função permite o gerenciamento de todos os aspectos do PIM e das unidades administrativas.

Fora do Azure AD, o Azure tem funções internas que podem ser críticas para o acesso privilegiado no nível do recurso.

  • Proprietário: concede acesso total para gerenciar todos os recursos, incluindo a capacidade de atribuir funções no RBAC do Azure.
  • Colaborador: concede acesso total para gerenciar todos os recursos, mas não permite atribuir funções no RBAC do Azure, gerenciar atribuições no Azure Blueprints ou compartilhar galerias de imagens.
  • Administrador de Acesso do Usuário: permite gerenciar o acesso do usuário aos recursos do Azure.

Observação: você pode ter outras funções críticas que precisam ser governadas se usar funções personalizadas no nível do Azure AD ou do recurso com certas permissões privilegiadas atribuídas.

Além disso, os usuários com as três funções a seguir no portal do EA (Contrato Enterprise) do Azure também devem ser restritos, pois podem ser usados para gerenciar direta ou indiretamente as assinaturas do Azure.

  • Proprietário da conta: os usuários com essa função podem gerenciar assinaturas, incluindo a criação e a exclusão de assinaturas.
  • Administrador Corporativo: os usuários atribuídos a essa função podem gerenciar usuários do portal (EA).
  • Administrador de departamento: os usuários atribuídos a essa função podem alterar os proprietários da conta dentro do departamento.

Por fim, certifique-se de restringir também contas privilegiadas em outros sistemas de gerenciamento, identidade e segurança que tenham acesso administrativo aos seus ativos críticos para os negócios, como DCs (Controladores de Domínio) do Active Directory, ferramentas de segurança e ferramentas de gerenciamento de sistema com agentes instalados em sistemas críticos para os negócios. Os invasores que comprometem esses sistemas de gerenciamento e segurança podem armá-los imediatamente para comprometer ativos críticos para os negócios.

Implementação do Azure e contexto adicional:

Orientação da AWS: você deve proteger todas as funções com acesso administrativo direto ou indireto aos recursos hospedados pela AWS.

Os usuários privilegiados/administrativos que precisam ser protegidos incluem:

  • Usuário raiz: o usuário raiz são as contas privilegiadas de nível mais alto em sua conta da AWS. As contas raiz devem ser altamente restritas e usadas apenas em situações de emergência. Consulte os controles de acesso de emergência no PA-5 (Configurar acesso de emergência).
  • Identidades do IAM (usuários, grupos, funções) com a política de permissão privilegiada: as identidades do IAM atribuídas com uma política de permissão, como AdministratorAccess, podem ter acesso total aos serviços e recursos da AWS.

Se você estiver usando o Azure Active Directory (Azure AD) como o provedor de identidade para AWS, consulte as diretrizes do Azure para gerenciar as funções privilegiadas no Azure AD.

Certifique-se de também restringir contas privilegiadas em outros sistemas de gerenciamento, identidade e segurança que tenham acesso administrativo aos seus ativos críticos para os negócios, como AWS Cognito, ferramentas de segurança e ferramentas de gerenciamento de sistema com agentes instalados em sistemas críticos para os negócios. Os invasores que comprometem esses sistemas de gerenciamento e segurança podem armá-los imediatamente para comprometer ativos críticos para os negócios.

Implementação do AWS e contexto adicional:

Diretrizes do GCP: você precisa proteger todos os papéis com acesso administrativo direto ou indireto aos recursos hospedados pelo GCP.

A função integrada mais importante no Google Cloud é a de superadministrador. O superadministrador pode realizar todas as tarefas no Admin Console e tem permissões administrativas irrevogáveis. É desaconselhado o uso da conta de superadministrador para a administração diária.

As funções básicas são funções legadas altamente permissivas, e é recomendável que as funções básicas não sejam usadas em ambientes de produção, pois concedem amplo acesso a todos os recursos do Google Cloud. As funções básicas incluem as funções de Visualizador, Editor e Proprietário. Em vez disso, é recomendável usar funções predefinidas ou personalizadas. As funções predefinidas privilegiadas notáveis incluem:

  • Administrador da organização: os usuários com essa função podem gerenciar políticas do IAM e visualizar políticas da organização para organizações, pastas e projetos.
  • Administrador de políticas da organização: os usuários com essa função podem definir quais restrições uma organização deseja colocar na configuração de recursos de nuvem definindo políticas da organização.
  • Administrador de função da organização: os usuários com essa função podem administrar todas as funções personalizadas na organização e nos projetos abaixo dela.
  • Administrador de segurança: os usuários com essa função podem obter e definir qualquer política do IAM.
  • Administrador de negações: os usuários com essa função têm permissões para ler e modificar as políticas de negação do IAM.

Além disso, determinadas funções predefinidas contêm permissões privilegiadas do IAM no nível da organização, da pasta e do projeto. Essas permissões do IAM incluem:

  • administrador da organização
  • pastaIAMAdmin
  • projetoIAMAdmin

Além disso, implemente a separação de tarefas atribuindo papéis a contas de diferentes projetos ou aproveitando a autorização binária com o Google Kubernetes Engine.

Por fim, certifique-se de restringir também contas privilegiadas em outros sistemas de gerenciamento, identidade e segurança que tenham acesso administrativo aos seus ativos críticos para os negócios, como Cloud DNS, ferramentas de segurança e ferramentas de gerenciamento de sistema com agentes instalados em sistemas críticos para os negócios. Os invasores que comprometem esses sistemas de gerenciamento e segurança podem armá-los imediatamente para comprometer ativos críticos para os negócios.

Implementação do GCP e contexto adicional:

Partes interessadas em segurança do cliente (Saiba mais):

PA-2: evite o acesso permanente para contas de usuário e permissões

ID(s) do CIS Controls v8 ID(s) do NIST SP 800-53 r4 ID(s) do PCI-DSS v3.2.1
Não aplicável AC-2 Não aplicável

Princípio de segurança: em vez de criar privilégios permanentes, use o mecanismo JIT (just-in-time) para atribuir acesso privilegiado às diferentes camadas de recursos.

Diretrizes do Azure: habilite o acesso privilegiado JIT (just-in-time) aos recursos do Azure e ao Azure AD usando o Azure AD Privileged Identity Management (PIM). O JIT é um modelo no qual os usuários recebem permissões temporárias para executar tarefas privilegiadas, o que impede que usuários mal-intencionados ou não autorizados obtenham acesso após a expiração das permissões. O acesso é concedido somente quando os usuários precisam dele. O PIM também pode gerar alertas de segurança quando há atividade suspeita ou não segura em sua organização do Azure AD.

Restringa o tráfego de entrada às portas de gerenciamento de máquinas virtuais (VM) confidenciais com o recurso de acesso just-in-time do Microsoft Defender para Nuvem. Isso garante que o acesso privilegiado à VM seja concedido somente quando os usuários precisarem.

Implementação do Azure e contexto adicional:

Orientação da AWS: use o AWS Security Token Service (AWS STS) para criar credenciais de segurança temporárias para acessar os recursos por meio da API da AWS. As credenciais de segurança temporárias funcionam quase de forma idêntica às credenciais de chave de acesso de longo prazo que os usuários do IAM podem usar, com as seguintes diferenças:

  • As credenciais de segurança temporárias têm uma vida útil de curto prazo, de minutos a horas.
  • As credenciais de segurança temporárias não são armazenadas com o usuário, mas são geradas dinamicamente e fornecidas ao usuário quando solicitadas.

Implementação do AWS e contexto adicional:

Diretrizes do GCP: use o acesso condicional do IAM para criar acesso temporário a recursos usando vinculações de papéis condicionais em políticas de permissão, que são concedidas aos usuários do Cloud Identity. Configure atributos de data/hora para impor controles baseados em tempo para acessar um recurso específico. O acesso temporário pode ter uma vida útil de curto prazo, de minutos a horas, ou pode ser concedido com base em dias ou horas da semana.

Implementação do GCP e contexto adicional:

Partes interessadas em segurança do cliente (Saiba mais):

PA-3: gerenciar o ciclo de vida de identidades e direitos

ID(s) do CIS Controls v8 ID(s) do NIST SP 800-53 r4 ID(s) do PCI-DSS v3.2.1
6.1, 6.2 AC-5, AC-6 7.1, 7.2, 8.1

Princípio de segurança: use um processo automatizado ou controle técnico para gerenciar a identidade e o ciclo de vida de acesso, incluindo a solicitação, revisão, aprovação, provisionamento e desprovisionamento.

Diretrizes do Azure: use os recursos de gerenciamento de direitos do Azure AD para automatizar fluxos de trabalho de solicitação de acesso (para grupos de recursos do Azure). Isso permite que os fluxos de trabalho para grupos de recursos do Azure gerenciem atribuições de acesso, revisões, expiração e aprovação dupla ou de vários estágios.

Use o Gerenciamento de Permissões para detectar, dimensionar automaticamente e monitorar continuamente permissões não utilizadas e excessivas atribuídas a identidades de usuário e carga de trabalho em infraestruturas multinuvem.

Implementação do Azure e contexto adicional:

Orientação da AWS: use o AWS Access Advisor para extrair os logs de acesso das contas de usuário e os direitos dos recursos. Crie um fluxo de trabalho manual ou automatizado para integração com o AWS IAM para gerenciar atribuições de acesso, revisões e exclusões.

Observação: há soluções de terceiros disponíveis no AWS Marketplace para gerenciar o ciclo de vida de identidades e direitos.

Implementação do AWS e contexto adicional:

Diretrizes do GCP: use os registros de auditoria do Cloud do Google para extrair os registros de auditoria de atividade de administrador e acesso a dados para as contas de usuário e direitos de recursos. Crie um fluxo de trabalho manual ou automatizado para integração com o GCP IAM para gerenciar atribuições, revisões e exclusões de acesso.

Use o Google Cloud Identity Premium para fornecer serviços básicos de gerenciamento de identidades e dispositivos. Esses serviços incluem recursos como provisionamento automatizado de usuários, lista de permissões de aplicativos e gerenciamento automatizado de dispositivos móveis.

Observação: há soluções de terceiros disponíveis no Google Cloud Marketplace para gerenciar o ciclo de vida de identidades e direitos.

Implementação do GCP e contexto adicional:

Partes interessadas em segurança do cliente (Saiba mais):

PA-4: examinar e reconciliar o acesso do usuário regularmente

ID(s) do CIS Controls v8 ID(s) do NIST SP 800-53 r4 ID(s) do PCI-DSS v3.2.1
5.1, 5.3, 5.5 AC-2, AC-6 7.1, 7.2, 8.1, A3.4

Princípio de segurança: Realize uma revisão regular dos direitos de contas privilegiadas. Verifique se o acesso concedido às contas é válido para administração do plano de controle, plano de gerenciamento e cargas de trabalho.

Diretrizes do Azure: examine todas as contas privilegiadas e os direitos de acesso no Azure, incluindo locatários do Azure, serviços do Azure, VM/IaaS, processos de CI/CD e ferramentas de gerenciamento e segurança empresarial.

Use as revisões de acesso do Azure AD para examinar as funções do Azure AD, as funções de acesso a recursos do Azure, as associações de grupo e o acesso a aplicativos empresariais. Os relatórios do Azure AD também podem fornecer logs para ajudar a descobrir contas obsoletas ou contas que não foram usadas por um determinado período de tempo.

Além disso, o Azure AD Privileged Identity Management pode ser configurado para alertar quando um número excessivo de contas de administrador é criado para uma função específica e para identificar contas de administrador obsoletas ou configuradas incorretamente.

Implementação do Azure e contexto adicional:

Orientação da AWS: analise todas as contas privilegiadas e os direitos de acesso na AWS, incluindo contas da AWS, serviços, VM/IaaS, processos de CI/CD e ferramentas de gerenciamento e segurança corporativas.

Use o IAM Access Advisor, o Access Analyzer e os Relatórios de Credenciais para revisar funções de acesso a recursos, associações a grupos e acesso a aplicativos empresariais. Os relatórios do IAM Access Analyzer e do Credential Reports também podem fornecer logs para ajudar a descobrir contas obsoletas ou contas que não foram usadas por um determinado período de tempo.

Se você estiver usando o Azure Active Directory (Azure AD) como o provedor de identidade para AWS, use a revisão de acesso do Azure AD para examinar as contas privilegiadas e os direitos de acesso periodicamente.

Implementação do AWS e contexto adicional:

Orientação do GCP: analise todas as contas privilegiadas e os direitos de acesso no Google Cloud, incluindo contas do Cloud Cloud, serviços, VM/IaaS, processos de CI/CD e ferramentas de segurança e gerenciamento empresarial.

Use os registros de auditoria do Cloud e o Policy Analyzer para analisar os papéis de acesso a recursos e as associações de grupo. Crie consultas de análise no Policy Analyzer para entender como determinar quais entidades podem acessar recursos específicos.

Se você estiver usando o Azure Active Directory (Azure AD) como o provedor de identidade do Google Cloud, use a revisão de acesso do Azure AD para revisar as contas privilegiadas e os direitos de acesso periodicamente.

Além disso, o Azure AD Privileged Identity Management pode ser configurado para alertar quando um número excessivo de contas de administrador é criado para uma função específica e para identificar contas de administrador obsoletas ou configuradas incorretamente.

Implementação do GCP e contexto adicional:

Partes interessadas em segurança do cliente (Saiba mais):

PA-5: Configurar o acesso de emergência

ID(s) do CIS Controls v8 ID(s) do NIST SP 800-53 r4 ID(s) do PCI-DSS v3.2.1
Não aplicável AC-2 Não aplicável

Princípio de segurança: configure o acesso de emergência para garantir que você não seja bloqueado acidentalmente de sua infraestrutura de nuvem crítica (como seu sistema de gerenciamento de identidade e acesso) em caso de emergência.

As contas de acesso de emergência raramente devem ser usadas e podem ser altamente prejudiciais para a organização se comprometidas, mas sua disponibilidade para a organização também é extremamente importante para os poucos cenários em que são necessárias.

Diretrizes do Azure: para evitar ser bloqueado acidentalmente de sua organização do Azure AD, configure uma conta de acesso de emergência (por exemplo, uma conta com função de Administrador Global) para acesso quando as contas administrativas normais não puderem ser usadas. As contas de acesso de emergência geralmente são altamente privilegiadas e não devem ser atribuídas a indivíduos específicos. As contas de acesso de emergência são limitadas à emergência ou cenários de "break glass" em que as contas administrativas normais não podem ser usadas.

Você deve garantir que as credenciais (como senha, certificado ou cartão inteligente) para contas de acesso de emergência sejam mantidas seguras e conhecidas apenas por indivíduos autorizados a usá-las apenas em uma emergência. Você também pode usar controles adicionais, como controles duplos (por exemplo, dividir a credencial em duas partes e entregá-la a pessoas separadas) para aumentar a segurança desse processo. Você também deve monitorar os logs de entrada e auditoria para garantir que as contas de acesso de emergência sejam usadas somente quando autorizadas.

Implementação do Azure e contexto adicional:

Diretrizes da AWS: as contas "raiz" da AWS não devem ser usadas para tarefas administrativas regulares. Como a conta "root" é altamente privilegiada, ela não deve ser atribuída a indivíduos específicos. Seu uso deve ser limitado apenas a cenários de emergência ou "ponto de venda" quando as contas administrativas normais não podem ser usadas. Para tarefas administrativas diárias, contas de usuário com privilégios separadas devem ser usadas e atribuídas as permissões apropriadas por meio de funções do IAM.

Você também deve garantir que as credenciais (como senha, tokens MFA e chaves de acesso) para contas raiz sejam mantidas seguras e conhecidas apenas por indivíduos autorizados a usá-las apenas em caso de emergência. A MFA deve ser habilitada para a conta raiz e você também pode usar controles adicionais, como controles duplos (por exemplo, dividir a credencial em duas partes e fornecê-la a pessoas separadas) para aumentar a segurança desse processo.

Você também deve monitorar os logs de login e auditoria no CloudTrail ou no EventBridge para garantir que as contas de acesso raiz sejam usadas somente quando autorizadas.

Implementação do AWS e contexto adicional:

Orientação do GCP: as contas de superadministrador do Google Cloud Identity não devem ser usadas para tarefas administrativas regulares. Como a conta de superadministrador é altamente privilegiada, ela não deve ser atribuída a indivíduos específicos. Seu uso deve ser limitado apenas a cenários de emergência ou "ponto de venda" quando as contas administrativas normais não podem ser usadas. Para tarefas administrativas diárias, contas de usuário com privilégios separadas devem ser usadas e atribuídas as permissões apropriadas por meio de funções do IAM.

Você também deve garantir que as credenciais (como senha, tokens MFA e chaves de acesso) para contas de superadministrador sejam mantidas seguras e conhecidas apenas por indivíduos autorizados a usá-las apenas em caso de emergência. A MFA deve ser habilitada para a conta de superadministrador e você também pode usar controles adicionais, como controles duplos (por exemplo, dividir a credencial em duas partes e entregá-la a pessoas separadas) para aumentar a segurança desse processo.

Você também deve monitorar os registros de login e auditoria nos registros de auditoria do Cloud ou consultar o Policy Analyzer para garantir que as contas de superadministrador sejam usadas somente quando autorizadas.

Implementação do GCP e contexto adicional:

  • práticas recomendadas da conta do super administrador

Partes interessadas em segurança do cliente (Saiba mais):

PA-6: Usar estações de trabalho de acesso privilegiado

ID(s) do CIS Controls v8 ID(s) do NIST SP 800-53 r4 ID(s) do PCI-DSS v3.2.1
12.8, 13.5 AC-2, SC-2, SC-7 Não aplicável

Princípio de segurança: estações de trabalho seguras e isoladas são extremamente importantes para a segurança de funções confidenciais, como administrador, desenvolvedor e operador de serviços críticos.

Diretrizes do Azure: use o Azure Active Directory, o Microsoft Defender e/ou o Microsoft Intune para implantar estações de trabalho de acesso privilegiado (PAW) localmente ou no Azure para tarefas privilegiadas. A PAW deve ser gerenciada centralmente para impor a configuração protegida, incluindo autenticação forte, linhas de base de software e hardware e acesso lógico e de rede restritos.

Você também pode usar o Azure Bastion, que é um serviço de PaaS totalmente gerenciado por plataforma que pode ser provisionado dentro de sua rede virtual. O Azure Bastion permite conectividade RDP/SSH com suas máquinas virtuais diretamente do portal do Azure usando um navegador da Web.

Implementação do Azure e contexto adicional:

Orientação da AWS: use o Session Manager no AWS Systems Manager para criar um caminho de acesso (uma sessão de conexão) para a instância do EC2 ou uma sessão do navegador para os recursos da AWS para tarefas privilegiadas. O Session Manager permite conectividade RDP, SSH e HTTPS com seus hosts de destino por meio de encaminhamento de porta.

Você também pode optar por implantar uma estação de trabalho de acesso privilegiado (PAW) gerenciada centralmente por meio do Azure Active Directory, Microsoft Defender e/ou Microsoft Intune. O gerenciamento central deve impor uma configuração segura, incluindo autenticação forte, linhas de base de software e hardware e acesso lógico e de rede restrito.

Implementação do AWS e contexto adicional:

Diretrizes do GCP: use o Identity-Aware Proxy (IAP) Desktop para criar um caminho de acesso (uma sessão de conexão) para a instância de computação para tarefas privilegiadas. O IAP Desktop permite conectividade RDP e SSH com seus hosts de destino por meio de encaminhamento de porta. Além disso, as instâncias de computação do Linux voltadas para o exterior podem ser conectadas por meio de um SSH no navegador por meio do console do Google Cloud.

Você também pode optar por implantar estações de trabalho de acesso privilegiado (PAW) gerenciadas centralmente por meio do Google Workspace Endpoint Management ou de soluções da Microsoft (Azure Active Directory, Microsoft Defender e/ou Microsoft Intune). O gerenciamento central deve impor uma configuração segura, incluindo autenticação forte, linhas de base de software e hardware e acesso lógico e de rede restrito.

Você também pode criar hosts bastion para acesso seguro a ambientes confiáveis com parâmetros definidos.

Implementação do GCP e contexto adicional:

Partes interessadas em segurança do cliente (Saiba mais):

PA-7: Siga o princípio de administração suficiente (privilégio mínimo)

ID(s) do CIS Controls v8 ID(s) do NIST SP 800-53 r4 ID(s) do PCI-DSS v3.2.1
3.3, 6.8 AC-2, AC-3, AC-6 7.1, 7.2

Princípio de segurança: siga o princípio de administração apenas o suficiente (privilégios mínimos) para gerenciar permissões em um nível refinado. Use recursos como RBAC (controle de acesso baseado em função) para gerenciar o acesso a recursos por meio de atribuições de função.

Diretrizes do Azure: use o RBAC do Azure (controle de acesso baseado em função) do Azure para gerenciar o acesso a recursos do Azure por meio de atribuições de função. Por meio do RBAC, você pode atribuir funções a usuários, grupos, entidades de serviço e identidades gerenciadas. Há funções internas predefinidas para determinados recursos e essas funções podem ser inventariadas ou consultadas por meio de ferramentas como a CLI do Azure, o Azure PowerShell e o portal do Azure.

Os privilégios que você atribui aos recursos por meio do RBAC do Azure devem ser sempre limitados ao que é exigido pelas funções. Privilégios limitados complementarão a abordagem JIT (just-in-time) do PIM (Privileged Identity Management) do Azure AD, e esses privilégios devem ser revisados periodicamente. Se necessário, você também pode usar o PIM para definir uma atribuição com limite de tempo, que é uma condição em uma atribuição de função em que um usuário só pode ativar a função dentro das datas de início e término especificadas.

Observação: use funções internas do Azure para alocar permissões e criar apenas funções personalizadas quando necessário.

Implementação do Azure e contexto adicional:

Orientação da AWS: use a política da AWS para gerenciar o acesso a recursos da AWS. Há seis tipos de políticas: políticas baseadas em identidade, políticas baseadas em recursos, limites de permissões, política de controle de serviço (SCP) do AWS Organizations, lista de controle de acesso e políticas de sessão. Você pode usar políticas gerenciadas pela AWS para casos de uso de permissão comuns. No entanto, você deve estar ciente de que as políticas gerenciadas podem ter permissões excessivas que não devem ser atribuídas aos usuários.

Você também pode usar o AWS ABAC (controle de acesso baseado em atributos) para atribuir permissões com base em atributos (tags) anexados a recursos do IAM, incluindo entidades do IAM (usuários ou funções) e recursos da AWS.

Implementação do AWS e contexto adicional:

Diretrizes do GCP: use a política do Google Cloud IAM para gerenciar o acesso a recursos do GCP por meio de atribuições de papéis. Você pode usar os papéis predefinidos do Google Cloud para casos de uso de permissão comuns. No entanto, você deve estar ciente de que as funções predefinidas podem ter permissões excessivas que não devem ser atribuídas aos usuários.

Além disso, use o Policy Intelligence com o IAM Recommender para identificar e remover permissões excessivas de contas.

Implementação do GCP e contexto adicional:

Partes interessadas em segurança do cliente (Saiba mais):

PA-8 Determinar o processo de acesso para suporte ao provedor de nuvem

ID(s) do CIS Controls v8 ID(s) do NIST SP 800-53 r4 ID(s) do PCI-DSS v3.2.1
6.1, 6.2 AC-4, AC-2, AC-3 Não aplicável

Princípio de segurança: estabeleça um processo de aprovação e um caminho de acesso para solicitar e aprovar solicitações de suporte do fornecedor e acesso temporário aos seus dados por meio de um canal seguro.

Diretrizes do Azure: em cenários de suporte em que a Microsoft precisa acessar seus dados, use o Sistema de Proteção de Dados do Cliente para examinar e aprovar ou rejeitar cada solicitação de acesso a dados feita pela Microsoft.

Implementação do Azure e contexto adicional:

Orientação da AWS: em cenários de suporte em que as equipes de suporte da AWS precisam acessar seus dados, crie uma conta no portal do AWS Support para solicitar suporte. Revise as opções disponíveis, como fornecer acesso a dados somente leitura ou a opção de compartilhamento de tela para o suporte da AWS acessar seus dados.

Implementação do AWS e contexto adicional:

Diretrizes do GCP: em cenários de suporte em que o Atendimento ao cliente do Google Cloud precisa acessar seus dados, use a aprovação de acesso para analisar e aprovar ou rejeitar cada solicitação de acesso a dados feita pelo Atendimento ao cliente do Cloud.

Implementação do GCP e contexto adicional:

Partes interessadas em segurança do cliente (Saiba mais):

  • Last updated on