Detalles de la iniciativa integrada de cumplimiento normativo de Controles de organización y sistema (SOC) 2 (Azure Government)

Artículo
11/04/2024

En el siguiente artículo, se detalla la correspondencia entre la definición de la iniciativa integrada de cumplimiento normativo de Azure Policy y los dominios de cumplimiento y controles en Controles de sistema y organización (SOC) 2 (Azure Government). Para obtener más información sobre este estándar de cumplimiento, consulte Controles de sistema y organización (SOC) 2. Para entender el concepto de Propiedad, revise el tipo de directiva y Responsabilidad compartida en la nube.

Las siguientes asignaciones son para los controles de Controles de sistema y organización (SOC) 2. Muchos de los controles se implementan con una definición de iniciativa de Azure Policy. Para revisar la definición de iniciativa completa, abra Policy en Azure Portal y seleccione la página Definiciones. A continuación, busque y seleccione la definición de iniciativa integrada de cumplimiento normativo de SOC 2 tipo 2.

Importante

Cada control que se muestra a continuación está asociado a una o varias definiciones de Azure Policy. Estas directivas pueden ayudarle a evaluar el cumplimiento mediante el control. Sin embargo, con frecuencia no hay una correspondencia completa o exacta entre un control y una o varias directivas. Como tal, el cumplimiento en Azure Policy solo se refiere a las propias definiciones de directiva; esto no garantiza que se cumpla totalmente con todos los requisitos de un control. Además, el estándar de cumplimiento incluye controles que no se abordan con las definiciones de Azure Policy en este momento. Por lo tanto, el cumplimiento en Azure Policy es solo una vista parcial del estado general de cumplimiento. Las asociaciones entre los dominios de cumplimiento, los controles y las definiciones de Azure Policy para este estándar de cumplimiento pueden cambiar con el tiempo. Para ver el historial de cambios, consulte el historial de confirmación de GitHub.

Criterios adicionales para la disponibilidad

Administración de capacidad

Id.: SOC 2 tipo 2 A1.1 Propiedad: compartido

Nombre _{(Azure Portal)}	Descripción	Efectos	Versión _(GitHub)
Realización del planeamiento de capacidad	CMA_C1252: Realizar el planeamiento de capacidad	Manual, Deshabilitado	1.1.0

Protección del entorno, software, procesos de copia de seguridad de datos e infraestructura de recuperación

Id.: SOC 2 tipo 2 A1.2 Propiedad: compartido

Nombre _{(Azure Portal)}	Descripción	Efectos	Versión _(GitHub)
Azure Backup debe estar habilitado para Virtual Machines.	Asegúrese que Azure Virtual Machines está protegido; para ello, habilite Azure Backup. Azure Backup es una solución de protección de datos segura y rentable para Azure.	AuditIfNotExists, Disabled	3.0.0
Uso de iluminación de emergencia automática	CMA_0209: Usar iluminación de emergencia automática	Manual, Deshabilitado	1.1.0
Establecimiento de un sitio de procesamiento alternativo	CMA_0262: Establecer un sitio de procesamiento alternativo	Manual, Deshabilitado	1.1.0
La copia de seguridad con redundancia geográfica debe estar habilitada para Azure Database for MariaDB	Azure Database for MariaDB le permite elegir la opción de redundancia para el servidor de bases de datos. Se puede establecer en un almacenamiento de copia de seguridad con redundancia geográfica donde los datos no solo se almacenan dentro de la región en la que se hospeda el servidor, sino que también se replican en una región emparejada para proporcionar la opción de recuperación en caso de que se produzca un error en la región. La configuración de almacenamiento con redundancia geográfica para copia de seguridad solo se permite durante la creación del servidor.	Audit, Disabled	1.0.1
La copia de seguridad con redundancia geográfica debe estar habilitada para Azure Database for MySQL	Azure Database for MySQL le permite elegir la opción de redundancia para el servidor de bases de datos. Se puede establecer en un almacenamiento de copia de seguridad con redundancia geográfica donde los datos no solo se almacenan dentro de la región en la que se hospeda el servidor, sino que también se replican en una región emparejada para proporcionar la opción de recuperación en caso de que se produzca un error en la región. La configuración de almacenamiento con redundancia geográfica para copia de seguridad solo se permite durante la creación del servidor.	Audit, Disabled	1.0.1
La copia de seguridad con redundancia geográfica debe estar habilitada para Azure Database for PostgreSQL	Azure Database for PostgreSQL le permite elegir la opción de redundancia para el servidor de bases de datos. Se puede establecer en un almacenamiento de copia de seguridad con redundancia geográfica donde los datos no solo se almacenan dentro de la región en la que se hospeda el servidor, sino que también se replican en una región emparejada para proporcionar la opción de recuperación en caso de que se produzca un error en la región. La configuración de almacenamiento con redundancia geográfica para copia de seguridad solo se permite durante la creación del servidor.	Audit, Disabled	1.0.1
Implementación de una metodología de pruebas de penetración	CMA_0306: Implementar una metodología de pruebas de penetración	Manual, Deshabilitado	1.1.0
Implementación de la seguridad física para las oficinas, áreas de trabajo y áreas seguras	CMA_0323: Implementar la seguridad física para las oficinas, áreas de trabajo y áreas seguras	Manual, Deshabilitado	1.1.0
Instalación de un sistema de alarma	CMA_0338: Instalar un sistema de alarma	Manual, Deshabilitado	1.1.0
Recuperación y reconstrucción de los recursos después de una interrupción	CMA_C1295: Recuperar y reconstruir los recursos después de una interrupción	Manual, Deshabilitado	1.1.1
Ejecución de los ataques de simulación	CMA_0486: Ejecutar los ataques de simulación	Manual, Deshabilitado	1.1.0
Almacenamiento independiente de la información de copia de seguridad por separado	CMA_C1293: Almacenar la información de copia de seguridad por separado	Manual, Deshabilitado	1.1.0
Transferencia de la información de copia de seguridad a un sitio de almacenamiento alternativo	CMA_C1294: Transferir la información de copia de seguridad a un sitio de almacenamiento alternativo	Manual, Deshabilitado	1.1.0

Pruebas del plan de recuperación

Id.: SOC 2 tipo 2 A1.3 Propiedad: compartido

Nombre _{(Azure Portal)}	Descripción	Efectos	Versión _(GitHub)
Coordinación de planes de contingencia con planes relacionados	CMA_0086: Coordinar planes de contingencia con planes relacionados	Manual, Deshabilitado	1.1.0
Inicio de acciones correctivas para probar el plan de contingencia	CMA_C1263: Iniciar acciones correctivas para probar el plan de contingencia	Manual, Deshabilitado	1.1.0
Revisión de los resultados de las pruebas del plan de contingencia	CMA_C1262: Revisar los resultados de las pruebas del plan de contingencia	Manual, Deshabilitado	1.1.0
Prueba del plan de continuidad empresarial y recuperación ante desastres	CMA_0509: Probar el plan de continuidad empresarial y recuperación ante desastres	Manual, Deshabilitado	1.1.0

Criterios adicionales para la confidencialidad

Protección de información confidencial

Id.: SOC 2 tipo 2 C1.1 Propiedad: compartido

Nombre _{(Azure Portal)}	Descripción	Efectos	Versión _(GitHub)
Controlar el acceso físico	CMA_0081: Controlar el acceso físico	Manual, Deshabilitado	1.1.0
Administrar la entrada, la salida, el procesamiento y el almacenamiento de los datos	CMA_0369: Administrar la entrada, la salida, el procesamiento y el almacenamiento de los datos	Manual, Deshabilitado	1.1.0
Revisar la actividad y el análisis de etiquetas	CMA_0474: Revisar la actividad y el análisis de etiquetas	Manual, Deshabilitado	1.1.0

Eliminación de información confidencial

Id.: SOC 2 tipo 2 C1.2 Propiedad: compartido

Nombre _{(Azure Portal)}	Descripción	Efectos	Versión _(GitHub)
Controlar el acceso físico	CMA_0081: Controlar el acceso físico	Manual, Deshabilitado	1.1.0
Administrar la entrada, la salida, el procesamiento y el almacenamiento de los datos	CMA_0369: Administrar la entrada, la salida, el procesamiento y el almacenamiento de los datos	Manual, Deshabilitado	1.1.0
Revisar la actividad y el análisis de etiquetas	CMA_0474: Revisar la actividad y el análisis de etiquetas	Manual, Deshabilitado	1.1.0

Entorno de control

Principio 1 de COSO

Id.: SOC 2 tipo 2 CC1.1 Propiedad: compartido

Nombre _{(Azure Portal)}	Descripción	Efectos	Versión _(GitHub)
Desarrollo de directivas y procedimientos de uso aceptables	CMA_0143: Desarrollar directivas y procedimientos de uso aceptables	Manual, Deshabilitado	1.1.0
Desarrollo de la directiva de código de conducta de la organización	CMA_0159: Desarrollar la directiva de código de conducta de la organización	Manual, Deshabilitado	1.1.0
Documentación de la aceptación por parte del personal de los requisitos de privacidad	CMA_0193: Documentar la aceptación por parte del personal de los requisitos de privacidad	Manual, Deshabilitado	1.1.0
Aplicación de reglas de comportamiento y contratos de acceso	CMA_0248: Aplicar reglas de comportamiento y contratos de acceso	Manual, Deshabilitado	1.1.0
Prohibición de prácticas ilegales	CMA_0396: Prohibir prácticas ilegales	Manual, Deshabilitado	1.1.0
Revisión y firma de reglas de comportamiento revisadas	CMA_0465: Revisar y firmar reglas de comportamiento revisadas	Manual, Deshabilitado	1.1.0
Actualización de las reglas de comportamiento y los contratos de acceso	CMA_0521: Actualizar las reglas de comportamiento y los contratos de acceso	Manual, Deshabilitado	1.1.0
Actualización de las reglas de comportamiento y los contratos de acceso cada 3 años	CMA_0522: Actualizar las reglas de comportamiento y los contratos de acceso cada 3 años	Manual, Deshabilitado	1.1.0

Principio 2 de COSO

Id.: SOC 2 tipo 2 CC1.2 Propiedad: compartido

Nombre _{(Azure Portal)}	Descripción	Efectos	Versión _(GitHub)
Designar a un responsable de seguridad de información sénior	CMA_C1733: Designar a un responsable de seguridad de información sénior	Manual, Deshabilitado	1.1.0
Desarrollo y establecimiento de un plan de seguridad del sistema	CMA_0151: Desarrollar y establecer un plan de seguridad del sistema	Manual, Deshabilitado	1.1.0
Establecimiento de una estrategia de administración de riesgos	CMA_0258: Establecer una estrategia de administración de riesgos	Manual, Deshabilitado	1.1.0
Establecimiento de los requisitos de seguridad para la fabricación de dispositivos conectados	CMA_0279: Establecer los requisitos de seguridad para la fabricación de dispositivos conectados	Manual, Deshabilitado	1.1.0
Implementación de principios de ingeniería de seguridad de los sistemas de información	CMA_0325: Implementar principios de ingeniería de seguridad de los sistemas de información	Manual, Deshabilitado	1.1.0

Principio 3 de COSO

Id.: SOC 2 tipo 2 CC1.3 Propiedad: compartido

Nombre _{(Azure Portal)}	Descripción	Efectos	Versión _(GitHub)
Designar a un responsable de seguridad de información sénior	CMA_C1733: Designar a un responsable de seguridad de información sénior	Manual, Deshabilitado	1.1.0
Desarrollo y establecimiento de un plan de seguridad del sistema	CMA_0151: Desarrollar y establecer un plan de seguridad del sistema	Manual, Deshabilitado	1.1.0
Establecimiento de una estrategia de administración de riesgos	CMA_0258: Establecer una estrategia de administración de riesgos	Manual, Deshabilitado	1.1.0
Establecimiento de los requisitos de seguridad para la fabricación de dispositivos conectados	CMA_0279: Establecer los requisitos de seguridad para la fabricación de dispositivos conectados	Manual, Deshabilitado	1.1.0
Implementación de principios de ingeniería de seguridad de los sistemas de información	CMA_0325: Implementar principios de ingeniería de seguridad de los sistemas de información	Manual, Deshabilitado	1.1.0

Principio 4 de COSO

Id.: SOC 2 tipo 2 CC1.4 Propiedad: compartido

Nombre _{(Azure Portal)}	Descripción	Efectos	Versión _(GitHub)
Ofrecimiento de formación periódica de la seguridad basada en roles	CMA_C1095: Proporcionar formación periódica de la seguridad basada en roles	Manual, Deshabilitado	1.1.0
Ofrecimiento de formación periódica de reconocimiento de seguridad	CMA_C1091: Proporcionar formación periódica de reconocimiento de seguridad	Manual, Deshabilitado	1.1.0
Ofrecimiento de los ejercicios prácticos basados en roles	CMA_C1096: Proporcionar los ejercicios prácticos basados en roles	Manual, Deshabilitado	1.1.0
Ofrecimiento de formación de seguridad antes de proporcionar acceso	CMA_0418: Proporcionar formación de seguridad antes de proporcionar acceso	Manual, Deshabilitado	1.1.0
Ofrecimiento de formación de seguridad para usuarios nuevos	CMA_0419: Proporcionar formación de seguridad para usuarios nuevos	Manual, Deshabilitado	1.1.0

Principio 5 de COSO

Id.: SOC 2 tipo 2 CC1.5 Propiedad: compartido

Nombre _{(Azure Portal)}	Descripción	Efectos	Versión _(GitHub)
Desarrollo de directivas y procedimientos de uso aceptables	CMA_0143: Desarrollar directivas y procedimientos de uso aceptables	Manual, Deshabilitado	1.1.0
Aplicación de reglas de comportamiento y contratos de acceso	CMA_0248: Aplicar reglas de comportamiento y contratos de acceso	Manual, Deshabilitado	1.1.0
Implementación del proceso formal de sanción	CMA_0317: Implementar el proceso formal de sanción	Manual, Deshabilitado	1.1.0
Notificación al personal sobre las sanciones	CMA_0380: Notificar al personal sobre las sanciones	Manual, Deshabilitado	1.1.0

Comunicación e información

Principio 13 de COSO

Id.: SOC 2 tipo 2 CC2.1 Propiedad: compartido

Nombre _{(Azure Portal)}	Descripción	Efectos	Versión _(GitHub)
Controlar el acceso físico	CMA_0081: Controlar el acceso físico	Manual, Deshabilitado	1.1.0
Administrar la entrada, la salida, el procesamiento y el almacenamiento de los datos	CMA_0369: Administrar la entrada, la salida, el procesamiento y el almacenamiento de los datos	Manual, Deshabilitado	1.1.0
Revisar la actividad y el análisis de etiquetas	CMA_0474: Revisar la actividad y el análisis de etiquetas	Manual, Deshabilitado	1.1.0

Principio 14 de COSO

Id.: SOC 2 tipo 2 CC2.2 Propiedad: compartido

Nombre _{(Azure Portal)}	Descripción	Efectos	Versión _(GitHub)
Desarrollo de directivas y procedimientos de uso aceptables	CMA_0143: Desarrollar directivas y procedimientos de uso aceptables	Manual, Deshabilitado	1.1.0
La opción para enviar notificaciones por correo electrónico para alertas de gravedad alta debe estar habilitada.	Para asegurarse de que las personas pertinentes de la organización reciban una notificación cuando se produzca una vulneración de seguridad potencial en una de las suscripciones, habilite las notificaciones por correo electrónico de alertas de gravedad alta en Security Center.	AuditIfNotExists, Disabled	1.0.1
La opción para enviar notificaciones por correo electrónico al propietario de la suscripción en relación a alertas de gravedad alta debe estar habilitada.	Para asegurarse de que los propietarios de suscripciones reciban una notificación cuando se produzca una vulneración de seguridad potencial en sus suscripciones, establezca notificaciones por correo electrónico a los propietarios de las suscripciones de alertas de gravedad alta en Security Center.	AuditIfNotExists, Disabled	2.0.0
Aplicación de reglas de comportamiento y contratos de acceso	CMA_0248: Aplicar reglas de comportamiento y contratos de acceso	Manual, Deshabilitado	1.1.0
Ofrecimiento de formación periódica de la seguridad basada en roles	CMA_C1095: Proporcionar formación periódica de la seguridad basada en roles	Manual, Deshabilitado	1.1.0
Ofrecimiento de formación periódica de reconocimiento de seguridad	CMA_C1091: Proporcionar formación periódica de reconocimiento de seguridad	Manual, Deshabilitado	1.1.0
Ofrecimiento de formación de seguridad antes de proporcionar acceso	CMA_0418: Proporcionar formación de seguridad antes de proporcionar acceso	Manual, Deshabilitado	1.1.0
Ofrecimiento de formación de seguridad para usuarios nuevos	CMA_0419: Proporcionar formación de seguridad para usuarios nuevos	Manual, Deshabilitado	1.1.0
Las suscripciones deben tener una dirección de correo electrónico de contacto para los problemas de seguridad	Para asegurarse de que las personas pertinentes de la organización reciban una notificación cuando se produzca una vulneración de seguridad potencial en una de las suscripciones, establezca un contacto de seguridad para la recepción de notificaciones por correo electrónico de Security Center.	AuditIfNotExists, Disabled	1.0.1

Principio 15 de COSO

Id.: SOC 2 tipo 2 CC2.3 Propiedad: compartido

Nombre _{(Azure Portal)}	Descripción	Efectos	Versión _(GitHub)
Definir las tareas de los procesadores	CMA_0127: Definir las tareas de los procesadores	Manual, Deshabilitado	1.1.0
Entrega de los resultados de la evaluación de seguridad	CMA_C1147: Entregar los resultados de la evaluación de seguridad	Manual, Deshabilitado	1.1.0
Desarrollo y establecimiento de un plan de seguridad del sistema	CMA_0151: Desarrollar y establecer un plan de seguridad del sistema	Manual, Deshabilitado	1.1.0
La opción para enviar notificaciones por correo electrónico para alertas de gravedad alta debe estar habilitada.	Para asegurarse de que las personas pertinentes de la organización reciban una notificación cuando se produzca una vulneración de seguridad potencial en una de las suscripciones, habilite las notificaciones por correo electrónico de alertas de gravedad alta en Security Center.	AuditIfNotExists, Disabled	1.0.1
La opción para enviar notificaciones por correo electrónico al propietario de la suscripción en relación a alertas de gravedad alta debe estar habilitada.	Para asegurarse de que los propietarios de suscripciones reciban una notificación cuando se produzca una vulneración de seguridad potencial en sus suscripciones, establezca notificaciones por correo electrónico a los propietarios de las suscripciones de alertas de gravedad alta en Security Center.	AuditIfNotExists, Disabled	2.0.0
Establecimiento de los requisitos de seguridad para la fabricación de dispositivos conectados	CMA_0279: Establecer los requisitos de seguridad para la fabricación de dispositivos conectados	Manual, Deshabilitado	1.1.0
Establecimiento de los requisitos de seguridad del personal de terceros	CMA_C1529: Establecer los requisitos de seguridad del personal de terceros	Manual, Deshabilitado	1.1.0
Implementar métodos de entrega de avisos de privacidad	CMA_0324: Implementar métodos de entrega de avisos de privacidad	Manual, Deshabilitado	1.1.0
Implementación de principios de ingeniería de seguridad de los sistemas de información	CMA_0325: Implementar principios de ingeniería de seguridad de los sistemas de información	Manual, Deshabilitado	1.1.0
Generación de informe de evaluación de seguridad	CMA_C1146: Generar informe de evaluación de seguridad	Manual, Deshabilitado	1.1.0
Proporcionar aviso de privacidad	CMA_0414: Proporcionar aviso de privacidad	Manual, Deshabilitado	1.1.0
Requerimiento de que los proveedores de terceros cumplan con los procedimientos y directivas de seguridad del personal	CMA_C1530: Requerir que los proveedores de terceros cumplan con los procedimientos y directivas de seguridad del personal	Manual, Deshabilitado	1.1.0
Restringir las comunicaciones	CMA_0449: Restringir las comunicaciones	Manual, Deshabilitado	1.1.0
Las suscripciones deben tener una dirección de correo electrónico de contacto para los problemas de seguridad	Para asegurarse de que las personas pertinentes de la organización reciban una notificación cuando se produzca una vulneración de seguridad potencial en una de las suscripciones, establezca un contacto de seguridad para la recepción de notificaciones por correo electrónico de Security Center.	AuditIfNotExists, Disabled	1.0.1

Evaluación de riesgos

Principio 6 de COSO

Id.: SOC 2 tipo 2 CC3.1 Propiedad: compartido

Nombre _{(Azure Portal)}	Descripción	Efectos	Versión _(GitHub)
Clasificación de la información	CMA_0052: Clasificar la información	Manual, Deshabilitado	1.1.0
Determinación de las necesidades de protección de la información	CMA_C1750: Determinar las necesidades de protección de la información	Manual, Deshabilitado	1.1.0
Desarrollo de esquemas de clasificación empresarial	CMA_0155: Desarrollar esquemas de clasificación empresarial	Manual, Deshabilitado	1.1.0
Desarrollo de SSP que cumpla los criterios	CMA_C1492: Desarrollar SSP que cumpla los criterios	Manual, Deshabilitado	1.1.0
Establecimiento de una estrategia de administración de riesgos	CMA_0258: Establecer una estrategia de administración de riesgos	Manual, Deshabilitado	1.1.0
Realización de una evaluación de riesgos	CMA_0388: Realizar una evaluación de riesgos	Manual, Deshabilitado	1.1.0
Revisar la actividad y el análisis de etiquetas	CMA_0474: Revisar la actividad y el análisis de etiquetas	Manual, Deshabilitado	1.1.0

Principio 7 de COSO

Id.: SOC 2 tipo 2 CC3.2 Propiedad: compartido

Nombre _{(Azure Portal)}	Descripción	Efectos	Versión _(GitHub)
Clasificación de la información	CMA_0052: Clasificar la información	Manual, Deshabilitado	1.1.0
Determinación de las necesidades de protección de la información	CMA_C1750: Determinar las necesidades de protección de la información	Manual, Deshabilitado	1.1.0
Desarrollo de esquemas de clasificación empresarial	CMA_0155: Desarrollar esquemas de clasificación empresarial	Manual, Deshabilitado	1.1.0
Establecimiento de una estrategia de administración de riesgos	CMA_0258: Establecer una estrategia de administración de riesgos	Manual, Deshabilitado	1.1.0
Realización de una evaluación de riesgos	CMA_0388: Realizar una evaluación de riesgos	Manual, Deshabilitado	1.1.0
Realizar exámenes de vulnerabilidades	CMA_0393: Realizar exámenes de vulnerabilidades	Manual, Deshabilitado	1.1.0
Corregir errores del sistema de información	CMA_0427: Corregir los errores del sistema de información	Manual, Deshabilitado	1.1.0
Revisar la actividad y el análisis de etiquetas	CMA_0474: Revisar la actividad y el análisis de etiquetas	Manual, Deshabilitado	1.1.0
La evaluación de vulnerabilidades debe estar habilitada en Instancia administrada de SQL	Audita cada servicio SQL Managed Instance que no tiene habilitado los exámenes de evaluación de vulnerabilidades periódicos. La evaluación de vulnerabilidades permite detectar las vulnerabilidades potenciales de la base de datos, así como hacer un seguimiento y ayudar a corregirlas.	AuditIfNotExists, Disabled	1.0.1
La evaluación de vulnerabilidades debe estar activada en sus servidores de SQL Server	Auditoría de los servidores Azure SQL que no tienen configurada correctamente la evaluación de vulnerabilidades. La evaluación de vulnerabilidades permite detectar las vulnerabilidades potenciales de la base de datos, así como hacer un seguimiento y ayudar a corregirlas.	AuditIfNotExists, Disabled	3.0.0

Principio 8 de COSO

Id.: SOC 2 tipo 2 CC3.3 Propiedad: compartido

Nombre _{(Azure Portal)}	Descripción	Efectos	Versión _(GitHub)
Realización de una evaluación de riesgos	CMA_0388: Realizar una evaluación de riesgos	Manual, Deshabilitado	1.1.0

Principio 9 de COSO

Id.: SOC 2 tipo 2 CC3.4 Propiedad: compartido

Nombre _{(Azure Portal)}	Descripción	Efectos	Versión _(GitHub)
Evaluación del riesgo en las relaciones de terceros	CMA_0014: Evaluar el riesgo en las relaciones de terceros	Manual, Deshabilitado	1.1.0
Definición de los requisitos para el suministro de bienes y servicios	CMA_0126: Definir los requisitos para el suministro de bienes y servicios	Manual, Deshabilitado	1.1.0
Determinación de las obligaciones del contrato de proveedor	CMA_0140: Determinar las obligaciones del contrato de proveedor	Manual, Deshabilitado	1.1.0
Establecimiento de una estrategia de administración de riesgos	CMA_0258: Establecer una estrategia de administración de riesgos	Manual, Deshabilitado	1.1.0
Establecimiento de las directivas para la administración de riesgos de la cadena de suministro	CMA_0275: Establecer las directivas para la administración de riesgos de la cadena de suministro	Manual, Deshabilitado	1.1.0
Realización de una evaluación de riesgos	CMA_0388: Realizar una evaluación de riesgos	Manual, Deshabilitado	1.1.0

Actividades de supervisión

Principio 16 de COSO

Id.: SOC 2 tipo 2 CC4.1 Propiedad: compartido

Nombre _{(Azure Portal)}	Descripción	Efectos	Versión _(GitHub)
Evaluación de los controles de seguridad	CMA_C1145: Evaluar los controles de seguridad	Manual, Deshabilitado	1.1.0
Desarrollo del plan de evaluación de seguridad	CMA_C1144: Desarrollar el plan de evaluación de seguridad	Manual, Deshabilitado	1.1.0
Selección de pruebas adicionales para evaluaciones de control de seguridad	CMA_C1149: Seleccionar pruebas adicionales para las evaluaciones de control de seguridad	Manual, Deshabilitado	1.1.0

Principio 17 de COSO

Id.: SOC 2 tipo 2 CC4.2 Propiedad: compartido

Nombre _{(Azure Portal)}	Descripción	Efectos	Versión _(GitHub)
Entregar los resultados de la evaluación de seguridad	CMA_C1147: Entregar los resultados de la evaluación de seguridad	Manual, Deshabilitado	1.1.0
Generación de informe de evaluación de seguridad	CMA_C1146: Generar informe de evaluación de seguridad	Manual, Deshabilitado	1.1.0

Actividades de control

Principio 10 de COSO

Id.: SOC 2 tipo 2 CC5.1 Propiedad: compartido

Nombre _{(Azure Portal)}	Descripción	Efectos	Versión _(GitHub)
Establecer una estrategia de administración de riesgos	CMA_0258: Establecer una estrategia de administración de riesgos	Manual, Deshabilitado	1.1.0
Realización de una evaluación de riesgos	CMA_0388: Realizar una evaluación de riesgos	Manual, Deshabilitado	1.1.0

Principio 11 de COSO

Id.: SOC 2 tipo 2 CC5.2 Propiedad: compartido

Principio 12 de COSO

Id.: SOC 2 tipo 2 CC5.3 Propiedad: compartido

Nombre _{(Azure Portal)}	Descripción	Efectos	Versión _(GitHub)
Configuración de la lista de permitidos para la detección	CMA_0068: Configurar la lista de permitidos para la detección	Manual, Deshabilitado	1.1.0
Realización de una evaluación de riesgos	CMA_0388: Realizar una evaluación de riesgos	Manual, Deshabilitado	1.1.0
Habilitar sensores para la solución de seguridad de punto de conexión	CMA_0514: Habilitar sensores para la solución de seguridad de punto de conexión	Manual, Deshabilitado	1.1.0
Sometimiento a una revisión de seguridad independiente	CMA_0515: Someterse a una revisión de seguridad independiente	Manual, Deshabilitado	1.1.0

Controles de acceso lógicos y físicos

Software, infraestructura y arquitecturas de seguridad de acceso lógico

Id.: SOC 2 tipo 2 CC6.1 Propiedad: compartido

Nombre _{(Azure Portal)}	Descripción	Efectos	Versión _(GitHub)
Debe designar un máximo de tres propietarios para la suscripción	Se recomienda que designe a un máximo de tres propietarios de suscripción para reducir el riesgo de una brecha de seguridad por parte de un propietario en peligro.	AuditIfNotExists, Disabled	3.0.0
Deben estar habilitadas para MFA las cuentas con permisos de propietario de los recursos de Azure.	Multi-Factor Authentication (MFA) debe estar habilitada para todas las cuentas de la suscripción que tengan permisos de propietario, a fin de evitar una brecha de seguridad en las cuentas o los recursos.	AuditIfNotExists, Disabled	1.0.0
Deben estar habilitadas para MFA las cuentas con permisos de lectura de los recursos de Azure.	Multi-Factor Authentication (MFA) debe estar habilitada para todas las cuentas de la suscripción que tengan permisos de lectura, a fin de evitar una brecha de seguridad en las cuentas o los recursos.	AuditIfNotExists, Disabled	1.0.0
Deben estar habilitadas para MFA las cuentas con permisos de escritura de los recursos de Azure.	Multi-Factor Authentication (MFA) debe estar habilitada para todas las cuentas de la suscripción que tengan permisos de escritura, a fin de evitar una brecha de seguridad en las cuentas o los recursos.	AuditIfNotExists, Disabled	1.0.0
Adopción de mecanismos de autenticación biométrica	CMA_0005: adopción de mecanismos de autenticación biométrica	Manual, Deshabilitado	1.1.0
Todos los puertos de red deben estar restringidos en los grupos de seguridad de red asociados a la máquina virtual	Azure Security Center identificó que algunas de las reglas de entrada de sus grupos de seguridad de red son demasiado permisivas. Las reglas de entrada no deben permitir el acceso desde los intervalos "Cualquiera" o "Internet". Esto podría permitir que los atacantes pudieran acceder a sus recursos.	AuditIfNotExists, Disabled	3.0.0
Las aplicaciones de App Service solo deben ser accesibles a través de HTTPS	El uso de HTTPS garantiza la autenticación del servicio y el servidor, y protege los datos en tránsito frente a ataques de intercepción de nivel de red.	Audit, Disabled, Deny	4.0.0
Las aplicaciones de App Service deben requerir solo FTPS	Habilite el cumplimiento con FTPS para mejorar la seguridad.	AuditIfNotExists, Disabled	3.0.0
La autenticación en máquinas Linux debe requerir claves SSH.	Aunque el propio SSH proporciona una conexión cifrada, el uso de contraseñas con SSH deja la máquina virtual vulnerable a ataques por fuerza bruta. La opción más segura para autenticarse en una máquina virtual Linux de Azure mediante SSH es con un par de claves pública y privada, también conocido como claves SSH. Más información: https://docs.microsoft.com/azure/virtual-machines/linux/create-ssh-keys-detailed.	AuditIfNotExists, Disabled	2.4.0
Autorizar el acceso a las funciones e información de seguridad	CMA_0022: Autorizar el acceso a las funciones e información de seguridad	Manual, Deshabilitado	1.1.0
Autorización y administración del acceso	CMA_0023: Autorizar y administrar el acceso	Manual, Deshabilitado	1.1.0
Autorizar acceso remoto	CMA_0024: Autorizar acceso remoto	Manual, Deshabilitado	1.1.0
Las variables de cuenta de Automation deben cifrarse	Es importante habilitar el cifrado de recursos de variables de cuentas de Automation al almacenar datos confidenciales.	Audit, Deny, Disabled	1.1.0
Los recursos de los Servicios de Azure AI deberían cifrar los datos en reposo con una clave administrada por el cliente (CMK)	El uso de claves administradas por el cliente para cifrar los datos en reposo proporciona más control sobre el ciclo de vida de las claves, incluida la rotación y la administración. Esto es especialmente relevante para las organizaciones con requisitos de cumplimiento relacionados. Esto no se evalúa de forma predeterminada y solo se debe aplicar cuando lo requieran los requisitos de directivas restrictivas o de cumplimiento. Si no está habilitado, los datos se cifrarán mediante claves administradas por la plataforma. Para implementar esto, actualice el parámetro "Effect" en la directiva de seguridad para el ámbito aplicable.	Audit, Deny, Disabled	2.2.0
Las cuentas de Azure Cosmos DB deben usar claves administradas por el cliente para cifrar los datos en reposo	Use claves administradas por el cliente para administrar el cifrado en reposo de la instancia de Azure Cosmos DB. De manera predeterminada, los datos se cifran en reposo con claves administradas por el servicio, pero las claves administradas por el cliente suelen ser necesarias para cumplir estándares de cumplimiento normativo. Las claves administradas por el cliente permiten cifrar los datos con una clave de Azure Key Vault creada por el usuario y propiedad de este. Tiene control y responsabilidad totales del ciclo de vida de la clave, incluidos la rotación y administración. Obtenga más información en https://aka.ms/cosmosdb-cmk.	audit, Audit, deny, Deny, disabled, Disabled	1.1.0
Las áreas de trabajo de Azure Machine Learning deben cifrarse con una clave administrada por el cliente.	Administre el cifrado en reposo de los datos del área de trabajo de Azure Machine Learning con claves administradas por el cliente. De manera predeterminada, los datos del cliente se cifran con claves administradas por el servicio, pero las claves administradas por el cliente suelen ser necesarias para cumplir estándares de cumplimiento normativo. Las claves administradas por el cliente permiten cifrar los datos con una clave de Azure Key Vault creada por el usuario y propiedad de este. Tiene control y responsabilidad totales del ciclo de vida de la clave, incluidos la rotación y administración. Obtenga más información en https://aka.ms/azureml-workspaces-cmk.	Audit, Deny, Disabled	1.1.0
Deben quitarse las cuentas bloqueadas con permisos de propietario de los recursos de Azure.	Quitar de la suscripción las cuentas en desuso con permisos de propietario Las cuentas en desuso son cuentas en las que se ha bloqueado el inicio de sesión.	AuditIfNotExists, Disabled	1.0.0
Los registros de contenedor deben cifrarse con una clave administrada por el cliente	Use claves administradas por el cliente para administrar el cifrado en reposo del contenido de los registros. De manera predeterminada, los datos se cifran en reposo con claves administradas por el servicio, pero las claves administradas por el cliente suelen ser necesarias para cumplir estándares de cumplimiento normativo. Las claves administradas por el cliente permiten cifrar los datos con una clave de Azure Key Vault creada por el usuario y propiedad de este. Tiene control y responsabilidad totales del ciclo de vida de la clave, incluidos la rotación y administración. Obtenga más información en https://aka.ms/acr/CMK.	Audit, Deny, Disabled	1.1.2
Flujo de la información de control	CMA_0079: Flujo de la información de control	Manual, Deshabilitado	1.1.0
Controlar el acceso físico	CMA_0081: Controlar el acceso físico	Manual, Deshabilitado	1.1.0
Creación de un inventario de datos	CMA_0096: Crear un inventario de datos	Manual, Deshabilitado	1.1.0
Definir un proceso de administración de claves físicas	CMA_0115: Definir un proceso de administración de claves físicas	Manual, Deshabilitado	1.1.0
Definir el uso criptográfico	CMA_0120: Definir el uso criptográfico	Manual, Deshabilitado	1.1.0
Definir los requisitos de la organización para la administración de claves criptográficas	CMA_0123: Definir los requisitos de la organización para la administración de claves criptográficas	Manual, Deshabilitado	1.1.0
Diseñar un modelo de control de acceso	CMA_0129: Diseñar un modelo de control de acceso	Manual, Deshabilitado	1.1.0
Determinar los requisitos de aserción	CMA_0136: Determinar los requisitos de aserción	Manual, Deshabilitado	1.1.0
Entrenamiento de movilidad de documentos	CMA_0191: Entrenamiento de movilidad de documentos	Manual, Deshabilitado	1.1.0
Documentar las directrices de acceso remoto	CMA_0196: Documentar las directrices de acceso remoto	Manual, Deshabilitado	1.1.0
Usar mecanismos de control de flujo de información cifrada	CMA_0211: Usar mecanismos de control de flujo de información cifrada	Manual, Deshabilitado	1.1.0
Emplear el acceso con privilegios mínimos	CMA_0212: Emplear el acceso con privilegios mínimos	Manual, Deshabilitado	1.1.0
Aplicar el acceso lógico	CMA_0245: Aplicar el acceso lógico	Manual, Deshabilitado	1.1.0
Aplicar directivas de control de acceso obligatorias y discrecionales	CMA_0246: Aplicar directivas de control de acceso obligatorias y discrecionales	Manual, Deshabilitado	1.1.0
Exigir una conexión SSL debe estar habilitado en los servidores de bases de datos MySQL	Azure Database for MySQL permite conectar el servidor de Azure Database for MySQL con aplicaciones cliente mediante Capa de sockets seguros (SSL). La aplicación de conexiones SSL entre el servidor de bases de datos y las aplicaciones cliente facilita la protección frente a ataques de tipo "Man in the middle" al cifrar el flujo de datos entre el servidor y la aplicación. Esta configuración exige que SSL esté siempre habilitado para el acceso al servidor de bases de datos.	Audit, Disabled	1.0.1
La aplicación de la conexión SSL debe estar habilitada para los servidores de base de datos PostgreSQL	Azure Database for PostgreSQL permite conectar el servidor de Azure Database for PostgreSQL a las aplicaciones cliente mediante la Capa de sockets seguros (SSL). La aplicación de conexiones SSL entre el servidor de bases de datos y las aplicaciones cliente facilita la protección frente a ataques de tipo "Man in the middle" al cifrar el flujo de datos entre el servidor y la aplicación. Esta configuración exige que SSL esté siempre habilitado para el acceso al servidor de bases de datos.	Audit, Disabled	1.0.1
Establecer un procedimiento de administración de pérdida de datos	CMA_0255: Establecer un procedimiento de administración de pérdida de datos	Manual, Deshabilitado	1.1.0
Establecer estándares de configuración de firewall y enrutador	CMA_0272: Establecer estándares de configuración de firewall y enrutador	Manual, Deshabilitado	1.1.0
Establecimiento de la segmentación de red para el entorno de datos del titular de la tarjeta	CMA_0273: Establecer la segmentación de red para el entorno de datos del titular de la tarjeta	Manual, Deshabilitado	1.1.0
Las aplicaciones de funciones solo deberían ser accesibles a través de HTTPS	El uso de HTTPS garantiza la autenticación del servicio y el servidor, y protege los datos en tránsito frente a ataques de intercepción de nivel de red.	Audit, Disabled, Deny	5.0.0
Las aplicaciones de funciones solo deben requerir FTPS	Habilite el cumplimiento con FTPS para mejorar la seguridad.	AuditIfNotExists, Disabled	3.0.0
Las aplicaciones de funciones deben usar la última versión de TLS	Se publican versiones más recientes de TLS de forma periódica debido a brechas de seguridad, para incluir más funcionalidad e incrementar la velocidad. Actualice a la última versión de TLS para las aplicaciones de funciones con el fin de aprovechar las correcciones de seguridad, en caso de haberlas, o las nuevas funcionalidades de la última versión.	AuditIfNotExists, Disabled	2.1.0
Deben quitarse las cuentas de invitado con permisos de propietario de los recursos de Azure.	Las cuentas externas con permisos de propietario deben quitarse de la suscripción a fin de evitar el acceso no supervisado.	AuditIfNotExists, Disabled	1.0.0
Identificar y administrar intercambios de información de nivel inferior	CMA_0298: Identificar y administrar los intercambios de información de nivel inferior	Manual, Deshabilitado	1.1.0
Implementar controles para proteger sitios de trabajo alternativos	CMA_0315: Implementar controles para proteger sitios de trabajo alternativos	Manual, Deshabilitado	1.1.0
Implementación de la seguridad física para las oficinas, áreas de trabajo y áreas seguras	CMA_0323: Implementar la seguridad física para las oficinas, áreas de trabajo y áreas seguras	Manual, Deshabilitado	1.1.0
Las máquinas virtuales accesibles desde Internet deben estar protegidas con grupos de seguridad de red	Proteja sus máquinas virtuales de posibles amenazas limitando el acceso a ellas con grupos de seguridad de red (NSG). Más información sobre cómo controlar el tráfico con los grupos de seguridad de red en https://aka.ms/nsg-doc.	AuditIfNotExists, Disabled	3.0.0
Emisión de certificados de clave pública	CMA_0347: Emitir certificados de clave pública	Manual, Deshabilitado	1.1.0
Los almacenes de claves deben tener habilitada la protección contra eliminación	La eliminación malintencionada de un almacén de claves puede provocar una pérdida de datos permanente. Puede evitar la pérdida permanente de datos habilitando la protección de purga y la eliminación temporal. La protección contra purgas le protege frente a ataques internos mediante la aplicación de un período de retención obligatorio para almacenes de claves eliminados temporalmente. Ningún usuario de su organización o Microsoft podrá purgar los almacenes de claves durante el período de retención de eliminación temporal. Tenga en cuenta que los almacenes de claves creados después del 1 de septiembre de 2019 tienen habilitada la eliminación temporal de manera predeterminada.	Audit, Deny, Disabled	2.1.0
Los almacenes de claves deben tener habilitada la eliminación temporal	Si se elimina un almacén de claves que no tenga habilitada la eliminación temporal, se eliminarán permanentemente todos los secretos, claves y certificados almacenados en ese almacén de claves. La eliminación accidental de un almacén de claves puede provocar una pérdida de datos permanente. La eliminación temporal permite recuperar un almacén de claves eliminado accidentalmente durante un período de retención configurable.	Audit, Deny, Disabled	3.0.0
Los clústeres de Kubernetes solo deben ser accesibles mediante HTTPS	El uso de HTTPS garantiza la autenticación y protege los datos en tránsito frente a ataques de intercepción de nivel de red. Esta capacidad está disponible actualmente con carácter general para Kubernetes Service (AKS) y en versión preliminar para Kubernetes habilitado para Azure Arc. Para más información, visite https://aka.ms/kubepolicydoc	audit, Audit, deny, Deny, disabled, Disabled	9.1.0
Mantenimiento de registros de procesamiento de datos personales	CMA_0353: Mantener registros de procesamiento de datos personales	Manual, Deshabilitado	1.1.0
Administración de claves criptográficas simétricas	CMA_0367: Administrar las claves criptográficas simétricas	Manual, Deshabilitado	1.1.0
Administrar la entrada, la salida, el procesamiento y el almacenamiento de los datos	CMA_0369: Administrar la entrada, la salida, el procesamiento y el almacenamiento de los datos	Manual, Deshabilitado	1.1.0
Los puertos de administración de las máquinas virtuales deben protegerse con el control de acceso de red Just-In-Time.	Azure Security Center supervisará el posible acceso de red Just-In-Time (JIT) como recomendaciones.	AuditIfNotExists, Disabled	3.0.0
Se deben cerrar los puertos de administración en las máquinas virtuales	Los puertos de administración remota abiertos exponen la máquina virtual a un alto nivel de riesgo de recibir ataques basados en Internet. Estos ataques intentan averiguar las credenciales por medio de fuerza bruta a fin de obtener acceso de administrador a la máquina	AuditIfNotExists, Disabled	3.0.0
Las máquinas virtuales sin conexión a Internet deben protegerse con grupos de seguridad de red	Proteja las máquinas virtuales no accesibles desde Internet de posibles amenazas limitando el acceso con grupos de seguridad de red (NSG). Más información sobre cómo controlar el tráfico con los grupos de seguridad de red en https://aka.ms/nsg-doc.	AuditIfNotExists, Disabled	3.0.0
Notificación a los usuarios del inicio de sesión o el acceso al sistema	CMA_0382: Notificar a los usuarios el inicio de sesión o el acceso al sistema	Manual, Deshabilitado	1.1.0
Solo se deben habilitar las conexiones seguras a la instancia de Azure Cache for Redis.	Permite auditar la habilitación solo de conexiones a Azure Cache for Redis a través de SSL. El uso de conexiones seguras garantiza la autenticación entre el servidor y el servicio, y protege los datos en tránsito de ataques de nivel de red, como "man in-the-middle", interceptación y secuestro de sesión	Audit, Deny, Disabled	1.0.0
Proteger de datos en tránsito mediante cifrado	CMA_0403: Proteger los datos en tránsito mediante el cifrado	Manual, Deshabilitado	1.1.0
Proteger información especial	CMA_0409: Proteger información especial	Manual, Deshabilitado	1.1.0
Proporcionar entrenamiento sobre la privacidad	CMA_0415: Proporcionar entrenamiento sobre la privacidad	Manual, Deshabilitado	1.1.0
Requerir aprobación para la creación de cuentas	CMA_0431: Requerir aprobación para la creación de cuentas	Manual, Deshabilitado	1.1.0
Restringir el acceso a las claves privadas	CMA_0445: Restringir el acceso a las claves privadas	Manual, Deshabilitado	1.1.0
Revisar grupos de usuarios y aplicaciones con acceso a datos confidenciales	CMA_0481: Revisar grupos de usuarios y aplicaciones con acceso a datos confidenciales	Manual, Deshabilitado	1.1.0
Se debe habilitar la transferencia segura a las cuentas de almacenamiento	Permite auditar el requisito de transferencia segura en la cuenta de almacenamiento. La transferencia segura es una opción que obliga a la cuenta de almacenamiento a aceptar solamente solicitudes de conexiones seguras (HTTPS). El uso de HTTPS garantiza la autenticación entre el servidor y el servicio, y protege los datos en tránsito de ataques de nivel de red, como los de tipo "Man in the middle", interceptación y secuestro de sesión	Audit, Deny, Disabled	2.0.0
Se debe establecer la propiedad ClusterProtectionLevel en EncryptAndSign en los clústeres de Service Fabric	Service Fabric proporciona tres niveles de protección (None, Sign y EncryptAndSign) para la comunicación de nodo a nodo mediante un certificado de clúster principal. Establezca el nivel de protección para asegurarse de que todos los mensajes de nodo a nodo se cifran y se firman digitalmente.	Audit, Deny, Disabled	1.1.0
Las instancias administradas de SQL deben usar claves administradas por el cliente para cifrar los datos en reposo	La implementación de Cifrado de datos transparente (TDE) con una clave propia proporciona una mayor transparencia y control sobre el protector de TDE, ofrece mayor seguridad con un servicio externo respaldado con HSM y permite la separación de tareas. Esta recomendación se aplica a las organizaciones con un requisito de cumplimiento relacionado.	Audit, Deny, Disabled	2.0.0
Los servidores SQL deben usar claves administradas por el cliente para cifrar los datos en reposo	La implementación de Cifrado de datos transparente (TDE) con una clave propia proporciona una mayor transparencia y control sobre el protector de TDE, ofrece mayor seguridad con un servicio externo respaldado con HSM y permite la separación de tareas. Esta recomendación se aplica a las organizaciones con un requisito de cumplimiento relacionado.	Audit, Deny, Disabled	2.0.1
La cuenta de almacenamiento que contiene el contenedor con los registros de actividad debe estar cifrada con BYOK	Esta directiva audita si la cuenta de almacenamiento que contiene el contenedor con los registros de actividad está cifrada con BYOK. Esta directiva solo funciona si la cuenta de almacenamiento se encuentra en la misma suscripción que los registros de actividad por diseño. Se puede encontrar más información sobre el cifrado de Azure Storage en reposo en https://aka.ms/azurestoragebyok.	AuditIfNotExists, Disabled	1.0.0
Las cuentas de almacenamiento deben utilizar una clave administrada por el cliente para el cifrado	Proteja su cuenta de almacenamiento de blobs y archivos con mayor flexibilidad mediante claves administradas por el cliente. Cuando se especifica una clave administrada por el cliente, esa clave se usa para proteger y controlar el acceso a la clave que cifra los datos. El uso de claves administradas por el cliente proporciona funcionalidades adicionales para controlar la rotación de la clave de cifrado de claves o para borrar datos mediante criptografía.	Audit, Disabled	1.0.3
Las subredes deben estar asociadas con un grupo de seguridad de red.	Proteja la subred de posibles amenazas mediante la restricción del acceso con un grupo de seguridad de red (NSG). Estos grupos contienen las reglas de la lista de control de acceso (ACL) que permiten o deniegan el tráfico de red a la subred.	AuditIfNotExists, Disabled	3.0.0
Debe haber más de un propietario asignado a la suscripción	Se recomienda que designe a más de un propietario de la suscripción para tener redundancia de acceso de administrador.	AuditIfNotExists, Disabled	3.0.0
El cifrado de datos transparente en bases de datos SQL debe estar habilitado	El cifrado de datos transparente debe estar habilitado para proteger los datos en reposo y satisfacer los requisitos de cumplimiento.	AuditIfNotExists, Disabled	2.0.0
Las máquinas Windows deben configurarse para usar protocolos de comunicación seguros	Para proteger la privacidad de la información que se comunica a través de Internet, las máquinas deben usar la versión más reciente del protocolo criptográfico estándar del sector, Seguridad de la capa de transporte (TLS). TLS protege las comunicaciones que se realizan a través de una red para cifrar una conexión entre máquinas.	AuditIfNotExists, Disabled	3.0.1

Acceso al aprovisionamiento y eliminación

Id.: SOC 2 tipo 2 CC6.2 Propiedad: compartido

Nombre _{(Azure Portal)}	Descripción	Efectos	Versión _(GitHub)
Asignar administradores de cuentas	CMA_0015: Asignar administradores de cuentas	Manual, Deshabilitado	1.1.0
Auditar el estado de la cuenta de usuario	CMA_0020: Auditar el estado de la cuenta de usuario	Manual, Deshabilitado	1.1.0
Deben quitarse las cuentas bloqueadas con permisos de lectura y escritura de los recursos de Azure.	Convendría eliminar las cuentas en desuso de las suscripciones. Las cuentas en desuso son cuentas en las que se ha bloqueado el inicio de sesión.	AuditIfNotExists, Disabled	1.0.0
Privilegios de acceso del documento	CMA_0186: Privilegios de acceso del documento	Manual, Deshabilitado	1.1.0
Establecimiento de condiciones para la pertenencia a roles	CMA_0269: Establecer las condiciones para la pertenencia a roles	Manual, Deshabilitado	1.1.0
Deben quitarse las cuentas de invitado con permisos de lectura de los recursos de Azure.	Las cuentas externas con privilegios de lectura deben quitarse de la suscripción a fin de evitar el acceso no supervisado.	AuditIfNotExists, Disabled	1.0.0
Deben quitarse las cuentas de invitado con permisos de escritura de los recursos de Azure.	Las cuentas externas con privilegios de escritura deben quitarse de la suscripción a fin de evitar el acceso no supervisado.	AuditIfNotExists, Disabled	1.0.0
Requerir aprobación para la creación de cuentas	CMA_0431: Requerir aprobación para la creación de cuentas	Manual, Deshabilitado	1.1.0
Restringir el acceso a las cuentas con privilegios	CMA_0446: Restringir el acceso a las cuentas con privilegios	Manual, Deshabilitado	1.1.0
Revisar los registros de aprovisionamiento de cuentas	CMA_0460: Revisar los registros de aprovisionamiento de cuentas	Manual, Deshabilitado	1.1.0
Revisar las cuentas de usuario	CMA_0480: Revisar cuentas de usuario	Manual, Deshabilitado	1.1.0

Acceso basado en roles y privilegios mínimos

Id.: SOC 2 tipo 2 CC6.3 Propiedad: compartido

Nombre _{(Azure Portal)}	Descripción	Efectos	Versión _(GitHub)
Debe designar un máximo de tres propietarios para la suscripción	Se recomienda que designe a un máximo de tres propietarios de suscripción para reducir el riesgo de una brecha de seguridad por parte de un propietario en peligro.	AuditIfNotExists, Disabled	3.0.0
Auditar funciones con privilegios	CMA_0019: Auditar funciones con privilegios	Manual, Deshabilitado	1.1.0
Auditar el uso de roles RBAC personalizados	Permite auditar roles integrados, como "propietario, colaborador, lector" en lugar de roles RBAC personalizados, que son propensos a errores de auditoría. El uso de roles personalizados se trata como una excepción y requiere una revisión rigurosa y el modelado de amenazas.	Audit, Disabled	1.0.1
Auditar el estado de la cuenta de usuario	CMA_0020: Auditar el estado de la cuenta de usuario	Manual, Deshabilitado	1.1.0
Deben quitarse las cuentas bloqueadas con permisos de propietario de los recursos de Azure.	Quitar de la suscripción las cuentas en desuso con permisos de propietario Las cuentas en desuso son cuentas en las que se ha bloqueado el inicio de sesión.	AuditIfNotExists, Disabled	1.0.0
Deben quitarse las cuentas bloqueadas con permisos de lectura y escritura de los recursos de Azure.	Convendría eliminar las cuentas en desuso de las suscripciones. Las cuentas en desuso son cuentas en las que se ha bloqueado el inicio de sesión.	AuditIfNotExists, Disabled	1.0.0
Diseñar un modelo de control de acceso	CMA_0129: Diseñar un modelo de control de acceso	Manual, Deshabilitado	1.1.0
Emplear el acceso con privilegios mínimos	CMA_0212: Emplear el acceso con privilegios mínimos	Manual, Deshabilitado	1.1.0
Deben quitarse las cuentas de invitado con permisos de propietario de los recursos de Azure.	Las cuentas externas con permisos de propietario deben quitarse de la suscripción a fin de evitar el acceso no supervisado.	AuditIfNotExists, Disabled	1.0.0
Deben quitarse las cuentas de invitado con permisos de lectura de los recursos de Azure.	Las cuentas externas con privilegios de lectura deben quitarse de la suscripción a fin de evitar el acceso no supervisado.	AuditIfNotExists, Disabled	1.0.0
Deben quitarse las cuentas de invitado con permisos de escritura de los recursos de Azure.	Las cuentas externas con privilegios de escritura deben quitarse de la suscripción a fin de evitar el acceso no supervisado.	AuditIfNotExists, Disabled	1.0.0
Supervisión de la asignación de roles con privilegios	CMA_0378: Supervisar la asignación de roles con privilegios	Manual, Deshabilitado	1.1.0
Restringir el acceso a las cuentas con privilegios	CMA_0446: Restringir el acceso a las cuentas con privilegios	Manual, Deshabilitado	1.1.0
Revisar los registros de aprovisionamiento de cuentas	CMA_0460: Revisar los registros de aprovisionamiento de cuentas	Manual, Deshabilitado	1.1.0
Revisar las cuentas de usuario	CMA_0480: Revisar cuentas de usuario	Manual, Deshabilitado	1.1.0
Revisar privilegios de usuario	CMA_C1039: Revisar privilegios de usuario	Manual, Deshabilitado	1.1.0
Revocar roles con privilegios según corresponda	CMA_0483: Revocar roles con privilegios según corresponda	Manual, Deshabilitado	1.1.0
Se debe usar el control de acceso basado en rol (RBAC) en los servicios de Kubernetes	Para proporcionar un filtrado detallado de las acciones que los usuarios pueden realizar, use el control de acceso basado en rol (RBAC) para administrar los permisos en los clústeres de Kubernetes Service y configurar las directivas de autorización correspondientes.	Audit, Disabled	1.0.4
Debe haber más de un propietario asignado a la suscripción	Se recomienda que designe a más de un propietario de la suscripción para tener redundancia de acceso de administrador.	AuditIfNotExists, Disabled	3.0.0
Usar Privileged Identity Management	CMA_0533: Usar Privileged Identity Management	Manual, Deshabilitado	1.1.0

Acceso físico restringido

Id.: SOC 2 tipo 2 CC6.4 Propiedad: compartido

Nombre _{(Azure Portal)}	Descripción	Efectos	Versión _(GitHub)
Controlar el acceso físico	CMA_0081: Controlar el acceso físico	Manual, Deshabilitado	1.1.0

Protecciones lógicas y físicas sobre recursos físicos

Id.: SOC 2 tipo 2 CC6.5 Propiedad: compartido

Nombre _{(Azure Portal)}	Descripción	Efectos	Versión _(GitHub)
Uso de un mecanismo de saneamiento de elementos multimedia	CMA_0208: Usar un mecanismo de saneamiento de elementos multimedia	Manual, Deshabilitado	1.1.0
Implementar controles para proteger todos los medios	CMA_0314: Implementar los controles para proteger todos los medios	Manual, Deshabilitado	1.1.0

Medidas de seguridad contra amenazas fuera de los límites del sistema

Id.: SOC 2 tipo 2 CC6.6 Propiedad: compartido

Nombre _{(Azure Portal)}	Descripción	Efectos	Versión _(GitHub)
Deben estar habilitadas para MFA las cuentas con permisos de propietario de los recursos de Azure.	Multi-Factor Authentication (MFA) debe estar habilitada para todas las cuentas de la suscripción que tengan permisos de propietario, a fin de evitar una brecha de seguridad en las cuentas o los recursos.	AuditIfNotExists, Disabled	1.0.0
Deben estar habilitadas para MFA las cuentas con permisos de lectura de los recursos de Azure.	Multi-Factor Authentication (MFA) debe estar habilitada para todas las cuentas de la suscripción que tengan permisos de lectura, a fin de evitar una brecha de seguridad en las cuentas o los recursos.	AuditIfNotExists, Disabled	1.0.0
Deben estar habilitadas para MFA las cuentas con permisos de escritura de los recursos de Azure.	Multi-Factor Authentication (MFA) debe estar habilitada para todas las cuentas de la suscripción que tengan permisos de escritura, a fin de evitar una brecha de seguridad en las cuentas o los recursos.	AuditIfNotExists, Disabled	1.0.0
Adopción de mecanismos de autenticación biométrica	CMA_0005: adopción de mecanismos de autenticación biométrica	Manual, Deshabilitado	1.1.0
Todos los puertos de red deben estar restringidos en los grupos de seguridad de red asociados a la máquina virtual	Azure Security Center identificó que algunas de las reglas de entrada de sus grupos de seguridad de red son demasiado permisivas. Las reglas de entrada no deben permitir el acceso desde los intervalos "Cualquiera" o "Internet". Esto podría permitir que los atacantes pudieran acceder a sus recursos.	AuditIfNotExists, Disabled	3.0.0
Las aplicaciones de App Service solo deben ser accesibles a través de HTTPS	El uso de HTTPS garantiza la autenticación del servicio y el servidor, y protege los datos en tránsito frente a ataques de intercepción de nivel de red.	Audit, Disabled, Deny	4.0.0
Las aplicaciones de App Service deben requerir solo FTPS	Habilite el cumplimiento con FTPS para mejorar la seguridad.	AuditIfNotExists, Disabled	3.0.0
La autenticación en máquinas Linux debe requerir claves SSH.	Aunque el propio SSH proporciona una conexión cifrada, el uso de contraseñas con SSH deja la máquina virtual vulnerable a ataques por fuerza bruta. La opción más segura para autenticarse en una máquina virtual Linux de Azure mediante SSH es con un par de claves pública y privada, también conocido como claves SSH. Más información: https://docs.microsoft.com/azure/virtual-machines/linux/create-ssh-keys-detailed.	AuditIfNotExists, Disabled	2.4.0
Autorizar acceso remoto	CMA_0024: Autorizar acceso remoto	Manual, Deshabilitado	1.1.0
Azure Web Application Firewall debe estar habilitado para los puntos de entrada de Azure Front Door	Implemente Azure Web Application Firewall (WAF) delante de las aplicaciones web de acceso público para una inspección adicional del tráfico entrante. Web Application Firewall (WAF) ofrece una protección centralizada de las aplicaciones web frente a vulnerabilidades de seguridad comunes, como la inyección de SQL, el scripting entre sitios y las ejecuciones de archivos locales y remotas. También permite restringir el acceso a las aplicaciones web por países, intervalos de direcciones IP y otros parámetros http(s) por medio de reglas personalizadas.	Audit, Deny, Disabled	1.0.2
Flujo de la información de control	CMA_0079: Flujo de la información de control	Manual, Deshabilitado	1.1.0
Entrenamiento de movilidad de documentos	CMA_0191: Entrenamiento de movilidad de documentos	Manual, Deshabilitado	1.1.0
Documentar las directrices de acceso remoto	CMA_0196: Documentar las directrices de acceso remoto	Manual, Deshabilitado	1.1.0
Usar mecanismos de control de flujo de información cifrada	CMA_0211: Usar mecanismos de control de flujo de información cifrada	Manual, Deshabilitado	1.1.0
Exigir una conexión SSL debe estar habilitado en los servidores de bases de datos MySQL	Azure Database for MySQL permite conectar el servidor de Azure Database for MySQL con aplicaciones cliente mediante Capa de sockets seguros (SSL). La aplicación de conexiones SSL entre el servidor de bases de datos y las aplicaciones cliente facilita la protección frente a ataques de tipo "Man in the middle" al cifrar el flujo de datos entre el servidor y la aplicación. Esta configuración exige que SSL esté siempre habilitado para el acceso al servidor de bases de datos.	Audit, Disabled	1.0.1
La aplicación de la conexión SSL debe estar habilitada para los servidores de base de datos PostgreSQL	Azure Database for PostgreSQL permite conectar el servidor de Azure Database for PostgreSQL a las aplicaciones cliente mediante la Capa de sockets seguros (SSL). La aplicación de conexiones SSL entre el servidor de bases de datos y las aplicaciones cliente facilita la protección frente a ataques de tipo "Man in the middle" al cifrar el flujo de datos entre el servidor y la aplicación. Esta configuración exige que SSL esté siempre habilitado para el acceso al servidor de bases de datos.	Audit, Disabled	1.0.1
Establecer estándares de configuración de firewall y enrutador	CMA_0272: Establecer estándares de configuración de firewall y enrutador	Manual, Deshabilitado	1.1.0
Establecimiento de la segmentación de red para el entorno de datos del titular de la tarjeta	CMA_0273: Establecer la segmentación de red para el entorno de datos del titular de la tarjeta	Manual, Deshabilitado	1.1.0
Las aplicaciones de funciones solo deberían ser accesibles a través de HTTPS	El uso de HTTPS garantiza la autenticación del servicio y el servidor, y protege los datos en tránsito frente a ataques de intercepción de nivel de red.	Audit, Disabled, Deny	5.0.0
Las aplicaciones de funciones solo deben requerir FTPS	Habilite el cumplimiento con FTPS para mejorar la seguridad.	AuditIfNotExists, Disabled	3.0.0
Las aplicaciones de funciones deben usar la última versión de TLS	Se publican versiones más recientes de TLS de forma periódica debido a brechas de seguridad, para incluir más funcionalidad e incrementar la velocidad. Actualice a la última versión de TLS para las aplicaciones de funciones con el fin de aprovechar las correcciones de seguridad, en caso de haberlas, o las nuevas funcionalidades de la última versión.	AuditIfNotExists, Disabled	2.1.0
Identificación y autenticación de dispositivos de red	CMA_0296: Identificar y autenticar los dispositivos de red	Manual, Deshabilitado	1.1.0
Identificar y administrar intercambios de información de nivel inferior	CMA_0298: Identificar y administrar los intercambios de información de nivel inferior	Manual, Deshabilitado	1.1.0
Implementar controles para proteger sitios de trabajo alternativos	CMA_0315: Implementar controles para proteger sitios de trabajo alternativos	Manual, Deshabilitado	1.1.0
Implementación de protección de límites del sistema	CMA_0328: Implementar protección de límites del sistema	Manual, Deshabilitado	1.1.0
Las máquinas virtuales accesibles desde Internet deben estar protegidas con grupos de seguridad de red	Proteja sus máquinas virtuales de posibles amenazas limitando el acceso a ellas con grupos de seguridad de red (NSG). Más información sobre cómo controlar el tráfico con los grupos de seguridad de red en https://aka.ms/nsg-doc.	AuditIfNotExists, Disabled	3.0.0
El reenvío de IP en la máquina virtual debe estar deshabilitado	Habilitar el reenvío de IP en la NIC de la máquina virtual permite que la máquina reciba tráfico dirigido a otros destinos. El reenvío de IP rara vez es necesario (por ejemplo, cuando se usa la máquina virtual como una aplicación virtual de red) y, por lo tanto, el equipo de seguridad de red debe revisarlo.	AuditIfNotExists, Disabled	3.0.0
Los clústeres de Kubernetes solo deben ser accesibles mediante HTTPS	El uso de HTTPS garantiza la autenticación y protege los datos en tránsito frente a ataques de intercepción de nivel de red. Esta capacidad está disponible actualmente con carácter general para Kubernetes Service (AKS) y en versión preliminar para Kubernetes habilitado para Azure Arc. Para más información, visite https://aka.ms/kubepolicydoc	audit, Audit, deny, Deny, disabled, Disabled	9.1.0
Los puertos de administración de las máquinas virtuales deben protegerse con el control de acceso de red Just-In-Time.	Azure Security Center supervisará el posible acceso de red Just-In-Time (JIT) como recomendaciones.	AuditIfNotExists, Disabled	3.0.0
Se deben cerrar los puertos de administración en las máquinas virtuales	Los puertos de administración remota abiertos exponen la máquina virtual a un alto nivel de riesgo de recibir ataques basados en Internet. Estos ataques intentan averiguar las credenciales por medio de fuerza bruta a fin de obtener acceso de administrador a la máquina	AuditIfNotExists, Disabled	3.0.0
Las máquinas virtuales sin conexión a Internet deben protegerse con grupos de seguridad de red	Proteja las máquinas virtuales no accesibles desde Internet de posibles amenazas limitando el acceso con grupos de seguridad de red (NSG). Más información sobre cómo controlar el tráfico con los grupos de seguridad de red en https://aka.ms/nsg-doc.	AuditIfNotExists, Disabled	3.0.0
Notificación a los usuarios del inicio de sesión o el acceso al sistema	CMA_0382: Notificar a los usuarios el inicio de sesión o el acceso al sistema	Manual, Deshabilitado	1.1.0
Solo se deben habilitar las conexiones seguras a la instancia de Azure Cache for Redis.	Permite auditar la habilitación solo de conexiones a Azure Cache for Redis a través de SSL. El uso de conexiones seguras garantiza la autenticación entre el servidor y el servicio, y protege los datos en tránsito de ataques de nivel de red, como "man in-the-middle", interceptación y secuestro de sesión	Audit, Deny, Disabled	1.0.0
Proteger de datos en tránsito mediante cifrado	CMA_0403: Proteger los datos en tránsito mediante el cifrado	Manual, Deshabilitado	1.1.0
Proporcionar entrenamiento sobre la privacidad	CMA_0415: Proporcionar entrenamiento sobre la privacidad	Manual, Deshabilitado	1.1.0
Se debe habilitar la transferencia segura a las cuentas de almacenamiento	Permite auditar el requisito de transferencia segura en la cuenta de almacenamiento. La transferencia segura es una opción que obliga a la cuenta de almacenamiento a aceptar solamente solicitudes de conexiones seguras (HTTPS). El uso de HTTPS garantiza la autenticación entre el servidor y el servicio, y protege los datos en tránsito de ataques de nivel de red, como los de tipo "Man in the middle", interceptación y secuestro de sesión	Audit, Deny, Disabled	2.0.0
Las subredes deben estar asociadas con un grupo de seguridad de red.	Proteja la subred de posibles amenazas mediante la restricción del acceso con un grupo de seguridad de red (NSG). Estos grupos contienen las reglas de la lista de control de acceso (ACL) que permiten o deniegan el tráfico de red a la subred.	AuditIfNotExists, Disabled	3.0.0
El firewall de aplicaciones web (WAF) debe estar habilitado para Application Gateway	Implemente Azure Web Application Firewall (WAF) delante de las aplicaciones web de acceso público para una inspección adicional del tráfico entrante. Web Application Firewall (WAF) ofrece una protección centralizada de las aplicaciones web frente a vulnerabilidades de seguridad comunes, como la inyección de SQL, el scripting entre sitios y las ejecuciones de archivos locales y remotas. También permite restringir el acceso a las aplicaciones web por países, intervalos de direcciones IP y otros parámetros http(s) por medio de reglas personalizadas.	Audit, Deny, Disabled	2.0.0
Las máquinas Windows deben configurarse para usar protocolos de comunicación seguros	Para proteger la privacidad de la información que se comunica a través de Internet, las máquinas deben usar la versión más reciente del protocolo criptográfico estándar del sector, Seguridad de la capa de transporte (TLS). TLS protege las comunicaciones que se realizan a través de una red para cifrar una conexión entre máquinas.	AuditIfNotExists, Disabled	3.0.1

Restringir el movimiento de información a usuarios autorizados

Id.: SOC 2 tipo 2 CC6.7 Propiedad: compartido

Nombre _{(Azure Portal)}	Descripción	Efectos	Versión _(GitHub)
Todos los puertos de red deben estar restringidos en los grupos de seguridad de red asociados a la máquina virtual	Azure Security Center identificó que algunas de las reglas de entrada de sus grupos de seguridad de red son demasiado permisivas. Las reglas de entrada no deben permitir el acceso desde los intervalos "Cualquiera" o "Internet". Esto podría permitir que los atacantes pudieran acceder a sus recursos.	AuditIfNotExists, Disabled	3.0.0
Las aplicaciones de App Service solo deben ser accesibles a través de HTTPS	El uso de HTTPS garantiza la autenticación del servicio y el servidor, y protege los datos en tránsito frente a ataques de intercepción de nivel de red.	Audit, Disabled, Deny	4.0.0
Las aplicaciones de App Service deben requerir solo FTPS	Habilite el cumplimiento con FTPS para mejorar la seguridad.	AuditIfNotExists, Disabled	3.0.0
Configurar estaciones de trabajo para comprobar si hay certificados digitales	CMA_0073: Configurar estaciones de trabajo para comprobar si hay certificados digitales	Manual, Deshabilitado	1.1.0
Flujo de la información de control	CMA_0079: Flujo de la información de control	Manual, Deshabilitado	1.1.0
Definición de requisitos de los dispositivos móviles	CMA_0122: Definir requisitos de los dispositivos móviles	Manual, Deshabilitado	1.1.0
Uso de un mecanismo de saneamiento de elementos multimedia	CMA_0208: Usar un mecanismo de saneamiento de elementos multimedia	Manual, Deshabilitado	1.1.0
Usar mecanismos de control de flujo de información cifrada	CMA_0211: Usar mecanismos de control de flujo de información cifrada	Manual, Deshabilitado	1.1.0
Exigir una conexión SSL debe estar habilitado en los servidores de bases de datos MySQL	Azure Database for MySQL permite conectar el servidor de Azure Database for MySQL con aplicaciones cliente mediante Capa de sockets seguros (SSL). La aplicación de conexiones SSL entre el servidor de bases de datos y las aplicaciones cliente facilita la protección frente a ataques de tipo "Man in the middle" al cifrar el flujo de datos entre el servidor y la aplicación. Esta configuración exige que SSL esté siempre habilitado para el acceso al servidor de bases de datos.	Audit, Disabled	1.0.1
La aplicación de la conexión SSL debe estar habilitada para los servidores de base de datos PostgreSQL	Azure Database for PostgreSQL permite conectar el servidor de Azure Database for PostgreSQL a las aplicaciones cliente mediante la Capa de sockets seguros (SSL). La aplicación de conexiones SSL entre el servidor de bases de datos y las aplicaciones cliente facilita la protección frente a ataques de tipo "Man in the middle" al cifrar el flujo de datos entre el servidor y la aplicación. Esta configuración exige que SSL esté siempre habilitado para el acceso al servidor de bases de datos.	Audit, Disabled	1.0.1
Establecer estándares de configuración de firewall y enrutador	CMA_0272: Establecer estándares de configuración de firewall y enrutador	Manual, Deshabilitado	1.1.0
Establecimiento de la segmentación de red para el entorno de datos del titular de la tarjeta	CMA_0273: Establecer la segmentación de red para el entorno de datos del titular de la tarjeta	Manual, Deshabilitado	1.1.0
Las aplicaciones de funciones solo deberían ser accesibles a través de HTTPS	El uso de HTTPS garantiza la autenticación del servicio y el servidor, y protege los datos en tránsito frente a ataques de intercepción de nivel de red.	Audit, Disabled, Deny	5.0.0
Las aplicaciones de funciones solo deben requerir FTPS	Habilite el cumplimiento con FTPS para mejorar la seguridad.	AuditIfNotExists, Disabled	3.0.0
Las aplicaciones de funciones deben usar la última versión de TLS	Se publican versiones más recientes de TLS de forma periódica debido a brechas de seguridad, para incluir más funcionalidad e incrementar la velocidad. Actualice a la última versión de TLS para las aplicaciones de funciones con el fin de aprovechar las correcciones de seguridad, en caso de haberlas, o las nuevas funcionalidades de la última versión.	AuditIfNotExists, Disabled	2.1.0
Identificar y administrar intercambios de información de nivel inferior	CMA_0298: Identificar y administrar los intercambios de información de nivel inferior	Manual, Deshabilitado	1.1.0
Implementar controles para proteger todos los medios	CMA_0314: Implementar los controles para proteger todos los medios	Manual, Deshabilitado	1.1.0
Las máquinas virtuales accesibles desde Internet deben estar protegidas con grupos de seguridad de red	Proteja sus máquinas virtuales de posibles amenazas limitando el acceso a ellas con grupos de seguridad de red (NSG). Más información sobre cómo controlar el tráfico con los grupos de seguridad de red en https://aka.ms/nsg-doc.	AuditIfNotExists, Disabled	3.0.0
Los clústeres de Kubernetes solo deben ser accesibles mediante HTTPS	El uso de HTTPS garantiza la autenticación y protege los datos en tránsito frente a ataques de intercepción de nivel de red. Esta capacidad está disponible actualmente con carácter general para Kubernetes Service (AKS) y en versión preliminar para Kubernetes habilitado para Azure Arc. Para más información, visite https://aka.ms/kubepolicydoc	audit, Audit, deny, Deny, disabled, Disabled	9.1.0
Administración del transporte de recursos	CMA_0370: Administrar el transporte de recursos	Manual, Deshabilitado	1.1.0
Los puertos de administración de las máquinas virtuales deben protegerse con el control de acceso de red Just-In-Time.	Azure Security Center supervisará el posible acceso de red Just-In-Time (JIT) como recomendaciones.	AuditIfNotExists, Disabled	3.0.0
Se deben cerrar los puertos de administración en las máquinas virtuales	Los puertos de administración remota abiertos exponen la máquina virtual a un alto nivel de riesgo de recibir ataques basados en Internet. Estos ataques intentan averiguar las credenciales por medio de fuerza bruta a fin de obtener acceso de administrador a la máquina	AuditIfNotExists, Disabled	3.0.0
Las máquinas virtuales sin conexión a Internet deben protegerse con grupos de seguridad de red	Proteja las máquinas virtuales no accesibles desde Internet de posibles amenazas limitando el acceso con grupos de seguridad de red (NSG). Más información sobre cómo controlar el tráfico con los grupos de seguridad de red en https://aka.ms/nsg-doc.	AuditIfNotExists, Disabled	3.0.0
Solo se deben habilitar las conexiones seguras a la instancia de Azure Cache for Redis.	Permite auditar la habilitación solo de conexiones a Azure Cache for Redis a través de SSL. El uso de conexiones seguras garantiza la autenticación entre el servidor y el servicio, y protege los datos en tránsito de ataques de nivel de red, como "man in-the-middle", interceptación y secuestro de sesión	Audit, Deny, Disabled	1.0.0
Proteger de datos en tránsito mediante cifrado	CMA_0403: Proteger los datos en tránsito mediante el cifrado	Manual, Deshabilitado	1.1.0
Proteger contraseñas con cifrado	CMA_0408: Proteger contraseñas con cifrado	Manual, Deshabilitado	1.1.0
Se debe habilitar la transferencia segura a las cuentas de almacenamiento	Permite auditar el requisito de transferencia segura en la cuenta de almacenamiento. La transferencia segura es una opción que obliga a la cuenta de almacenamiento a aceptar solamente solicitudes de conexiones seguras (HTTPS). El uso de HTTPS garantiza la autenticación entre el servidor y el servicio, y protege los datos en tránsito de ataques de nivel de red, como los de tipo "Man in the middle", interceptación y secuestro de sesión	Audit, Deny, Disabled	2.0.0
Las subredes deben estar asociadas con un grupo de seguridad de red.	Proteja la subred de posibles amenazas mediante la restricción del acceso con un grupo de seguridad de red (NSG). Estos grupos contienen las reglas de la lista de control de acceso (ACL) que permiten o deniegan el tráfico de red a la subred.	AuditIfNotExists, Disabled	3.0.0
Las máquinas Windows deben configurarse para usar protocolos de comunicación seguros	Para proteger la privacidad de la información que se comunica a través de Internet, las máquinas deben usar la versión más reciente del protocolo criptográfico estándar del sector, Seguridad de la capa de transporte (TLS). TLS protege las comunicaciones que se realizan a través de una red para cifrar una conexión entre máquinas.	AuditIfNotExists, Disabled	3.0.1

Evitar o detectar software no autorizado o malintencionado

Id.: SOC 2 tipo 2 CC6.8 Propiedad: compartido

Nombre _{(Azure Portal)}	Descripción	Efectos	Versión _(GitHub)
[en desuso]: Las aplicaciones de funciones deben tener habilitados los "Certificados de cliente (certificados de cliente entrantes)"	Los certificados de cliente permiten que la aplicación solicite un certificado para las solicitudes entrantes. Solo los clientes con certificados válidos pueden acceder a la aplicación. Esta directiva se ha reemplazado por una nueva directiva con el mismo nombre porque HTTP 2.0 no admite certificados de cliente.	Audit, Disabled	3.1.0 en desuso
Aplicaciones de App Service deben tener habilitados certificados de cliente (certificados de cliente entrantes)	Los certificados de cliente permiten que la aplicación solicite un certificado para las solicitudes entrantes. Solo los clientes que tienen un certificado válido podrán acceder a la aplicación. Esta directiva se aplica a las aplicaciones con la versión Http establecida en 1.1.	AuditIfNotExists, Disabled	1.0.0
Las aplicaciones de App Service deben tener la depuración remota desactivada	La depuración remota requiere que se abran puertos de entrada en una aplicación de App Service. Se debe desactivar la depuración remota.	AuditIfNotExists, Disabled	2.0.0
Las aplicaciones de App Service no deberían tener CORS configurado para permitir que todos los recursos accedan a sus aplicaciones	El uso compartido de recursos entre orígenes (CORS) no debe permitir que todos los dominios accedan a la aplicación. Permita la interacción con la aplicación solo de los dominios requeridos.	AuditIfNotExists, Disabled	2.0.0
Las aplicaciones de App Service deben utilizar la última "versión HTTP"	A causa de errores de seguridad o para incluir funcionalidades, se publican de forma periódica versiones más recientes de HTTP. Para las aplicaciones web, use la versión más reciente de HTTP con el fin de aprovechar las correcciones de seguridad, de haberlas, o las nuevas funcionalidades de la versión más reciente.	AuditIfNotExists, Disabled	4.0.0
Auditar las máquinas virtuales que no utilizan discos administrados	Esta directiva audita las máquinas virtuales que no utilizan discos administrados.	auditoría	1.0.0
El complemento Azure Policy para Kubernetes Service (AKS) debería estar instalado y habilitado en sus clústeres	El complemento Azure Policy para Kubernetes Service (AKS) amplía Gatekeeper v3, un webhook del controlador de admisión de Open Policy Agent (OPA), para aplicar imposiciones y medidas de seguridad a escala en los clústeres de forma centralizada y coherente.	Audit, Disabled	1.0.2
Bloquear la ejecución desde USB de procesos que no sean de confianza y estén sin firmar	CMA_0050: Bloquear los procesos sin firma y que no son de confianza ejecutados desde USB	Manual, Deshabilitado	1.1.0
Las aplicaciones de funciones deben tener la depuración remota desactivada.	La depuración remota requiere que se abran puertos de entrada en las aplicaciones de funciones. Se debe desactivar la depuración remota.	AuditIfNotExists, Disabled	2.0.0
Las aplicaciones de funciones no deben tener CORS configurado para permitir que todos los recursos accedan a las aplicaciones	El uso compartido de recursos entre orígenes (CORS) no debe permitir que todos los dominios accedan a la aplicación de funciones. Permita la interacción con la aplicación de funciones solo de los dominios requeridos.	AuditIfNotExists, Disabled	2.0.0
Las aplicaciones de funciones deben usar la última "versión de HTTP"	A causa de errores de seguridad o para incluir funcionalidades, se publican de forma periódica versiones más recientes de HTTP. Para las aplicaciones web, use la versión más reciente de HTTP con el fin de aprovechar las correcciones de seguridad, de haberlas, o las nuevas funcionalidades de la versión más reciente.	AuditIfNotExists, Disabled	4.0.0
La extensión "Configuración de invitado" debe estar instalada en las máquinas.	Para garantizar la seguridad de la configuración de invitado, instale la extensión "Configuración de invitado". La configuración de invitado supervisada en la extensión engloba la configuración del sistema operativo, la configuración o presencia de las aplicaciones y la configuración del entorno. Una vez instaladas, las directivas de invitado estarán disponibles como "La protección contra vulnerabilidades de Windows debe estar habilitada.". Obtenga más información en https://aka.ms/gcpol.	AuditIfNotExists, Disabled	1.0.2
Asegurarse de que los límites de los recursos de memoria y CPU del contenedor no superan los límites especificados en el clúster de Kubernetes	Aplique límites de recursos de CPU y memoria de contenedor en un clúster de Kubernetes para evitar los ataques de agotamiento de recursos. Esta directiva está disponible con carácter general para Kubernetes Service (AKS) y en versión preliminar para Kubernetes habilitado para Azure Arc. Para obtener más información, vea https://aka.ms/kubepolicydoc.	audit, Audit, deny, Deny, disabled, Disabled	10.2.0
Los contenedores del clúster de Kubernetes no deben compartir el identificador de proceso del host ni el espacio de nombres IPC del host	No permita que los contenedores de pods compartan el espacio de nombres de id. de proceso de host ni el espacio de nombres de IPC de host en un clúster de Kubernetes. Esta recomendación forma parte de las versiones 5.2.2 y 5.2.3 de CIS, diseñadas para mejorar la seguridad de los entornos de Kubernetes. Esta directiva está disponible con carácter general para Kubernetes Service (AKS) y en versión preliminar para Kubernetes habilitado para Azure Arc. Para obtener más información, vea https://aka.ms/kubepolicydoc.	audit, Audit, deny, Deny, disabled, Disabled	6.1.0
Los contenedores de clúster de Kubernetes solo deben usar perfiles de AppArmor permitidos	Los contenedores solo deben usar perfiles de AppArmor permitidos en un clúster de Kubernetes. Esta directiva está disponible con carácter general para Kubernetes Service (AKS) y en versión preliminar para Kubernetes habilitado para Azure Arc. Para obtener más información, vea https://aka.ms/kubepolicydoc.	audit, Audit, deny, Deny, disabled, Disabled	7.1.1
Los contenedores de clúster de Kubernetes solo deben usar funcionalidades permitidas	Restrinja las funcionalidades para reducir la superficie de contenedores expuesta a ataques en un clúster de Kubernetes. Esta recomendación forma parte de las versiones 5.2.8 y 5.2.9 de CIS, diseñadas para mejorar la seguridad de los entornos de Kubernetes. Esta directiva está disponible con carácter general para Kubernetes Service (AKS) y en versión preliminar para Kubernetes habilitado para Azure Arc. Para obtener más información, vea https://aka.ms/kubepolicydoc.	audit, Audit, deny, Deny, disabled, Disabled	7.1.0
Asegurarse de que solo se admiten las imágenes de contenedor permitidas en el clúster de Kubernetes	Use imágenes de registros de confianza para reducir el riesgo de exposición del clúster de Kubernetes a vulnerabilidades desconocidas, problemas de seguridad e imágenes malintencionadas. Para obtener más información, vea https://aka.ms/kubepolicydoc.	audit, Audit, deny, Deny, disabled, Disabled	10.2.0
Los contenedores del clúster de Kubernetes deben ejecutarse con un sistema de archivos raíz de solo lectura	Ejecute contenedores con un sistema de archivos raíz de solo lectura para protegerlos de los cambios en tiempo de ejecución con la incorporación de archivos binarios malintencionados a la ruta de acceso en un clúster de Kubernetes. Esta directiva está disponible con carácter general para Kubernetes Service (AKS) y en versión preliminar para Kubernetes habilitado para Azure Arc. Para obtener más información, vea https://aka.ms/kubepolicydoc.	audit, Audit, deny, Deny, disabled, Disabled	7.1.0
Los volúmenes hostPath del pod del clúster de Kubernetes solo deben usar rutas de host permitidas	Limite los montajes de volumen hostPath del pod a las rutas de acceso de host permitidas en un clúster de Kubernetes. Esta directiva está disponible con carácter general para Kubernetes Service (AKS) y Kubernetes habilitado para Azure Arc. Para más información, consulte https://aka.ms/kubepolicydoc.	audit, Audit, deny, Deny, disabled, Disabled	7.1.1
Los contenedores y pods de clúster de Kubernetes solo deben ejecutarse con identificadores de usuario y grupo aprobados	Controle los id. de usuario, grupo principal, grupo adicional y grupo de sistema de archivos que los pods y los contenedores pueden usar para ejecutarse en un clúster de Kubernetes. Esta directiva está disponible con carácter general para Kubernetes Service (AKS) y en versión preliminar para Kubernetes habilitado para Azure Arc. Para obtener más información, vea https://aka.ms/kubepolicydoc.	audit, Audit, deny, Deny, disabled, Disabled	7.1.1
Los pods del clúster de Kubernetes solo pueden usar redes de host e intervalos de puerto permitidos	Restringe el acceso de los pods a la red del host y el intervalo de puertos de host permitidos en un clúster de Kubernetes. Esta recomendación forma parte de la versión 5.2.4 de CIS, diseñada para mejorar la seguridad de los entornos de Kubernetes. Esta directiva está disponible con carácter general para Kubernetes Service (AKS) y en versión preliminar para Kubernetes habilitado para Azure Arc. Para obtener más información, vea https://aka.ms/kubepolicydoc.	audit, Audit, deny, Deny, disabled, Disabled	7.1.0
Los servicios de clúster de Kubernetes solo deben escuchar en los puertos permitidos	Restrinja los servicios para que escuchen solo en puertos permitidos para proteger el acceso al clúster de Kubernetes. Esta directiva está disponible con carácter general para Kubernetes Service (AKS) y en versión preliminar para Kubernetes habilitado para Azure Arc. Para obtener más información, vea https://aka.ms/kubepolicydoc.	audit, Audit, deny, Deny, disabled, Disabled	9.1.0
No permitir contenedores con privilegios en el clúster de Kubernetes	No permita la creación de contenedores con privilegios en un clúster de Kubernetes. Esta recomendación forma parte de la versión 5.2.1 de CIS, diseñada para mejorar la seguridad de los entornos de Kubernetes. Esta directiva está disponible con carácter general para Kubernetes Service (AKS) y en versión preliminar para Kubernetes habilitado para Azure Arc. Para obtener más información, vea https://aka.ms/kubepolicydoc.	audit, Audit, deny, Deny, disabled, Disabled	10.1.0
Los clústeres de Kubernetes deben deshabilitar las credenciales de la API de montaje automático	Deshabilite las credenciales de la API de montaje automático para evitar que un recurso de pod de riesgo ejecute comandos de la API en clústeres de Kubernetes. Para más información, consulte https://aka.ms/kubepolicydoc.	audit, Audit, deny, Deny, disabled, Disabled	5.1.0
Los clústeres de Kubernetes no deben permitir la elevación de privilegios del contenedor	No permita que los contenedores se ejecuten con elevación de privilegios en la raíz en un clúster de Kubernetes. Esta recomendación forma parte de la versión 5.2.5 de CIS, diseñada para mejorar la seguridad de los entornos de Kubernetes. Esta directiva está disponible con carácter general para Kubernetes Service (AKS) y en versión preliminar para Kubernetes habilitado para Azure Arc. Para obtener más información, vea https://aka.ms/kubepolicydoc.	audit, Audit, deny, Deny, disabled, Disabled	8.1.0
Los clústeres de Kubernetes no deben conceder funcionalidades de seguridad CAP_SYS_ADMIN.	Para reducir la superficie expuesta a ataques de sus contenedores, restrinja las funcionalidades CAP_SYS_ADMIN de Linux. Para más información, consulte https://aka.ms/kubepolicydoc.	audit, Audit, deny, Deny, disabled, Disabled	6.1.0
Los clústeres de Kubernetes no deben usar el espacio de nombres predeterminado	Evite el uso del espacio de nombres predeterminado en los clústeres de Kubernetes para proteger del acceso no autorizado a los tipos de recurso ConfigMap, Pod, Secret, Service y ServiceAccount. Para más información, consulte https://aka.ms/kubepolicydoc.	audit, Audit, deny, Deny, disabled, Disabled	5.1.0
Las máquinas Linux deben cumplir los requisitos de la base de referencia de seguridad de procesos de Azure	Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. Las máquinas no son compatibles si la máquina no está configurada correctamente para una de las recomendaciones de la base de referencia de seguridad de procesos de Azure.	AuditIfNotExists, Disabled	1.5.0
Administración de puertas de enlace	CMA_0363: Administrar puertas de enlace	Manual, Deshabilitado	1.1.0
Solo deben instalarse las extensiones de máquina virtual aprobadas	Esta directiva rige las extensiones de máquina virtual que no están aprobadas.	Audit, Deny, Disabled	1.0.0
Realizar un análisis de tendencias sobre amenazas	CMA_0389: Realizar un análisis de tendencias sobre amenazas	Manual, Deshabilitado	1.1.0
Realizar exámenes de vulnerabilidades	CMA_0393: Realizar exámenes de vulnerabilidades	Manual, Deshabilitado	1.1.0
Revisar semanalmente el informe de detecciones de malware	CMA_0475: Revisar semanalmente el informe de detecciones de malware	Manual, Deshabilitado	1.1.0
Revisar semanalmente el estado de protección contra amenazas	CMA_0479: Revisar semanalmente el estado de protección contra amenazas	Manual, Deshabilitado	1.1.0
Las cuentas de almacenamiento deben permitir el acceso desde los servicios de Microsoft de confianza	Algunos servicios de Microsoft que interactúan con las cuentas de almacenamiento funcionan desde redes a las que no se puede conceder acceso a través de reglas de red. Para ayudar a que este tipo de servicio funcione según lo previsto, permita que el conjunto de servicios de Microsoft de confianza omita las reglas de red. Estos servicios usarán luego una autenticación sólida para acceder a la cuenta de almacenamiento.	Audit, Deny, Disabled	1.0.0
Actualizar las definiciones de antivirus	CMA_0517: Actualizar las definiciones de antivirus	Manual, Deshabilitado	1.1.0
Comprobar el software, el firmware y la integridad de la información	CMA_0542: Comprobar el software, el firmware y la integridad de la información	Manual, Deshabilitado	1.1.0
Vista y configuración de los datos de diagnóstico del sistema	CMA_0544: Ver y configurar los datos de diagnóstico del sistema	Manual, Deshabilitado	1.1.0
La extensión "Configuración de invitado" de las máquinas virtuales debe implementarse con una identidad administrada asignada por el sistema	La extensión Configuración de invitado requiere una identidad administrada asignada por el sistema. Si las máquinas virtuales de Azure incluidas en el ámbito de esta directiva tienen instalada la extensión "Configuración de invitado" pero no tienen una identidad administrada asignada por el sistema, no cumplirán los requisitos establecidos. Más información en https://aka.ms/gcpol.	AuditIfNotExists, Disabled	1.0.1
Las máquinas Windows deben cumplir los requisitos de la base de referencia de seguridad de procesos de Azure	Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. Las máquinas no son compatibles si la máquina no está configurada correctamente para una de las recomendaciones de la base de referencia de seguridad de procesos de Azure.	AuditIfNotExists, Disabled	1.0.0

Operaciones del sistema

Detección y supervisión de nuevas vulnerabilidades

Id.: SOC 2 tipo 2 CC7.1 Propiedad: compartido

Nombre _{(Azure Portal)}	Descripción	Efectos	Versión _(GitHub)
Configurar las acciones para los dispositivos no conformes	CMA_0062: Configurar las acciones para los dispositivos no conformes	Manual, Deshabilitado	1.1.0
Desarrollar y mantener las configuraciones de línea base	CMA_0153: Desarrollar y mantener las configuraciones de línea base	Manual, Deshabilitado	1.1.0
Habilitación de la detección de dispositivos de red	CMA_0220: Habilitar la detección de dispositivos de red	Manual, Deshabilitado	1.1.0
Aplicar opciones de configuración de seguridad	CMA_0249: Aplicar opciones de configuración de seguridad	Manual, Deshabilitado	1.1.0
Establecer un panel de control de configuración	CMA_0254: Establecer un panel de control de configuración	Manual, Deshabilitado	1.1.0
Establecer y documentar un plan de administración de configuración	CMA_0264: Establecer y documentar un plan de administración de configuración	Manual, Deshabilitado	1.1.0
Implementación de una herramienta de administración de configuración automatizada	CMA_0311: Implementar una herramienta de administración de configuración automatizada	Manual, Deshabilitado	1.1.0
Realizar exámenes de vulnerabilidades	CMA_0393: Realizar exámenes de vulnerabilidades	Manual, Deshabilitado	1.1.0
Corregir errores del sistema de información	CMA_0427: Corregir los errores del sistema de información	Manual, Deshabilitado	1.1.0
Establecer notificaciones automáticas para las aplicaciones en la nube nuevas y las que están en tendencia en su organización	CMA_0495: Establecer notificaciones automáticas para las aplicaciones en la nube nuevas y las que están en tendencia en su organización	Manual, Deshabilitado	1.1.0
Comprobar el software, el firmware y la integridad de la información	CMA_0542: Comprobar el software, el firmware y la integridad de la información	Manual, Deshabilitado	1.1.0
Vista y configuración de los datos de diagnóstico del sistema	CMA_0544: Ver y configurar los datos de diagnóstico del sistema	Manual, Deshabilitado	1.1.0
La evaluación de vulnerabilidades debe estar habilitada en Instancia administrada de SQL	Audita cada servicio SQL Managed Instance que no tiene habilitado los exámenes de evaluación de vulnerabilidades periódicos. La evaluación de vulnerabilidades permite detectar las vulnerabilidades potenciales de la base de datos, así como hacer un seguimiento y ayudar a corregirlas.	AuditIfNotExists, Disabled	1.0.1
La evaluación de vulnerabilidades debe estar activada en sus servidores de SQL Server	Auditoría de los servidores Azure SQL que no tienen configurada correctamente la evaluación de vulnerabilidades. La evaluación de vulnerabilidades permite detectar las vulnerabilidades potenciales de la base de datos, así como hacer un seguimiento y ayudar a corregirlas.	AuditIfNotExists, Disabled	3.0.0

Supervisión de componentes del sistema para un comportamiento anómalo

Id.: SOC 2 tipo 2 CC7.2 Propiedad: compartido

Nombre _{(Azure Portal)}	Descripción	Efectos	Versión _(GitHub)
[Versión preliminar]: Los clústeres de Kubernetes con Azure Arc habilitado deben tener instalada la extensión de Microsoft Defender for Cloud	La extensión Microsoft Defender for Cloud para Azure Arc proporciona protección contra amenazas para los clústeres de Kubernetes habilitados para Arc. La extensión recopila datos de todos los nodos del clúster y los envía al back-end de Azure Defender para Kubernetes en la nube para su posterior análisis. Puede encontrar más información en https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc.	AuditIfNotExists, Disabled	4.0.1-preview
Debe existir una alerta de registro de actividad para operaciones administrativas específicas	Esta directiva audita operaciones administrativas específicas sin alertas de registro de actividad configuradas.	AuditIfNotExists, Disabled	1.0.0
Debe existir una alerta de registro de actividad para las operaciones específicas de la directiva	Esta directiva audita las operaciones específicas de la directiva sin alertas de registro de actividad configuradas.	AuditIfNotExists, Disabled	3.0.0
Debe existir una alerta de registro de actividad para las operaciones específicas de seguridad	Esta directiva audita las operaciones específicas de seguridad sin alertas de registro de actividad configuradas.	AuditIfNotExists, Disabled	1.0.0
Se debe habilitar Azure Defender para servidores de Azure SQL Database	Azure Defender para SQL proporciona funcionalidad para mostrar y mitigar posibles vulnerabilidades de base de datos, detectar actividades anómalas que podrían indicar amenazas para bases de datos SQL, y detectar y clasificar datos confidenciales.	AuditIfNotExists, Disabled	1.0.2
Se debe habilitar Azure Defender para Resource Manager	Azure Defender para Resource Manager supervisa automáticamente las operaciones de administración de recursos de la organización. Azure Defender detecta amenazas y alerta sobre actividades sospechosas. Obtenga más información sobre las funcionalidades de Azure Defender para Resource Manager en https://aka.ms/defender-for-resource-manager. La habilitación de este plan de Azure Defender conlleva cargos. Obtenga información sobre los detalles de los precios por región en la página de precios de Security Center: https://aka.ms/pricing-security-center.	AuditIfNotExists, Disabled	1.0.0
Se debe habilitar Azure Defender para servidores	Azure Defender para servidores proporciona protección en tiempo real contra amenazas para las cargas de trabajo del servidor y genera recomendaciones de protección, así como alertas sobre la actividad sospechosa.	AuditIfNotExists, Disabled	1.0.3
Se debe habilitar Azure Defender para SQL en las instancias de Azure SQL Server desprotegidas	Auditoría de los servidores de SQL sin Advanced Data Security	AuditIfNotExists, Disabled	2.0.1
Azure Defender para SQL debe habilitarse en las instancias de SQL Managed Instances desprotegidas.	Permite auditr cada servicio SQL Managed Instance sin Advanced Data Security.	AuditIfNotExists, Disabled	1.0.2
Detectar servicios de red que no se han autorizado o aprobado	CMA_C1700: Detectar servicios de red que no se han autorizado o aprobado	Manual, Deshabilitado	1.1.0
Control y supervisión de las actividades de procesamiento de auditoría	CMA_0289: Controlar y supervisar las actividades de procesamiento de auditoría	Manual, Deshabilitado	1.1.0
Microsoft Defender para contenedores debería estar habilitado	Microsoft Defender para contenedores proporciona protección, evaluación de vulnerabilidades y protecciones en tiempo de ejecución para los entornos de Kubernetes de Azure, híbridos y multinube.	AuditIfNotExists, Disabled	1.0.0
Microsoft Defender para Storage (Clásico) debe estar habilitado	Microsoft Defender para Storage (Clásico) proporciona detecciones de intentos inusuales y potencialmente dañinos para acceder a las cuentas de almacenamiento o aprovechar alguna vulnerabilidad de seguridad.	AuditIfNotExists, Disabled	1.0.4
Realizar un análisis de tendencias sobre amenazas	CMA_0389: Realizar un análisis de tendencias sobre amenazas	Manual, Deshabilitado	1.1.0
La Protección contra vulnerabilidades de seguridad de Windows Defender debe estar habilitada en las máquinas.	La protección contra vulnerabilidades de seguridad de Windows Defender utiliza el agente de configuración de invitado de Azure Policy. La protección contra vulnerabilidades de seguridad tiene cuatro componentes diseñados para bloquear dispositivos en una amplia variedad de vectores de ataque y comportamientos de bloque utilizados habitualmente en ataques de malware, al tiempo que permiten a las empresas equilibrar los requisitos de productividad y riesgo de seguridad (solo Windows).	AuditIfNotExists, Disabled	1.1.1

Detección de incidentes de seguridad

Id.: SOC 2 tipo 2 CC7.3 Propiedad: compartido

Nombre _{(Azure Portal)}	Descripción	Efectos	Versión _(GitHub)
Revisión y actualización de las directivas y procedimientos de respuesta a incidentes	CMA_C1352: Revisar y actualizar las directivas y procedimientos de respuesta a incidentes	Manual, Deshabilitado	1.1.0

Respuesta a incidentes de seguridad

Id.: SOC 2 tipo 2 CC7.4 Propiedad: compartido

Nombre _{(Azure Portal)}	Descripción	Efectos	Versión _(GitHub)
Evaluación de eventos de seguridad de la información	CMA_0013: Evaluar eventos de seguridad de la información	Manual, Deshabilitado	1.1.0
Coordinación de planes de contingencia con planes relacionados	CMA_0086: Coordinar planes de contingencia con planes relacionados	Manual, Deshabilitado	1.1.0
Desarrollar un plan de respuesta a incidentes	CMA_0145: Desarrollar un plan de respuesta a incidentes	Manual, Deshabilitado	1.1.0
Desarrollo de medidas de seguridad	CMA_0161: Desarrollar medidas de seguridad	Manual, Deshabilitado	1.1.0
La opción para enviar notificaciones por correo electrónico para alertas de gravedad alta debe estar habilitada.	Para asegurarse de que las personas pertinentes de la organización reciban una notificación cuando se produzca una vulneración de seguridad potencial en una de las suscripciones, habilite las notificaciones por correo electrónico de alertas de gravedad alta en Security Center.	AuditIfNotExists, Disabled	1.0.1
La opción para enviar notificaciones por correo electrónico al propietario de la suscripción en relación a alertas de gravedad alta debe estar habilitada.	Para asegurarse de que los propietarios de suscripciones reciban una notificación cuando se produzca una vulneración de seguridad potencial en sus suscripciones, establezca notificaciones por correo electrónico a los propietarios de las suscripciones de alertas de gravedad alta en Security Center.	AuditIfNotExists, Disabled	2.0.0
Habilitar la protección de red	CMA_0238: Habilitar la protección de red	Manual, Deshabilitado	1.1.0
Erradicación de la información contaminada	CMA_0253: Erradicar la información contaminada	Manual, Deshabilitado	1.1.0
Ejecución de acciones en respuesta a los volcados de información	CMA_0281: Ejecutar acciones en respuesta a los volcados de información	Manual, Deshabilitado	1.1.0
Identificación de clases de incidentes y acciones realizadas	CMA_C1365: Identificar clases de incidentes y acciones realizadas	Manual, Deshabilitado	1.1.0
Implementación del control de incidentes	CMA_0318: Implementar el control de incidentes	Manual, Deshabilitado	1.1.0
Inclusión de reconfiguración dinámica de recursos implementados por el cliente	CMA_C1364: Incluir la reconfiguración dinámica de los recursos implementados por el cliente	Manual, Deshabilitado	1.1.0
Mantenimiento del plan de respuesta a incidentes	CMA_0352: Mantener el plan de respuesta a incidentes	Manual, Deshabilitado	1.1.0
Network Watcher debe estar habilitado	Network Watcher es un servicio regional que permite supervisar y diagnosticar problemas en un nivel de escenario de red mediante Azure. La supervisión del nivel de escenario permite diagnosticar problemas en una vista de nivel de red de un extremo a otro. Es preciso que se haya creado un grupo de recursos de Network Watcher en todas las regiones en las que haya una red virtual. Si algún grupo de recursos de Network Watcher no está disponible en una región determinada, se habilita una alerta.	AuditIfNotExists, Disabled	3.0.0
Realizar un análisis de tendencias sobre amenazas	CMA_0389: Realizar un análisis de tendencias sobre amenazas	Manual, Deshabilitado	1.1.0
Las suscripciones deben tener una dirección de correo electrónico de contacto para los problemas de seguridad	Para asegurarse de que las personas pertinentes de la organización reciban una notificación cuando se produzca una vulneración de seguridad potencial en una de las suscripciones, establezca un contacto de seguridad para la recepción de notificaciones por correo electrónico de Security Center.	AuditIfNotExists, Disabled	1.0.1
Vista e investigación de usuarios restringidos	CMA_0545: Ver e investigar usuarios restringidos	Manual, Deshabilitado	1.1.0

Recuperación de incidentes de seguridad identificados

Id.: SOC 2 tipo 2 CC7.5 Propiedad: compartido

Nombre _{(Azure Portal)}	Descripción	Efectos	Versión _(GitHub)
Evaluación de eventos de seguridad de la información	CMA_0013: Evaluar eventos de seguridad de la información	Manual, Deshabilitado	1.1.0
Realización de pruebas de respuesta a incidentes	CMA_0060: Realizar pruebas de respuesta a incidentes	Manual, Deshabilitado	1.1.0
Coordinación de planes de contingencia con planes relacionados	CMA_0086: Coordinar planes de contingencia con planes relacionados	Manual, Deshabilitado	1.1.0
Coordinación con organizaciones externas para lograr una perspectiva entre organizaciones	CMA_C1368: Coordinar con las organizaciones externas para lograr una perspectiva entre organizaciones	Manual, Deshabilitado	1.1.0
Desarrollar un plan de respuesta a incidentes	CMA_0145: Desarrollar un plan de respuesta a incidentes	Manual, Deshabilitado	1.1.0
Desarrollo de medidas de seguridad	CMA_0161: Desarrollar medidas de seguridad	Manual, Deshabilitado	1.1.0
La opción para enviar notificaciones por correo electrónico para alertas de gravedad alta debe estar habilitada.	Para asegurarse de que las personas pertinentes de la organización reciban una notificación cuando se produzca una vulneración de seguridad potencial en una de las suscripciones, habilite las notificaciones por correo electrónico de alertas de gravedad alta en Security Center.	AuditIfNotExists, Disabled	1.0.1
La opción para enviar notificaciones por correo electrónico al propietario de la suscripción en relación a alertas de gravedad alta debe estar habilitada.	Para asegurarse de que los propietarios de suscripciones reciban una notificación cuando se produzca una vulneración de seguridad potencial en sus suscripciones, establezca notificaciones por correo electrónico a los propietarios de las suscripciones de alertas de gravedad alta en Security Center.	AuditIfNotExists, Disabled	2.0.0
Habilitar la protección de red	CMA_0238: Habilitar la protección de red	Manual, Deshabilitado	1.1.0
Erradicación de la información contaminada	CMA_0253: Erradicar la información contaminada	Manual, Deshabilitado	1.1.0
Establecimiento de un programa de seguridad de la información	CMA_0263: Establecer un programa de seguridad de la información	Manual, Deshabilitado	1.1.0
Ejecución de acciones en respuesta a los volcados de información	CMA_0281: Ejecutar acciones en respuesta a los volcados de información	Manual, Deshabilitado	1.1.0
Implementación del control de incidentes	CMA_0318: Implementar el control de incidentes	Manual, Deshabilitado	1.1.0
Mantenimiento del plan de respuesta a incidentes	CMA_0352: Mantener el plan de respuesta a incidentes	Manual, Deshabilitado	1.1.0
Network Watcher debe estar habilitado	Network Watcher es un servicio regional que permite supervisar y diagnosticar problemas en un nivel de escenario de red mediante Azure. La supervisión del nivel de escenario permite diagnosticar problemas en una vista de nivel de red de un extremo a otro. Es preciso que se haya creado un grupo de recursos de Network Watcher en todas las regiones en las que haya una red virtual. Si algún grupo de recursos de Network Watcher no está disponible en una región determinada, se habilita una alerta.	AuditIfNotExists, Disabled	3.0.0
Realizar un análisis de tendencias sobre amenazas	CMA_0389: Realizar un análisis de tendencias sobre amenazas	Manual, Deshabilitado	1.1.0
Ejecución de los ataques de simulación	CMA_0486: Ejecutar los ataques de simulación	Manual, Deshabilitado	1.1.0
Las suscripciones deben tener una dirección de correo electrónico de contacto para los problemas de seguridad	Para asegurarse de que las personas pertinentes de la organización reciban una notificación cuando se produzca una vulneración de seguridad potencial en una de las suscripciones, establezca un contacto de seguridad para la recepción de notificaciones por correo electrónico de Security Center.	AuditIfNotExists, Disabled	1.0.1
Vista e investigación de usuarios restringidos	CMA_0545: Ver e investigar usuarios restringidos	Manual, Deshabilitado	1.1.0

Administración de cambios

Cambios en la infraestructura, los datos y el software

Id.: SOC 2 tipo 2 CC8.1 Propiedad: compartido

Nombre _{(Azure Portal)}	Descripción	Efectos	Versión _(GitHub)
[en desuso]: Las aplicaciones de funciones deben tener habilitados los "Certificados de cliente (certificados de cliente entrantes)"	Los certificados de cliente permiten que la aplicación solicite un certificado para las solicitudes entrantes. Solo los clientes con certificados válidos pueden acceder a la aplicación. Esta directiva se ha reemplazado por una nueva directiva con el mismo nombre porque HTTP 2.0 no admite certificados de cliente.	Audit, Disabled	3.1.0 en desuso
Aplicaciones de App Service deben tener habilitados certificados de cliente (certificados de cliente entrantes)	Los certificados de cliente permiten que la aplicación solicite un certificado para las solicitudes entrantes. Solo los clientes que tienen un certificado válido podrán acceder a la aplicación. Esta directiva se aplica a las aplicaciones con la versión Http establecida en 1.1.	AuditIfNotExists, Disabled	1.0.0
Las aplicaciones de App Service deben tener la depuración remota desactivada	La depuración remota requiere que se abran puertos de entrada en una aplicación de App Service. Se debe desactivar la depuración remota.	AuditIfNotExists, Disabled	2.0.0
Las aplicaciones de App Service no deberían tener CORS configurado para permitir que todos los recursos accedan a sus aplicaciones	El uso compartido de recursos entre orígenes (CORS) no debe permitir que todos los dominios accedan a la aplicación. Permita la interacción con la aplicación solo de los dominios requeridos.	AuditIfNotExists, Disabled	2.0.0
Las aplicaciones de App Service deben utilizar la última "versión HTTP"	A causa de errores de seguridad o para incluir funcionalidades, se publican de forma periódica versiones más recientes de HTTP. Para las aplicaciones web, use la versión más reciente de HTTP con el fin de aprovechar las correcciones de seguridad, de haberlas, o las nuevas funcionalidades de la versión más reciente.	AuditIfNotExists, Disabled	4.0.0
Auditar las máquinas virtuales que no utilizan discos administrados	Esta directiva audita las máquinas virtuales que no utilizan discos administrados.	auditoría	1.0.0
El complemento Azure Policy para Kubernetes Service (AKS) debería estar instalado y habilitado en sus clústeres	El complemento Azure Policy para Kubernetes Service (AKS) amplía Gatekeeper v3, un webhook del controlador de admisión de Open Policy Agent (OPA), para aplicar imposiciones y medidas de seguridad a escala en los clústeres de forma centralizada y coherente.	Audit, Disabled	1.0.2
Realización de un análisis de impacto en la seguridad	CMA_0057: Realizar un análisis de impacto en la seguridad	Manual, Deshabilitado	1.1.0
Configurar las acciones para los dispositivos no conformes	CMA_0062: Configurar las acciones para los dispositivos no conformes	Manual, Deshabilitado	1.1.0
Desarrollo y mantenimiento del estándar de administración de vulnerabilidades	CMA_0152: Desarrollar y mantener el estándar de administración de vulnerabilidades	Manual, Deshabilitado	1.1.0
Desarrollar y mantener las configuraciones de línea base	CMA_0153: Desarrollar y mantener las configuraciones de línea base	Manual, Deshabilitado	1.1.0
Aplicar opciones de configuración de seguridad	CMA_0249: Aplicar opciones de configuración de seguridad	Manual, Deshabilitado	1.1.0
Establecer un panel de control de configuración	CMA_0254: Establecer un panel de control de configuración	Manual, Deshabilitado	1.1.0
Establecimiento de una estrategia de administración de riesgos	CMA_0258: Establecer una estrategia de administración de riesgos	Manual, Deshabilitado	1.1.0
Establecer y documentar un plan de administración de configuración	CMA_0264: Establecer y documentar un plan de administración de configuración	Manual, Deshabilitado	1.1.0
Establecer y documentar los procesos de control de cambios	CMA_0265: Establecer y documentar los procesos de control de cambios	Manual, Deshabilitado	1.1.0
Establecimiento de los requisitos de administración de configuración para desarrolladores	CMA_0270: Establecer los requisitos de administración de configuración para desarrolladores	Manual, Deshabilitado	1.1.0
Las aplicaciones de funciones deben tener la depuración remota desactivada.	La depuración remota requiere que se abran puertos de entrada en las aplicaciones de funciones. Se debe desactivar la depuración remota.	AuditIfNotExists, Disabled	2.0.0
Las aplicaciones de funciones no deben tener CORS configurado para permitir que todos los recursos accedan a las aplicaciones	El uso compartido de recursos entre orígenes (CORS) no debe permitir que todos los dominios accedan a la aplicación de funciones. Permita la interacción con la aplicación de funciones solo de los dominios requeridos.	AuditIfNotExists, Disabled	2.0.0
Las aplicaciones de funciones deben usar la última "versión de HTTP"	A causa de errores de seguridad o para incluir funcionalidades, se publican de forma periódica versiones más recientes de HTTP. Para las aplicaciones web, use la versión más reciente de HTTP con el fin de aprovechar las correcciones de seguridad, de haberlas, o las nuevas funcionalidades de la versión más reciente.	AuditIfNotExists, Disabled	4.0.0
La extensión "Configuración de invitado" debe estar instalada en las máquinas.	Para garantizar la seguridad de la configuración de invitado, instale la extensión "Configuración de invitado". La configuración de invitado supervisada en la extensión engloba la configuración del sistema operativo, la configuración o presencia de las aplicaciones y la configuración del entorno. Una vez instaladas, las directivas de invitado estarán disponibles como "La protección contra vulnerabilidades de Windows debe estar habilitada.". Obtenga más información en https://aka.ms/gcpol.	AuditIfNotExists, Disabled	1.0.2
Implementación de una herramienta de administración de configuración automatizada	CMA_0311: Implementar una herramienta de administración de configuración automatizada	Manual, Deshabilitado	1.1.0
Asegurarse de que los límites de los recursos de memoria y CPU del contenedor no superan los límites especificados en el clúster de Kubernetes	Aplique límites de recursos de CPU y memoria de contenedor en un clúster de Kubernetes para evitar los ataques de agotamiento de recursos. Esta directiva está disponible con carácter general para Kubernetes Service (AKS) y en versión preliminar para Kubernetes habilitado para Azure Arc. Para obtener más información, vea https://aka.ms/kubepolicydoc.	audit, Audit, deny, Deny, disabled, Disabled	10.2.0
Los contenedores del clúster de Kubernetes no deben compartir el identificador de proceso del host ni el espacio de nombres IPC del host	No permita que los contenedores de pods compartan el espacio de nombres de id. de proceso de host ni el espacio de nombres de IPC de host en un clúster de Kubernetes. Esta recomendación forma parte de las versiones 5.2.2 y 5.2.3 de CIS, diseñadas para mejorar la seguridad de los entornos de Kubernetes. Esta directiva está disponible con carácter general para Kubernetes Service (AKS) y en versión preliminar para Kubernetes habilitado para Azure Arc. Para obtener más información, vea https://aka.ms/kubepolicydoc.	audit, Audit, deny, Deny, disabled, Disabled	6.1.0
Los contenedores de clúster de Kubernetes solo deben usar perfiles de AppArmor permitidos	Los contenedores solo deben usar perfiles de AppArmor permitidos en un clúster de Kubernetes. Esta directiva está disponible con carácter general para Kubernetes Service (AKS) y en versión preliminar para Kubernetes habilitado para Azure Arc. Para obtener más información, vea https://aka.ms/kubepolicydoc.	audit, Audit, deny, Deny, disabled, Disabled	7.1.1
Los contenedores de clúster de Kubernetes solo deben usar funcionalidades permitidas	Restrinja las funcionalidades para reducir la superficie de contenedores expuesta a ataques en un clúster de Kubernetes. Esta recomendación forma parte de las versiones 5.2.8 y 5.2.9 de CIS, diseñadas para mejorar la seguridad de los entornos de Kubernetes. Esta directiva está disponible con carácter general para Kubernetes Service (AKS) y en versión preliminar para Kubernetes habilitado para Azure Arc. Para obtener más información, vea https://aka.ms/kubepolicydoc.	audit, Audit, deny, Deny, disabled, Disabled	7.1.0
Asegurarse de que solo se admiten las imágenes de contenedor permitidas en el clúster de Kubernetes	Use imágenes de registros de confianza para reducir el riesgo de exposición del clúster de Kubernetes a vulnerabilidades desconocidas, problemas de seguridad e imágenes malintencionadas. Para obtener más información, vea https://aka.ms/kubepolicydoc.	audit, Audit, deny, Deny, disabled, Disabled	10.2.0
Los contenedores del clúster de Kubernetes deben ejecutarse con un sistema de archivos raíz de solo lectura	Ejecute contenedores con un sistema de archivos raíz de solo lectura para protegerlos de los cambios en tiempo de ejecución con la incorporación de archivos binarios malintencionados a la ruta de acceso en un clúster de Kubernetes. Esta directiva está disponible con carácter general para Kubernetes Service (AKS) y en versión preliminar para Kubernetes habilitado para Azure Arc. Para obtener más información, vea https://aka.ms/kubepolicydoc.	audit, Audit, deny, Deny, disabled, Disabled	7.1.0
Los volúmenes hostPath del pod del clúster de Kubernetes solo deben usar rutas de host permitidas	Limite los montajes de volumen hostPath del pod a las rutas de acceso de host permitidas en un clúster de Kubernetes. Esta directiva está disponible con carácter general para Kubernetes Service (AKS) y Kubernetes habilitado para Azure Arc. Para más información, consulte https://aka.ms/kubepolicydoc.	audit, Audit, deny, Deny, disabled, Disabled	7.1.1
Los contenedores y pods de clúster de Kubernetes solo deben ejecutarse con identificadores de usuario y grupo aprobados	Controle los id. de usuario, grupo principal, grupo adicional y grupo de sistema de archivos que los pods y los contenedores pueden usar para ejecutarse en un clúster de Kubernetes. Esta directiva está disponible con carácter general para Kubernetes Service (AKS) y en versión preliminar para Kubernetes habilitado para Azure Arc. Para obtener más información, vea https://aka.ms/kubepolicydoc.	audit, Audit, deny, Deny, disabled, Disabled	7.1.1
Los pods del clúster de Kubernetes solo pueden usar redes de host e intervalos de puerto permitidos	Restringe el acceso de los pods a la red del host y el intervalo de puertos de host permitidos en un clúster de Kubernetes. Esta recomendación forma parte de la versión 5.2.4 de CIS, diseñada para mejorar la seguridad de los entornos de Kubernetes. Esta directiva está disponible con carácter general para Kubernetes Service (AKS) y en versión preliminar para Kubernetes habilitado para Azure Arc. Para obtener más información, vea https://aka.ms/kubepolicydoc.	audit, Audit, deny, Deny, disabled, Disabled	7.1.0
Los servicios de clúster de Kubernetes solo deben escuchar en los puertos permitidos	Restrinja los servicios para que escuchen solo en puertos permitidos para proteger el acceso al clúster de Kubernetes. Esta directiva está disponible con carácter general para Kubernetes Service (AKS) y en versión preliminar para Kubernetes habilitado para Azure Arc. Para obtener más información, vea https://aka.ms/kubepolicydoc.	audit, Audit, deny, Deny, disabled, Disabled	9.1.0
No permitir contenedores con privilegios en el clúster de Kubernetes	No permita la creación de contenedores con privilegios en un clúster de Kubernetes. Esta recomendación forma parte de la versión 5.2.1 de CIS, diseñada para mejorar la seguridad de los entornos de Kubernetes. Esta directiva está disponible con carácter general para Kubernetes Service (AKS) y en versión preliminar para Kubernetes habilitado para Azure Arc. Para obtener más información, vea https://aka.ms/kubepolicydoc.	audit, Audit, deny, Deny, disabled, Disabled	10.1.0
Los clústeres de Kubernetes deben deshabilitar las credenciales de la API de montaje automático	Deshabilite las credenciales de la API de montaje automático para evitar que un recurso de pod de riesgo ejecute comandos de la API en clústeres de Kubernetes. Para más información, consulte https://aka.ms/kubepolicydoc.	audit, Audit, deny, Deny, disabled, Disabled	5.1.0
Los clústeres de Kubernetes no deben permitir la elevación de privilegios del contenedor	No permita que los contenedores se ejecuten con elevación de privilegios en la raíz en un clúster de Kubernetes. Esta recomendación forma parte de la versión 5.2.5 de CIS, diseñada para mejorar la seguridad de los entornos de Kubernetes. Esta directiva está disponible con carácter general para Kubernetes Service (AKS) y en versión preliminar para Kubernetes habilitado para Azure Arc. Para obtener más información, vea https://aka.ms/kubepolicydoc.	audit, Audit, deny, Deny, disabled, Disabled	8.1.0
Los clústeres de Kubernetes no deben conceder funcionalidades de seguridad CAP_SYS_ADMIN.	Para reducir la superficie expuesta a ataques de sus contenedores, restrinja las funcionalidades CAP_SYS_ADMIN de Linux. Para más información, consulte https://aka.ms/kubepolicydoc.	audit, Audit, deny, Deny, disabled, Disabled	6.1.0
Los clústeres de Kubernetes no deben usar el espacio de nombres predeterminado	Evite el uso del espacio de nombres predeterminado en los clústeres de Kubernetes para proteger del acceso no autorizado a los tipos de recurso ConfigMap, Pod, Secret, Service y ServiceAccount. Para más información, consulte https://aka.ms/kubepolicydoc.	audit, Audit, deny, Deny, disabled, Disabled	5.1.0
Las máquinas Linux deben cumplir los requisitos de la base de referencia de seguridad de procesos de Azure	Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. Las máquinas no son compatibles si la máquina no está configurada correctamente para una de las recomendaciones de la base de referencia de seguridad de procesos de Azure.	AuditIfNotExists, Disabled	1.5.0
Solo deben instalarse las extensiones de máquina virtual aprobadas	Esta directiva rige las extensiones de máquina virtual que no están aprobadas.	Audit, Deny, Disabled	1.0.0
Realización de una evaluación de impacto en la privacidad	CMA_0387: Realizar una evaluación de impacto en la privacidad	Manual, Deshabilitado	1.1.0
Realización de una evaluación de riesgos	CMA_0388: Realizar una evaluación de riesgos	Manual, Deshabilitado	1.1.0
Realización de una auditoría para el control de cambios de configuración	CMA_0390: Realizar auditoría para el control de cambios de configuración	Manual, Deshabilitado	1.1.0
Las cuentas de almacenamiento deben permitir el acceso desde los servicios de Microsoft de confianza	Algunos servicios de Microsoft que interactúan con las cuentas de almacenamiento funcionan desde redes a las que no se puede conceder acceso a través de reglas de red. Para ayudar a que este tipo de servicio funcione según lo previsto, permita que el conjunto de servicios de Microsoft de confianza omita las reglas de red. Estos servicios usarán luego una autenticación sólida para acceder a la cuenta de almacenamiento.	Audit, Deny, Disabled	1.0.0
La extensión "Configuración de invitado" de las máquinas virtuales debe implementarse con una identidad administrada asignada por el sistema.	La extensión Configuración de invitado requiere una identidad administrada asignada por el sistema. Si las máquinas virtuales de Azure incluidas en el ámbito de esta directiva tienen instalada la extensión "Configuración de invitado" pero no tienen una identidad administrada asignada por el sistema, no cumplirán los requisitos establecidos. Más información en https://aka.ms/gcpol.	AuditIfNotExists, Disabled	1.0.1
Las máquinas Windows deben cumplir los requisitos de la base de referencia de seguridad de procesos de Azure	Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. Las máquinas no son compatibles si la máquina no está configurada correctamente para una de las recomendaciones de la base de referencia de seguridad de procesos de Azure.	AuditIfNotExists, Disabled	1.0.0

Mitigación de riesgos

Actividades de mitigación de riesgos

Id.: SOC 2 tipo 2 CC9.1 Propiedad: compartido

Nombre _{(Azure Portal)}	Descripción	Efectos	Versión _(GitHub)
Determinación de las necesidades de protección de la información	CMA_C1750: Determinar las necesidades de protección de la información	Manual, Deshabilitado	1.1.0
Establecimiento de una estrategia de administración de riesgos	CMA_0258: Establecer una estrategia de administración de riesgos	Manual, Deshabilitado	1.1.0
Realización de una evaluación de riesgos	CMA_0388: Realizar una evaluación de riesgos	Manual, Deshabilitado	1.1.0

Administración de riesgos de proveedores y asociados comerciales

Id.: SOC 2 tipo 2 CC9.2 Propiedad: compartido

Criterios adicionales de privacidad

Aviso de privacidad

Id.: SOC 2 tipo 2 P1.1 Propiedad: compartido

Nombre _{(Azure Portal)}	Descripción	Efectos	Versión _(GitHub)
Documentar y distribuir una directiva de privacidad	CMA_0188: Documentar y distribuir una directiva de privacidad	Manual, Deshabilitado	1.1.0
Asegurarse de que la información del programa de privacidad esté disponible de manera pública	CMA_C1867: Asegurarse de que la información del programa de privacidad esté disponible de manera pública	Manual, Deshabilitado	1.1.0
Implementar métodos de entrega de avisos de privacidad	CMA_0324: Implementar métodos de entrega de avisos de privacidad	Manual, Deshabilitado	1.1.0
Proporcionar aviso de privacidad	CMA_0414: Proporcionar aviso de privacidad	Manual, Deshabilitado	1.1.0
Provisión de un aviso de privacidad al público y a las personas	CMA_C1861 - Proporcionar aviso de privacidad a la gente y a las personas	Manual, Deshabilitado	1.1.0

Id.: SOC 2 tipo 2 P2.1 Propiedad: compartido

Nombre _{(Azure Portal)}	Descripción	Efectos	Versión _(GitHub)
Documentar la aceptación por parte del personal de los requisitos de privacidad	CMA_0193: Documentar la aceptación por parte del personal de los requisitos de privacidad	Manual, Deshabilitado	1.1.0
Implementar métodos de entrega de avisos de privacidad	CMA_0324: Implementar métodos de entrega de avisos de privacidad	Manual, Deshabilitado	1.1.0
Obtener consentimiento antes de la recopilación o el procesamiento de datos personales	CMA_0385: Obtener consentimiento antes de la recopilación o el procesamiento de datos personales	Manual, Deshabilitado	1.1.0
Proporcionar aviso de privacidad	CMA_0414: Proporcionar aviso de privacidad	Manual, Deshabilitado	1.1.0

Recopilación coherente de información personal

Id.: SOC 2 tipo 2 P3.1 Propiedad: compartido

Nombre _{(Azure Portal)}	Descripción	Efectos	Versión _(GitHub)
Determinar la autoridad jurídica para recopilar DCP	CMA_C1800 : determinar la autoridad legal para recopilar DCP	Manual, Deshabilitado	1.1.0
Documentación del proceso para garantizar la integridad de la información de identificación personal	CMA_C1827: Proceso de documento para garantizar la integridad de la información de identificación personal	Manual, Deshabilitado	1.1.0
Evaluación y revisión periódicas de las sociedades de DCP	CMA_C1832: Evaluar y revisar las retenciones de información de identificación personal de forma periódica	Manual, Deshabilitado	1.1.0
Obtener consentimiento antes de la recopilación o el procesamiento de datos personales	CMA_0385: Obtener consentimiento antes de la recopilación o el procesamiento de datos personales	Manual, Deshabilitado	1.1.0

Id.: SOC 2 tipo 2 P3.2 Propiedad: compartido

Nombre _{(Azure Portal)}	Descripción	Efectos	Versión _(GitHub)
Recopilar la información de identificación personal directamente de la persona	CMA_C1822: recopilar la información de identificación personal directamente de la persona	Manual, Deshabilitado	1.1.0
Obtener consentimiento antes de la recopilación o el procesamiento de datos personales	CMA_0385: Obtener consentimiento antes de la recopilación o el procesamiento de datos personales	Manual, Deshabilitado	1.1.0

Uso de información personal

Id.: SOC 2 tipo 2 P4.1 Propiedad: compartido

Nombre _{(Azure Portal)}	Descripción	Efectos	Versión _(GitHub)
Documentar la base legal para procesar la información personal	CMA_0206: Documentar la base legal para procesar la información personal	Manual, Deshabilitado	1.1.0
Implementar métodos de entrega de avisos de privacidad	CMA_0324: Implementar métodos de entrega de avisos de privacidad	Manual, Deshabilitado	1.1.0
Obtener consentimiento antes de la recopilación o el procesamiento de datos personales	CMA_0385: Obtener consentimiento antes de la recopilación o el procesamiento de datos personales	Manual, Deshabilitado	1.1.0
Proporcionar aviso de privacidad	CMA_0414: Proporcionar aviso de privacidad	Manual, Deshabilitado	1.1.0
Restringir las comunicaciones	CMA_0449: Restringir las comunicaciones	Manual, Deshabilitado	1.1.0

Retención de información personal

Id.: SOC 2 tipo 2 P4.2 Propiedad: compartido

Nombre _{(Azure Portal)}	Descripción	Efectos	Versión _(GitHub)
Cumplir con los períodos de retención definidos	CMA_0004: cumplir con los períodos de retención definidos	Manual, Deshabilitado	1.1.0
Documentación del proceso para garantizar la integridad de la información de identificación personal	CMA_C1827: Proceso de documento para garantizar la integridad de la información de identificación personal	Manual, Deshabilitado	1.1.0

Eliminación de información personal

Id.: SOC 2 tipo 2 P4.3 Propiedad: compartido

Nombre _{(Azure Portal)}	Descripción	Efectos	Versión _(GitHub)
Realizar revisión para eliminación	CMA_0391: Realizar revisión para eliminación	Manual, Deshabilitado	1.1.0
Comprobar que los datos personales se eliminan al final del procesamiento	CMA_0540: Comprobar que los datos personales se eliminan al final del procesamiento	Manual, Deshabilitado	1.1.0

Acceso a la información personal

Id.: SOC 2 tipo 2 P5.1 Propiedad: compartido

Nombre _{(Azure Portal)}	Descripción	Efectos	Versión _(GitHub)
Implementar los métodos para las solicitudes del consumidor	CMA_0319: Implementar los métodos para las solicitudes del consumidor	Manual, Deshabilitado	1.1.0
Publicar reglas y normativas que accedan a los registros de la Ley de privacidad	CMA_C1847: Publicar reglas y normativas que accedan a los registros de la Ley de privacidad	Manual, Deshabilitado	1.1.0

Corrección de información personal

Id.: SOC 2 tipo 2 P5.2 Propiedad: compartido

Nombre _{(Azure Portal)}	Descripción	Efectos	Versión _(GitHub)
Responder a solicitudes de rectificación	CMA_0442: responder a solicitudes de rectificación	Manual, Deshabilitado	1.1.0

Divulgación de información personal de terceros

Id.: SOC 2 tipo 2 P6.1 Propiedad: compartido

Divulgación autorizada del registro de información personal

Id.: SOC 2 tipo 2 P6.2 Propiedad: compartido

Nombre _{(Azure Portal)}	Descripción	Efectos	Versión _(GitHub)
Mantenimiento de una contabilidad precisa de las divulgaciones de información	CMA_C1818: Mantener una contabilidad precisa de las divulgaciones de información	Manual, Deshabilitado	1.1.0

Divulgación no autorizada del registro de información personal

Id.: SOC 2 tipo 2 P6.3 Propiedad: compartido

Nombre _{(Azure Portal)}	Descripción	Efectos	Versión _(GitHub)
Mantenimiento de una contabilidad precisa de las divulgaciones de información	CMA_C1818: Mantener una contabilidad precisa de las divulgaciones de información	Manual, Deshabilitado	1.1.0

Contratos de terceros

Id.: SOC 2 tipo 2 P6.4 Propiedad: compartido

Nombre _{(Azure Portal)}	Descripción	Efectos	Versión _(GitHub)
Definir las tareas de los procesadores	CMA_0127: Definir las tareas de los procesadores	Manual, Deshabilitado	1.1.0

Notificación de divulgación no autorizada de terceros

Id.: SOC 2 tipo 2 P6.5 Propiedad: compartido

Nombre _{(Azure Portal)}	Descripción	Efectos	Versión _(GitHub)
Determinación de las obligaciones del contrato de proveedor	CMA_0140: Determinar las obligaciones del contrato de proveedor	Manual, Deshabilitado	1.1.0
Criterios de aceptación del contrato de adquisición de documentos	CMA_0187: Criterios de aceptación del contrato de adquisición de documentos	Manual, Deshabilitado	1.1.0
Protección de documentos de datos personales en contratos de adquisición	CMA_0194: Proteger documentos de datos personales en contratos de adquisición	Manual, Deshabilitado	1.1.0
Protección de documentos de información de seguridad en contratos de adquisición	CMA_0195: Proteger documentos de información de seguridad en contratos de adquisición	Manual, Deshabilitado	1.1.0
Documentación de los requisitos para el uso de los datos compartidos en los contratos	CMA_0197: Documentar los requisitos para el uso de los datos compartidos en los contratos	Manual, Deshabilitado	1.1.0
Documentación de los requisitos de garantía de seguridad en los contratos de adquisición	CMA_0199: Documentar los requisitos de garantía de seguridad en los contratos de adquisición	Manual, Deshabilitado	1.1.0
Documentación de los requisitos de documentación de seguridad en el contrato de adquisición	CMA_0200: Documentar los requisitos de documentación de seguridad en el contrato de adquisición	Manual, Deshabilitado	1.1.0
Documentación de los requisitos funcionales de seguridad en los contratos de adquisición	CMA_0201: Documentar los requisitos funcionales de seguridad en los contratos de adquisición	Manual, Deshabilitado	1.1.0
Documentación de los requisitos de seguridad en los contratos de adquisición	CMA_0203: Documentar los requisitos de seguridad en los contratos de adquisición	Manual, Deshabilitado	1.1.0
Documentación del entorno del sistema de información en contratos de adquisición	CMA_0205: Documentar el entorno del sistema de información en contratos de adquisición	Manual, Deshabilitado	1.1.0
Documentación de la protección de los datos de titulares de tarjetas en contratos de terceros	CMA_0207: Documentar la protección de los datos de titulares de tarjetas en contratos de terceros	Manual, Deshabilitado	1.1.0
Seguridad de la información y protección de datos personales	CMA_0332: Seguridad de la información y protección de datos personales	Manual, Deshabilitado	1.1.0

Notificación de incidentes de privacidad

Id.: SOC 2 tipo 2 P6.6 Propiedad: compartido

Nombre _{(Azure Portal)}	Descripción	Efectos	Versión _(GitHub)
Desarrollar un plan de respuesta a incidentes	CMA_0145: Desarrollar un plan de respuesta a incidentes	Manual, Deshabilitado	1.1.0
Seguridad de la información y protección de datos personales	CMA_0332: Seguridad de la información y protección de datos personales	Manual, Deshabilitado	1.1.0

Contabilización de divulgación de información personal

Id.: SOC 2 tipo 2 P6.7 Propiedad: compartido

Nombre _{(Azure Portal)}	Descripción	Efectos	Versión _(GitHub)
Implementar métodos de entrega de avisos de privacidad	CMA_0324: Implementar métodos de entrega de avisos de privacidad	Manual, Deshabilitado	1.1.0
Mantenimiento de una contabilidad precisa de las divulgaciones de información	CMA_C1818: Mantener una contabilidad precisa de las divulgaciones de información	Manual, Deshabilitado	1.1.0
Disponibilidad a petición de la contabilidad de las divulgaciones	CMA_C1820: Facilitar la contabilidad de las divulgaciones cuando se solicite	Manual, Deshabilitado	1.1.0
Proporcionar aviso de privacidad	CMA_0414: Proporcionar aviso de privacidad	Manual, Deshabilitado	1.1.0
Restringir las comunicaciones	CMA_0449: Restringir las comunicaciones	Manual, Deshabilitado	1.1.0

Calidad de la información personal

Id.: SOC 2 tipo 2 P7.1 Propiedad: compartido

Nombre _{(Azure Portal)}	Descripción	Efectos	Versión _(GitHub)
Confirmación de la calidad y la integridad de DCP	CMA_C1821: Confirmación de la calidad y la integridad de DCP	Manual, Deshabilitado	1.1.0
Emisión de guías para garantizar la calidad y la integridad de los datos	CMA_C1824: Enviar instrucciones para garantizar la calidad e integridad de los datos	Manual, Deshabilitado	1.1.0
Comprobar la información de identificación personal inexacta u obsoleta	CMA_C1823: comprobar la información de identificación personal inexacta u obsoleta	Manual, Deshabilitado	1.1.0

Administración de reclamaciones de privacidad y administración de cumplimiento

Id.: SOC 2 tipo 2 P8.1 Propiedad: compartido

Nombre _{(Azure Portal)}	Descripción	Efectos	Versión _(GitHub)
Documentar e implementar procedimientos de quejas de privacidad	CMA_0189: Documentar e implementar los procedimientos de quejas de privacidad	Manual, Deshabilitado	1.1.0
Evaluación y revisión periódicas de las sociedades de DCP	CMA_C1832: Evaluar y revisar las retenciones de información de identificación personal de forma periódica	Manual, Deshabilitado	1.1.0
Seguridad de la información y protección de datos personales	CMA_0332: Seguridad de la información y protección de datos personales	Manual, Deshabilitado	1.1.0
Responder a las reclamaciones, preocupaciones o preguntas de manera oportuna	CMA_C1853: responder a las reclamaciones, preocupaciones o preguntas de manera oportuna	Manual, Deshabilitado	1.1.0
Entrenar al personal sobre el uso compartido de DCP y sus consecuencias	CMA_C1871: Entrenar al personal sobre el uso compartido de DCP y sus consecuencias	Manual, Deshabilitado	1.1.0

Criterios adicionales para procesar la integridad

Definiciones de procesamiento de datos

Id.: SOC 2 tipo 2 PI1.1 Propiedad: compartido

Nombre _{(Azure Portal)}	Descripción	Efectos	Versión _(GitHub)
Implementar métodos de entrega de avisos de privacidad	CMA_0324: Implementar métodos de entrega de avisos de privacidad	Manual, Deshabilitado	1.1.0
Proporcionar aviso de privacidad	CMA_0414: Proporcionar aviso de privacidad	Manual, Deshabilitado	1.1.0
Restringir las comunicaciones	CMA_0449: Restringir las comunicaciones	Manual, Deshabilitado	1.1.0

Entradas del sistema sobre integridad y precisión

Id.: SOC 2 tipo 2 PI1.2 Propiedad: compartido

Nombre _{(Azure Portal)}	Descripción	Efectos	Versión _(GitHub)
Realización de la validación de la entrada de información	CMA_C1723: Realizar la validación de la entrada de información	Manual, Deshabilitado	1.1.0

Procesamiento del sistema

Id.: SOC 2 tipo 2 PI1.3 Propiedad: compartido

Nombre _{(Azure Portal)}	Descripción	Efectos	Versión _(GitHub)
Controlar el acceso físico	CMA_0081: Controlar el acceso físico	Manual, Deshabilitado	1.1.0
Generación de mensajes de error	CMA_C1724: Generar mensajes de error	Manual, Deshabilitado	1.1.0
Administrar la entrada, la salida, el procesamiento y el almacenamiento de los datos	CMA_0369: Administrar la entrada, la salida, el procesamiento y el almacenamiento de los datos	Manual, Deshabilitado	1.1.0
Realización de la validación de la entrada de información	CMA_C1723: Realizar la validación de la entrada de información	Manual, Deshabilitado	1.1.0
Revisar la actividad y el análisis de etiquetas	CMA_0474: Revisar la actividad y el análisis de etiquetas	Manual, Deshabilitado	1.1.0

La salida del sistema es completa, precisa y de manera oportuna

Id.: SOC 2 tipo 2 PI1.4 Propiedad: compartido

Nombre _{(Azure Portal)}	Descripción	Efectos	Versión _(GitHub)
Controlar el acceso físico	CMA_0081: Controlar el acceso físico	Manual, Deshabilitado	1.1.0
Administrar la entrada, la salida, el procesamiento y el almacenamiento de los datos	CMA_0369: Administrar la entrada, la salida, el procesamiento y el almacenamiento de los datos	Manual, Deshabilitado	1.1.0
Revisar la actividad y el análisis de etiquetas	CMA_0474: Revisar la actividad y el análisis de etiquetas	Manual, Deshabilitado	1.1.0

Almacenar entradas y salidas de manera completa, precisa y oportuna

Id.: SOC 2 tipo 2 PI1.5 Propiedad: compartido

Nombre _{(Azure Portal)}	Descripción	Efectos	Versión _(GitHub)
Azure Backup debe estar habilitado para Virtual Machines.	Asegúrese que Azure Virtual Machines está protegido; para ello, habilite Azure Backup. Azure Backup es una solución de protección de datos segura y rentable para Azure.	AuditIfNotExists, Disabled	3.0.0
Controlar el acceso físico	CMA_0081: Controlar el acceso físico	Manual, Deshabilitado	1.1.0
Establecimiento de las directivas y procedimientos de copia de seguridad	CMA_0268: Establecer las directivas y procedimientos de copia de seguridad	Manual, Deshabilitado	1.1.0
La copia de seguridad con redundancia geográfica debe estar habilitada para Azure Database for MariaDB	Azure Database for MariaDB le permite elegir la opción de redundancia para el servidor de bases de datos. Se puede establecer en un almacenamiento de copia de seguridad con redundancia geográfica donde los datos no solo se almacenan dentro de la región en la que se hospeda el servidor, sino que también se replican en una región emparejada para proporcionar la opción de recuperación en caso de que se produzca un error en la región. La configuración de almacenamiento con redundancia geográfica para copia de seguridad solo se permite durante la creación del servidor.	Audit, Disabled	1.0.1
La copia de seguridad con redundancia geográfica debe estar habilitada para Azure Database for MySQL	Azure Database for MySQL le permite elegir la opción de redundancia para el servidor de bases de datos. Se puede establecer en un almacenamiento de copia de seguridad con redundancia geográfica donde los datos no solo se almacenan dentro de la región en la que se hospeda el servidor, sino que también se replican en una región emparejada para proporcionar la opción de recuperación en caso de que se produzca un error en la región. La configuración de almacenamiento con redundancia geográfica para copia de seguridad solo se permite durante la creación del servidor.	Audit, Disabled	1.0.1
La copia de seguridad con redundancia geográfica debe estar habilitada para Azure Database for PostgreSQL	Azure Database for PostgreSQL le permite elegir la opción de redundancia para el servidor de bases de datos. Se puede establecer en un almacenamiento de copia de seguridad con redundancia geográfica donde los datos no solo se almacenan dentro de la región en la que se hospeda el servidor, sino que también se replican en una región emparejada para proporcionar la opción de recuperación en caso de que se produzca un error en la región. La configuración de almacenamiento con redundancia geográfica para copia de seguridad solo se permite durante la creación del servidor.	Audit, Disabled	1.0.1
Implementar controles para proteger todos los medios	CMA_0314: Implementar los controles para proteger todos los medios	Manual, Deshabilitado	1.1.0
Administrar la entrada, la salida, el procesamiento y el almacenamiento de los datos	CMA_0369: Administrar la entrada, la salida, el procesamiento y el almacenamiento de los datos	Manual, Deshabilitado	1.1.0
Revisar la actividad y el análisis de etiquetas	CMA_0474: Revisar la actividad y el análisis de etiquetas	Manual, Deshabilitado	1.1.0
Almacenamiento independiente de la información de copia de seguridad por separado	CMA_C1293: Almacenar la información de copia de seguridad por separado	Manual, Deshabilitado	1.1.0

Pasos siguientes

Artículos adicionales sobre Azure Policy:

Introducción al Cumplimiento normativo.
Consulte la estructura de definición de la iniciativa.
Consulte más ejemplos en Ejemplos de Azure Policy.
Vea la Descripción de los efectos de directivas.
Obtenga información sobre cómo corregir recursos no compatibles.

Compartir a través de