Detalhes da iniciativa interna de Conformidade Regulatória para o PCI DSS v4.0
O artigo a seguir fornece detalhes sobre como a definição da iniciativa interna de Conformidade Regulatória do Azure Policy é mapeada para os domínios de conformidade e os controles do PCI DSS v4.0. Para obter mais informações sobre esse padrão de conformidade, confira PCI DSS v4.0. Para entender a Propriedade, confira Definição de política do Azure Policy e Responsabilidade compartilhada na nuvem.
Os mapeamentos a seguir se referem aos controles do PCI DSS v4.0. Muitos dos controles são implementados com uma definição de iniciativa do Azure Policy. Para examinar a definição da iniciativa completa, abra Política no portal do Azure e selecione a página Definições. Em seguida, encontre e selecione a definição da iniciativa interna de Conformidade Regulatória para o PCI DSS v4.
Importante
Cada controle abaixo está associado com uma ou mais definições do Azure Policy. Essas políticas podem ajudar você a avaliar a conformidade com o controle. No entanto, geralmente não há uma correspondência um para um ou completa entre um controle e uma ou mais políticas. Dessa forma, Conformidade no Azure Policy refere-se somente às próprias definições de política e não garante que você esteja em conformidade total com todos os requisitos de um controle. Além disso, o padrão de conformidade inclui controles que não são abordados por nenhuma definição do Azure Policy no momento. Portanto, a conformidade no Azure Policy é somente uma exibição parcial do status de conformidade geral. As associações entre os domínios de conformidade, os controles e as definições do Azure Policy para este padrão de conformidade podem ser alteradas ao longo do tempo. Para exibir o histórico de alterações, confira o Histórico de Confirmações do GitHub.
Requisito 1: Instalar e manter controles de segurança de rede
Os processos e os mecanismos usados para a instalação e a manutenção dos controles de segurança de rede foram definidos e compreendidos
ID: PCI DSS v4.0 1.1.1 Propriedade: Compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Revisar a atualizar políticas e procedimentos de gerenciamento de configuração | CMA_C1175 - Revisar e atualizar políticas e procedimentos de gerenciamento de configuração | Manual, Desabilitado | 1.1.0 |
| Revisar e atualizar políticas e procedimentos de proteção do sistema e das comunicações | CMA_C1616 - Revisar e atualizar políticas e procedimentos de proteção do sistema e das comunicações | Manual, Desabilitado | 1.1.0 |
Os NSCs (controles de segurança de rede) são configurados e mantidos
ID: PCI DSS v4.0 1.2.1 Propriedade: Compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Configurar ações para os dispositivos sem conformidade | CMA_0062 – Configurar ações para os dispositivos sem conformidade | Manual, Desabilitado | 1.1.0 |
| Desenvolver e manter configurações de linha de base | CMA_0153 – Desenvolver e manter configurações de linha de base | Manual, Desabilitado | 1.1.0 |
| Impor definições de configuração de segurança | CMA_0249 – Impor definições de configuração de segurança | Manual, Desabilitado | 1.1.0 |
| Estabelecer um comitê de controle de configuração | CMA_0254 – Estabelecer um comitê de controle de configuração | Manual, Desabilitado | 1.1.0 |
| Estabelecer e documentar um plano de gerenciamento de configuração | CMA_0264 – Estabelecer e documentar um plano de gerenciamento de configuração | Manual, Desabilitado | 1.1.0 |
| Implementar uma ferramenta de gerenciamento de configuração automatizada | CMA_0311 – Implementar uma ferramenta de gerenciamento de configuração automatizada | Manual, Desabilitado | 1.1.0 |
Os NSCs (controles de segurança de rede) são configurados e mantidos
ID: PCI DSS v4.0 1.2.2 Propriedade: Compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Realizar uma análise de impacto de segurança | CMA_0057 - Realizar uma análise de impacto de segurança | Manual, Desabilitado | 1.1.0 |
| Desenvolver e manter um padrão de gerenciamento de vulnerabilidades | CMA_0152 - Desenvolver e manter um padrão de gerenciamento de vulnerabilidades | Manual, Desabilitado | 1.1.0 |
| Estabelecer uma estratégia de gerenciamento de riscos | CMA_0258 - Estabelecer uma estratégia de gerenciamento de riscos | Manual, Desabilitado | 1.1.0 |
| Estabelecer e documentar processos de controle de alterações | CMA_0265 – Estabelecer e documentar processos de controle de alterações | Manual, Desabilitado | 1.1.0 |
| Estabelecer requisitos de gerenciamento de configuração para desenvolvedores | CMA_0270 - Estabelecer requisitos de gerenciamento de configuração para desenvolvedores | Manual, Desabilitado | 1.1.0 |
| Executar uma avaliação de impacto de privacidade | CMA_0387 - Executar uma avaliação de impacto de privacidade | Manual, Desabilitado | 1.1.0 |
| Executar uma avaliação de risco | CMA_0388 - Executar uma avaliação de risco | Manual, Desabilitado | 1.1.0 |
| Executar auditoria para controle de alterações de configuração | CMA_0390 - Executar auditoria para controle de alterações de configuração | Manual, Desabilitado | 1.1.0 |
Os NSCs (controles de segurança de rede) são configurados e mantidos
ID: PCI DSS v4.0 1.2.3 Propriedade: Compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Verificar a conformidade de privacidade e segurança antes de estabelecer conexões internas | CMA_0053 – Verificar a conformidade de privacidade e segurança antes de estabelecer conexões internas | Manual, Desabilitado | 1.1.0 |
Os NSCs (controles de segurança de rede) são configurados e mantidos
ID: PCI DSS v4.0 1.2.4 Propriedade: Compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Manter registros de processamento de dados pessoais | CMA_0353 – Manter registros de processamento de dados pessoais | Manual, Desabilitado | 1.1.0 |
Os NSCs (controles de segurança de rede) são configurados e mantidos
ID: PCI DSS v4.0 1.2.5 Propriedade: Compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Identificar provedores de serviços externos | CMA_C1591 – Identificar provedores de serviços externos | Manual, Desabilitado | 1.1.0 |
| Exigir que o desenvolvedor identifique portas, protocolos e serviços SDLC | CMA_C1578 – Exigir que o desenvolvedor identifique portas, protocolos e serviços SDLC | Manual, Desabilitado | 1.1.0 |
Os NSCs (controles de segurança de rede) são configurados e mantidos
ID: PCI DSS v4.0 1.2.8 Propriedade: Compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Aplicar e auditar restrições de acesso | CMA_C1203 - Aplicar e auditar restrições de acesso | Manual, Desabilitado | 1.1.0 |
| Estabelecer e documentar processos de controle de alterações | CMA_0265 – Estabelecer e documentar processos de controle de alterações | Manual, Desabilitado | 1.1.0 |
| Analisar alterações em toda alteração não autorizada | CMA_C1204 – Analisar alterações em toda alteração não autorizada | Manual, Desabilitado | 1.1.0 |
O acesso à rede no ambiente dos dados do titular do cartão é restrito
ID: PCI DSS v4.0 1.3.2 Propriedade: Compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Todas as portas de rede devem ser restritas nos grupos de segurança de rede associados à sua máquina virtual | A Central de Segurança do Azure identificou algumas das regras de entrada de seus grupos de segurança de rede como permissivas demais. As regras de entrada não devem permitir o acesso por meio de intervalos "Qualquer" ou "Internet". Isso tem o potencial de tornar seus recursos alvos de invasores. | AuditIfNotExists, desabilitado | 3.0.0 |
| As contas de armazenamento devem restringir o acesso da rede | O acesso da rede às contas de armazenamento deve ser restrito. Configure as regras de rede de tal forma que somente os aplicativos das redes permitidas possam acessar a conta de armazenamento. Para permitir conexões de clientes específicos locais ou da Internet, o acesso pode ser permitido para o tráfego de redes virtuais específicas do Azure ou para intervalos de endereços IP públicos da Internet | Audit, Deny, desabilitado | 1.1.1 |
O acesso à rede no ambiente dos dados do titular do cartão é restrito
ID: PCI DSS v4.0 1.3.3 Propriedade: Compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Documentar e implementar diretrizes de acesso sem fio | CMA_0190 – Documentar e implementar diretrizes de acesso sem fio | Manual, Desabilitado | 1.1.0 |
| Proteger acesso sem fio | CMA_0411 – Proteger acesso sem fio | Manual, Desabilitado | 1.1.0 |
As conexões de rede entre redes confiáveis e não confiáveis são controladas
ID: PCI DSS v4.0 1.4.1 Propriedade: Compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controlar o fluxo de informações | CMA_0079 – Controlar o fluxo de informações | Manual, Desabilitado | 1.1.0 |
| Empregar mecanismos de controle de fluxo de informações criptografadas | CMA_0211 – Empregar mecanismos de controle de fluxo de informações criptografadas | Manual, Desabilitado | 1.1.0 |
| Implementar a interface gerenciada para cada serviço externo | CMA_C1626 – Implementar a interface gerenciada para cada serviço externo | Manual, Desabilitado | 1.1.0 |
| Implementar a proteção de limites do sistema | CMA_0328 – Implementar a proteção de limites do sistema | Manual, Desabilitado | 1.1.0 |
| Proteger a interface para sistemas externos | CMA_0491 – Proteger a interface para sistemas externos | Manual, Desabilitado | 1.1.0 |
As conexões de rede entre redes confiáveis e não confiáveis são controladas
ID: PCI DSS v4.0 1.4.2 Propriedade: Compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Todas as portas de rede devem ser restritas nos grupos de segurança de rede associados à sua máquina virtual | A Central de Segurança do Azure identificou algumas das regras de entrada de seus grupos de segurança de rede como permissivas demais. As regras de entrada não devem permitir o acesso por meio de intervalos "Qualquer" ou "Internet". Isso tem o potencial de tornar seus recursos alvos de invasores. | AuditIfNotExists, desabilitado | 3.0.0 |
| Controlar o fluxo de informações | CMA_0079 – Controlar o fluxo de informações | Manual, Desabilitado | 1.1.0 |
| Empregar mecanismos de controle de fluxo de informações criptografadas | CMA_0211 – Empregar mecanismos de controle de fluxo de informações criptografadas | Manual, Desabilitado | 1.1.0 |
| Implementar a interface gerenciada para cada serviço externo | CMA_C1626 – Implementar a interface gerenciada para cada serviço externo | Manual, Desabilitado | 1.1.0 |
| Implementar a proteção de limites do sistema | CMA_0328 – Implementar a proteção de limites do sistema | Manual, Desabilitado | 1.1.0 |
| Proteger a interface para sistemas externos | CMA_0491 – Proteger a interface para sistemas externos | Manual, Desabilitado | 1.1.0 |
| As contas de armazenamento devem restringir o acesso da rede | O acesso da rede às contas de armazenamento deve ser restrito. Configure as regras de rede de tal forma que somente os aplicativos das redes permitidas possam acessar a conta de armazenamento. Para permitir conexões de clientes específicos locais ou da Internet, o acesso pode ser permitido para o tráfego de redes virtuais específicas do Azure ou para intervalos de endereços IP públicos da Internet | Audit, Deny, desabilitado | 1.1.1 |
As conexões de rede entre redes confiáveis e não confiáveis são controladas
ID: PCI DSS v4.0 1.4.3 Propriedade: Compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controlar o fluxo de informações | CMA_0079 – Controlar o fluxo de informações | Manual, Desabilitado | 1.1.0 |
| Empregar mecanismos de controle de fluxo de informações criptografadas | CMA_0211 – Empregar mecanismos de controle de fluxo de informações criptografadas | Manual, Desabilitado | 1.1.0 |
As conexões de rede entre redes confiáveis e não confiáveis são controladas
ID: PCI DSS v4.0 1.4.4 Propriedade: Compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controlar o fluxo de informações | CMA_0079 – Controlar o fluxo de informações | Manual, Desabilitado | 1.1.0 |
| Empregar mecanismos de controle de fluxo de informações criptografadas | CMA_0211 – Empregar mecanismos de controle de fluxo de informações criptografadas | Manual, Desabilitado | 1.1.0 |
Os riscos para o CDE nos dispositivos de computação que podem se conectar a redes não confiáveis e ao CDE são mitigados
ID: PCI DSS v4.0 1.5.1 Propriedade: Compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Autorizar o acesso remoto | CMA_0024 – Autorizar o acesso remoto | Manual, Desabilitado | 1.1.0 |
| Documentar o treinamento de mobilidade | CMA_0191 – Documentar o treinamento de mobilidade | Manual, Desabilitado | 1.1.0 |
| Documentar as diretrizes de acesso remoto | CMA_0196 – Documentar as diretrizes de acesso remoto | Manual, Desabilitado | 1.1.0 |
| Implementar controles para proteger sites de trabalho alternativos | CMA_0315 – Implementar controles para proteger sites de trabalho alternativos | Manual, Desabilitado | 1.1.0 |
| Fornecer treinamento de privacidade | CMA_0415 – Fornecer treinamento de privacidade | Manual, Desabilitado | 1.1.0 |
Requisito 10: Registrar em log e monitorar todo o acesso aos componentes do sistema e aos dados do titular do cartão
Os processos e os mecanismos usados para registrar em log e monitorar todo o acesso aos componentes do sistema e dados do titular do cartão foram definidos e documentados
ID: PCI DSS v4.0 10.1.1 Propriedade: Compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Desenvolver políticas e procedimentos de auditoria e responsabilidade | CMA_0154 - Desenvolver políticas e procedimentos de auditoria e responsabilidade | Manual, Desabilitado | 1.1.0 |
| Desenvolver procedimentos e políticas de segurança de informações | CMA_0158 - Desenvolver políticas e procedimentos de segurança de informações | Manual, Desabilitado | 1.1.0 |
| Controlar políticas e procedimentos | CMA_0292 - Controlar políticas e procedimentos | Manual, Desabilitado | 1.1.0 |
| Atualizar políticas de segurança de informações | CMA_0518 – Atualizar políticas de segurança da informação | Manual, Desabilitado | 1.1.0 |
Os logs de auditoria são implementados para dar suporte à detecção de anomalias e atividades suspeitas e à análise forense de eventos
ID: PCI DSS v4.0 10.2.1 Propriedade: Compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Auditar funções com privilégios | CMA_0019 – Auditar funções com privilégios | Manual, Desabilitado | 1.1.0 |
| Auditar o status da conta de usuário | CMA_0020 – Auditar o status da conta de usuário | Manual, Desabilitado | 1.1.0 |
| Determinar eventos auditáveis | CMA_0137 – Determinar eventos auditáveis | Manual, Desabilitado | 1.1.0 |
| Examinar dados de auditoria | CMA_0466 – Examinar dados de auditoria | Manual, Desabilitado | 1.1.0 |
Os logs de auditoria são implementados para dar suporte à detecção de anomalias e atividades suspeitas e à análise forense de eventos
ID: PCI DSS v4.0 10.2.1.1 Propriedade: Compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Determinar eventos auditáveis | CMA_0137 – Determinar eventos auditáveis | Manual, Desabilitado | 1.1.0 |
Os logs de auditoria são implementados para dar suporte à detecção de anomalias e atividades suspeitas e à análise forense de eventos
ID: PCI DSS v4.0 10.2.1.2 Propriedade: Compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Auditar funções com privilégios | CMA_0019 – Auditar funções com privilégios | Manual, Desabilitado | 1.1.0 |
| Realizar uma análise completa do texto de comandos privilegiados registrados | CMA_0056 – Realizar uma análise completa do texto de comandos privilegiados registrados | Manual, Desabilitado | 1.1.0 |
| Monitorar a atividade da conta | CMA_0377 – Monitorar atividade da conta | Manual, Desabilitado | 1.1.0 |
| Monitorar atribuição de função com privilégios | CMA_0378 – Monitorar atribuição de função com privilégios | Manual, Desabilitado | 1.1.0 |
| Restringir o acesso a contas privilegiadas | CMA_0446 – Restringir o acesso a contas privilegiadas | Manual, Desabilitado | 1.1.0 |
| Revogar funções com privilégios conforme a necessidade | CMA_0483 – Revogar funções com privilégios conforme a necessidade | Manual, Desabilitado | 1.1.0 |
| Usar o Privileged Identity Management | CMA_0533 – Usar o Privileged Identity Management | Manual, Desabilitado | 1.1.0 |
Os logs de auditoria são implementados para dar suporte à detecção de anomalias e atividades suspeitas e à análise forense de eventos
ID: PCI DSS v4.0 10.2.1.3 Propriedade: Compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Auditar funções com privilégios | CMA_0019 – Auditar funções com privilégios | Manual, Desabilitado | 1.1.0 |
| Realizar uma análise completa do texto de comandos privilegiados registrados | CMA_0056 – Realizar uma análise completa do texto de comandos privilegiados registrados | Manual, Desabilitado | 1.1.0 |
| Determinar eventos auditáveis | CMA_0137 – Determinar eventos auditáveis | Manual, Desabilitado | 1.1.0 |
| Monitorar a atividade da conta | CMA_0377 – Monitorar atividade da conta | Manual, Desabilitado | 1.1.0 |
| Monitorar atribuição de função com privilégios | CMA_0378 – Monitorar atribuição de função com privilégios | Manual, Desabilitado | 1.1.0 |
| Restringir o acesso a contas privilegiadas | CMA_0446 – Restringir o acesso a contas privilegiadas | Manual, Desabilitado | 1.1.0 |
| Revogar funções com privilégios conforme a necessidade | CMA_0483 – Revogar funções com privilégios conforme a necessidade | Manual, Desabilitado | 1.1.0 |
| Usar o Privileged Identity Management | CMA_0533 – Usar o Privileged Identity Management | Manual, Desabilitado | 1.1.0 |
Os logs de auditoria são implementados para dar suporte à detecção de anomalias e atividades suspeitas e à análise forense de eventos
ID: PCI DSS v4.0 10.2.1.4 Propriedade: Compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Determinar eventos auditáveis | CMA_0137 – Determinar eventos auditáveis | Manual, Desabilitado | 1.1.0 |
Os logs de auditoria são implementados para dar suporte à detecção de anomalias e atividades suspeitas e à análise forense de eventos
ID: PCI DSS v4.0 10.2.1.5 Propriedade: Compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Auditar funções com privilégios | CMA_0019 – Auditar funções com privilégios | Manual, Desabilitado | 1.1.0 |
| Auditar o status da conta de usuário | CMA_0020 – Auditar o status da conta de usuário | Manual, Desabilitado | 1.1.0 |
| Automatizar o gerenciamento de contas | CMA_0026 – Automatizar o gerenciamento de contas | Manual, Desabilitado | 1.1.0 |
| Realizar uma análise completa do texto de comandos privilegiados registrados | CMA_0056 – Realizar uma análise completa do texto de comandos privilegiados registrados | Manual, Desabilitado | 1.1.0 |
| Determinar eventos auditáveis | CMA_0137 – Determinar eventos auditáveis | Manual, Desabilitado | 1.1.0 |
| Gerenciar contas de administrador e sistema | CMA_0368 – Gerenciar contas de administrador e sistema | Manual, Desabilitado | 1.1.0 |
| Monitorar o acesso em toda a organização | CMA_0376 – Monitorar o acesso em toda a organização | Manual, Desabilitado | 1.1.0 |
| Monitorar a atividade da conta | CMA_0377 – Monitorar atividade da conta | Manual, Desabilitado | 1.1.0 |
| Monitorar atribuição de função com privilégios | CMA_0378 – Monitorar atribuição de função com privilégios | Manual, Desabilitado | 1.1.0 |
| Notificar quando a conta não for necessária | CMA_0383 – Notificar quando a conta não for necessária | Manual, Desabilitado | 1.1.0 |
| Restringir o acesso a contas privilegiadas | CMA_0446 – Restringir o acesso a contas privilegiadas | Manual, Desabilitado | 1.1.0 |
| Revogar funções com privilégios conforme a necessidade | CMA_0483 – Revogar funções com privilégios conforme a necessidade | Manual, Desabilitado | 1.1.0 |
| Usar o Privileged Identity Management | CMA_0533 – Usar o Privileged Identity Management | Manual, Desabilitado | 1.1.0 |
Os logs de auditoria são implementados para dar suporte à detecção de anomalias e atividades suspeitas e à análise forense de eventos
ID: PCI DSS v4.0 10.2.1.6 Propriedade: Compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Auditar funções com privilégios | CMA_0019 – Auditar funções com privilégios | Manual, Desabilitado | 1.1.0 |
| Realizar uma análise completa do texto de comandos privilegiados registrados | CMA_0056 – Realizar uma análise completa do texto de comandos privilegiados registrados | Manual, Desabilitado | 1.1.0 |
| Determinar eventos auditáveis | CMA_0137 – Determinar eventos auditáveis | Manual, Desabilitado | 1.1.0 |
| Monitorar a atividade da conta | CMA_0377 – Monitorar atividade da conta | Manual, Desabilitado | 1.1.0 |
| Monitorar atribuição de função com privilégios | CMA_0378 – Monitorar atribuição de função com privilégios | Manual, Desabilitado | 1.1.0 |
| Restringir o acesso a contas privilegiadas | CMA_0446 – Restringir o acesso a contas privilegiadas | Manual, Desabilitado | 1.1.0 |
| Revogar funções com privilégios conforme a necessidade | CMA_0483 – Revogar funções com privilégios conforme a necessidade | Manual, Desabilitado | 1.1.0 |
| Usar o Privileged Identity Management | CMA_0533 – Usar o Privileged Identity Management | Manual, Desabilitado | 1.1.0 |
Os logs de auditoria são implementados para dar suporte à detecção de anomalias e atividades suspeitas e à análise forense de eventos
ID: PCI DSS v4.0 10.2.1.7 Propriedade: Compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Determinar eventos auditáveis | CMA_0137 – Determinar eventos auditáveis | Manual, Desabilitado | 1.1.0 |
Os logs de auditoria são implementados para dar suporte à detecção de anomalias e atividades suspeitas e à análise forense de eventos
ID: PCI DSS v4.0 10.2.2 Propriedade: Compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Auditar configuração de diagnóstico para tipos de recursos selecionados | Auditar configuração de diagnóstico para tipos de recursos selecionado. Selecione apenas os tipos de recursos que dão suporte às configurações de diagnóstico. | AuditIfNotExists | 2.0.1 |
| A auditoria no SQL Server deve ser habilitada | A auditoria no SQL Server deve ser habilitada para acompanhar as atividades de banco de dados em todos os bancos de dados no servidor e salvá-las em um log de auditoria. | AuditIfNotExists, desabilitado | 2.0.0 |
| Determinar eventos auditáveis | CMA_0137 – Determinar eventos auditáveis | Manual, Desabilitado | 1.1.0 |
| As contas de armazenamento devem ser migradas para os novos recursos do Azure Resource Manager | Use o novo Azure Resource Manager para suas contas de armazenamento para fornecer aprimoramentos de segurança, como: controle de acesso (RBAC) mais forte, melhor auditoria, implantação e controle com base no Azure Resource Manager, acesso a identidades gerenciadas, acesso ao cofre de chaves por segredos, autenticação baseada no Azure AD e suporte para marcas e grupos de recursos para facilitar o gerenciamento de segurança | Audit, Deny, desabilitado | 1.0.0 |
| As máquinas virtuais devem ser migradas para os novos recursos do Azure Resource Manager | Use o novo Azure Resource Manager para suas máquinas virtuais a fim de fornecer melhorias de segurança como: RBAC (controle de acesso) mais forte, melhor auditoria, implantação e governança baseadas no Azure Resource Manager, acesso a identidades gerenciadas, acesso ao cofre de chaves para segredos, autenticação baseada no Azure AD e suporte para marcas e grupos de recursos visando facilitar o gerenciamento da segurança | Audit, Deny, desabilitado | 1.0.0 |
Os logs de auditoria são protegidos contra destruição e modificações não autorizadas
ID: PCI DSS v4.0 10.3.1 Propriedade: Compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Habilitar a autorização dupla ou conjunta | CMA_0226 – Habilitar a autorização dupla ou conjunta | Manual, Desabilitado | 1.1.0 |
| Proteger informações de auditoria | CMA_0401 – Proteger informações de auditoria | Manual, Desabilitado | 1.1.0 |
Os logs de auditoria são protegidos contra destruição e modificações não autorizadas
ID: PCI DSS v4.0 10.3.2 Propriedade: Compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Habilitar a autorização dupla ou conjunta | CMA_0226 – Habilitar a autorização dupla ou conjunta | Manual, Desabilitado | 1.1.0 |
| Proteger informações de auditoria | CMA_0401 – Proteger informações de auditoria | Manual, Desabilitado | 1.1.0 |
Os logs de auditoria são protegidos contra destruição e modificações não autorizadas
ID: PCI DSS v4.0 10.3.3 Propriedade: Compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Auditar configuração de diagnóstico para tipos de recursos selecionados | Auditar configuração de diagnóstico para tipos de recursos selecionado. Selecione apenas os tipos de recursos que dão suporte às configurações de diagnóstico. | AuditIfNotExists | 2.0.1 |
| A auditoria no SQL Server deve ser habilitada | A auditoria no SQL Server deve ser habilitada para acompanhar as atividades de banco de dados em todos os bancos de dados no servidor e salvá-las em um log de auditoria. | AuditIfNotExists, desabilitado | 2.0.0 |
| Estabelecer backup de políticas e procedimentos | CMA_0268 - Estabelecer políticas e procedimentos de backup | Manual, Desabilitado | 1.1.0 |
| As contas de armazenamento devem ser migradas para os novos recursos do Azure Resource Manager | Use o novo Azure Resource Manager para suas contas de armazenamento para fornecer aprimoramentos de segurança, como: controle de acesso (RBAC) mais forte, melhor auditoria, implantação e controle com base no Azure Resource Manager, acesso a identidades gerenciadas, acesso ao cofre de chaves por segredos, autenticação baseada no Azure AD e suporte para marcas e grupos de recursos para facilitar o gerenciamento de segurança | Audit, Deny, desabilitado | 1.0.0 |
| As máquinas virtuais devem ser migradas para os novos recursos do Azure Resource Manager | Use o novo Azure Resource Manager para suas máquinas virtuais a fim de fornecer melhorias de segurança como: RBAC (controle de acesso) mais forte, melhor auditoria, implantação e governança baseadas no Azure Resource Manager, acesso a identidades gerenciadas, acesso ao cofre de chaves para segredos, autenticação baseada no Azure AD e suporte para marcas e grupos de recursos visando facilitar o gerenciamento da segurança | Audit, Deny, desabilitado | 1.0.0 |
Os logs de auditoria são protegidos contra destruição e modificações não autorizadas
ID: PCI DSS v4.0 10.3.4 Propriedade: Compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Habilitar a autorização dupla ou conjunta | CMA_0226 – Habilitar a autorização dupla ou conjunta | Manual, Desabilitado | 1.1.0 |
| Proteger informações de auditoria | CMA_0401 – Proteger informações de auditoria | Manual, Desabilitado | 1.1.0 |
Os logs de auditoria são analisados para identificar anomalias ou atividades suspeitas
ID: PCI DSS v4.0 10.4.1 Propriedade: Compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Correlacionar os registros de auditoria | CMA_0087 – Correlacionar registros de auditoria | Manual, Desabilitado | 1.1.0 |
| Estabelecer requisitos para revisão e relatórios de auditoria | CMA_0277 – Estabelecer requisitos para revisão e relatórios de auditoria | Manual, Desabilitado | 1.1.0 |
| Integrar revisão de auditoria, análise e relatórios | CMA_0339 – Integrar revisão de auditoria, análise e relatórios | Manual, Desabilitado | 1.1.0 |
| Integrar a segurança do aplicativo em nuvem a um SIEM | CMA_0340 – Integrar a segurança do aplicativo em nuvem a um SIEM | Manual, Desabilitado | 1.1.0 |
| Examinar logs de provisionamento de conta | CMA_0460 – Examinar logs de provisionamento de conta | Manual, Desabilitado | 1.1.0 |
| Revisar atribuições de administrador semanalmente | CMA_0461 – Revisar atribuições de administrador semanalmente | Manual, Desabilitado | 1.1.0 |
| Examinar dados de auditoria | CMA_0466 – Examinar dados de auditoria | Manual, Desabilitado | 1.1.0 |
| Revisar a visão geral do relatório de identidade na nuvem | CMA_0468 – Revisar a visão geral do relatório de identidade na nuvem | Manual, Desabilitado | 1.1.0 |
| Revisar eventos de acesso controlado a pastas | CMA_0471 – Revisar eventos de acesso controlado a pastas | Manual, Desabilitado | 1.1.0 |
| Revisar a atividade de arquivo e pasta | CMA_0473 – Revisar a atividade de arquivo e pasta | Manual, Desabilitado | 1.1.0 |
| Revisar alterações de grupo de funções semanalmente | CMA_0476 – Revisar alterações de grupo de funções semanalmente | Manual, Desabilitado | 1.1.0 |
Os logs de auditoria são analisados para identificar anomalias ou atividades suspeitas
ID: PCI DSS v4.0 10.4.1.1 Propriedade: Compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Correlacionar os registros de auditoria | CMA_0087 – Correlacionar registros de auditoria | Manual, Desabilitado | 1.1.0 |
| Estabelecer requisitos para revisão e relatórios de auditoria | CMA_0277 – Estabelecer requisitos para revisão e relatórios de auditoria | Manual, Desabilitado | 1.1.0 |
| Integrar revisão de auditoria, análise e relatórios | CMA_0339 – Integrar revisão de auditoria, análise e relatórios | Manual, Desabilitado | 1.1.0 |
| Integrar a segurança do aplicativo em nuvem a um SIEM | CMA_0340 – Integrar a segurança do aplicativo em nuvem a um SIEM | Manual, Desabilitado | 1.1.0 |
| Examinar logs de provisionamento de conta | CMA_0460 – Examinar logs de provisionamento de conta | Manual, Desabilitado | 1.1.0 |
| Revisar atribuições de administrador semanalmente | CMA_0461 – Revisar atribuições de administrador semanalmente | Manual, Desabilitado | 1.1.0 |
| Examinar dados de auditoria | CMA_0466 – Examinar dados de auditoria | Manual, Desabilitado | 1.1.0 |
| Revisar a visão geral do relatório de identidade na nuvem | CMA_0468 – Revisar a visão geral do relatório de identidade na nuvem | Manual, Desabilitado | 1.1.0 |
| Revisar eventos de acesso controlado a pastas | CMA_0471 – Revisar eventos de acesso controlado a pastas | Manual, Desabilitado | 1.1.0 |
| Revisar a atividade de arquivo e pasta | CMA_0473 – Revisar a atividade de arquivo e pasta | Manual, Desabilitado | 1.1.0 |
| Revisar alterações de grupo de funções semanalmente | CMA_0476 – Revisar alterações de grupo de funções semanalmente | Manual, Desabilitado | 1.1.0 |
Os logs de auditoria são analisados para identificar anomalias ou atividades suspeitas
ID: PCI DSS v4.0 10.4.2 Propriedade: Compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Correlacionar os registros de auditoria | CMA_0087 – Correlacionar registros de auditoria | Manual, Desabilitado | 1.1.0 |
| Estabelecer requisitos para revisão e relatórios de auditoria | CMA_0277 – Estabelecer requisitos para revisão e relatórios de auditoria | Manual, Desabilitado | 1.1.0 |
| Integrar revisão de auditoria, análise e relatórios | CMA_0339 – Integrar revisão de auditoria, análise e relatórios | Manual, Desabilitado | 1.1.0 |
| Integrar a segurança do aplicativo em nuvem a um SIEM | CMA_0340 – Integrar a segurança do aplicativo em nuvem a um SIEM | Manual, Desabilitado | 1.1.0 |
| Examinar logs de provisionamento de conta | CMA_0460 – Examinar logs de provisionamento de conta | Manual, Desabilitado | 1.1.0 |
| Revisar atribuições de administrador semanalmente | CMA_0461 – Revisar atribuições de administrador semanalmente | Manual, Desabilitado | 1.1.0 |
| Examinar dados de auditoria | CMA_0466 – Examinar dados de auditoria | Manual, Desabilitado | 1.1.0 |
| Revisar a visão geral do relatório de identidade na nuvem | CMA_0468 – Revisar a visão geral do relatório de identidade na nuvem | Manual, Desabilitado | 1.1.0 |
| Revisar eventos de acesso controlado a pastas | CMA_0471 – Revisar eventos de acesso controlado a pastas | Manual, Desabilitado | 1.1.0 |
| Revisar a atividade de arquivo e pasta | CMA_0473 – Revisar a atividade de arquivo e pasta | Manual, Desabilitado | 1.1.0 |
| Revisar alterações de grupo de funções semanalmente | CMA_0476 – Revisar alterações de grupo de funções semanalmente | Manual, Desabilitado | 1.1.0 |
Os logs de auditoria são analisados para identificar anomalias ou atividades suspeitas
ID: PCI DSS v4.0 10.4.2.1 Propriedade: Compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Correlacionar os registros de auditoria | CMA_0087 – Correlacionar registros de auditoria | Manual, Desabilitado | 1.1.0 |
| Estabelecer requisitos para revisão e relatórios de auditoria | CMA_0277 – Estabelecer requisitos para revisão e relatórios de auditoria | Manual, Desabilitado | 1.1.0 |
| Integrar revisão de auditoria, análise e relatórios | CMA_0339 – Integrar revisão de auditoria, análise e relatórios | Manual, Desabilitado | 1.1.0 |
| Integrar a segurança do aplicativo em nuvem a um SIEM | CMA_0340 – Integrar a segurança do aplicativo em nuvem a um SIEM | Manual, Desabilitado | 1.1.0 |
| Examinar logs de provisionamento de conta | CMA_0460 – Examinar logs de provisionamento de conta | Manual, Desabilitado | 1.1.0 |
| Revisar atribuições de administrador semanalmente | CMA_0461 – Revisar atribuições de administrador semanalmente | Manual, Desabilitado | 1.1.0 |
| Examinar dados de auditoria | CMA_0466 – Examinar dados de auditoria | Manual, Desabilitado | 1.1.0 |
| Revisar a visão geral do relatório de identidade na nuvem | CMA_0468 – Revisar a visão geral do relatório de identidade na nuvem | Manual, Desabilitado | 1.1.0 |
| Revisar eventos de acesso controlado a pastas | CMA_0471 – Revisar eventos de acesso controlado a pastas | Manual, Desabilitado | 1.1.0 |
| Revisar a atividade de arquivo e pasta | CMA_0473 – Revisar a atividade de arquivo e pasta | Manual, Desabilitado | 1.1.0 |
| Revisar alterações de grupo de funções semanalmente | CMA_0476 – Revisar alterações de grupo de funções semanalmente | Manual, Desabilitado | 1.1.0 |
Os logs de auditoria são analisados para identificar anomalias ou atividades suspeitas
ID: PCI DSS v4.0 10.4.3 Propriedade: Compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Correlacionar os registros de auditoria | CMA_0087 – Correlacionar registros de auditoria | Manual, Desabilitado | 1.1.0 |
| Estabelecer requisitos para revisão e relatórios de auditoria | CMA_0277 – Estabelecer requisitos para revisão e relatórios de auditoria | Manual, Desabilitado | 1.1.0 |
| Integrar revisão de auditoria, análise e relatórios | CMA_0339 – Integrar revisão de auditoria, análise e relatórios | Manual, Desabilitado | 1.1.0 |
| Integrar a segurança do aplicativo em nuvem a um SIEM | CMA_0340 – Integrar a segurança do aplicativo em nuvem a um SIEM | Manual, Desabilitado | 1.1.0 |
| Examinar logs de provisionamento de conta | CMA_0460 – Examinar logs de provisionamento de conta | Manual, Desabilitado | 1.1.0 |
| Revisar atribuições de administrador semanalmente | CMA_0461 – Revisar atribuições de administrador semanalmente | Manual, Desabilitado | 1.1.0 |
| Examinar dados de auditoria | CMA_0466 – Examinar dados de auditoria | Manual, Desabilitado | 1.1.0 |
| Revisar a visão geral do relatório de identidade na nuvem | CMA_0468 – Revisar a visão geral do relatório de identidade na nuvem | Manual, Desabilitado | 1.1.0 |
| Revisar eventos de acesso controlado a pastas | CMA_0471 – Revisar eventos de acesso controlado a pastas | Manual, Desabilitado | 1.1.0 |
| Revisar a atividade de arquivo e pasta | CMA_0473 – Revisar a atividade de arquivo e pasta | Manual, Desabilitado | 1.1.0 |
| Revisar alterações de grupo de funções semanalmente | CMA_0476 – Revisar alterações de grupo de funções semanalmente | Manual, Desabilitado | 1.1.0 |
O histórico do log de auditoria é retido e está disponível para análise
ID: PCI DSS v4.0 10.5.1 Propriedade: Compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Obedecer os períodos de retenção definidos | CMA_0004 – Obedecer os períodos de retenção definidos | Manual, Desabilitado | 1.1.0 |
| Reter procedimentos e políticas de segurança | CMA_0454 – Reter procedimentos e políticas de segurança | Manual, Desabilitado | 1.1.0 |
| Reter dados de usuário removido | CMA_0455 – Reter dados de usuário removido | Manual, Desabilitado | 1.1.0 |
Os mecanismos de sincronização de tempo dão suporte a configurações de hora consistentes em todos os sistemas
ID: PCI DSS v4.0 10.6.1 Propriedade: Compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Usar relógios do sistema para registros de auditoria | CMA_0535 – Usar relógios do sistema para registros de auditoria | Manual, Desabilitado | 1.1.0 |
Os mecanismos de sincronização de tempo dão suporte a configurações de hora consistentes em todos os sistemas
ID: PCI DSS v4.0 10.6.2 Propriedade: Compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Usar relógios do sistema para registros de auditoria | CMA_0535 – Usar relógios do sistema para registros de auditoria | Manual, Desabilitado | 1.1.0 |
Os mecanismos de sincronização de tempo dão suporte a configurações de hora consistentes em todos os sistemas
ID: PCI DSS v4.0 10.6.3 Propriedade: Compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Auditar funções com privilégios | CMA_0019 – Auditar funções com privilégios | Manual, Desabilitado | 1.1.0 |
| Autorizar o acesso às funções e informações de segurança | CMA_0022 – Autorizar o acesso às funções e informações de segurança | Manual, Desabilitado | 1.1.0 |
| Autorizar e gerenciar o acesso | CMA_0023 – Autorizar e gerenciar o acesso | Manual, Desabilitado | 1.1.0 |
| Realizar uma análise completa do texto de comandos privilegiados registrados | CMA_0056 – Realizar uma análise completa do texto de comandos privilegiados registrados | Manual, Desabilitado | 1.1.0 |
| Impor políticas de controle de acesso obrigatórias e opcionais | CMA_0246 – Impor políticas de controle de acesso obrigatórias e opcionais | Manual, Desabilitado | 1.1.0 |
| Monitorar a atividade da conta | CMA_0377 – Monitorar atividade da conta | Manual, Desabilitado | 1.1.0 |
| Monitorar atribuição de função com privilégios | CMA_0378 – Monitorar atribuição de função com privilégios | Manual, Desabilitado | 1.1.0 |
| Restringir o acesso a contas privilegiadas | CMA_0446 – Restringir o acesso a contas privilegiadas | Manual, Desabilitado | 1.1.0 |
| Revogar funções com privilégios conforme a necessidade | CMA_0483 – Revogar funções com privilégios conforme a necessidade | Manual, Desabilitado | 1.1.0 |
| Usar o Privileged Identity Management | CMA_0533 – Usar o Privileged Identity Management | Manual, Desabilitado | 1.1.0 |
As falhas de sistemas críticos de controle de segurança são detectadas, relatadas e respondidas prontamente
ID: PCI DSS v4.0 10.7.1 Propriedade: Compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Criar ações alternativas para anomalias identificadas | CMA_C1711 – Criar ações alternativas para anomalias identificadas | Manual, Desabilitado | 1.1.0 |
| Controlar e monitorar atividades de processamento de auditoria | CMA_0289 – Controlar e monitorar atividades de processamento de auditoria | Manual, Desabilitado | 1.1.0 |
| Notificar pessoal sobre testes de verificação de segurança com falha | CMA_C1710 – Notificar pessoal sobre testes de verificação de segurança com falha | Manual, Desabilitado | 1.1.0 |
| Executar a verificação da função de segurança em uma frequência definida | CMA_C1709 – Executar verificação de função de segurança em uma frequência definida | Manual, Desabilitado | 1.1.0 |
| Verificar funções de segurança | CMA_C1708 – Verificar funções de segurança | Manual, Desabilitado | 1.1.0 |
As falhas de sistemas críticos de controle de segurança são detectadas, relatadas e respondidas prontamente
ID: PCI DSS v4.0 10.7.2 Propriedade: Compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Criar ações alternativas para anomalias identificadas | CMA_C1711 – Criar ações alternativas para anomalias identificadas | Manual, Desabilitado | 1.1.0 |
| Controlar e monitorar atividades de processamento de auditoria | CMA_0289 – Controlar e monitorar atividades de processamento de auditoria | Manual, Desabilitado | 1.1.0 |
| Notificar pessoal sobre testes de verificação de segurança com falha | CMA_C1710 – Notificar pessoal sobre testes de verificação de segurança com falha | Manual, Desabilitado | 1.1.0 |
| Executar a verificação da função de segurança em uma frequência definida | CMA_C1709 – Executar verificação de função de segurança em uma frequência definida | Manual, Desabilitado | 1.1.0 |
| Verificar funções de segurança | CMA_C1708 – Verificar funções de segurança | Manual, Desabilitado | 1.1.0 |
As falhas de sistemas críticos de controle de segurança são detectadas, relatadas e respondidas prontamente
ID: PCI DSS v4.0 10.7.3 Propriedade: Compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Criar ações alternativas para anomalias identificadas | CMA_C1711 – Criar ações alternativas para anomalias identificadas | Manual, Desabilitado | 1.1.0 |
| Notificar pessoal sobre testes de verificação de segurança com falha | CMA_C1710 – Notificar pessoal sobre testes de verificação de segurança com falha | Manual, Desabilitado | 1.1.0 |
| Executar a verificação da função de segurança em uma frequência definida | CMA_C1709 – Executar verificação de função de segurança em uma frequência definida | Manual, Desabilitado | 1.1.0 |
| Verificar funções de segurança | CMA_C1708 – Verificar funções de segurança | Manual, Desabilitado | 1.1.0 |
Requisito 11: Testar a segurança de sistemas e redes regularmente
Os processos e os mecanismos usados para testar a segurança de sistemas e redes regularmente foram definidos e compreendidos
ID: PCI DSS v4.0 11.1.1 Propriedade: Compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Revisar e atualizar políticas e procedimentos de integridade das informações | CMA_C1667 - Revisar e atualizar políticas e procedimentos de integridade das informações | Manual, Desabilitado | 1.1.0 |
| Revisar e atualizar políticas e procedimentos de proteção do sistema e das comunicações | CMA_C1616 - Revisar e atualizar políticas e procedimentos de proteção do sistema e das comunicações | Manual, Desabilitado | 1.1.0 |
| Revisar políticas e procedimentos de autorização e avaliação de segurança | CMA_C1143 - Revisar políticas e procedimentos de autorização e avaliação de segurança | Manual, Desabilitado | 1.1.0 |
Os pontos de acesso sem fio são identificados e monitorados, e os pontos de acesso sem fio não autorizados são resolvidos
ID: PCI DSS v4.0 11.2.2 Propriedade: Compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Documentar e implementar diretrizes de acesso sem fio | CMA_0190 – Documentar e implementar diretrizes de acesso sem fio | Manual, Desabilitado | 1.1.0 |
| Proteger acesso sem fio | CMA_0411 – Proteger acesso sem fio | Manual, Desabilitado | 1.1.0 |
As vulnerabilidades externas e internas são regularmente identificadas, priorizadas e resolvidas
ID: PCI DSS v4.0 11.3.1 Propriedade: Compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Uma solução de avaliação de vulnerabilidade deve ser habilitada nas máquinas virtuais | Audita as máquinas virtuais para detectar se elas estão executando uma solução de avaliação de vulnerabilidade compatível. Um componente principal de cada programa de segurança e risco cibernético é a identificação e a análise das vulnerabilidades. O tipo de preço padrão da Central de Segurança do Azure inclui a verificação de vulnerabilidade para as máquinas virtuais sem custo adicional. Além disso, a Central de Segurança pode implantar essa ferramenta automaticamente para você. | AuditIfNotExists, desabilitado | 3.0.0 |
| Monitorar o Endpoint Protection ausente na Central de Segurança do Azure | Servidores sem um agente do Endpoint Protection instalado serão monitorados pela Central de Segurança do Azure como recomendações | AuditIfNotExists, desabilitado | 3.0.0 |
| Executar verificações de vulnerabilidade | CMA_0393 – Executar verificações de vulnerabilidade | Manual, Desabilitado | 1.1.0 |
| Corrigir falhas do sistema de informações | CMA_0427 – Corrigir falhas do sistema de informações | Manual, Desabilitado | 1.1.0 |
| Os bancos de dados SQL devem ter as descobertas de vulnerabilidade resolvidas | Monitore os resultados da verificação da avaliação de vulnerabilidades e as recomendações sobre como corrigir as vulnerabilidades do banco de dados. | AuditIfNotExists, desabilitado | 4.1.0 |
| As atualizações do sistema devem ser instaladas em suas máquinas | A falta de atualizações do sistema de segurança em seus servidores será monitorada pela Central de Segurança do Azure como recomendações | AuditIfNotExists, desabilitado | 4.0.0 |
| As vulnerabilidades da configuração de segurança nas máquinas devem ser corrigidas | Os servidores que não atenderem à linha de base configurada serão monitorados pela Central de Segurança do Azure como recomendações | AuditIfNotExists, desabilitado | 3.1.0 |
As vulnerabilidades externas e internas são regularmente identificadas, priorizadas e resolvidas
ID: PCI DSS v4.0 11.3.1.1 Propriedade: Compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Executar verificações de vulnerabilidade | CMA_0393 – Executar verificações de vulnerabilidade | Manual, Desabilitado | 1.1.0 |
| Corrigir falhas do sistema de informações | CMA_0427 – Corrigir falhas do sistema de informações | Manual, Desabilitado | 1.1.0 |
As vulnerabilidades externas e internas são regularmente identificadas, priorizadas e resolvidas
ID: PCI DSS v4.0 11.3.1.3 Propriedade: Compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Executar verificações de vulnerabilidade | CMA_0393 – Executar verificações de vulnerabilidade | Manual, Desabilitado | 1.1.0 |
| Corrigir falhas do sistema de informações | CMA_0427 – Corrigir falhas do sistema de informações | Manual, Desabilitado | 1.1.0 |
As vulnerabilidades externas e internas são regularmente identificadas, priorizadas e resolvidas
ID: PCI DSS v4.0 11.3.2 Propriedade: Compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Executar verificações de vulnerabilidade | CMA_0393 – Executar verificações de vulnerabilidade | Manual, Desabilitado | 1.1.0 |
| Corrigir falhas do sistema de informações | CMA_0427 – Corrigir falhas do sistema de informações | Manual, Desabilitado | 1.1.0 |
As vulnerabilidades externas e internas são regularmente identificadas, priorizadas e resolvidas
ID: PCI DSS v4.0 11.3.2.1 Propriedade: Compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Executar verificações de vulnerabilidade | CMA_0393 – Executar verificações de vulnerabilidade | Manual, Desabilitado | 1.1.0 |
| Corrigir falhas do sistema de informações | CMA_0427 – Corrigir falhas do sistema de informações | Manual, Desabilitado | 1.1.0 |
Os testes de penetração externos e internos são realizados regularmente, e as vulnerabilidades exploráveis e os pontos fracos de segurança são corrigidos
ID: PCI DSS v4.0 11.4.1 Propriedade: Compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Empregar uma equipe independente para teste de penetração | CMA_C1171 – Empregar uma equipe independente para teste de penetração | Manual, Desabilitado | 1.1.0 |
Os testes de penetração externos e internos são realizados regularmente, e as vulnerabilidades exploráveis e os pontos fracos de segurança são corrigidos
ID: PCI DSS v4.0 11.4.3 Propriedade: Compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Empregar uma equipe independente para teste de penetração | CMA_C1171 – Empregar uma equipe independente para teste de penetração | Manual, Desabilitado | 1.1.0 |
As invasões de rede e as alterações inesperadas de arquivos são detectadas e respondidas
ID: PCI DSS v4.0 11.5.1 Propriedade: Compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Alertar o pessoal sobre vazamento de informações | CMA_0007 – Alertar o pessoal sobre vazamento de informações | Manual, Desabilitado | 1.1.0 |
| Desenvolver um plano de resposta a incidentes | CMA_0145 – Desenvolver um plano de resposta a incidentes | Manual, Desabilitado | 1.1.0 |
| Executar uma análise de tendências de ameaças | CMA_0389 – Executar uma análise de tendências de ameaças | Manual, Desabilitado | 1.1.0 |
| Definir notificações automatizadas para aplicativos de nuvem novos e em tendência na organização | CMA_0495 – Definir notificações automatizadas para aplicativos de nuvem novos e em tendência na organização | Manual, Desabilitado | 1.1.0 |
As invasões de rede e as alterações inesperadas de arquivos são detectadas e respondidas
ID: PCI DSS v4.0 11.5.1.1 Propriedade: Compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Alertar o pessoal sobre vazamento de informações | CMA_0007 – Alertar o pessoal sobre vazamento de informações | Manual, Desabilitado | 1.1.0 |
| Desenvolver um plano de resposta a incidentes | CMA_0145 – Desenvolver um plano de resposta a incidentes | Manual, Desabilitado | 1.1.0 |
| Definir notificações automatizadas para aplicativos de nuvem novos e em tendência na organização | CMA_0495 – Definir notificações automatizadas para aplicativos de nuvem novos e em tendência na organização | Manual, Desabilitado | 1.1.0 |
As invasões de rede e as alterações inesperadas de arquivos são detectadas e respondidas
ID: PCI DSS v4.0 11.5.2 Propriedade: Compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Empregar desligamento/reinicialização automática quando forem detectadas violações | CMA_C1715 – Empregar desligamento/reinicialização automática quando forem detectadas violações | Manual, Desabilitado | 1.1.0 |
| Verificar integridade de software, firmware e informações | CMA_0542 – Verificar integridade de software, firmware e informações | Manual, Desabilitado | 1.1.0 |
| Exibir e configurar dados de diagnóstico do sistema | CMA_0544 – Exibir e configurar dados de diagnóstico do sistema | Manual, Desabilitado | 1.1.0 |
As alterações não autorizadas nas páginas de pagamento são detectadas e respondidas
ID: PCI DSS v4.0 11.6.1 Propriedade: Compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Empregar desligamento/reinicialização automática quando forem detectadas violações | CMA_C1715 – Empregar desligamento/reinicialização automática quando forem detectadas violações | Manual, Desabilitado | 1.1.0 |
| Verificar integridade de software, firmware e informações | CMA_0542 – Verificar integridade de software, firmware e informações | Manual, Desabilitado | 1.1.0 |
| Exibir e configurar dados de diagnóstico do sistema | CMA_0544 – Exibir e configurar dados de diagnóstico do sistema | Manual, Desabilitado | 1.1.0 |
Requisito 12: Dar suporte à segurança da informação com políticas e programas organizacionais
Uma política abrangente de segurança da informação que controla e fornece orientações para a proteção dos ativos de informação da entidade é conhecida e atual
ID: PCI DSS v4.0 12.1.2 Propriedade: Compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Estabelecer um programa de segurança da informação | CMA_0263 – Estabelecer um programa de segurança da informação | Manual, Desabilitado | 1.1.0 |
| Atualizar políticas de segurança de informações | CMA_0518 – Atualizar políticas de segurança da informação | Manual, Desabilitado | 1.1.0 |
Uma política abrangente de segurança da informação que controla e fornece orientações para a proteção dos ativos de informação da entidade é conhecida e atual
ID: PCI DSS v4.0 12.1.4 Propriedade: Compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Nomear um responsável pela segurança da informação sênior | CMA_C1733 – Nomear um responsável pela segurança da informação sênior | Manual, Desabilitado | 1.1.0 |
Os incidentes de segurança suspeitos e confirmados que podem afetar o CDE são respondidos imediatamente
ID: PCI DSS v4.0 12.10.2 Propriedade: Compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Avaliar eventos de segurança da informação | CMA_0013 – Avaliar eventos de segurança da informação | Manual, Desabilitado | 1.1.0 |
| Desenvolver um plano de resposta a incidentes | CMA_0145 – Desenvolver um plano de resposta a incidentes | Manual, Desabilitado | 1.1.0 |
| Implementar tratamento de incidentes | CMA_0318 – Implementar tratamento de incidentes | Manual, Desabilitado | 1.1.0 |
| Manter registros de violação de dados | CMA_0351 – Manter registros de violação de dados | Manual, Desabilitado | 1.1.0 |
| Manter plano de resposta a incidentes | CMA_0352 – Manter plano de resposta a incidentes | Manual, Desabilitado | 1.1.0 |
| Proteger o plano de resposta a incidentes | CMA_0405 – Proteger o plano de resposta a incidentes | Manual, Desabilitado | 1.1.0 |
Os incidentes de segurança suspeitos e confirmados que podem afetar o CDE são respondidos imediatamente
ID: PCI DSS v4.0 12.10.4 Propriedade: Compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Fornecer treinamento de vazamento de informações | CMA_0413 – Fornecer treinamento de vazamento de informações | Manual, Desabilitado | 1.1.0 |
Os incidentes de segurança suspeitos e confirmados que podem afetar o CDE são respondidos imediatamente
ID: PCI DSS v4.0 12.10.4.1 Propriedade: Compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Fornecer treinamento de vazamento de informações | CMA_0413 – Fornecer treinamento de vazamento de informações | Manual, Desabilitado | 1.1.0 |
Os incidentes de segurança suspeitos e confirmados que podem afetar o CDE são respondidos imediatamente
ID: PCI DSS v4.0 12.10.5 Propriedade: Compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Desenvolver um plano de resposta a incidentes | CMA_0145 – Desenvolver um plano de resposta a incidentes | Manual, Desabilitado | 1.1.0 |
| Habilitar a proteção de rede | CMA_0238 – Habilitar a proteção de rede | Manual, Desabilitado | 1.1.0 |
| Implementar tratamento de incidentes | CMA_0318 – Implementar tratamento de incidentes | Manual, Desabilitado | 1.1.0 |
Os incidentes de segurança suspeitos e confirmados que podem afetar o CDE são respondidos imediatamente
ID: PCI DSS v4.0 12.10.6 Propriedade: Compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Avaliar eventos de segurança da informação | CMA_0013 – Avaliar eventos de segurança da informação | Manual, Desabilitado | 1.1.0 |
| Manter plano de resposta a incidentes | CMA_0352 – Manter plano de resposta a incidentes | Manual, Desabilitado | 1.1.0 |
Os incidentes de segurança suspeitos e confirmados que podem afetar o CDE são respondidos imediatamente
ID: PCI DSS v4.0 12.10.7 Propriedade: Compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Desenvolver um plano de resposta a incidentes | CMA_0145 – Desenvolver um plano de resposta a incidentes | Manual, Desabilitado | 1.1.0 |
| Desenvolver proteções de segurança | CMA_0161 – Desenvolver proteções de segurança | Manual, Desabilitado | 1.1.0 |
| Habilitar a proteção de rede | CMA_0238 – Habilitar a proteção de rede | Manual, Desabilitado | 1.1.0 |
| Erradicar informações contaminadas | CMA_0253 – Erradicar informações contaminadas | Manual, Desabilitado | 1.1.0 |
| Executar ações em resposta a despejos de informações | CMA_0281 – Executar ações em resposta a despejos de informações | Manual, Desabilitado | 1.1.0 |
| Implementar tratamento de incidentes | CMA_0318 – Implementar tratamento de incidentes | Manual, Desabilitado | 1.1.0 |
| Executar uma análise de tendências de ameaças | CMA_0389 – Executar uma análise de tendências de ameaças | Manual, Desabilitado | 1.1.0 |
| Exibir e investigar usuários restritos | CMA_0545 – Exibir e investigar usuários restritos | Manual, Desabilitado | 1.1.0 |
Políticas de uso aceitável para tecnologias de usuário final são definidas e implementadas
ID: PCI DSS v4.0 12.2.1 Propriedade: Compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Desenvolver procedimentos e políticas de uso aceitáveis | CMA_0143 – Desenvolver políticas e procedimentos de uso aceitáveis | Manual, Desabilitado | 1.1.0 |
| Aplicar regras de comportamento e contratos de acesso | CMA_0248 – Aplicar regras de comportamento e contratos de acesso | Manual, Desabilitado | 1.1.0 |
| Exigir conformidade com direitos de propriedade intelectual | CMA_0432 – Exigir conformidade com os direitos de propriedade intelectual | Manual, Desabilitado | 1.1.0 |
| Acompanhar o uso de licenças de software | CMA_C1235 – Acompanhar o uso de licenças de software | Manual, Desabilitado | 1.1.0 |
Os riscos para o ambiente de dados do titular do cartão são formalmente identificados, avaliados e gerenciados
ID: PCI DSS v4.0 12.3.1 Propriedade: Compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Realizar a Avaliação de Risco | CMA_C1543 – Realizar a avaliação de risco | Manual, Desabilitado | 1.1.0 |
| Realizar a avaliação de risco e distribuir os resultados | CMA_C1544 – Realizar a avaliação de risco e distribuir os resultados | Manual, Desabilitado | 1.1.0 |
| Realizar a avaliação de risco e documentar resultados | CMA_C1542 – Realizar a avaliação de risco e documentar resultados | Manual, Desabilitado | 1.1.0 |
| Executar uma avaliação de risco | CMA_0388 - Executar uma avaliação de risco | Manual, Desabilitado | 1.1.0 |
Os riscos para o ambiente de dados do titular do cartão são formalmente identificados, avaliados e gerenciados
ID: PCI DSS v4.0 12.3.2 Propriedade: Compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Realizar a Avaliação de Risco | CMA_C1543 – Realizar a avaliação de risco | Manual, Desabilitado | 1.1.0 |
| Realizar a avaliação de risco e distribuir os resultados | CMA_C1544 – Realizar a avaliação de risco e distribuir os resultados | Manual, Desabilitado | 1.1.0 |
| Realizar a avaliação de risco e documentar resultados | CMA_C1542 – Realizar a avaliação de risco e documentar resultados | Manual, Desabilitado | 1.1.0 |
| Executar uma avaliação de risco | CMA_0388 - Executar uma avaliação de risco | Manual, Desabilitado | 1.1.0 |
Os riscos para o ambiente de dados do titular do cartão são formalmente identificados, avaliados e gerenciados
ID: PCI DSS v4.0 12.3.4 Propriedade: Compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Divulgar alertas de segurança para o pessoal | CMA_C1705 – Divulgar alertas de segurança para o pessoal | Manual, Desabilitado | 1.1.0 |
| Estabelecer um programa de inteligência contra ameaças | CMA_0260 – Estabelecer um programa de inteligência contra ameaças | Manual, Desabilitado | 1.1.0 |
| Corrigir falhas do sistema de informações | CMA_0427 – Corrigir falhas do sistema de informações | Manual, Desabilitado | 1.1.0 |
A conformidade com o PCI DSS é gerenciada
ID: PCI DSS v4.0 12.4.1 Propriedade: Compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Desenvolver plano de avaliação de segurança | CMA_C1144 – Desenvolver plano de avaliação de segurança | Manual, Desabilitado | 1.1.0 |
| Estabelecer um programa de privacidade | CMA_0257 – Estabelecer um programa de privacidade | Manual, Desabilitado | 1.1.0 |
| Estabelecer um programa de segurança da informação | CMA_0263 – Estabelecer um programa de segurança da informação | Manual, Desabilitado | 1.1.0 |
| Gerenciar atividades de conformidade | CMA_0358 – Gerenciar atividades de conformidade | Manual, Desabilitado | 1.1.0 |
| Atualizar o plano, as políticas e os procedimentos de privacidade | CMA_C1807 – Atualizar o plano, as políticas e os procedimentos de privacidade | Manual, Desabilitado | 1.1.0 |
A conformidade com o PCI DSS é gerenciada
ID: PCI DSS v4.0 12.4.2 Propriedade: Compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Avaliar controles de segurança | CMA_C1145 – Avaliar controles de segurança | Manual, Desabilitado | 1.1.0 |
| Configurar lista de permissões de detecção | CMA_0068 – Configurar lista de permissões de detecção | Manual, Desabilitado | 1.1.0 |
| Desenvolver plano de avaliação de segurança | CMA_C1144 – Desenvolver plano de avaliação de segurança | Manual, Desabilitado | 1.1.0 |
| Selecionar testes adicionais para avaliações de controle de segurança | CMA_C1149 – Selecionar testes adicionais para avaliações de controle de segurança | Manual, Desabilitado | 1.1.0 |
| Ativar sensores para a solução de segurança de ponto de extremidade | CMA_0514 – Ativar sensores para a solução de segurança de ponto de extremidade | Manual, Desabilitado | 1.1.0 |
| Passar por revisão de segurança independente | CMA_0515 – Passar por revisão de segurança independente | Manual, Desabilitado | 1.1.0 |
A conformidade com o PCI DSS é gerenciada
ID: PCI DSS v4.0 12.4.2.1 Propriedade: Compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Configurar lista de permissões de detecção | CMA_0068 – Configurar lista de permissões de detecção | Manual, Desabilitado | 1.1.0 |
| Fornecer resultados da avaliação de segurança | CMA_C1147 – Fornecer resultados da avaliação de segurança | Manual, Desabilitado | 1.1.0 |
| Desenvolver POA&M | CMA_C1156 - Desenvolver POA&M | Manual, Desabilitado | 1.1.0 |
| Produzir relatórios de avaliação de segurança | CMA_C1146 – Produzir relatórios de avaliação de segurança | Manual, Desabilitado | 1.1.0 |
| Ativar sensores para a solução de segurança de ponto de extremidade | CMA_0514 – Ativar sensores para a solução de segurança de ponto de extremidade | Manual, Desabilitado | 1.1.0 |
| Passar por revisão de segurança independente | CMA_0515 – Passar por revisão de segurança independente | Manual, Desabilitado | 1.1.0 |
| Atualizar itens de POA&M | CMA_C1157 - Atualizar os itens de POA&M | Manual, Desabilitado | 1.1.0 |
O escopo do PCI DSS é documentado e validado
ID: PCI DSS v4.0 12.5.2 Propriedade: Compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Manter registros de processamento de dados pessoais | CMA_0353 – Manter registros de processamento de dados pessoais | Manual, Desabilitado | 1.1.0 |
O escopo do PCI DSS é documentado e validado
ID: PCI DSS v4.0 12.5.2.1 Propriedade: Compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Criar um estoque de dados | CMA_0096 – Criar um estoque de dados | Manual, Desabilitado | 1.1.0 |
| Manter registros de processamento de dados pessoais | CMA_0353 – Manter registros de processamento de dados pessoais | Manual, Desabilitado | 1.1.0 |
O escopo do PCI DSS é documentado e validado
ID: PCI DSS v4.0 12.5.3 Propriedade: Compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Estabelecer um programa de segurança da informação | CMA_0263 – Estabelecer um programa de segurança da informação | Manual, Desabilitado | 1.1.0 |
| Atualizar políticas de segurança de informações | CMA_0518 – Atualizar políticas de segurança da informação | Manual, Desabilitado | 1.1.0 |
A educação de conscientização de segurança é uma atividade contínua
ID: PCI DSS v4.0 12.6.1 Propriedade: Compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Documentar atividades de treinamento de privacidade e segurança | CMA_0198 - Documentar atividades de treinamento de privacidade e segurança | Manual, Desabilitado | 1.1.0 |
| Estabelecer programa de desenvolvimento e aperfeiçoamento da força de trabalho de segurança da informação | CMA_C1752 – Estabelecer programa de desenvolvimento e aperfeiçoamento da força de trabalho de segurança da informação | Manual, Desabilitado | 1.1.0 |
A educação de conscientização de segurança é uma atividade contínua
ID: PCI DSS v4.0 12.6.2 Propriedade: Compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Fornecer treinamento de conscientização de segurança atualizado | CMA_C1090 - Fornecer treinamento de conscientização de segurança atualizado | Manual, Desabilitado | 1.1.0 |
A educação de conscientização de segurança é uma atividade contínua
ID: PCI DSS v4.0 12.6.3 Propriedade: Compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Documentar aceitação do pessoal de requisitos de privacidade | CMA_0193 – Documentar a aceitação do pessoal dos requisitos de privacidade | Manual, Desabilitado | 1.1.0 |
| Fornecer treinamento periódico de segurança baseada em funções | CMA_C1095 – Fornecer treinamento periódico de segurança baseada em funções | Manual, Desabilitado | 1.1.0 |
| Fornecer treinamento periódico sobre conscientização de segurança | CMA_C1091 - Fornecer treinamento periódico sobre conscientização de segurança | Manual, Desabilitado | 1.1.0 |
| Fornecer treinamento de privacidade | CMA_0415 – Fornecer treinamento de privacidade | Manual, Desabilitado | 1.1.0 |
| Fornecer treinamento de segurança baseada em funções | CMA_C1094 – Fornecer treinamentos de segurança baseada em funções | Manual, Desabilitado | 1.1.0 |
| Fornecer treinamento de segurança antes de fornecer acesso | CMA_0418 – Fornecer treinamento de segurança antes de fornecer acesso | Manual, Desabilitado | 1.1.0 |
| Fornecer treinamento de segurança para novos usuários | CMA_0419 - Fornecer treinamento de segurança para novos usuários | Manual, Desabilitado | 1.1.0 |
| Fornecer treinamento de conscientização de segurança atualizado | CMA_C1090 - Fornecer treinamento de conscientização de segurança atualizado | Manual, Desabilitado | 1.1.0 |
A educação de conscientização de segurança é uma atividade contínua
ID: PCI DSS v4.0 12.6.3.1 Propriedade: Compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Implementar um programa de conscientização de ameaças | CMA_C1758: Implementar um programa de conscientização de ameaças | Manual, Desabilitado | 1.1.0 |
| Implementar um programa de ameaças internas | CMA_C1751 – Implementar um programa de ameaças internas | Manual, Desabilitado | 1.1.0 |
| Fornecer treinamento de segurança para novos usuários | CMA_0419 - Fornecer treinamento de segurança para novos usuários | Manual, Desabilitado | 1.1.0 |
A educação de conscientização de segurança é uma atividade contínua
ID: PCI DSS v4.0 12.6.3.2 Propriedade: Compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Fornecer treinamento de segurança antes de fornecer acesso | CMA_0418 – Fornecer treinamento de segurança antes de fornecer acesso | Manual, Desabilitado | 1.1.0 |
| Fornecer treinamento de segurança para novos usuários | CMA_0419 - Fornecer treinamento de segurança para novos usuários | Manual, Desabilitado | 1.1.0 |
Os funcionários passam por uma triagem para reduzir os riscos de ameaças internas
ID: PCI DSS v4.0 12.7.1 Propriedade: Compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Desmarcar o pessoal com acesso às informações confidenciais | CMA_0054 – Desmarcar o pessoal com acesso às informações classificadas | Manual, Desabilitado | 1.1.0 |
| Implementar triagem de pessoal | CMA_0322 – Implementar triagem de pessoal | Manual, Desabilitado | 1.1.0 |
| Reexaminar indivíduos em uma frequência definida | CMA_C1512 – Reexaminar indivíduos em uma frequência definida | Manual, Desabilitado | 1.1.0 |
O risco para os ativos de informação associados às relações com TPSPs (provedores de serviços terceirizados) é gerenciado
ID: PCI DSS v4.0 12.8.1 Propriedade: Compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Exigir que provedores de serviços externos cumpram os requisitos de segurança | CMA_C1586 – Exigir que provedores de serviços externos cumpram os requisitos de segurança | Manual, Desabilitado | 1.1.0 |
O risco para os ativos de informação associados às relações com TPSPs (provedores de serviços terceirizados) é gerenciado
ID: PCI DSS v4.0 12.8.2 Propriedade: Compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Definir as tarefas dos processadores | CMA_0127 – Definir as tarefas dos processadores | Manual, Desabilitado | 1.1.0 |
| Determinar as obrigações do contrato de fornecedor | CMA_0140 – Determinar as obrigações do contrato de fornecedor | Manual, Desabilitado | 1.1.0 |
| Documentar critérios de aceitação do contrato de aquisição | CMA_0187 – Documentar critérios de aceitação do contrato de aquisição | Manual, Desabilitado | 1.1.0 |
| Documentar a proteção de dados pessoais em contratos de aquisição | CMA_0194 – Documentar a proteção de dados pessoais em contratos de aquisição | Manual, Desabilitado | 1.1.0 |
| Documentar a proteção de informações de segurança em contratos de aquisição | CMA_0195 – Documentar a proteção de informações de segurança em contratos de aquisição | Manual, Desabilitado | 1.1.0 |
| Documentar requisitos para o uso de dados compartilhados em contratos | CMA_0197 – Documentar requisitos para o uso de dados compartilhados em contratos | Manual, Desabilitado | 1.1.0 |
| Documentar requisitos de garantia de segurança em contratos de aquisição | CMA_0199 – Documentar requisitos de garantia de segurança em contratos de aquisição | Manual, Desabilitado | 1.1.0 |
| Documentar requisitos de documentação de segurança no contrato de aquisição | CMA_0200 – Documentar requisitos de documentação de segurança no contrato de aquisição | Manual, Desabilitado | 1.1.0 |
| Documentar requisitos funcionais de segurança nos contratos de aquisição | CMA_0201 – Documentar requisitos funcionais de segurança nos contratos de aquisição | Manual, Desabilitado | 1.1.0 |
| Documentar requisitos de força de segurança em contratos de aquisição | CMA_0203 - Documentar requisitos de força de segurança em contratos de aquisição | Manual, Desabilitado | 1.1.0 |
| Documentar o ambiente do sistema de informações em contratos de aquisição | CMA_0205 - Documentar o ambiente do sistema de informações em contratos de aquisição | Manual, Desabilitado | 1.1.0 |
| Documentar a proteção de dados de titulares em contratos terceirizados | CMA_0207 – Documentar a proteção dos dados de titulares em contratos terceirizados | Manual, Desabilitado | 1.1.0 |
| Obter informações de design e implementação para os controles de segurança | CMA_C1576 – Obter informações de design e implementação para os controles de segurança | Manual, Desabilitado | 1.1.1 |
| Obter propriedades funcionais de controles de segurança | CMA_C1575 – Obter propriedades funcionais de controles de segurança | Manual, Desabilitado | 1.1.0 |
| Registrar divulgações de PII para terceiros | CMA_0422 – Registrar divulgações de PII para terceiros | Manual, Desabilitado | 1.1.0 |
O risco para os ativos de informação associados às relações com TPSPs (provedores de serviços terceirizados) é gerenciado
ID: PCI DSS v4.0 12.8.3 Propriedade: Compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Avaliar o risco em relacionamentos de terceiros | CMA_0014 – Avaliar o risco em relacionamentos de terceiros | Manual, Desabilitado | 1.1.0 |
| Definir requisitos para o fornecimento de bens e serviços | CMA_0126 – Definir requisitos para o fornecimento de bens e serviços | Manual, Desabilitado | 1.1.0 |
| Determinar as obrigações do contrato de fornecedor | CMA_0140 – Determinar as obrigações do contrato de fornecedor | Manual, Desabilitado | 1.1.0 |
| Estabelecer políticas de gerenciamento de riscos da cadeia de suprimentos | CMA_0275 – Estabelecer políticas de gerenciamento de riscos da cadeia de suprimentos | Manual, Desabilitado | 1.1.0 |
| Exigir que provedores de serviços externos cumpram os requisitos de segurança | CMA_C1586 – Exigir que provedores de serviços externos cumpram os requisitos de segurança | Manual, Desabilitado | 1.1.0 |
O risco para os ativos de informação associados às relações com TPSPs (provedores de serviços terceirizados) é gerenciado
ID: PCI DSS v4.0 12.8.4 Propriedade: Compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Avaliar o risco em relacionamentos de terceiros | CMA_0014 – Avaliar o risco em relacionamentos de terceiros | Manual, Desabilitado | 1.1.0 |
| Definir requisitos para o fornecimento de bens e serviços | CMA_0126 – Definir requisitos para o fornecimento de bens e serviços | Manual, Desabilitado | 1.1.0 |
| Determinar as obrigações do contrato de fornecedor | CMA_0140 – Determinar as obrigações do contrato de fornecedor | Manual, Desabilitado | 1.1.0 |
| Estabelecer políticas de gerenciamento de riscos da cadeia de suprimentos | CMA_0275 – Estabelecer políticas de gerenciamento de riscos da cadeia de suprimentos | Manual, Desabilitado | 1.1.0 |
| Obter um plano de monitoramento contínuo para controles de segurança | CMA_C1577 – Obter um plano de monitoramento contínuo para controles de segurança | Manual, Desabilitado | 1.1.0 |
| Exigir que provedores de serviços externos cumpram os requisitos de segurança | CMA_C1586 – Exigir que provedores de serviços externos cumpram os requisitos de segurança | Manual, Desabilitado | 1.1.0 |
| Revisar a conformidade com políticas e contratos do provedor de serviços de nuvem | CMA_0469 – Revisar a conformidade com políticas e contratos do provedor de serviços de nuvem | Manual, Desabilitado | 1.1.0 |
| Passar por revisão de segurança independente | CMA_0515 – Passar por revisão de segurança independente | Manual, Desabilitado | 1.1.0 |
O risco para os ativos de informação associados às relações com TPSPs (provedores de serviços terceirizados) é gerenciado
ID: PCI DSS v4.0 12.8.5 Propriedade: Compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Determinar as obrigações do contrato de fornecedor | CMA_0140 – Determinar as obrigações do contrato de fornecedor | Manual, Desabilitado | 1.1.0 |
| Documentar critérios de aceitação do contrato de aquisição | CMA_0187 – Documentar critérios de aceitação do contrato de aquisição | Manual, Desabilitado | 1.1.0 |
| Documentar a proteção de dados pessoais em contratos de aquisição | CMA_0194 – Documentar a proteção de dados pessoais em contratos de aquisição | Manual, Desabilitado | 1.1.0 |
| Documentar a proteção de informações de segurança em contratos de aquisição | CMA_0195 – Documentar a proteção de informações de segurança em contratos de aquisição | Manual, Desabilitado | 1.1.0 |
| Documentar requisitos para o uso de dados compartilhados em contratos | CMA_0197 – Documentar requisitos para o uso de dados compartilhados em contratos | Manual, Desabilitado | 1.1.0 |
| Documentar requisitos de garantia de segurança em contratos de aquisição | CMA_0199 – Documentar requisitos de garantia de segurança em contratos de aquisição | Manual, Desabilitado | 1.1.0 |
| Documentar requisitos de documentação de segurança no contrato de aquisição | CMA_0200 – Documentar requisitos de documentação de segurança no contrato de aquisição | Manual, Desabilitado | 1.1.0 |
| Documentar requisitos funcionais de segurança nos contratos de aquisição | CMA_0201 – Documentar requisitos funcionais de segurança nos contratos de aquisição | Manual, Desabilitado | 1.1.0 |
| Documentar requisitos de força de segurança em contratos de aquisição | CMA_0203 - Documentar requisitos de força de segurança em contratos de aquisição | Manual, Desabilitado | 1.1.0 |
| Documentar o ambiente do sistema de informações em contratos de aquisição | CMA_0205 - Documentar o ambiente do sistema de informações em contratos de aquisição | Manual, Desabilitado | 1.1.0 |
| Documentar a proteção de dados de titulares em contratos terceirizados | CMA_0207 – Documentar a proteção dos dados de titulares em contratos terceirizados | Manual, Desabilitado | 1.1.0 |
| Obter informações de design e implementação para os controles de segurança | CMA_C1576 – Obter informações de design e implementação para os controles de segurança | Manual, Desabilitado | 1.1.1 |
| Obter propriedades funcionais de controles de segurança | CMA_C1575 – Obter propriedades funcionais de controles de segurança | Manual, Desabilitado | 1.1.0 |
Os TPSPs (provedores de serviços terceirizados) dão suporte à conformidade com o PCI DSS dos respectivos clientes
ID: PCI DSS v4.0 12.9.1 Propriedade: Compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Definir as tarefas dos processadores | CMA_0127 – Definir as tarefas dos processadores | Manual, Desabilitado | 1.1.0 |
| Registrar divulgações de PII para terceiros | CMA_0422 – Registrar divulgações de PII para terceiros | Manual, Desabilitado | 1.1.0 |
| Exigir que provedores de serviços externos cumpram os requisitos de segurança | CMA_C1586 – Exigir que provedores de serviços externos cumpram os requisitos de segurança | Manual, Desabilitado | 1.1.0 |
Os TPSPs (provedores de serviços terceirizados) dão suporte à conformidade com o PCI DSS dos respectivos clientes
ID: PCI DSS v4.0 12.9.2 Propriedade: Compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Exigir que provedores de serviços externos cumpram os requisitos de segurança | CMA_C1586 – Exigir que provedores de serviços externos cumpram os requisitos de segurança | Manual, Desabilitado | 1.1.0 |
| Revisar a conformidade com políticas e contratos do provedor de serviços de nuvem | CMA_0469 – Revisar a conformidade com políticas e contratos do provedor de serviços de nuvem | Manual, Desabilitado | 1.1.0 |
| Passar por revisão de segurança independente | CMA_0515 – Passar por revisão de segurança independente | Manual, Desabilitado | 1.1.0 |
Requisito 2: Aplicar configurações seguras a todos os componentes do sistema
Os processos e os mecanismos usados para aplicar configurações seguras a todos os componentes do sistema foram definidos e compreendidos
ID: PCI DSS v4.0 2.1.1 Propriedade: Compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Revisar a atualizar políticas e procedimentos de gerenciamento de configuração | CMA_C1175 - Revisar e atualizar políticas e procedimentos de gerenciamento de configuração | Manual, Desabilitado | 1.1.0 |
Os componentes do sistema são configurados e gerenciados com segurança
ID: PCI DSS v4.0 2.2.1 Propriedade: Compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Configurar ações para os dispositivos sem conformidade | CMA_0062 – Configurar ações para os dispositivos sem conformidade | Manual, Desabilitado | 1.1.0 |
| Desenvolver e manter configurações de linha de base | CMA_0153 – Desenvolver e manter configurações de linha de base | Manual, Desabilitado | 1.1.0 |
| Impor definições de configuração de segurança | CMA_0249 – Impor definições de configuração de segurança | Manual, Desabilitado | 1.1.0 |
| Estabelecer um comitê de controle de configuração | CMA_0254 – Estabelecer um comitê de controle de configuração | Manual, Desabilitado | 1.1.0 |
| Estabelecer e documentar um plano de gerenciamento de configuração | CMA_0264 – Estabelecer e documentar um plano de gerenciamento de configuração | Manual, Desabilitado | 1.1.0 |
| Implementar uma ferramenta de gerenciamento de configuração automatizada | CMA_0311 – Implementar uma ferramenta de gerenciamento de configuração automatizada | Manual, Desabilitado | 1.1.0 |
Os componentes do sistema são configurados e gerenciados com segurança
ID: PCI DSS v4.0 2.2.2 Propriedade: Compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Gerenciar autenticadores | CMA_C1321 – Gerenciar autenticadores | Manual, Desabilitado | 1.1.0 |
Os componentes do sistema são configurados e gerenciados com segurança
ID: PCI DSS v4.0 2.2.5 Propriedade: Compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Impor definições de configuração de segurança | CMA_0249 – Impor definições de configuração de segurança | Manual, Desabilitado | 1.1.0 |
| Corrigir falhas do sistema de informações | CMA_0427 – Corrigir falhas do sistema de informações | Manual, Desabilitado | 1.1.0 |
Os componentes do sistema são configurados e gerenciados com segurança
ID: PCI DSS v4.0 2.2.7 Propriedade: Compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Implementar mecanismos de criptografia | CMA_C1419 – Implementar mecanismos de criptografia | Manual, Desabilitado | 1.1.0 |
Os ambientes sem fio são configurados e gerenciados com segurança
ID: PCI DSS v4.0 2.3.1 Propriedade: Compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Documentar e implementar diretrizes de acesso sem fio | CMA_0190 – Documentar e implementar diretrizes de acesso sem fio | Manual, Desabilitado | 1.1.0 |
| Identificar e autenticar dispositivos de rede | CMA_0296 – Identificar e autenticar dispositivos de rede | Manual, Desabilitado | 1.1.0 |
| Proteger acesso sem fio | CMA_0411 – Proteger acesso sem fio | Manual, Desabilitado | 1.1.0 |
Os ambientes sem fio são configurados e gerenciados com segurança
ID: PCI DSS v4.0 2.3.2 Propriedade: Compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Documentar e implementar diretrizes de acesso sem fio | CMA_0190 – Documentar e implementar diretrizes de acesso sem fio | Manual, Desabilitado | 1.1.0 |
| Identificar e autenticar dispositivos de rede | CMA_0296 – Identificar e autenticar dispositivos de rede | Manual, Desabilitado | 1.1.0 |
| Proteger acesso sem fio | CMA_0411 – Proteger acesso sem fio | Manual, Desabilitado | 1.1.0 |
Requisito 3: Proteger os dados armazenados da conta
Os processos e os mecanismos usados para proteger os dados armazenados da conta foram definidos e compreendidos
ID: PCI DSS v4.0 3.1.1 Propriedade: Compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Estabelecer um programa de privacidade | CMA_0257 – Estabelecer um programa de privacidade | Manual, Desabilitado | 1.1.0 |
| Revisar e atualizar políticas e procedimentos de proteção do sistema e das comunicações | CMA_C1616 - Revisar e atualizar políticas e procedimentos de proteção do sistema e das comunicações | Manual, Desabilitado | 1.1.0 |
| Atualizar o plano, as políticas e os procedimentos de privacidade | CMA_C1807 – Atualizar o plano, as políticas e os procedimentos de privacidade | Manual, Desabilitado | 1.1.0 |
O armazenamento dos dados da conta é reduzido ao mínimo
ID: PCI DSS v4.0 3.2.1 Propriedade: Compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Obedecer os períodos de retenção definidos | CMA_0004 – Obedecer os períodos de retenção definidos | Manual, Desabilitado | 1.1.0 |
| Controlar o acesso físico | CMA_0081 – Controlar o acesso físico | Manual, Desabilitado | 1.1.0 |
| Documentar a base jurídica para o processamento de informações pessoais | CMA_0206 – Documentar a base jurídica para o processamento de informações pessoais | Manual, Desabilitado | 1.1.0 |
| Gerenciar a entrada, a saída, o processamento e o armazenamento de dados | CMA_0369 – Gerenciar a entrada, a saída, o processamento e o armazenamento de dados | Manual, Desabilitado | 1.1.0 |
| Obter consentimento antes da coleta ou processamento de dados pessoais | CMA_0385 – Obter consentimento antes da coleta ou processamento de dados pessoais | Manual, Desabilitado | 1.1.0 |
| Executar revisão de disposição | CMA_0391 - Executar revisão de disposição | Manual, Desabilitado | 1.1.0 |
| Examinar a atividade e a análise de rótulos | CMA_0474 – Examinar a atividade e a análise de rótulos | Manual, Desabilitado | 1.1.0 |
| Verificar se os dados pessoais foram excluídos ao final do processamento | CMA_0540 - Verificar se os dados pessoais foram excluídos ao final do processamento | Manual, Desabilitado | 1.1.0 |
Os SADs (dados de autenticação confidenciais) não são armazenados após a autorização
ID: PCI DSS v4.0 3.3.1 Propriedade: Compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Obedecer os períodos de retenção definidos | CMA_0004 – Obedecer os períodos de retenção definidos | Manual, Desabilitado | 1.1.0 |
| Documentar a base jurídica para o processamento de informações pessoais | CMA_0206 – Documentar a base jurídica para o processamento de informações pessoais | Manual, Desabilitado | 1.1.0 |
| Implementar métodos de entrega de aviso de privacidade | CMA_0324 - Implementar métodos de entrega de avisos de privacidade | Manual, Desabilitado | 1.1.0 |
| Obter consentimento antes da coleta ou processamento de dados pessoais | CMA_0385 – Obter consentimento antes da coleta ou processamento de dados pessoais | Manual, Desabilitado | 1.1.0 |
| Executar revisão de disposição | CMA_0391 - Executar revisão de disposição | Manual, Desabilitado | 1.1.0 |
| Fornecer aviso de privacidade | CMA_0414 - Fornecer aviso de privacidade | Manual, Desabilitado | 1.1.0 |
| Restringir comunicações | CMA_0449 - Restringir comunicações | Manual, Desabilitado | 1.1.0 |
| Verificar se os dados pessoais foram excluídos ao final do processamento | CMA_0540 - Verificar se os dados pessoais foram excluídos ao final do processamento | Manual, Desabilitado | 1.1.0 |
Os SADs (dados de autenticação confidenciais) não são armazenados após a autorização
ID: PCI DSS v4.0 3.3.1.1 Propriedade: Compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Obedecer os períodos de retenção definidos | CMA_0004 – Obedecer os períodos de retenção definidos | Manual, Desabilitado | 1.1.0 |
| Documentar a base jurídica para o processamento de informações pessoais | CMA_0206 – Documentar a base jurídica para o processamento de informações pessoais | Manual, Desabilitado | 1.1.0 |
| Implementar métodos de entrega de aviso de privacidade | CMA_0324 - Implementar métodos de entrega de avisos de privacidade | Manual, Desabilitado | 1.1.0 |
| Obter consentimento antes da coleta ou processamento de dados pessoais | CMA_0385 – Obter consentimento antes da coleta ou processamento de dados pessoais | Manual, Desabilitado | 1.1.0 |
| Executar revisão de disposição | CMA_0391 - Executar revisão de disposição | Manual, Desabilitado | 1.1.0 |
| Fornecer aviso de privacidade | CMA_0414 - Fornecer aviso de privacidade | Manual, Desabilitado | 1.1.0 |
| Restringir comunicações | CMA_0449 - Restringir comunicações | Manual, Desabilitado | 1.1.0 |
| Verificar se os dados pessoais foram excluídos ao final do processamento | CMA_0540 - Verificar se os dados pessoais foram excluídos ao final do processamento | Manual, Desabilitado | 1.1.0 |
Os SADs (dados de autenticação confidenciais) não são armazenados após a autorização
ID: PCI DSS v4.0 3.3.1.2 Propriedade: Compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Documentar a base jurídica para o processamento de informações pessoais | CMA_0206 – Documentar a base jurídica para o processamento de informações pessoais | Manual, Desabilitado | 1.1.0 |
| Implementar métodos de entrega de aviso de privacidade | CMA_0324 - Implementar métodos de entrega de avisos de privacidade | Manual, Desabilitado | 1.1.0 |
| Obter consentimento antes da coleta ou processamento de dados pessoais | CMA_0385 – Obter consentimento antes da coleta ou processamento de dados pessoais | Manual, Desabilitado | 1.1.0 |
| Fornecer aviso de privacidade | CMA_0414 - Fornecer aviso de privacidade | Manual, Desabilitado | 1.1.0 |
| Restringir comunicações | CMA_0449 - Restringir comunicações | Manual, Desabilitado | 1.1.0 |
Os SADs (dados de autenticação confidenciais) não são armazenados após a autorização
ID: PCI DSS v4.0 3.3.1.3 Propriedade: Compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Obedecer os períodos de retenção definidos | CMA_0004 – Obedecer os períodos de retenção definidos | Manual, Desabilitado | 1.1.0 |
| Documentar a base jurídica para o processamento de informações pessoais | CMA_0206 – Documentar a base jurídica para o processamento de informações pessoais | Manual, Desabilitado | 1.1.0 |
| Implementar métodos de entrega de aviso de privacidade | CMA_0324 - Implementar métodos de entrega de avisos de privacidade | Manual, Desabilitado | 1.1.0 |
| Obter consentimento antes da coleta ou processamento de dados pessoais | CMA_0385 – Obter consentimento antes da coleta ou processamento de dados pessoais | Manual, Desabilitado | 1.1.0 |
| Executar revisão de disposição | CMA_0391 - Executar revisão de disposição | Manual, Desabilitado | 1.1.0 |
| Fornecer aviso de privacidade | CMA_0414 - Fornecer aviso de privacidade | Manual, Desabilitado | 1.1.0 |
| Restringir comunicações | CMA_0449 - Restringir comunicações | Manual, Desabilitado | 1.1.0 |
| Verificar se os dados pessoais foram excluídos ao final do processamento | CMA_0540 - Verificar se os dados pessoais foram excluídos ao final do processamento | Manual, Desabilitado | 1.1.0 |
Os SADs (dados de autenticação confidenciais) não são armazenados após a autorização
ID: PCI DSS v4.0 3.3.2 Propriedade: Compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Autenticar-se no módulo de criptografia | CMA_0021 – Autenticar-se no módulo de criptografia | Manual, Desabilitado | 1.1.0 |
Os SADs (dados de autenticação confidenciais) não são armazenados após a autorização
ID: PCI DSS v4.0 3.3.3 Propriedade: Compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Contas com permissões de proprietário em recursos do Azure devem estar habilitadas para MFA | A autenticação Multifator do Microsoft Azure (MFA) deve ser ativada para todas as contas de assinatura com permissões de proprietário para evitar uma quebra de contas ou recursos. | AuditIfNotExists, desabilitado | 1.0.0 |
| Contas com permissões de gravação em recursos do Azure devem estar habilitadas para MFA | A autenticação Multifator do Microsoft Azure (MFA) deve estar habilitada para todas as contas de assinatura com privilégios de gravação para evitar uma quebra de contas ou recursos. | AuditIfNotExists, desabilitado | 1.0.0 |
| Um administrador do Azure Active Directory deve ser provisionado para servidores SQL | Audite o provisionamento de um administrador do Active Directory Domain Services do Azure para o seu servidor SQL para habilitar a autenticação do AD do Azure. A autenticação do Microsoft Azure Active Directory permite o gerenciamento simplificado de permissões e o gerenciamento centralizado de identidades dos usuários de banco de dados e de outros serviços da Microsoft | AuditIfNotExists, desabilitado | 1.0.0 |
| Auditoria o uso de funções personalizadas do RBAC | Auditar funções internas, como 'Proprietário, Contribuidor, Leitor', em vez de funções RBAC personalizadas, que são propensas a erros. O uso de funções personalizadas é tratado como uma exceção e requer uma revisão rigorosa e uma modelagem de ameaças | Audit, desabilitado | 1.0.1 |
| Autenticar-se no módulo de criptografia | CMA_0021 – Autenticar-se no módulo de criptografia | Manual, Desabilitado | 1.1.0 |
| Documentar a base jurídica para o processamento de informações pessoais | CMA_0206 – Documentar a base jurídica para o processamento de informações pessoais | Manual, Desabilitado | 1.1.0 |
| As contas de convidado com permissões de proprietário em recursos do Azure devem ser removidas | Contas externas com permissões de proprietário devem ser removidas da sua assinatura para evitar o acesso não monitorado. | AuditIfNotExists, desabilitado | 1.0.0 |
| As contas de convidado com permissões de leitura em recursos do Azure devem ser removidas | Contas externas com privilégios de leitura devem ser removidas da sua assinatura para evitar o acesso não monitorado. | AuditIfNotExists, desabilitado | 1.0.0 |
| As contas de convidado com permissões de gravação em recursos do Azure devem ser removidas | Contas externas com privilégios de gravação devem ser removidas da sua assinatura para evitar o acesso não monitorado. | AuditIfNotExists, desabilitado | 1.0.0 |
| Implementar métodos de entrega de avisos de privacidade | CMA_0324 - Implementar métodos de entrega de avisos de privacidade | Manual, Desabilitado | 1.1.0 |
| Obter consentimento antes da coleta ou processamento de dados pessoais | CMA_0385 – Obter consentimento antes da coleta ou processamento de dados pessoais | Manual, Desabilitado | 1.1.0 |
| Fornecer aviso de privacidade | CMA_0414 - Fornecer aviso de privacidade | Manual, Desabilitado | 1.1.0 |
| Restringir comunicações | CMA_0449 - Restringir comunicações | Manual, Desabilitado | 1.1.0 |
O acesso às exibições do PAN completo e a capacidade de copiar os dados do titular do cartão são restritos
ID: PCI DSS v4.0 3.4.1 Propriedade: Compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Implementar métodos de entrega de avisos de privacidade | CMA_0324 - Implementar métodos de entrega de avisos de privacidade | Manual, Desabilitado | 1.1.0 |
| Fornecer aviso de privacidade | CMA_0414 - Fornecer aviso de privacidade | Manual, Desabilitado | 1.1.0 |
| Restringir comunicações | CMA_0449 - Restringir comunicações | Manual, Desabilitado | 1.1.0 |
O acesso às exibições do PAN completo e a capacidade de copiar os dados do titular do cartão são restritos
ID: PCI DSS v4.0 3.4.2 Propriedade: Compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Implementar métodos de entrega de avisos de privacidade | CMA_0324 - Implementar métodos de entrega de avisos de privacidade | Manual, Desabilitado | 1.1.0 |
| Fornecer aviso de privacidade | CMA_0414 - Fornecer aviso de privacidade | Manual, Desabilitado | 1.1.0 |
| Restringir comunicações | CMA_0449 - Restringir comunicações | Manual, Desabilitado | 1.1.0 |
O PAN (número da conta principal) é protegido onde quer que seja armazenado
ID: PCI DSS v4.0 3.5.1 Propriedade: Compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Os aplicativos do Serviço de Aplicativo só devem ser acessíveis por HTTPS | O uso do HTTPS garante a autenticação do servidor/serviço e protege os dados em trânsito de ataques de interceptação de camada de rede. | Auditoria, desabilitado, negação | 4.0.0 |
| As variáveis da conta de automação devem ser criptografadas | É importante habilitar a criptografia dos ativos variáveis da conta de Automação do Azure ao armazenar dados confidenciais | Audit, Deny, desabilitado | 1.1.0 |
| Estabelecer um procedimento de gerenciamento de vazamento de dados | CMA_0255 – Estabelecer um procedimento de gerenciamento de vazamento de dados | Manual, Desabilitado | 1.1.0 |
| Os aplicativos de funções só devem ser acessíveis por HTTPS | O uso do HTTPS garante a autenticação do servidor/serviço e protege os dados em trânsito de ataques de interceptação de camada de rede. | Auditoria, desabilitado, negação | 5.0.0 |
| Implementar controles para proteger todas as mídias | CMA_0314 – Implementar controles para proteger todas as mídias | Manual, Desabilitado | 1.1.0 |
| Somente conexões seguras com o Cache do Azure para Redis devem ser habilitadas | Auditoria de habilitação de somente conexões via SSL ao Cache Redis do Azure. O uso de conexões seguras garante a autenticação entre o servidor e o serviço e protege os dados em trânsito dos ataques de camada de rede, como man-in-the-middle, espionagem e sequestro de sessão | Audit, Deny, desabilitado | 1.0.0 |
| Proteger dados em trânsito usando criptografia | CMA_0403 – Proteger dados em trânsito usando criptografia | Manual, Desabilitado | 1.1.0 |
| Proteger informações especiais | CMA_0409 – Proteger informações especiais | Manual, Desabilitado | 1.1.0 |
| A transferência segura para contas de armazenamento deve ser habilitada | Exigência de auditoria de transferência segura em sua conta de armazenamento. A transferência segura é uma opção que força a sua conta de armazenamento a aceitar somente solicitações de conexões seguras (HTTPS). O uso de HTTPS garante a autenticação entre o servidor e o serviço e protege dados em trânsito de ataques de camada de rede, como ataques intermediários, interceptação e sequestro de sessão | Audit, Deny, desabilitado | 2.0.0 |
| A propriedade ClusterProtectionLevel dos clusters do Service Fabric deve ser definida como EncryptAndSign | O Service Fabric fornece três níveis de proteção (Nenhum, Sinal e EncryptAndSign) para comunicação de nó a nó usando um certificado de cluster principal. Defina o nível de proteção para garantir que todas as mensagens de nó a nó sejam criptografadas e assinadas digitalmente | Audit, Deny, desabilitado | 1.1.0 |
| A Transparent Data Encryption em bancos de dados SQL deve ser habilitada | A Transparent Data Encryption deve ser habilitada para proteger os dados em repouso e atender aos requisitos de conformidade | AuditIfNotExists, desabilitado | 2.0.0 |
| As máquinas virtuais devem criptografar discos temporários, caches e fluxos de dados entre os recursos de Computação e Armazenamento | Por padrão, o SO e os discos de dados de uma máquina virtual são criptografados em repouso usando chaves gerenciadas pela plataforma. Os discos temporários, os caches de dados e os dados que fluem entre a computação e o armazenamento não são criptografados. Desconsidere essa recomendação se: 1. estiver usando a criptografia no host ou 2. a criptografia do lado do servidor no Managed Disks atender aos seus requisitos de segurança. Saiba mais em: Criptografia do servidor do Armazenamento em Disco do Azure: https://aka.ms/disksse,Diferentes ofertas de criptografia de disco: https://aka.ms/diskencryptioncomparison | AuditIfNotExists, desabilitado | 2.0.3 |
O PAN (número da conta principal) é protegido onde quer que seja armazenado
ID: PCI DSS v4.0 3.5.1.1 Propriedade: Compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Estabelecer um procedimento de gerenciamento de vazamento de dados | CMA_0255 – Estabelecer um procedimento de gerenciamento de vazamento de dados | Manual, Desabilitado | 1.1.0 |
| Implementar controles para proteger todas as mídias | CMA_0314 – Implementar controles para proteger todas as mídias | Manual, Desabilitado | 1.1.0 |
| Proteger dados em trânsito usando criptografia | CMA_0403 – Proteger dados em trânsito usando criptografia | Manual, Desabilitado | 1.1.0 |
| Proteger informações especiais | CMA_0409 – Proteger informações especiais | Manual, Desabilitado | 1.1.0 |
O PAN (número da conta principal) é protegido onde quer que seja armazenado
ID: PCI DSS v4.0 3.5.1.2 Propriedade: Compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Estabelecer um procedimento de gerenciamento de vazamento de dados | CMA_0255 – Estabelecer um procedimento de gerenciamento de vazamento de dados | Manual, Desabilitado | 1.1.0 |
| Implementar controles para proteger todas as mídias | CMA_0314 – Implementar controles para proteger todas as mídias | Manual, Desabilitado | 1.1.0 |
| Proteger dados em trânsito usando criptografia | CMA_0403 – Proteger dados em trânsito usando criptografia | Manual, Desabilitado | 1.1.0 |
| Proteger informações especiais | CMA_0409 – Proteger informações especiais | Manual, Desabilitado | 1.1.0 |
O PAN (número da conta principal) é protegido onde quer que seja armazenado
ID: PCI DSS v4.0 3.5.1.3 Propriedade: Compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Estabelecer um procedimento de gerenciamento de vazamento de dados | CMA_0255 – Estabelecer um procedimento de gerenciamento de vazamento de dados | Manual, Desabilitado | 1.1.0 |
| Implementar controles para proteger todas as mídias | CMA_0314 – Implementar controles para proteger todas as mídias | Manual, Desabilitado | 1.1.0 |
| Proteger dados em trânsito usando criptografia | CMA_0403 – Proteger dados em trânsito usando criptografia | Manual, Desabilitado | 1.1.0 |
| Proteger informações especiais | CMA_0409 – Proteger informações especiais | Manual, Desabilitado | 1.1.0 |
As chaves de criptografia usadas para proteger os dados armazenados da conta são protegidas
ID: PCI DSS v4.0 3.6.1 Propriedade: Compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Definir um processo de gerenciamento de chave física | CMA_0115 – Definir um processo de gerenciamento de chave física | Manual, Desabilitado | 1.1.0 |
| Definir o uso de criptografia | CMA_0120 – Definir o uso de criptografia | Manual, Desabilitado | 1.1.0 |
| Definir requisitos organizacionais para o gerenciamento de chaves de criptografia | CMA_0123 – Definir requisitos organizacionais para o gerenciamento de chaves de criptografia | Manual, Desabilitado | 1.1.0 |
| Determinar os requisitos da declaração | CMA_0136 – Determinar os requisitos da declaração | Manual, Desabilitado | 1.1.0 |
| Emitir certificados de chave pública | CMA_0347 – Emitir certificados de chave pública | Manual, Desabilitado | 1.1.0 |
| Gerenciar chaves de criptografia simétricas | CMA_0367 – Gerenciar chaves de criptografia simétricas | Manual, Desabilitado | 1.1.0 |
| Restringir o acesso a chaves privadas | CMA_0445 – Restringir o acesso a chaves privadas | Manual, Desabilitado | 1.1.0 |
As chaves de criptografia usadas para proteger os dados armazenados da conta são protegidas
ID: PCI DSS v4.0 3.6.1.1 Propriedade: Compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Definir um processo de gerenciamento de chave física | CMA_0115 – Definir um processo de gerenciamento de chave física | Manual, Desabilitado | 1.1.0 |
| Definir o uso de criptografia | CMA_0120 – Definir o uso de criptografia | Manual, Desabilitado | 1.1.0 |
| Definir requisitos organizacionais para o gerenciamento de chaves de criptografia | CMA_0123 – Definir requisitos organizacionais para o gerenciamento de chaves de criptografia | Manual, Desabilitado | 1.1.0 |
| Determinar os requisitos da declaração | CMA_0136 – Determinar os requisitos da declaração | Manual, Desabilitado | 1.1.0 |
| Emitir certificados de chave pública | CMA_0347 – Emitir certificados de chave pública | Manual, Desabilitado | 1.1.0 |
| Gerenciar chaves de criptografia simétricas | CMA_0367 – Gerenciar chaves de criptografia simétricas | Manual, Desabilitado | 1.1.0 |
| Restringir o acesso a chaves privadas | CMA_0445 – Restringir o acesso a chaves privadas | Manual, Desabilitado | 1.1.0 |
As chaves de criptografia usadas para proteger os dados armazenados da conta são protegidas
ID: PCI DSS v4.0 3.6.1.2 Propriedade: Compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Definir um processo de gerenciamento de chave física | CMA_0115 – Definir um processo de gerenciamento de chave física | Manual, Desabilitado | 1.1.0 |
| Definir o uso de criptografia | CMA_0120 – Definir o uso de criptografia | Manual, Desabilitado | 1.1.0 |
| Definir requisitos organizacionais para o gerenciamento de chaves de criptografia | CMA_0123 – Definir requisitos organizacionais para o gerenciamento de chaves de criptografia | Manual, Desabilitado | 1.1.0 |
| Determinar os requisitos da declaração | CMA_0136 – Determinar os requisitos da declaração | Manual, Desabilitado | 1.1.0 |
| Emitir certificados de chave pública | CMA_0347 – Emitir certificados de chave pública | Manual, Desabilitado | 1.1.0 |
| Gerenciar chaves de criptografia simétricas | CMA_0367 – Gerenciar chaves de criptografia simétricas | Manual, Desabilitado | 1.1.0 |
| Produzir, controlar e distribuir chaves criptográficas simétricas | CMA_C1645 – Produzir, controlar e distribuir chaves criptográficas simétricas | Manual, Desabilitado | 1.1.0 |
| Restringir o acesso a chaves privadas | CMA_0445 – Restringir o acesso a chaves privadas | Manual, Desabilitado | 1.1.0 |
As chaves de criptografia usadas para proteger os dados armazenados da conta são protegidas
ID: PCI DSS v4.0 3.6.1.3 Propriedade: Compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Definir um processo de gerenciamento de chave física | CMA_0115 – Definir um processo de gerenciamento de chave física | Manual, Desabilitado | 1.1.0 |
| Definir o uso de criptografia | CMA_0120 – Definir o uso de criptografia | Manual, Desabilitado | 1.1.0 |
| Definir requisitos organizacionais para o gerenciamento de chaves de criptografia | CMA_0123 – Definir requisitos organizacionais para o gerenciamento de chaves de criptografia | Manual, Desabilitado | 1.1.0 |
| Determinar os requisitos da declaração | CMA_0136 – Determinar os requisitos da declaração | Manual, Desabilitado | 1.1.0 |
| Emitir certificados de chave pública | CMA_0347 – Emitir certificados de chave pública | Manual, Desabilitado | 1.1.0 |
| Gerenciar chaves de criptografia simétricas | CMA_0367 – Gerenciar chaves de criptografia simétricas | Manual, Desabilitado | 1.1.0 |
| Restringir o acesso a chaves privadas | CMA_0445 – Restringir o acesso a chaves privadas | Manual, Desabilitado | 1.1.0 |
As chaves de criptografia usadas para proteger os dados armazenados da conta são protegidas
ID: PCI DSS v4.0 3.6.1.4 Propriedade: Compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Definir um processo de gerenciamento de chave física | CMA_0115 – Definir um processo de gerenciamento de chave física | Manual, Desabilitado | 1.1.0 |
| Definir o uso de criptografia | CMA_0120 – Definir o uso de criptografia | Manual, Desabilitado | 1.1.0 |
| Definir requisitos organizacionais para o gerenciamento de chaves de criptografia | CMA_0123 – Definir requisitos organizacionais para o gerenciamento de chaves de criptografia | Manual, Desabilitado | 1.1.0 |
| Determinar os requisitos da declaração | CMA_0136 – Determinar os requisitos da declaração | Manual, Desabilitado | 1.1.0 |
| Emitir certificados de chave pública | CMA_0347 – Emitir certificados de chave pública | Manual, Desabilitado | 1.1.0 |
| Gerenciar chaves de criptografia simétricas | CMA_0367 – Gerenciar chaves de criptografia simétricas | Manual, Desabilitado | 1.1.0 |
| Restringir o acesso a chaves privadas | CMA_0445 – Restringir o acesso a chaves privadas | Manual, Desabilitado | 1.1.0 |
Local em que a criptografia é usada para proteger os dados da conta armazenada e os processos e os procedimentos de gerenciamento de chaves que abrangem todos os aspectos do ciclo de vida da chave são definidos e implementados
ID: PCI DSS v4.0 3.7.1 Propriedade: Compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Definir um processo de gerenciamento de chave física | CMA_0115 – Definir um processo de gerenciamento de chave física | Manual, Desabilitado | 1.1.0 |
| Definir o uso de criptografia | CMA_0120 – Definir o uso de criptografia | Manual, Desabilitado | 1.1.0 |
| Definir requisitos organizacionais para o gerenciamento de chaves de criptografia | CMA_0123 – Definir requisitos organizacionais para o gerenciamento de chaves de criptografia | Manual, Desabilitado | 1.1.0 |
| Determinar os requisitos da declaração | CMA_0136 – Determinar os requisitos da declaração | Manual, Desabilitado | 1.1.0 |
| Emitir certificados de chave pública | CMA_0347 – Emitir certificados de chave pública | Manual, Desabilitado | 1.1.0 |
| Gerenciar chaves de criptografia simétricas | CMA_0367 – Gerenciar chaves de criptografia simétricas | Manual, Desabilitado | 1.1.0 |
| Restringir o acesso a chaves privadas | CMA_0445 – Restringir o acesso a chaves privadas | Manual, Desabilitado | 1.1.0 |
Local em que a criptografia é usada para proteger os dados da conta armazenada e os processos e os procedimentos de gerenciamento de chaves que abrangem todos os aspectos do ciclo de vida da chave são definidos e implementados
ID: PCI DSS v4.0 3.7.2 Propriedade: Compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Definir um processo de gerenciamento de chave física | CMA_0115 – Definir um processo de gerenciamento de chave física | Manual, Desabilitado | 1.1.0 |
| Definir o uso de criptografia | CMA_0120 – Definir o uso de criptografia | Manual, Desabilitado | 1.1.0 |
| Definir requisitos organizacionais para o gerenciamento de chaves de criptografia | CMA_0123 – Definir requisitos organizacionais para o gerenciamento de chaves de criptografia | Manual, Desabilitado | 1.1.0 |
| Determinar os requisitos da declaração | CMA_0136 – Determinar os requisitos da declaração | Manual, Desabilitado | 1.1.0 |
| Emitir certificados de chave pública | CMA_0347 – Emitir certificados de chave pública | Manual, Desabilitado | 1.1.0 |
| Gerenciar chaves de criptografia simétricas | CMA_0367 – Gerenciar chaves de criptografia simétricas | Manual, Desabilitado | 1.1.0 |
| Produzir, controlar e distribuir chaves criptográficas simétricas | CMA_C1645 – Produzir, controlar e distribuir chaves criptográficas simétricas | Manual, Desabilitado | 1.1.0 |
| Restringir o acesso a chaves privadas | CMA_0445 – Restringir o acesso a chaves privadas | Manual, Desabilitado | 1.1.0 |
Local em que a criptografia é usada para proteger os dados da conta armazenada e os processos e os procedimentos de gerenciamento de chaves que abrangem todos os aspectos do ciclo de vida da chave são definidos e implementados
ID: PCI DSS v4.0 3.7.3 Propriedade: Compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Definir um processo de gerenciamento de chave física | CMA_0115 – Definir um processo de gerenciamento de chave física | Manual, Desabilitado | 1.1.0 |
| Definir o uso de criptografia | CMA_0120 – Definir o uso de criptografia | Manual, Desabilitado | 1.1.0 |
| Definir requisitos organizacionais para o gerenciamento de chaves de criptografia | CMA_0123 – Definir requisitos organizacionais para o gerenciamento de chaves de criptografia | Manual, Desabilitado | 1.1.0 |
| Determinar os requisitos da declaração | CMA_0136 – Determinar os requisitos da declaração | Manual, Desabilitado | 1.1.0 |
| Emitir certificados de chave pública | CMA_0347 – Emitir certificados de chave pública | Manual, Desabilitado | 1.1.0 |
| Manter a disponibilidade de informações | CMA_C1644 – Manter a disponibilidade de informações | Manual, Desabilitado | 1.1.0 |
| Gerenciar chaves de criptografia simétricas | CMA_0367 – Gerenciar chaves de criptografia simétricas | Manual, Desabilitado | 1.1.0 |
| Produzir, controlar e distribuir chaves criptográficas simétricas | CMA_C1645 – Produzir, controlar e distribuir chaves criptográficas simétricas | Manual, Desabilitado | 1.1.0 |
| Restringir o acesso a chaves privadas | CMA_0445 – Restringir o acesso a chaves privadas | Manual, Desabilitado | 1.1.0 |
Local em que a criptografia é usada para proteger os dados da conta armazenada e os processos e os procedimentos de gerenciamento de chaves que abrangem todos os aspectos do ciclo de vida da chave são definidos e implementados
ID: PCI DSS v4.0 3.7.4 Propriedade: Compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Definir um processo de gerenciamento de chave física | CMA_0115 – Definir um processo de gerenciamento de chave física | Manual, Desabilitado | 1.1.0 |
| Definir o uso de criptografia | CMA_0120 – Definir o uso de criptografia | Manual, Desabilitado | 1.1.0 |
| Definir requisitos organizacionais para o gerenciamento de chaves de criptografia | CMA_0123 – Definir requisitos organizacionais para o gerenciamento de chaves de criptografia | Manual, Desabilitado | 1.1.0 |
| Determinar os requisitos da declaração | CMA_0136 – Determinar os requisitos da declaração | Manual, Desabilitado | 1.1.0 |
| Emitir certificados de chave pública | CMA_0347 – Emitir certificados de chave pública | Manual, Desabilitado | 1.1.0 |
| Gerenciar chaves de criptografia simétricas | CMA_0367 – Gerenciar chaves de criptografia simétricas | Manual, Desabilitado | 1.1.0 |
| Restringir o acesso a chaves privadas | CMA_0445 – Restringir o acesso a chaves privadas | Manual, Desabilitado | 1.1.0 |
Local em que a criptografia é usada para proteger os dados da conta armazenada e os processos e os procedimentos de gerenciamento de chaves que abrangem todos os aspectos do ciclo de vida da chave são definidos e implementados
ID: PCI DSS v4.0 3.7.5 Propriedade: Compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Definir um processo de gerenciamento de chave física | CMA_0115 – Definir um processo de gerenciamento de chave física | Manual, Desabilitado | 1.1.0 |
| Definir o uso de criptografia | CMA_0120 – Definir o uso de criptografia | Manual, Desabilitado | 1.1.0 |
| Definir requisitos organizacionais para o gerenciamento de chaves de criptografia | CMA_0123 – Definir requisitos organizacionais para o gerenciamento de chaves de criptografia | Manual, Desabilitado | 1.1.0 |
| Determinar os requisitos da declaração | CMA_0136 – Determinar os requisitos da declaração | Manual, Desabilitado | 1.1.0 |
| Emitir certificados de chave pública | CMA_0347 – Emitir certificados de chave pública | Manual, Desabilitado | 1.1.0 |
| Gerenciar chaves de criptografia simétricas | CMA_0367 – Gerenciar chaves de criptografia simétricas | Manual, Desabilitado | 1.1.0 |
| Restringir o acesso a chaves privadas | CMA_0445 – Restringir o acesso a chaves privadas | Manual, Desabilitado | 1.1.0 |
Local em que a criptografia é usada para proteger os dados da conta armazenada e os processos e os procedimentos de gerenciamento de chaves que abrangem todos os aspectos do ciclo de vida da chave são definidos e implementados
ID: PCI DSS v4.0 3.7.6 Propriedade: Compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Definir um processo de gerenciamento de chave física | CMA_0115 – Definir um processo de gerenciamento de chave física | Manual, Desabilitado | 1.1.0 |
| Definir o uso de criptografia | CMA_0120 – Definir o uso de criptografia | Manual, Desabilitado | 1.1.0 |
| Definir requisitos organizacionais para o gerenciamento de chaves de criptografia | CMA_0123 – Definir requisitos organizacionais para o gerenciamento de chaves de criptografia | Manual, Desabilitado | 1.1.0 |
| Determinar os requisitos da declaração | CMA_0136 – Determinar os requisitos da declaração | Manual, Desabilitado | 1.1.0 |
| Emitir certificados de chave pública | CMA_0347 – Emitir certificados de chave pública | Manual, Desabilitado | 1.1.0 |
| Gerenciar chaves de criptografia simétricas | CMA_0367 – Gerenciar chaves de criptografia simétricas | Manual, Desabilitado | 1.1.0 |
| Restringir o acesso a chaves privadas | CMA_0445 – Restringir o acesso a chaves privadas | Manual, Desabilitado | 1.1.0 |
Local em que a criptografia é usada para proteger os dados da conta armazenada e os processos e os procedimentos de gerenciamento de chaves que abrangem todos os aspectos do ciclo de vida da chave são definidos e implementados
ID: PCI DSS v4.0 3.7.7 Propriedade: Compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Definir um processo de gerenciamento de chave física | CMA_0115 – Definir um processo de gerenciamento de chave física | Manual, Desabilitado | 1.1.0 |
| Definir o uso de criptografia | CMA_0120 – Definir o uso de criptografia | Manual, Desabilitado | 1.1.0 |
| Definir requisitos organizacionais para o gerenciamento de chaves de criptografia | CMA_0123 – Definir requisitos organizacionais para o gerenciamento de chaves de criptografia | Manual, Desabilitado | 1.1.0 |
| Determinar os requisitos da declaração | CMA_0136 – Determinar os requisitos da declaração | Manual, Desabilitado | 1.1.0 |
| Emitir certificados de chave pública | CMA_0347 – Emitir certificados de chave pública | Manual, Desabilitado | 1.1.0 |
| Gerenciar chaves de criptografia simétricas | CMA_0367 – Gerenciar chaves de criptografia simétricas | Manual, Desabilitado | 1.1.0 |
| Restringir o acesso a chaves privadas | CMA_0445 – Restringir o acesso a chaves privadas | Manual, Desabilitado | 1.1.0 |
Local em que a criptografia é usada para proteger os dados da conta armazenada e os processos e os procedimentos de gerenciamento de chaves que abrangem todos os aspectos do ciclo de vida da chave são definidos e implementados
ID: PCI DSS v4.0 3.7.8 Propriedade: Compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Definir um processo de gerenciamento de chave física | CMA_0115 – Definir um processo de gerenciamento de chave física | Manual, Desabilitado | 1.1.0 |
| Definir o uso de criptografia | CMA_0120 – Definir o uso de criptografia | Manual, Desabilitado | 1.1.0 |
| Definir requisitos organizacionais para o gerenciamento de chaves de criptografia | CMA_0123 – Definir requisitos organizacionais para o gerenciamento de chaves de criptografia | Manual, Desabilitado | 1.1.0 |
| Determinar os requisitos da declaração | CMA_0136 – Determinar os requisitos da declaração | Manual, Desabilitado | 1.1.0 |
| Emitir certificados de chave pública | CMA_0347 – Emitir certificados de chave pública | Manual, Desabilitado | 1.1.0 |
| Gerenciar chaves de criptografia simétricas | CMA_0367 – Gerenciar chaves de criptografia simétricas | Manual, Desabilitado | 1.1.0 |
| Restringir o acesso a chaves privadas | CMA_0445 – Restringir o acesso a chaves privadas | Manual, Desabilitado | 1.1.0 |
Local em que a criptografia é usada para proteger os dados da conta armazenada e os processos e os procedimentos de gerenciamento de chaves que abrangem todos os aspectos do ciclo de vida da chave são definidos e implementados
ID: PCI DSS v4.0 3.7.9 Propriedade: Compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Definir um processo de gerenciamento de chave física | CMA_0115 – Definir um processo de gerenciamento de chave física | Manual, Desabilitado | 1.1.0 |
| Definir o uso de criptografia | CMA_0120 – Definir o uso de criptografia | Manual, Desabilitado | 1.1.0 |
| Definir requisitos organizacionais para o gerenciamento de chaves de criptografia | CMA_0123 – Definir requisitos organizacionais para o gerenciamento de chaves de criptografia | Manual, Desabilitado | 1.1.0 |
| Determinar os requisitos da declaração | CMA_0136 – Determinar os requisitos da declaração | Manual, Desabilitado | 1.1.0 |
| Emitir certificados de chave pública | CMA_0347 – Emitir certificados de chave pública | Manual, Desabilitado | 1.1.0 |
| Gerenciar chaves de criptografia simétricas | CMA_0367 – Gerenciar chaves de criptografia simétricas | Manual, Desabilitado | 1.1.0 |
| Restringir o acesso a chaves privadas | CMA_0445 – Restringir o acesso a chaves privadas | Manual, Desabilitado | 1.1.0 |
Requisito 4: Proteger os dados do titular do cartão com criptografia forte durante a transmissão em redes públicas abertas
Os processos e os mecanismos usados para proteger os dados do titular do cartão com criptografia forte durante a transmissão em redes públicas abertas foram definidos e documentados
ID: PCI DSS v4.0 4.1.1 Propriedade: Compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Revisar e atualizar políticas e procedimentos de proteção do sistema e das comunicações | CMA_C1616 - Revisar e atualizar políticas e procedimentos de proteção do sistema e das comunicações | Manual, Desabilitado | 1.1.0 |
O PAN é protegido com criptografia forte durante a transmissão
ID: PCI DSS v4.0 4.2.1 Propriedade: Compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Configurar as estações de trabalho para verificar certificados digitais | CMA_0073 – Configurar as estações de trabalho para verificar certificados digitais | Manual, Desabilitado | 1.1.0 |
| Definir um processo de gerenciamento de chave física | CMA_0115 – Definir um processo de gerenciamento de chave física | Manual, Desabilitado | 1.1.0 |
| Definir o uso de criptografia | CMA_0120 – Definir o uso de criptografia | Manual, Desabilitado | 1.1.0 |
| Definir requisitos organizacionais para o gerenciamento de chaves de criptografia | CMA_0123 – Definir requisitos organizacionais para o gerenciamento de chaves de criptografia | Manual, Desabilitado | 1.1.0 |
| Determinar os requisitos da declaração | CMA_0136 – Determinar os requisitos da declaração | Manual, Desabilitado | 1.1.0 |
| Emitir certificados de chave pública | CMA_0347 – Emitir certificados de chave pública | Manual, Desabilitado | 1.1.0 |
| Gerenciar chaves de criptografia simétricas | CMA_0367 – Gerenciar chaves de criptografia simétricas | Manual, Desabilitado | 1.1.0 |
| Produzir, controlar e distribuir chaves criptográficas assimétricas | CMA_C1646 – Produzir, controlar e distribuir chaves criptográficas assimétricas | Manual, Desabilitado | 1.1.0 |
| Produzir, controlar e distribuir chaves criptográficas simétricas | CMA_C1645 – Produzir, controlar e distribuir chaves criptográficas simétricas | Manual, Desabilitado | 1.1.0 |
| Proteger dados em trânsito usando criptografia | CMA_0403 – Proteger dados em trânsito usando criptografia | Manual, Desabilitado | 1.1.0 |
| Proteger senhas com criptografia | CMA_0408 – Proteger senhas com criptografia | Manual, Desabilitado | 1.1.0 |
| Restringir o acesso a chaves privadas | CMA_0445 – Restringir o acesso a chaves privadas | Manual, Desabilitado | 1.1.0 |
O PAN é protegido com criptografia forte durante a transmissão
ID: PCI DSS v4.0 4.2.1.1 Propriedade: Compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Definir um processo de gerenciamento de chave física | CMA_0115 – Definir um processo de gerenciamento de chave física | Manual, Desabilitado | 1.1.0 |
| Definir o uso de criptografia | CMA_0120 – Definir o uso de criptografia | Manual, Desabilitado | 1.1.0 |
| Definir requisitos organizacionais para o gerenciamento de chaves de criptografia | CMA_0123 – Definir requisitos organizacionais para o gerenciamento de chaves de criptografia | Manual, Desabilitado | 1.1.0 |
| Determinar os requisitos da declaração | CMA_0136 – Determinar os requisitos da declaração | Manual, Desabilitado | 1.1.0 |
| Emitir certificados de chave pública | CMA_0347 – Emitir certificados de chave pública | Manual, Desabilitado | 1.1.0 |
| Manter a disponibilidade de informações | CMA_C1644 – Manter a disponibilidade de informações | Manual, Desabilitado | 1.1.0 |
| Gerenciar chaves de criptografia simétricas | CMA_0367 – Gerenciar chaves de criptografia simétricas | Manual, Desabilitado | 1.1.0 |
| Restringir o acesso a chaves privadas | CMA_0445 – Restringir o acesso a chaves privadas | Manual, Desabilitado | 1.1.0 |
O PAN é protegido com criptografia forte durante a transmissão
ID: PCI DSS v4.0 4.2.1.2 Propriedade: Compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Documentar e implementar diretrizes de acesso sem fio | CMA_0190 – Documentar e implementar diretrizes de acesso sem fio | Manual, Desabilitado | 1.1.0 |
| Identificar e autenticar dispositivos de rede | CMA_0296 – Identificar e autenticar dispositivos de rede | Manual, Desabilitado | 1.1.0 |
| Proteger acesso sem fio | CMA_0411 – Proteger acesso sem fio | Manual, Desabilitado | 1.1.0 |
O PAN é protegido com criptografia forte durante a transmissão
ID: PCI DSS v4.0 4.2.2 Propriedade: Compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Configurar as estações de trabalho para verificar certificados digitais | CMA_0073 – Configurar as estações de trabalho para verificar certificados digitais | Manual, Desabilitado | 1.1.0 |
| Proteger dados em trânsito usando criptografia | CMA_0403 – Proteger dados em trânsito usando criptografia | Manual, Desabilitado | 1.1.0 |
| Proteger senhas com criptografia | CMA_0408 – Proteger senhas com criptografia | Manual, Desabilitado | 1.1.0 |
Requisito 5: Proteger todos os sistemas e todas as redes contra programas de software mal-intencionados
Os processos e os mecanismos usados para proteger todos os sistemas e todas as redes contra programas de software mal-intencionados foram definidos e compreendidos
ID: PCI DSS v4.0 5.1.1 Propriedade: Compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Revisar e atualizar políticas e procedimentos de integridade das informações | CMA_C1667 - Revisar e atualizar políticas e procedimentos de integridade das informações | Manual, Desabilitado | 1.1.0 |
Os programas de software mal-intencionados (malware) são prevenidos ou detectados e resolvidos
ID: PCI DSS v4.0 5.2.1 Propriedade: Compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Uma solução de avaliação de vulnerabilidade deve ser habilitada nas máquinas virtuais | Audita as máquinas virtuais para detectar se elas estão executando uma solução de avaliação de vulnerabilidade compatível. Um componente principal de cada programa de segurança e risco cibernético é a identificação e a análise das vulnerabilidades. O tipo de preço padrão da Central de Segurança do Azure inclui a verificação de vulnerabilidade para as máquinas virtuais sem custo adicional. Além disso, a Central de Segurança pode implantar essa ferramenta automaticamente para você. | AuditIfNotExists, desabilitado | 3.0.0 |
| Bloquear processos não assinados e não confiáveis executados por USB | CMA_0050 – Bloquear processos não confiáveis e não assinados executados por meio de um USB | Manual, Desabilitado | 1.1.0 |
| Gerenciar gateways | CMA_0363 – Gerenciar gateways | Manual, Desabilitado | 1.1.0 |
| Monitorar o Endpoint Protection ausente na Central de Segurança do Azure | Servidores sem um agente do Endpoint Protection instalado serão monitorados pela Central de Segurança do Azure como recomendações | AuditIfNotExists, desabilitado | 3.0.0 |
| Executar uma análise de tendências de ameaças | CMA_0389 – Executar uma análise de tendências de ameaças | Manual, Desabilitado | 1.1.0 |
| Executar verificações de vulnerabilidade | CMA_0393 – Executar verificações de vulnerabilidade | Manual, Desabilitado | 1.1.0 |
| Examinar o relatório de detecções de malware semanalmente | CMA_0475 – Examinar o relatório de detecções de malware semanalmente | Manual, Desabilitado | 1.1.0 |
| Examinar o status de proteção contra ameaças semanalmente | CMA_0479 – Examinar o status de proteção contra ameaças semanalmente | Manual, Desabilitado | 1.1.0 |
| Os bancos de dados SQL devem ter as descobertas de vulnerabilidade resolvidas | Monitore os resultados da verificação da avaliação de vulnerabilidades e as recomendações sobre como corrigir as vulnerabilidades do banco de dados. | AuditIfNotExists, desabilitado | 4.1.0 |
| As atualizações do sistema devem ser instaladas em suas máquinas | A falta de atualizações do sistema de segurança em seus servidores será monitorada pela Central de Segurança do Azure como recomendações | AuditIfNotExists, desabilitado | 4.0.0 |
| Atualizar definições de antivírus | CMA_0517 – Atualizar as definições de antivírus | Manual, Desabilitado | 1.1.0 |
| As vulnerabilidades da configuração de segurança nas máquinas devem ser corrigidas | Os servidores que não atenderem à linha de base configurada serão monitorados pela Central de Segurança do Azure como recomendações | AuditIfNotExists, desabilitado | 3.1.0 |
Os programas de software mal-intencionados (malware) são prevenidos ou detectados e resolvidos
ID: PCI DSS v4.0 5.2.2 Propriedade: Compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Uma solução de avaliação de vulnerabilidade deve ser habilitada nas máquinas virtuais | Audita as máquinas virtuais para detectar se elas estão executando uma solução de avaliação de vulnerabilidade compatível. Um componente principal de cada programa de segurança e risco cibernético é a identificação e a análise das vulnerabilidades. O tipo de preço padrão da Central de Segurança do Azure inclui a verificação de vulnerabilidade para as máquinas virtuais sem custo adicional. Além disso, a Central de Segurança pode implantar essa ferramenta automaticamente para você. | AuditIfNotExists, desabilitado | 3.0.0 |
| Bloquear processos não assinados e não confiáveis executados por USB | CMA_0050 – Bloquear processos não confiáveis e não assinados executados por meio de um USB | Manual, Desabilitado | 1.1.0 |
| Gerenciar gateways | CMA_0363 – Gerenciar gateways | Manual, Desabilitado | 1.1.0 |
| Monitorar o Endpoint Protection ausente na Central de Segurança do Azure | Servidores sem um agente do Endpoint Protection instalado serão monitorados pela Central de Segurança do Azure como recomendações | AuditIfNotExists, desabilitado | 3.0.0 |
| Executar uma análise de tendências de ameaças | CMA_0389 – Executar uma análise de tendências de ameaças | Manual, Desabilitado | 1.1.0 |
| Executar verificações de vulnerabilidade | CMA_0393 – Executar verificações de vulnerabilidade | Manual, Desabilitado | 1.1.0 |
| Examinar o relatório de detecções de malware semanalmente | CMA_0475 – Examinar o relatório de detecções de malware semanalmente | Manual, Desabilitado | 1.1.0 |
| Examinar o status de proteção contra ameaças semanalmente | CMA_0479 – Examinar o status de proteção contra ameaças semanalmente | Manual, Desabilitado | 1.1.0 |
| Os bancos de dados SQL devem ter as descobertas de vulnerabilidade resolvidas | Monitore os resultados da verificação da avaliação de vulnerabilidades e as recomendações sobre como corrigir as vulnerabilidades do banco de dados. | AuditIfNotExists, desabilitado | 4.1.0 |
| As atualizações do sistema devem ser instaladas em suas máquinas | A falta de atualizações do sistema de segurança em seus servidores será monitorada pela Central de Segurança do Azure como recomendações | AuditIfNotExists, desabilitado | 4.0.0 |
| Atualizar definições de antivírus | CMA_0517 – Atualizar as definições de antivírus | Manual, Desabilitado | 1.1.0 |
| As vulnerabilidades da configuração de segurança nas máquinas devem ser corrigidas | Os servidores que não atenderem à linha de base configurada serão monitorados pela Central de Segurança do Azure como recomendações | AuditIfNotExists, desabilitado | 3.1.0 |
Os programas de software mal-intencionados (malware) são prevenidos ou detectados e resolvidos
ID: PCI DSS v4.0 5.2.3 Propriedade: Compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Uma solução de avaliação de vulnerabilidade deve ser habilitada nas máquinas virtuais | Audita as máquinas virtuais para detectar se elas estão executando uma solução de avaliação de vulnerabilidade compatível. Um componente principal de cada programa de segurança e risco cibernético é a identificação e a análise das vulnerabilidades. O tipo de preço padrão da Central de Segurança do Azure inclui a verificação de vulnerabilidade para as máquinas virtuais sem custo adicional. Além disso, a Central de Segurança pode implantar essa ferramenta automaticamente para você. | AuditIfNotExists, desabilitado | 3.0.0 |
| Bloquear processos não assinados e não confiáveis executados por USB | CMA_0050 – Bloquear processos não confiáveis e não assinados executados por meio de um USB | Manual, Desabilitado | 1.1.0 |
| Gerenciar gateways | CMA_0363 – Gerenciar gateways | Manual, Desabilitado | 1.1.0 |
| Monitorar o Endpoint Protection ausente na Central de Segurança do Azure | Servidores sem um agente do Endpoint Protection instalado serão monitorados pela Central de Segurança do Azure como recomendações | AuditIfNotExists, desabilitado | 3.0.0 |
| Executar uma análise de tendências de ameaças | CMA_0389 – Executar uma análise de tendências de ameaças | Manual, Desabilitado | 1.1.0 |
| Executar verificações de vulnerabilidade | CMA_0393 – Executar verificações de vulnerabilidade | Manual, Desabilitado | 1.1.0 |
| Examinar o relatório de detecções de malware semanalmente | CMA_0475 – Examinar o relatório de detecções de malware semanalmente | Manual, Desabilitado | 1.1.0 |
| Examinar o status de proteção contra ameaças semanalmente | CMA_0479 – Examinar o status de proteção contra ameaças semanalmente | Manual, Desabilitado | 1.1.0 |
| Os bancos de dados SQL devem ter as descobertas de vulnerabilidade resolvidas | Monitore os resultados da verificação da avaliação de vulnerabilidades e as recomendações sobre como corrigir as vulnerabilidades do banco de dados. | AuditIfNotExists, desabilitado | 4.1.0 |
| As atualizações do sistema devem ser instaladas em suas máquinas | A falta de atualizações do sistema de segurança em seus servidores será monitorada pela Central de Segurança do Azure como recomendações | AuditIfNotExists, desabilitado | 4.0.0 |
| Atualizar definições de antivírus | CMA_0517 – Atualizar as definições de antivírus | Manual, Desabilitado | 1.1.0 |
| As vulnerabilidades da configuração de segurança nas máquinas devem ser corrigidas | Os servidores que não atenderem à linha de base configurada serão monitorados pela Central de Segurança do Azure como recomendações | AuditIfNotExists, desabilitado | 3.1.0 |
Os programas de software mal-intencionados (malware) são prevenidos ou detectados e resolvidos
ID: PCI DSS v4.0 5.2.3.1 Propriedade: Compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Realizar a Avaliação de Risco | CMA_C1543 – Realizar a avaliação de risco | Manual, Desabilitado | 1.1.0 |
| Realizar a avaliação de risco e documentar resultados | CMA_C1542 – Realizar a avaliação de risco e documentar resultados | Manual, Desabilitado | 1.1.0 |
| Executar uma avaliação de risco | CMA_0388 - Executar uma avaliação de risco | Manual, Desabilitado | 1.1.0 |
Os mecanismos e os processos antimalware estão ativos e são mantidos e monitorados
ID: PCI DSS v4.0 5.3.1 Propriedade: Compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Bloquear processos não assinados e não confiáveis executados por USB | CMA_0050 – Bloquear processos não confiáveis e não assinados executados por meio de um USB | Manual, Desabilitado | 1.1.0 |
| Gerenciar gateways | CMA_0363 – Gerenciar gateways | Manual, Desabilitado | 1.1.0 |
| Executar uma análise de tendências de ameaças | CMA_0389 – Executar uma análise de tendências de ameaças | Manual, Desabilitado | 1.1.0 |
| Executar verificações de vulnerabilidade | CMA_0393 – Executar verificações de vulnerabilidade | Manual, Desabilitado | 1.1.0 |
| Examinar o relatório de detecções de malware semanalmente | CMA_0475 – Examinar o relatório de detecções de malware semanalmente | Manual, Desabilitado | 1.1.0 |
| Atualizar definições de antivírus | CMA_0517 – Atualizar as definições de antivírus | Manual, Desabilitado | 1.1.0 |
Os mecanismos e os processos antimalware estão ativos e são mantidos e monitorados
ID: PCI DSS v4.0 5.3.3 Propriedade: Compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Bloquear processos não assinados e não confiáveis executados por USB | CMA_0050 – Bloquear processos não confiáveis e não assinados executados por meio de um USB | Manual, Desabilitado | 1.1.0 |
| Gerenciar gateways | CMA_0363 – Gerenciar gateways | Manual, Desabilitado | 1.1.0 |
| Executar uma análise de tendências de ameaças | CMA_0389 – Executar uma análise de tendências de ameaças | Manual, Desabilitado | 1.1.0 |
| Executar verificações de vulnerabilidade | CMA_0393 – Executar verificações de vulnerabilidade | Manual, Desabilitado | 1.1.0 |
| Examinar o relatório de detecções de malware semanalmente | CMA_0475 – Examinar o relatório de detecções de malware semanalmente | Manual, Desabilitado | 1.1.0 |
| Examinar o status de proteção contra ameaças semanalmente | CMA_0479 – Examinar o status de proteção contra ameaças semanalmente | Manual, Desabilitado | 1.1.0 |
| Atualizar definições de antivírus | CMA_0517 – Atualizar as definições de antivírus | Manual, Desabilitado | 1.1.0 |
Os mecanismos e os processos antimalware estão ativos e são mantidos e monitorados
ID: PCI DSS v4.0 5.3.4 Propriedade: Compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Obedecer os períodos de retenção definidos | CMA_0004 – Obedecer os períodos de retenção definidos | Manual, Desabilitado | 1.1.0 |
| Determinar eventos auditáveis | CMA_0137 – Determinar eventos auditáveis | Manual, Desabilitado | 1.1.0 |
| Reter procedimentos e políticas de segurança | CMA_0454 – Reter procedimentos e políticas de segurança | Manual, Desabilitado | 1.1.0 |
| Reter dados de usuário removido | CMA_0455 – Reter dados de usuário removido | Manual, Desabilitado | 1.1.0 |
Os mecanismos e os processos antimalware estão ativos e são mantidos e monitorados
ID: PCI DSS v4.0 5.3.5 Propriedade: Compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Realizar uma análise de impacto de segurança | CMA_0057 - Realizar uma análise de impacto de segurança | Manual, Desabilitado | 1.1.0 |
| Desenvolver e manter um padrão de gerenciamento de vulnerabilidades | CMA_0152 - Desenvolver e manter um padrão de gerenciamento de vulnerabilidades | Manual, Desabilitado | 1.1.0 |
| Estabelecer uma estratégia de gerenciamento de riscos | CMA_0258 - Estabelecer uma estratégia de gerenciamento de riscos | Manual, Desabilitado | 1.1.0 |
| Estabelecer e documentar processos de controle de alterações | CMA_0265 – Estabelecer e documentar processos de controle de alterações | Manual, Desabilitado | 1.1.0 |
| Estabelecer requisitos de gerenciamento de configuração para desenvolvedores | CMA_0270 - Estabelecer requisitos de gerenciamento de configuração para desenvolvedores | Manual, Desabilitado | 1.1.0 |
| Executar uma avaliação de impacto de privacidade | CMA_0387 - Executar uma avaliação de impacto de privacidade | Manual, Desabilitado | 1.1.0 |
| Executar uma avaliação de risco | CMA_0388 - Executar uma avaliação de risco | Manual, Desabilitado | 1.1.0 |
| Executar auditoria para controle de alterações de configuração | CMA_0390 - Executar auditoria para controle de alterações de configuração | Manual, Desabilitado | 1.1.0 |
Os mecanismos anti-phishing protegem os usuários contra ataques de phishing
ID: PCI DSS v4.0 5.4.1 Propriedade: Compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Bloquear processos não assinados e não confiáveis executados por USB | CMA_0050 – Bloquear processos não confiáveis e não assinados executados por meio de um USB | Manual, Desabilitado | 1.1.0 |
| Gerenciar gateways | CMA_0363 – Gerenciar gateways | Manual, Desabilitado | 1.1.0 |
| Executar uma análise de tendências de ameaças | CMA_0389 – Executar uma análise de tendências de ameaças | Manual, Desabilitado | 1.1.0 |
| Executar verificações de vulnerabilidade | CMA_0393 – Executar verificações de vulnerabilidade | Manual, Desabilitado | 1.1.0 |
| Examinar o relatório de detecções de malware semanalmente | CMA_0475 – Examinar o relatório de detecções de malware semanalmente | Manual, Desabilitado | 1.1.0 |
| Examinar o status de proteção contra ameaças semanalmente | CMA_0479 – Examinar o status de proteção contra ameaças semanalmente | Manual, Desabilitado | 1.1.0 |
| Atualizar definições de antivírus | CMA_0517 – Atualizar as definições de antivírus | Manual, Desabilitado | 1.1.0 |
Requisito 6: Desenvolver e manter sistemas e programas de software seguros
Os processos e os mecanismos usados para desenvolver e manter sistemas e programas de software seguros foram definidos e compreendidos
ID: PCI DSS v4.0 6.1.1 Propriedade: Compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Revisar a atualizar políticas e procedimentos de gerenciamento de configuração | CMA_C1175 - Revisar e atualizar políticas e procedimentos de gerenciamento de configuração | Manual, Desabilitado | 1.1.0 |
| Revisar e atualizar políticas e procedimentos de aquisição de sistemas e serviços | CMA_C1560 - Revisar e atualizar políticas e procedimentos de aquisição de sistemas e serviços | Manual, Desabilitado | 1.1.0 |
Os programas de software sob medida e personalizados são desenvolvidos com segurança
ID: PCI DSS v4.0 6.2.2 Propriedade: Compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Fornecer treinamento periódico de segurança baseada em funções | CMA_C1095 – Fornecer treinamento periódico de segurança baseada em funções | Manual, Desabilitado | 1.1.0 |
| Fornecer treinamento de segurança antes de fornecer acesso | CMA_0418 – Fornecer treinamento de segurança antes de fornecer acesso | Manual, Desabilitado | 1.1.0 |
Os programas de software sob medida e personalizados são desenvolvidos com segurança
ID: PCI DSS v4.0 6.2.3.1 Propriedade: Compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Separar tarefas de indivíduos | CMA_0492 – Separar tarefas de indivíduos | Manual, Desabilitado | 1.1.0 |
Os programas de software sob medida e personalizados são desenvolvidos com segurança
ID: PCI DSS v4.0 6.2.4 Propriedade: Compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Os aplicativos do Serviço de Aplicativo só devem ser acessíveis por HTTPS | O uso do HTTPS garante a autenticação do servidor/serviço e protege os dados em trânsito de ataques de interceptação de camada de rede. | Auditoria, desabilitado, negação | 4.0.0 |
| As variáveis da conta de automação devem ser criptografadas | É importante habilitar a criptografia dos ativos variáveis da conta de Automação do Azure ao armazenar dados confidenciais | Audit, Deny, desabilitado | 1.1.0 |
| Os aplicativos de funções só devem ser acessíveis por HTTPS | O uso do HTTPS garante a autenticação do servidor/serviço e protege os dados em trânsito de ataques de interceptação de camada de rede. | Auditoria, desabilitado, negação | 5.0.0 |
| Somente conexões seguras com o Cache do Azure para Redis devem ser habilitadas | Auditoria de habilitação de somente conexões via SSL ao Cache Redis do Azure. O uso de conexões seguras garante a autenticação entre o servidor e o serviço e protege os dados em trânsito dos ataques de camada de rede, como man-in-the-middle, espionagem e sequestro de sessão | Audit, Deny, desabilitado | 1.0.0 |
| A transferência segura para contas de armazenamento deve ser habilitada | Exigência de auditoria de transferência segura em sua conta de armazenamento. A transferência segura é uma opção que força a sua conta de armazenamento a aceitar somente solicitações de conexões seguras (HTTPS). O uso de HTTPS garante a autenticação entre o servidor e o serviço e protege dados em trânsito de ataques de camada de rede, como ataques intermediários, interceptação e sequestro de sessão | Audit, Deny, desabilitado | 2.0.0 |
| A propriedade ClusterProtectionLevel dos clusters do Service Fabric deve ser definida como EncryptAndSign | O Service Fabric fornece três níveis de proteção (Nenhum, Sinal e EncryptAndSign) para comunicação de nó a nó usando um certificado de cluster principal. Defina o nível de proteção para garantir que todas as mensagens de nó a nó sejam criptografadas e assinadas digitalmente | Audit, Deny, desabilitado | 1.1.0 |
| A Transparent Data Encryption em bancos de dados SQL deve ser habilitada | A Transparent Data Encryption deve ser habilitada para proteger os dados em repouso e atender aos requisitos de conformidade | AuditIfNotExists, desabilitado | 2.0.0 |
| As máquinas virtuais devem criptografar discos temporários, caches e fluxos de dados entre os recursos de Computação e Armazenamento | Por padrão, o SO e os discos de dados de uma máquina virtual são criptografados em repouso usando chaves gerenciadas pela plataforma. Os discos temporários, os caches de dados e os dados que fluem entre a computação e o armazenamento não são criptografados. Desconsidere essa recomendação se: 1. estiver usando a criptografia no host ou 2. a criptografia do lado do servidor no Managed Disks atender aos seus requisitos de segurança. Saiba mais em: Criptografia do servidor do Armazenamento em Disco do Azure: https://aka.ms/disksse,Diferentes ofertas de criptografia de disco: https://aka.ms/diskencryptioncomparison | AuditIfNotExists, desabilitado | 2.0.3 |
As vulnerabilidades de segurança são identificadas e resolvidas
ID: PCI DSS v4.0 6.3.1 Propriedade: Compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Divulgar alertas de segurança para o pessoal | CMA_C1705 – Divulgar alertas de segurança para o pessoal | Manual, Desabilitado | 1.1.0 |
| Estabelecer um programa de inteligência contra ameaças | CMA_0260 – Estabelecer um programa de inteligência contra ameaças | Manual, Desabilitado | 1.1.0 |
| Implementar diretivas de segurança | CMA_C1706 – Implementar diretivas de segurança | Manual, Desabilitado | 1.1.0 |
| Corrigir falhas do sistema de informações | CMA_0427 – Corrigir falhas do sistema de informações | Manual, Desabilitado | 1.1.0 |
As vulnerabilidades de segurança são identificadas e resolvidas
ID: PCI DSS v4.0 6.3.2 Propriedade: Compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Obter documentação de administração | CMA_C1580 - Obter documentação de administração | Manual, Desabilitado | 1.1.0 |
As vulnerabilidades de segurança são identificadas e resolvidas
ID: PCI DSS v4.0 6.3.3 Propriedade: Compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Uma solução de avaliação de vulnerabilidade deve ser habilitada nas máquinas virtuais | Audita as máquinas virtuais para detectar se elas estão executando uma solução de avaliação de vulnerabilidade compatível. Um componente principal de cada programa de segurança e risco cibernético é a identificação e a análise das vulnerabilidades. O tipo de preço padrão da Central de Segurança do Azure inclui a verificação de vulnerabilidade para as máquinas virtuais sem custo adicional. Além disso, a Central de Segurança pode implantar essa ferramenta automaticamente para você. | AuditIfNotExists, desabilitado | 3.0.0 |
| Monitorar o Endpoint Protection ausente na Central de Segurança do Azure | Servidores sem um agente do Endpoint Protection instalado serão monitorados pela Central de Segurança do Azure como recomendações | AuditIfNotExists, desabilitado | 3.0.0 |
| Os bancos de dados SQL devem ter as descobertas de vulnerabilidade resolvidas | Monitore os resultados da verificação da avaliação de vulnerabilidades e as recomendações sobre como corrigir as vulnerabilidades do banco de dados. | AuditIfNotExists, desabilitado | 4.1.0 |
| As atualizações do sistema devem ser instaladas em suas máquinas | A falta de atualizações do sistema de segurança em seus servidores será monitorada pela Central de Segurança do Azure como recomendações | AuditIfNotExists, desabilitado | 4.0.0 |
| As vulnerabilidades da configuração de segurança nas máquinas devem ser corrigidas | Os servidores que não atenderem à linha de base configurada serão monitorados pela Central de Segurança do Azure como recomendações | AuditIfNotExists, desabilitado | 3.1.0 |
Os aplicativos Web voltados ao público são protegidos contra ataques
ID: PCI DSS v4.0 6.4.1 Propriedade: Compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Uma solução de avaliação de vulnerabilidade deve ser habilitada nas máquinas virtuais | Audita as máquinas virtuais para detectar se elas estão executando uma solução de avaliação de vulnerabilidade compatível. Um componente principal de cada programa de segurança e risco cibernético é a identificação e a análise das vulnerabilidades. O tipo de preço padrão da Central de Segurança do Azure inclui a verificação de vulnerabilidade para as máquinas virtuais sem custo adicional. Além disso, a Central de Segurança pode implantar essa ferramenta automaticamente para você. | AuditIfNotExists, desabilitado | 3.0.0 |
| Monitorar o Endpoint Protection ausente na Central de Segurança do Azure | Servidores sem um agente do Endpoint Protection instalado serão monitorados pela Central de Segurança do Azure como recomendações | AuditIfNotExists, desabilitado | 3.0.0 |
| Executar verificações de vulnerabilidade | CMA_0393 – Executar verificações de vulnerabilidade | Manual, Desabilitado | 1.1.0 |
| Corrigir falhas do sistema de informações | CMA_0427 – Corrigir falhas do sistema de informações | Manual, Desabilitado | 1.1.0 |
| Os bancos de dados SQL devem ter as descobertas de vulnerabilidade resolvidas | Monitore os resultados da verificação da avaliação de vulnerabilidades e as recomendações sobre como corrigir as vulnerabilidades do banco de dados. | AuditIfNotExists, desabilitado | 4.1.0 |
| As atualizações do sistema devem ser instaladas em suas máquinas | A falta de atualizações do sistema de segurança em seus servidores será monitorada pela Central de Segurança do Azure como recomendações | AuditIfNotExists, desabilitado | 4.0.0 |
| As vulnerabilidades da configuração de segurança nas máquinas devem ser corrigidas | Os servidores que não atenderem à linha de base configurada serão monitorados pela Central de Segurança do Azure como recomendações | AuditIfNotExists, desabilitado | 3.1.0 |
Os aplicativos Web voltados ao público são protegidos contra ataques
ID: PCI DSS v4.0 6.4.3 Propriedade: Compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Verificar integridade de software, firmware e informações | CMA_0542 – Verificar integridade de software, firmware e informações | Manual, Desabilitado | 1.1.0 |
| Exibir e configurar dados de diagnóstico do sistema | CMA_0544 – Exibir e configurar dados de diagnóstico do sistema | Manual, Desabilitado | 1.1.0 |
As alterações em todos os componentes do sistema são gerenciadas com segurança
ID: PCI DSS v4.0 6.5.1 Propriedade: Compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Realizar uma análise de impacto de segurança | CMA_0057 - Realizar uma análise de impacto de segurança | Manual, Desabilitado | 1.1.0 |
| Desenvolver e manter um padrão de gerenciamento de vulnerabilidades | CMA_0152 - Desenvolver e manter um padrão de gerenciamento de vulnerabilidades | Manual, Desabilitado | 1.1.0 |
| Estabelecer uma estratégia de gerenciamento de riscos | CMA_0258 - Estabelecer uma estratégia de gerenciamento de riscos | Manual, Desabilitado | 1.1.0 |
| Estabelecer e documentar processos de controle de alterações | CMA_0265 – Estabelecer e documentar processos de controle de alterações | Manual, Desabilitado | 1.1.0 |
| Estabelecer requisitos de gerenciamento de configuração para desenvolvedores | CMA_0270 - Estabelecer requisitos de gerenciamento de configuração para desenvolvedores | Manual, Desabilitado | 1.1.0 |
| Executar uma avaliação de impacto de privacidade | CMA_0387 - Executar uma avaliação de impacto de privacidade | Manual, Desabilitado | 1.1.0 |
| Executar uma avaliação de risco | CMA_0388 - Executar uma avaliação de risco | Manual, Desabilitado | 1.1.0 |
| Executar auditoria para controle de alterações de configuração | CMA_0390 - Executar auditoria para controle de alterações de configuração | Manual, Desabilitado | 1.1.0 |
As alterações em todos os componentes do sistema são gerenciadas com segurança
ID: PCI DSS v4.0 6.5.2 Propriedade: Compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Exigir que os desenvolvedores gerenciem a integridade da alteração | CMA_C1595 - Exigir que os desenvolvedores gerenciem a integridade da alteração | Manual, Desabilitado | 1.1.0 |
As alterações em todos os componentes do sistema são gerenciadas com segurança
ID: PCI DSS v4.0 6.5.3 Propriedade: Compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Realizar uma análise de impacto de segurança | CMA_0057 - Realizar uma análise de impacto de segurança | Manual, Desabilitado | 1.1.0 |
| Estabelecer e documentar processos de controle de alterações | CMA_0265 – Estabelecer e documentar processos de controle de alterações | Manual, Desabilitado | 1.1.0 |
| Estabelecer requisitos de gerenciamento de configuração para desenvolvedores | CMA_0270 - Estabelecer requisitos de gerenciamento de configuração para desenvolvedores | Manual, Desabilitado | 1.1.0 |
| Limitar privilégios para fazer alterações no ambiente de produção | CMA_C1206 – Limitar privilégios para fazer alterações no ambiente de produção | Manual, Desabilitado | 1.1.0 |
| Executar uma avaliação de impacto de privacidade | CMA_0387 - Executar uma avaliação de impacto de privacidade | Manual, Desabilitado | 1.1.0 |
| Executar auditoria para controle de alterações de configuração | CMA_0390 - Executar auditoria para controle de alterações de configuração | Manual, Desabilitado | 1.1.0 |
As alterações em todos os componentes do sistema são gerenciadas com segurança
ID: PCI DSS v4.0 6.5.4 Propriedade: Compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Realizar uma análise de impacto de segurança | CMA_0057 - Realizar uma análise de impacto de segurança | Manual, Desabilitado | 1.1.0 |
| Estabelecer e documentar processos de controle de alterações | CMA_0265 – Estabelecer e documentar processos de controle de alterações | Manual, Desabilitado | 1.1.0 |
| Estabelecer requisitos de gerenciamento de configuração para desenvolvedores | CMA_0270 - Estabelecer requisitos de gerenciamento de configuração para desenvolvedores | Manual, Desabilitado | 1.1.0 |
| Limitar privilégios para fazer alterações no ambiente de produção | CMA_C1206 – Limitar privilégios para fazer alterações no ambiente de produção | Manual, Desabilitado | 1.1.0 |
| Executar uma avaliação de impacto de privacidade | CMA_0387 - Executar uma avaliação de impacto de privacidade | Manual, Desabilitado | 1.1.0 |
| Executar auditoria para controle de alterações de configuração | CMA_0390 - Executar auditoria para controle de alterações de configuração | Manual, Desabilitado | 1.1.0 |
As alterações em todos os componentes do sistema são gerenciadas com segurança
ID: PCI DSS v4.0 6.5.5 Propriedade: Compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Incorporar práticas de segurança e privacidade de dados no processamento de pesquisa | CMA_0331 - Incorporar práticas de segurança e privacidade de dados no processamento de pesquisas | Manual, Desabilitado | 1.1.0 |
As alterações em todos os componentes do sistema são gerenciadas com segurança
ID: PCI DSS v4.0 6.5.6 Propriedade: Compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Realizar uma análise de impacto de segurança | CMA_0057 - Realizar uma análise de impacto de segurança | Manual, Desabilitado | 1.1.0 |
| Estabelecer e documentar processos de controle de alterações | CMA_0265 – Estabelecer e documentar processos de controle de alterações | Manual, Desabilitado | 1.1.0 |
| Estabelecer requisitos de gerenciamento de configuração para desenvolvedores | CMA_0270 - Estabelecer requisitos de gerenciamento de configuração para desenvolvedores | Manual, Desabilitado | 1.1.0 |
| Executar uma avaliação de impacto de privacidade | CMA_0387 - Executar uma avaliação de impacto de privacidade | Manual, Desabilitado | 1.1.0 |
| Executar auditoria para controle de alterações de configuração | CMA_0390 - Executar auditoria para controle de alterações de configuração | Manual, Desabilitado | 1.1.0 |
Requisito 7: Restringir o acesso aos componentes do sistema e aos dados do titular do cartão à divulgação restrita àqueles diretamente interessados na empresa
Os processos e os mecanismos usados para restringir o acesso aos componentes do sistema e aos dados do titular do cartão à divulgação restrita àqueles diretamente interessados na empresa foram definidos e compreendidos
ID: PCI DSS v4.0 7.1.1 Propriedade: Compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Desenvolver políticas e procedimentos de controle de acesso | CMA_0144 - Desenvolver políticas e procedimentos de controle de acesso | Manual, Desabilitado | 1.1.0 |
| Impor políticas de controle de acesso obrigatórias e opcionais | CMA_0246 – Impor políticas de controle de acesso obrigatórias e opcionais | Manual, Desabilitado | 1.1.0 |
| Controlar políticas e procedimentos | CMA_0292 - Controlar políticas e procedimentos | Manual, Desabilitado | 1.1.0 |
| Revisar políticas e procedimentos de controle de acesso | CMA_0457 - Revisar políticas e procedimentos de controle de acesso | Manual, Desabilitado | 1.1.0 |
Os processos e os mecanismos usados para restringir o acesso aos componentes do sistema e aos dados do titular do cartão à divulgação restrita àqueles diretamente interessados na empresa foram definidos e compreendidos
ID: PCI DSS v4.0 7.1.2 Propriedade: Compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Desenvolver políticas e procedimentos de controle de acesso | CMA_0144 - Desenvolver políticas e procedimentos de controle de acesso | Manual, Desabilitado | 1.1.0 |
| Impor políticas de controle de acesso obrigatórias e opcionais | CMA_0246 – Impor políticas de controle de acesso obrigatórias e opcionais | Manual, Desabilitado | 1.1.0 |
| Controlar políticas e procedimentos | CMA_0292 - Controlar políticas e procedimentos | Manual, Desabilitado | 1.1.0 |
O acesso a componentes e dados do sistema é definido e atribuído adequadamente
ID: PCI DSS v4.0 7.2.1 Propriedade: Compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Um máximo de três proprietários deve ser designado para sua assinatura | Recomenda-se designar até 3 proprietários de assinaturas para reduzir o potencial de violação por parte de um proprietário comprometido. | AuditIfNotExists, desabilitado | 3.0.0 |
| Autorizar o acesso às funções e informações de segurança | CMA_0022 – Autorizar o acesso às funções e informações de segurança | Manual, Desabilitado | 1.1.0 |
| Autorizar e gerenciar o acesso | CMA_0023 – Autorizar e gerenciar o acesso | Manual, Desabilitado | 1.1.0 |
| Criar um modelo de controle de acesso | CMA_0129 – Criar um modelo de controle de acesso | Manual, Desabilitado | 1.1.0 |
| Empregar acesso de privilégio mínimo | CMA_0212 – Empregar o acesso de privilégios mínimos | Manual, Desabilitado | 1.1.0 |
| Impor o acesso lógico | CMA_0245 – Impor o acesso lógico | Manual, Desabilitado | 1.1.0 |
| Impor políticas de controle de acesso obrigatórias e opcionais | CMA_0246 – Impor políticas de controle de acesso obrigatórias e opcionais | Manual, Desabilitado | 1.1.0 |
| Exigir aprovação para criação de conta | CMA_0431 – Exigir aprovação para criação de conta | Manual, Desabilitado | 1.1.0 |
| Examinar grupos de usuários e aplicativos com acesso a dados confidenciais | CMA_0481 – Examinar grupos de usuários e aplicativos com acesso a dados confidenciais | Manual, Desabilitado | 1.1.0 |
| Deve haver mais de um proprietário atribuído à sua assinatura | Recomenda-se designar mais de um proprietário de assinatura para ter redundância de acesso de administrador. | AuditIfNotExists, desabilitado | 3.0.0 |
O acesso a componentes e dados do sistema é definido e atribuído adequadamente
ID: PCI DSS v4.0 7.2.2 Propriedade: Compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Um máximo de três proprietários deve ser designado para sua assinatura | Recomenda-se designar até 3 proprietários de assinaturas para reduzir o potencial de violação por parte de um proprietário comprometido. | AuditIfNotExists, desabilitado | 3.0.0 |
| Autorizar o acesso às funções e informações de segurança | CMA_0022 – Autorizar o acesso às funções e informações de segurança | Manual, Desabilitado | 1.1.0 |
| Autorizar e gerenciar o acesso | CMA_0023 – Autorizar e gerenciar o acesso | Manual, Desabilitado | 1.1.0 |
| Criar um modelo de controle de acesso | CMA_0129 – Criar um modelo de controle de acesso | Manual, Desabilitado | 1.1.0 |
| Empregar acesso de privilégio mínimo | CMA_0212 – Empregar o acesso de privilégios mínimos | Manual, Desabilitado | 1.1.0 |
| Impor políticas de controle de acesso obrigatórias e opcionais | CMA_0246 – Impor políticas de controle de acesso obrigatórias e opcionais | Manual, Desabilitado | 1.1.0 |
| Deve haver mais de um proprietário atribuído à sua assinatura | Recomenda-se designar mais de um proprietário de assinatura para ter redundância de acesso de administrador. | AuditIfNotExists, desabilitado | 3.0.0 |
O acesso a componentes e dados do sistema é definido e atribuído adequadamente
ID: PCI DSS v4.0 7.2.3 Propriedade: Compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Autorizar o acesso às funções e informações de segurança | CMA_0022 – Autorizar o acesso às funções e informações de segurança | Manual, Desabilitado | 1.1.0 |
| Autorizar e gerenciar o acesso | CMA_0023 – Autorizar e gerenciar o acesso | Manual, Desabilitado | 1.1.0 |
| Criar um modelo de controle de acesso | CMA_0129 – Criar um modelo de controle de acesso | Manual, Desabilitado | 1.1.0 |
| Empregar acesso de privilégio mínimo | CMA_0212 – Empregar o acesso de privilégios mínimos | Manual, Desabilitado | 1.1.0 |
| Impor o acesso lógico | CMA_0245 – Impor o acesso lógico | Manual, Desabilitado | 1.1.0 |
| Impor políticas de controle de acesso obrigatórias e opcionais | CMA_0246 – Impor políticas de controle de acesso obrigatórias e opcionais | Manual, Desabilitado | 1.1.0 |
| Exigir aprovação para criação de conta | CMA_0431 – Exigir aprovação para criação de conta | Manual, Desabilitado | 1.1.0 |
| Examinar grupos de usuários e aplicativos com acesso a dados confidenciais | CMA_0481 – Examinar grupos de usuários e aplicativos com acesso a dados confidenciais | Manual, Desabilitado | 1.1.0 |
O acesso a componentes e dados do sistema é definido e atribuído adequadamente
ID: PCI DSS v4.0 7.2.4 Propriedade: Compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Auditar o status da conta de usuário | CMA_0020 – Auditar o status da conta de usuário | Manual, Desabilitado | 1.1.0 |
| Examinar logs de provisionamento de conta | CMA_0460 – Examinar logs de provisionamento de conta | Manual, Desabilitado | 1.1.0 |
| Examinar contas de usuário | CMA_0480: – Examinar contas de usuário | Manual, Desabilitado | 1.1.0 |
| Examinar os privilégios do usuário | CMA_C1039 – Examinar os privilégios do usuário | Manual, Desabilitado | 1.1.0 |
O acesso a componentes e dados do sistema é definido e atribuído adequadamente
ID: PCI DSS v4.0 7.2.5 Propriedade: Compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Definir tipos de conta do sistema de informações | CMA_0121 – Definir tipos de contas do sistema de informação | Manual, Desabilitado | 1.1.0 |
O acesso a componentes e dados do sistema é definido e atribuído adequadamente
ID: PCI DSS v4.0 7.2.5.1 Propriedade: Compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Monitorar a atividade da conta | CMA_0377 – Monitorar atividade da conta | Manual, Desabilitado | 1.1.0 |
O acesso a componentes e dados do sistema é definido e atribuído adequadamente
ID: PCI DSS v4.0 7.2.6 Propriedade: Compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Autorizar o acesso às funções e informações de segurança | CMA_0022 – Autorizar o acesso às funções e informações de segurança | Manual, Desabilitado | 1.1.0 |
| Autorizar e gerenciar o acesso | CMA_0023 – Autorizar e gerenciar o acesso | Manual, Desabilitado | 1.1.0 |
| Criar um modelo de controle de acesso | CMA_0129 – Criar um modelo de controle de acesso | Manual, Desabilitado | 1.1.0 |
| Empregar acesso de privilégio mínimo | CMA_0212 – Empregar o acesso de privilégios mínimos | Manual, Desabilitado | 1.1.0 |
| Impor o acesso lógico | CMA_0245 – Impor o acesso lógico | Manual, Desabilitado | 1.1.0 |
| Impor políticas de controle de acesso obrigatórias e opcionais | CMA_0246 – Impor políticas de controle de acesso obrigatórias e opcionais | Manual, Desabilitado | 1.1.0 |
| Exigir aprovação para criação de conta | CMA_0431 – Exigir aprovação para criação de conta | Manual, Desabilitado | 1.1.0 |
| Examinar grupos de usuários e aplicativos com acesso a dados confidenciais | CMA_0481 – Examinar grupos de usuários e aplicativos com acesso a dados confidenciais | Manual, Desabilitado | 1.1.0 |
O acesso a componentes e dados do sistema é gerenciado por meio de sistemas de controle de acesso
ID: PCI DSS v4.0 7.3.1 Propriedade: Compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Contas com permissões de proprietário em recursos do Azure devem estar habilitadas para MFA | A autenticação Multifator do Microsoft Azure (MFA) deve ser ativada para todas as contas de assinatura com permissões de proprietário para evitar uma quebra de contas ou recursos. | AuditIfNotExists, desabilitado | 1.0.0 |
| Contas com permissões de gravação em recursos do Azure devem estar habilitadas para MFA | A autenticação Multifator do Microsoft Azure (MFA) deve estar habilitada para todas as contas de assinatura com privilégios de gravação para evitar uma quebra de contas ou recursos. | AuditIfNotExists, desabilitado | 1.0.0 |
| Um administrador do Azure Active Directory deve ser provisionado para servidores SQL | Audite o provisionamento de um administrador do Active Directory Domain Services do Azure para o seu servidor SQL para habilitar a autenticação do AD do Azure. A autenticação do Microsoft Azure Active Directory permite o gerenciamento simplificado de permissões e o gerenciamento centralizado de identidades dos usuários de banco de dados e de outros serviços da Microsoft | AuditIfNotExists, desabilitado | 1.0.0 |
| Auditoria o uso de funções personalizadas do RBAC | Auditar funções internas, como 'Proprietário, Contribuidor, Leitor', em vez de funções RBAC personalizadas, que são propensas a erros. O uso de funções personalizadas é tratado como uma exceção e requer uma revisão rigorosa e uma modelagem de ameaças | Audit, desabilitado | 1.0.1 |
| Autorizar o acesso às funções e informações de segurança | CMA_0022 – Autorizar o acesso às funções e informações de segurança | Manual, Desabilitado | 1.1.0 |
| Autorizar e gerenciar o acesso | CMA_0023 – Autorizar e gerenciar o acesso | Manual, Desabilitado | 1.1.0 |
| Automatizar o gerenciamento de contas | CMA_0026 – Automatizar o gerenciamento de contas | Manual, Desabilitado | 1.1.0 |
| Impor o acesso lógico | CMA_0245 – Impor o acesso lógico | Manual, Desabilitado | 1.1.0 |
| Impor políticas de controle de acesso obrigatórias e opcionais | CMA_0246 – Impor políticas de controle de acesso obrigatórias e opcionais | Manual, Desabilitado | 1.1.0 |
| As contas de convidado com permissões de proprietário em recursos do Azure devem ser removidas | Contas externas com permissões de proprietário devem ser removidas da sua assinatura para evitar o acesso não monitorado. | AuditIfNotExists, desabilitado | 1.0.0 |
| As contas de convidado com permissões de leitura em recursos do Azure devem ser removidas | Contas externas com privilégios de leitura devem ser removidas da sua assinatura para evitar o acesso não monitorado. | AuditIfNotExists, desabilitado | 1.0.0 |
| As contas de convidado com permissões de gravação em recursos do Azure devem ser removidas | Contas externas com privilégios de gravação devem ser removidas da sua assinatura para evitar o acesso não monitorado. | AuditIfNotExists, desabilitado | 1.0.0 |
| Gerenciar contas de administrador e sistema | CMA_0368 – Gerenciar contas de administrador e sistema | Manual, Desabilitado | 1.1.0 |
| Monitorar o acesso em toda a organização | CMA_0376 – Monitorar o acesso em toda a organização | Manual, Desabilitado | 1.1.0 |
| Notificar quando a conta não for necessária | CMA_0383 – Notificar quando a conta não for necessária | Manual, Desabilitado | 1.1.0 |
| Exigir aprovação para criação de conta | CMA_0431 – Exigir aprovação para criação de conta | Manual, Desabilitado | 1.1.0 |
| Examinar grupos de usuários e aplicativos com acesso a dados confidenciais | CMA_0481 – Examinar grupos de usuários e aplicativos com acesso a dados confidenciais | Manual, Desabilitado | 1.1.0 |
O acesso a componentes e dados do sistema é gerenciado por meio de sistemas de controle de acesso
ID: PCI DSS v4.0 7.3.2 Propriedade: Compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Autorizar o acesso às funções e informações de segurança | CMA_0022 – Autorizar o acesso às funções e informações de segurança | Manual, Desabilitado | 1.1.0 |
| Autorizar e gerenciar o acesso | CMA_0023 – Autorizar e gerenciar o acesso | Manual, Desabilitado | 1.1.0 |
| Automatizar o gerenciamento de contas | CMA_0026 – Automatizar o gerenciamento de contas | Manual, Desabilitado | 1.1.0 |
| Impor o acesso lógico | CMA_0245 – Impor o acesso lógico | Manual, Desabilitado | 1.1.0 |
| Impor políticas de controle de acesso obrigatórias e opcionais | CMA_0246 – Impor políticas de controle de acesso obrigatórias e opcionais | Manual, Desabilitado | 1.1.0 |
| Gerenciar contas de administrador e sistema | CMA_0368 – Gerenciar contas de administrador e sistema | Manual, Desabilitado | 1.1.0 |
| Monitorar o acesso em toda a organização | CMA_0376 – Monitorar o acesso em toda a organização | Manual, Desabilitado | 1.1.0 |
| Notificar quando a conta não for necessária | CMA_0383 – Notificar quando a conta não for necessária | Manual, Desabilitado | 1.1.0 |
| Exigir aprovação para criação de conta | CMA_0431 – Exigir aprovação para criação de conta | Manual, Desabilitado | 1.1.0 |
| Examinar grupos de usuários e aplicativos com acesso a dados confidenciais | CMA_0481 – Examinar grupos de usuários e aplicativos com acesso a dados confidenciais | Manual, Desabilitado | 1.1.0 |
O acesso a componentes e dados do sistema é gerenciado por meio de sistemas de controle de acesso
ID: PCI DSS v4.0 7.3.3 Propriedade: Compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Autorizar o acesso às funções e informações de segurança | CMA_0022 – Autorizar o acesso às funções e informações de segurança | Manual, Desabilitado | 1.1.0 |
| Autorizar e gerenciar o acesso | CMA_0023 – Autorizar e gerenciar o acesso | Manual, Desabilitado | 1.1.0 |
| Impor o acesso lógico | CMA_0245 – Impor o acesso lógico | Manual, Desabilitado | 1.1.0 |
| Impor políticas de controle de acesso obrigatórias e opcionais | CMA_0246 – Impor políticas de controle de acesso obrigatórias e opcionais | Manual, Desabilitado | 1.1.0 |
| Exigir aprovação para criação de conta | CMA_0431 – Exigir aprovação para criação de conta | Manual, Desabilitado | 1.1.0 |
| Examinar grupos de usuários e aplicativos com acesso a dados confidenciais | CMA_0481 – Examinar grupos de usuários e aplicativos com acesso a dados confidenciais | Manual, Desabilitado | 1.1.0 |
Requisito 8: Identificar os usuários e autenticar o acesso aos componentes do sistema
Os processos e os mecanismos usados para identificar os usuários e autenticar o acesso aos componentes do sistema foram definidos e compreendidos
ID: PCI DSS v4.0 8.1.1 Propriedade: Compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Revisar e atualizar políticas e procedimentos de identificação e autenticação | CMA_C1299 - Revisar e atualizar políticas e procedimentos de identificação e autenticação | Manual, Desabilitado | 1.1.0 |
A identificação do usuário e as contas relacionadas de usuários e administradores são gerenciados de maneira rigorosa em todo o ciclo de vida de uma conta
ID: PCI DSS v4.0 8.2.1 Propriedade: Compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Atribuir identificadores de sistema | CMA_0018 – Atribuir identificadores de sistema | Manual, Desabilitado | 1.1.0 |
| Impor exclusividade do usuário | CMA_0250 – Impor exclusividade do usuário | Manual, Desabilitado | 1.1.0 |
| Dar suporte a credenciais de verificação pessoal emitidas por autoridades legais | CMA_0507 – Dar suporte a credenciais de verificação pessoal emitidas por autoridades legais | Manual, Desabilitado | 1.1.0 |
A identificação do usuário e as contas relacionadas de usuários e administradores são gerenciados de maneira rigorosa em todo o ciclo de vida de uma conta
ID: PCI DSS v4.0 8.2.2 Propriedade: Compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Definir e impor condições para contas compartilhadas e de grupo | CMA_0117 – Definir e aplicar condições para contas compartilhadas e de grupo | Manual, Desabilitado | 1.1.0 |
| Reemitir autenticadores para contas e grupos alterados | CMA_0426 – Reemitir autenticadores para contas e grupos alterados | Manual, Desabilitado | 1.1.0 |
| Exigir o uso de autenticadores individuais | CMA_C1305 – Exigir o uso de autenticadores individuais | Manual, Desabilitado | 1.1.0 |
| Encerrar as credenciais da conta controlada pelo cliente | CMA_C1022 - Encerrar as credenciais da conta controlada pelo cliente | Manual, Desabilitado | 1.1.0 |
A identificação do usuário e as contas relacionadas de usuários e administradores são gerenciados de maneira rigorosa em todo o ciclo de vida de uma conta
ID: PCI DSS v4.0 8.2.3 Propriedade: Compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Adotar os mecanismos de autenticação biométrica | CMA_0005 – Adotar os mecanismos de autenticação biométrica | Manual, Desabilitado | 1.1.0 |
| Identificar e autenticar dispositivos de rede | CMA_0296 – Identificar e autenticar dispositivos de rede | Manual, Desabilitado | 1.1.0 |
| Atender aos requisitos de qualidade do token | CMA_0487 – Atender aos requisitos de qualidade do token | Manual, Desabilitado | 1.1.0 |
A identificação do usuário e as contas relacionadas de usuários e administradores são gerenciados de maneira rigorosa em todo o ciclo de vida de uma conta
ID: PCI DSS v4.0 8.2.4 Propriedade: Compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Atribuir identificadores de sistema | CMA_0018 – Atribuir identificadores de sistema | Manual, Desabilitado | 1.1.0 |
| As contas bloqueadas com permissões de proprietário em recursos do Azure devem ser removidas | Contas descontinuadas com permissões de proprietário devem ser removidas da sua assinatura. Contas descontinuadas são contas que foram impedidas de fazer login. | AuditIfNotExists, desabilitado | 1.0.0 |
| As contas bloqueadas com permissões de leitura e gravação em recursos do Azure devem ser removidas | Contas descontinuadas devem ser removidas de suas assinaturas. Contas descontinuadas são contas que foram impedidas de fazer login. | AuditIfNotExists, desabilitado | 1.0.0 |
| As contas de convidado com permissões de proprietário em recursos do Azure devem ser removidas | Contas externas com permissões de proprietário devem ser removidas da sua assinatura para evitar o acesso não monitorado. | AuditIfNotExists, desabilitado | 1.0.0 |
| As contas de convidado com permissões de leitura em recursos do Azure devem ser removidas | Contas externas com privilégios de leitura devem ser removidas da sua assinatura para evitar o acesso não monitorado. | AuditIfNotExists, desabilitado | 1.0.0 |
| As contas de convidado com permissões de gravação em recursos do Azure devem ser removidas | Contas externas com privilégios de gravação devem ser removidas da sua assinatura para evitar o acesso não monitorado. | AuditIfNotExists, desabilitado | 1.0.0 |
| Exigir aprovação para criação de conta | CMA_0431 – Exigir aprovação para criação de conta | Manual, Desabilitado | 1.1.0 |
A identificação do usuário e as contas relacionadas de usuários e administradores são gerenciados de maneira rigorosa em todo o ciclo de vida de uma conta
ID: PCI DSS v4.0 8.2.5 Propriedade: Compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| As contas bloqueadas com permissões de proprietário em recursos do Azure devem ser removidas | Contas descontinuadas com permissões de proprietário devem ser removidas da sua assinatura. Contas descontinuadas são contas que foram impedidas de fazer login. | AuditIfNotExists, desabilitado | 1.0.0 |
| As contas bloqueadas com permissões de leitura e gravação em recursos do Azure devem ser removidas | Contas descontinuadas devem ser removidas de suas assinaturas. Contas descontinuadas são contas que foram impedidas de fazer login. | AuditIfNotExists, desabilitado | 1.0.0 |
A identificação do usuário e as contas relacionadas de usuários e administradores são gerenciados de maneira rigorosa em todo o ciclo de vida de uma conta
ID: PCI DSS v4.0 8.2.6 Propriedade: Compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Desabilitar os autenticadores após o encerramento | CMA_0169 – Desabilitar os autenticadores após o encerramento | Manual, Desabilitado | 1.1.0 |
| Revogar funções com privilégios conforme a necessidade | CMA_0483 – Revogar funções com privilégios conforme a necessidade | Manual, Desabilitado | 1.1.0 |
A identificação do usuário e as contas relacionadas de usuários e administradores são gerenciados de maneira rigorosa em todo o ciclo de vida de uma conta
ID: PCI DSS v4.0 8.2.7 Propriedade: Compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| As contas bloqueadas com permissões de proprietário em recursos do Azure devem ser removidas | Contas descontinuadas com permissões de proprietário devem ser removidas da sua assinatura. Contas descontinuadas são contas que foram impedidas de fazer login. | AuditIfNotExists, desabilitado | 1.0.0 |
| As contas bloqueadas com permissões de leitura e gravação em recursos do Azure devem ser removidas | Contas descontinuadas devem ser removidas de suas assinaturas. Contas descontinuadas são contas que foram impedidas de fazer login. | AuditIfNotExists, desabilitado | 1.0.0 |
| As contas de convidado com permissões de proprietário em recursos do Azure devem ser removidas | Contas externas com permissões de proprietário devem ser removidas da sua assinatura para evitar o acesso não monitorado. | AuditIfNotExists, desabilitado | 1.0.0 |
| As contas de convidado com permissões de leitura em recursos do Azure devem ser removidas | Contas externas com privilégios de leitura devem ser removidas da sua assinatura para evitar o acesso não monitorado. | AuditIfNotExists, desabilitado | 1.0.0 |
| As contas de convidado com permissões de gravação em recursos do Azure devem ser removidas | Contas externas com privilégios de gravação devem ser removidas da sua assinatura para evitar o acesso não monitorado. | AuditIfNotExists, desabilitado | 1.0.0 |
| Identificar e autenticar usuários não organizacionais | CMA_C1346 – Identificar e autenticar usuários não organizacionais | Manual, Desabilitado | 1.1.0 |
A identificação do usuário e as contas relacionadas de usuários e administradores são gerenciados de maneira rigorosa em todo o ciclo de vida de uma conta
ID: PCI DSS v4.0 8.2.8 Propriedade: Compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Definir e impor a política de log de inatividade | CMA_C1017 - Definir e impor a política de log de inatividade | Manual, Desabilitado | 1.1.0 |
| Encerrar a sessão do usuário automaticamente | CMA_C1054 – Encerrar a sessão do usuário automaticamente | Manual, Desabilitado | 1.1.0 |
A autenticação forte para usuários e administradores é estabelecida e gerenciada
ID: PCI DSS v4.0 8.3.1 Propriedade: Compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Adotar os mecanismos de autenticação biométrica | CMA_0005 – Adotar os mecanismos de autenticação biométrica | Manual, Desabilitado | 1.1.0 |
| Estabelecer processos e tipos de autenticador | CMA_0267 – Estabelecer processos e tipos de autenticador | Manual, Desabilitado | 1.1.0 |
| Identificar e autenticar dispositivos de rede | CMA_0296 – Identificar e autenticar dispositivos de rede | Manual, Desabilitado | 1.1.0 |
| Atender aos requisitos de qualidade do token | CMA_0487 – Atender aos requisitos de qualidade do token | Manual, Desabilitado | 1.1.0 |
A autenticação forte para usuários e administradores é estabelecida e gerenciada
ID: PCI DSS v4.0 8.3.10 Propriedade: Compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Gerenciar tempo de vida e reutilização do autenticador | CMA_0355 – Gerenciar tempo de vida e reutilização do autenticador | Manual, Desabilitado | 1.1.0 |
| Atualizar autenticadores | CMA_0425 – Atualizar autenticadores | Manual, Desabilitado | 1.1.0 |
A autenticação forte para usuários e administradores é estabelecida e gerenciada
ID: PCI DSS v4.0 8.3.10.1 Propriedade: Compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Gerenciar tempo de vida e reutilização do autenticador | CMA_0355 – Gerenciar tempo de vida e reutilização do autenticador | Manual, Desabilitado | 1.1.0 |
| Atualizar autenticadores | CMA_0425 – Atualizar autenticadores | Manual, Desabilitado | 1.1.0 |
A autenticação forte para usuários e administradores é estabelecida e gerenciada
ID: PCI DSS v4.0 8.3.11 Propriedade: Compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Adotar os mecanismos de autenticação biométrica | CMA_0005 – Adotar os mecanismos de autenticação biométrica | Manual, Desabilitado | 1.1.0 |
| Distribuir autenticadores | CMA_0184 – Distribuir autenticadores | Manual, Desabilitado | 1.1.0 |
| Estabelecer processos e tipos de autenticador | CMA_0267 – Estabelecer processos e tipos de autenticador | Manual, Desabilitado | 1.1.0 |
| Identificar e autenticar dispositivos de rede | CMA_0296 – Identificar e autenticar dispositivos de rede | Manual, Desabilitado | 1.1.0 |
| Atender aos requisitos de qualidade do token | CMA_0487 – Atender aos requisitos de qualidade do token | Manual, Desabilitado | 1.1.0 |
| Verificar identidade antes de distribuir autenticadores | CMA_0538 – Verificar identidade antes de distribuir autenticadores | Manual, Desabilitado | 1.1.0 |
A autenticação forte para usuários e administradores é estabelecida e gerenciada
ID: PCI DSS v4.0 8.3.2 Propriedade: Compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Garantir que os usuários autorizados protejam os autenticadores fornecidos | CMA_C1339 – Garantir que os usuários autorizados protejam os autenticadores fornecidos | Manual, Desabilitado | 1.1.0 |
| Proteger senhas com criptografia | CMA_0408 – Proteger senhas com criptografia | Manual, Desabilitado | 1.1.0 |
A autenticação forte para usuários e administradores é estabelecida e gerenciada
ID: PCI DSS v4.0 8.3.4 Propriedade: Compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Impor um limite de tentativas consecutivas de login com falha | CMA_C1044 - Impor um limite de tentativas consecutivas de login com falha | Manual, Desabilitado | 1.1.0 |
A autenticação forte para usuários e administradores é estabelecida e gerenciada
ID: PCI DSS v4.0 8.3.5 Propriedade: Compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Estabelecer processos e tipos de autenticador | CMA_0267 – Estabelecer processos e tipos de autenticador | Manual, Desabilitado | 1.1.0 |
A autenticação forte para usuários e administradores é estabelecida e gerenciada
ID: PCI DSS v4.0 8.3.6 Propriedade: Compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Adicionar identidade gerenciada atribuída ao sistema para habilitar atribuições de Configuração de Convidado em máquinas virtuais sem identidades | Essa política adiciona uma identidade gerenciada atribuída ao sistema a máquinas virtuais hospedadas no Azure com suporte da Configuração de Convidado, mas que não têm identidades gerenciadas. Uma identidade gerenciada atribuída ao sistema é um pré-requisito para todas as atribuições de Configuração de Convidado e deve ser adicionada a computadores antes de usar definições de política da Configuração de Convidado. Para obter mais informações sobre a Configuração de Convidado, acesse https://aka.ms/gcpol. | modify | 4.1.0 |
| Adicionar uma identidade gerenciada atribuída ao sistema para habilitar atribuições de Configuração de Convidado em VMs com uma identidade atribuída ao usuário | Essa política adiciona uma identidade gerenciada atribuída ao sistema a máquinas virtuais hospedadas no Azure com suporte da Configuração de Convidado e tem pelo menos uma identidade atribuída ao usuário, mas não tem uma identidade gerenciada atribuída ao sistema. Uma identidade gerenciada atribuída ao sistema é um pré-requisito para todas as atribuições de Configuração de Convidado e deve ser adicionada a computadores antes de usar definições de política da Configuração de Convidado. Para obter mais informações sobre a Configuração de Convidado, acesse https://aka.ms/gcpol. | modify | 4.1.0 |
| Auditar computadores Windows que permitem o reutilização das senhas após o número especificado de senhas exclusivas | Requer que os pré-requisitos sejam implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. Os computadores não estarão em conformidade se os computadores Windows permitem a reutilização das senhas após o número especificado de senhas exclusivas. O valor padrão para senhas exclusivas é 24 | AuditIfNotExists, desabilitado | 2.1.0 |
| Auditar computadores Windows que não têm a idade máxima da senha definida como o número especificado de dias | Requer que os pré-requisitos sejam implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. Os computadores não estarão em conformidade se os computadores Windows não tiverem a idade máxima da senha definida como o número especificado de dias. O valor padrão para a idade máxima da senha é de 70 dias | AuditIfNotExists, desabilitado | 2.1.0 |
| Auditar os computadores Windows que não restringem o tamanho mínimo da senha a um número especificado de caracteres | Requer que os pré-requisitos sejam implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. Os computadores não estarão em conformidade se forem computadores Windows que não restringem o tamanho mínimo da senha a um número especificado de caracteres. O valor padrão no comprimento mínimo da senha é de 14 caracteres | AuditIfNotExists, desabilitado | 2.1.0 |
| Implantar a extensão de Configuração de Convidado do Windows para habilitar atribuições de Configuração de Convidado em VMs do Windows | Essa política implanta a extensão de Configuração de Convidado do Windows em máquinas virtuais do Windows hospedadas no Azure com suporte da Configuração de Convidado. A extensão de Configuração de Convidado do Windows é um pré-requisito para todas as atribuições da Configuração de Convidado do Windows e precisa ser implantada em computadores antes de usar qualquer definição de política de Configuração de Convidado do Windows. Para obter mais informações sobre a Configuração de Convidado, acesse https://aka.ms/gcpol. | deployIfNotExists | 1.2.0 |
| Documentar requisitos de força de segurança em contratos de aquisição | CMA_0203 - Documentar requisitos de força de segurança em contratos de aquisição | Manual, Desabilitado | 1.1.0 |
| Estabelecer uma política de senha | CMA_0256 - Estabelecer uma política de senha | Manual, Desabilitado | 1.1.0 |
| Implementar parâmetros para verificadores de segredo memorizados | CMA_0321 - Implementar parâmetros para verificadores de segredos memorizados | Manual, Desabilitado | 1.1.0 |
A autenticação forte para usuários e administradores é estabelecida e gerenciada
ID: PCI DSS v4.0 8.3.8 Propriedade: Compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Implementar treinamento para proteção de autenticadores | CMA_0329 – Implementar treinamento para proteção de autenticadores | Manual, Desabilitado | 1.1.0 |
A autenticação forte para usuários e administradores é estabelecida e gerenciada
ID: PCI DSS v4.0 8.3.9 Propriedade: Compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Gerenciar tempo de vida e reutilização do autenticador | CMA_0355 – Gerenciar tempo de vida e reutilização do autenticador | Manual, Desabilitado | 1.1.0 |
| Atualizar autenticadores | CMA_0425 – Atualizar autenticadores | Manual, Desabilitado | 1.1.0 |
A MFA (autenticação multifator) é implementada para proteger o acesso ao CDE
ID: PCI DSS v4.0 8.4.1 Propriedade: Compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Contas com permissões de proprietário em recursos do Azure devem estar habilitadas para MFA | A autenticação Multifator do Microsoft Azure (MFA) deve ser ativada para todas as contas de assinatura com permissões de proprietário para evitar uma quebra de contas ou recursos. | AuditIfNotExists, desabilitado | 1.0.0 |
| Contas com permissões de gravação em recursos do Azure devem estar habilitadas para MFA | A autenticação Multifator do Microsoft Azure (MFA) deve estar habilitada para todas as contas de assinatura com privilégios de gravação para evitar uma quebra de contas ou recursos. | AuditIfNotExists, desabilitado | 1.0.0 |
| Adotar os mecanismos de autenticação biométrica | CMA_0005 – Adotar os mecanismos de autenticação biométrica | Manual, Desabilitado | 1.1.0 |
| Um administrador do Azure Active Directory deve ser provisionado para servidores SQL | Audite o provisionamento de um administrador do Active Directory Domain Services do Azure para o seu servidor SQL para habilitar a autenticação do AD do Azure. A autenticação do Microsoft Azure Active Directory permite o gerenciamento simplificado de permissões e o gerenciamento centralizado de identidades dos usuários de banco de dados e de outros serviços da Microsoft | AuditIfNotExists, desabilitado | 1.0.0 |
| Auditoria o uso de funções personalizadas do RBAC | Auditar funções internas, como 'Proprietário, Contribuidor, Leitor', em vez de funções RBAC personalizadas, que são propensas a erros. O uso de funções personalizadas é tratado como uma exceção e requer uma revisão rigorosa e uma modelagem de ameaças | Audit, desabilitado | 1.0.1 |
| As contas de convidado com permissões de proprietário em recursos do Azure devem ser removidas | Contas externas com permissões de proprietário devem ser removidas da sua assinatura para evitar o acesso não monitorado. | AuditIfNotExists, desabilitado | 1.0.0 |
| As contas de convidado com permissões de leitura em recursos do Azure devem ser removidas | Contas externas com privilégios de leitura devem ser removidas da sua assinatura para evitar o acesso não monitorado. | AuditIfNotExists, desabilitado | 1.0.0 |
| As contas de convidado com permissões de gravação em recursos do Azure devem ser removidas | Contas externas com privilégios de gravação devem ser removidas da sua assinatura para evitar o acesso não monitorado. | AuditIfNotExists, desabilitado | 1.0.0 |
A MFA (autenticação multifator) é implementada para proteger o acesso ao CDE
ID: PCI DSS v4.0 8.4.2 Propriedade: Compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Adotar os mecanismos de autenticação biométrica | CMA_0005 – Adotar os mecanismos de autenticação biométrica | Manual, Desabilitado | 1.1.0 |
| Autorizar o acesso remoto | CMA_0024 – Autorizar o acesso remoto | Manual, Desabilitado | 1.1.0 |
| Documentar o treinamento de mobilidade | CMA_0191 – Documentar o treinamento de mobilidade | Manual, Desabilitado | 1.1.0 |
| Documentar as diretrizes de acesso remoto | CMA_0196 – Documentar as diretrizes de acesso remoto | Manual, Desabilitado | 1.1.0 |
| Identificar e autenticar dispositivos de rede | CMA_0296 – Identificar e autenticar dispositivos de rede | Manual, Desabilitado | 1.1.0 |
| Implementar controles para proteger sites de trabalho alternativos | CMA_0315 – Implementar controles para proteger sites de trabalho alternativos | Manual, Desabilitado | 1.1.0 |
| Fornecer treinamento de privacidade | CMA_0415 – Fornecer treinamento de privacidade | Manual, Desabilitado | 1.1.0 |
| Atender aos requisitos de qualidade do token | CMA_0487 – Atender aos requisitos de qualidade do token | Manual, Desabilitado | 1.1.0 |
A MFA (autenticação multifator) é implementada para proteger o acesso ao CDE
ID: PCI DSS v4.0 8.4.3 Propriedade: Compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Adotar os mecanismos de autenticação biométrica | CMA_0005 – Adotar os mecanismos de autenticação biométrica | Manual, Desabilitado | 1.1.0 |
| Autorizar o acesso remoto | CMA_0024 – Autorizar o acesso remoto | Manual, Desabilitado | 1.1.0 |
| Documentar o treinamento de mobilidade | CMA_0191 – Documentar o treinamento de mobilidade | Manual, Desabilitado | 1.1.0 |
| Documentar as diretrizes de acesso remoto | CMA_0196 – Documentar as diretrizes de acesso remoto | Manual, Desabilitado | 1.1.0 |
| Identificar e autenticar dispositivos de rede | CMA_0296 – Identificar e autenticar dispositivos de rede | Manual, Desabilitado | 1.1.0 |
| Implementar controles para proteger sites de trabalho alternativos | CMA_0315 – Implementar controles para proteger sites de trabalho alternativos | Manual, Desabilitado | 1.1.0 |
| Fornecer treinamento de privacidade | CMA_0415 – Fornecer treinamento de privacidade | Manual, Desabilitado | 1.1.0 |
| Atender aos requisitos de qualidade do token | CMA_0487 – Atender aos requisitos de qualidade do token | Manual, Desabilitado | 1.1.0 |
Os sistemas de MFA (autenticação multifator) estão configurados para evitar o uso indevido
ID: PCI DSS v4.0 8.5.1 Propriedade: Compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Adotar os mecanismos de autenticação biométrica | CMA_0005 – Adotar os mecanismos de autenticação biométrica | Manual, Desabilitado | 1.1.0 |
| Autorizar o acesso remoto | CMA_0024 – Autorizar o acesso remoto | Manual, Desabilitado | 1.1.0 |
| Documentar o treinamento de mobilidade | CMA_0191 – Documentar o treinamento de mobilidade | Manual, Desabilitado | 1.1.0 |
| Documentar as diretrizes de acesso remoto | CMA_0196 – Documentar as diretrizes de acesso remoto | Manual, Desabilitado | 1.1.0 |
| Identificar e autenticar dispositivos de rede | CMA_0296 – Identificar e autenticar dispositivos de rede | Manual, Desabilitado | 1.1.0 |
| Implementar controles para proteger sites de trabalho alternativos | CMA_0315 – Implementar controles para proteger sites de trabalho alternativos | Manual, Desabilitado | 1.1.0 |
| Fornecer treinamento de privacidade | CMA_0415 – Fornecer treinamento de privacidade | Manual, Desabilitado | 1.1.0 |
| Atender aos requisitos de qualidade do token | CMA_0487 – Atender aos requisitos de qualidade do token | Manual, Desabilitado | 1.1.0 |
O uso de contas de aplicativo e de sistema e dos fatores de autenticação associados é gerenciado de maneira rigorosa
ID: PCI DSS v4.0 8.6.1 Propriedade: Compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Definir tipos de conta do sistema de informações | CMA_0121 – Definir tipos de contas do sistema de informação | Manual, Desabilitado | 1.1.0 |
| Exigir aprovação para criação de conta | CMA_0431 – Exigir aprovação para criação de conta | Manual, Desabilitado | 1.1.0 |
O uso de contas de aplicativo e de sistema e dos fatores de autenticação associados é gerenciado de maneira rigorosa
ID: PCI DSS v4.0 8.6.2 Propriedade: Compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Implementar treinamento para proteção de autenticadores | CMA_0329 – Implementar treinamento para proteção de autenticadores | Manual, Desabilitado | 1.1.0 |
O uso de contas de aplicativo e de sistema e dos fatores de autenticação associados é gerenciado de maneira rigorosa
ID: PCI DSS v4.0 8.6.3 Propriedade: Compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Documentar requisitos de força de segurança em contratos de aquisição | CMA_0203 - Documentar requisitos de força de segurança em contratos de aquisição | Manual, Desabilitado | 1.1.0 |
| Estabelecer uma política de senha | CMA_0256 - Estabelecer uma política de senha | Manual, Desabilitado | 1.1.0 |
| Implementar parâmetros para verificadores de segredo memorizados | CMA_0321 - Implementar parâmetros para verificadores de segredos memorizados | Manual, Desabilitado | 1.1.0 |
| Implementar treinamento para proteção de autenticadores | CMA_0329 – Implementar treinamento para proteção de autenticadores | Manual, Desabilitado | 1.1.0 |
| Gerenciar tempo de vida e reutilização do autenticador | CMA_0355 – Gerenciar tempo de vida e reutilização do autenticador | Manual, Desabilitado | 1.1.0 |
| Atualizar autenticadores | CMA_0425 – Atualizar autenticadores | Manual, Desabilitado | 1.1.0 |
Requisito 9: Restringir o acesso físico aos dados do titular do cartão
Os processos e os mecanismos usados para restringir o acesso físico aos dados do titular do cartão foram definidos e compreendidos
ID: PCI DSS v4.0 9.1.1 Propriedade: Compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Revisar e atualizar políticas e procedimentos de proteção de mídia | CMA_C1427 - Revisar e atualizar políticas e procedimentos de proteção de mídia | Manual, Desabilitado | 1.1.0 |
| Revisar e atualizar as políticas e procedimentos físicos e ambientais | CMA_C1446 - Revisar e atualizar políticas e procedimentos físicos e ambientais | Manual, Desabilitado | 1.1.0 |
Os controles de acesso físico gerenciam a entrada em instalações e sistemas que contêm os dados do titular do cartão
ID: PCI DSS v4.0 9.2.2 Propriedade: Compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controlar o acesso físico | CMA_0081 – Controlar o acesso físico | Manual, Desabilitado | 1.1.0 |
Os controles de acesso físico gerenciam a entrada em instalações e sistemas que contêm os dados do titular do cartão
ID: PCI DSS v4.0 9.2.3 Propriedade: Compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controlar o acesso físico | CMA_0081 – Controlar o acesso físico | Manual, Desabilitado | 1.1.0 |
| Implementar segurança física para escritórios, áreas de trabalho e áreas seguras | CMA_0323 - Implementar segurança física para escritórios, áreas de trabalho e áreas seguras | Manual, Desabilitado | 1.1.0 |
Os controles de acesso físico gerenciam a entrada em instalações e sistemas que contêm os dados do titular do cartão
ID: PCI DSS v4.0 9.2.4 Propriedade: Compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controlar o acesso físico | CMA_0081 – Controlar o acesso físico | Manual, Desabilitado | 1.1.0 |
| Implementar segurança física para escritórios, áreas de trabalho e áreas seguras | CMA_0323 - Implementar segurança física para escritórios, áreas de trabalho e áreas seguras | Manual, Desabilitado | 1.1.0 |
O acesso físico para funcionários e visitantes é autorizado e gerenciado
ID: PCI DSS v4.0 9.3.1 Propriedade: Compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controlar o acesso físico | CMA_0081 – Controlar o acesso físico | Manual, Desabilitado | 1.1.0 |
O acesso físico para funcionários e visitantes é autorizado e gerenciado
ID: PCI DSS v4.0 9.3.1.1 Propriedade: Compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controlar o acesso físico | CMA_0081 – Controlar o acesso físico | Manual, Desabilitado | 1.1.0 |
O acesso físico para funcionários e visitantes é autorizado e gerenciado
ID: PCI DSS v4.0 9.3.2 Propriedade: Compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controlar o acesso físico | CMA_0081 – Controlar o acesso físico | Manual, Desabilitado | 1.1.0 |
| Implementar segurança física para escritórios, áreas de trabalho e áreas seguras | CMA_0323 - Implementar segurança física para escritórios, áreas de trabalho e áreas seguras | Manual, Desabilitado | 1.1.0 |
O acesso físico para funcionários e visitantes é autorizado e gerenciado
ID: PCI DSS v4.0 9.3.3 Propriedade: Compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controlar o acesso físico | CMA_0081 – Controlar o acesso físico | Manual, Desabilitado | 1.1.0 |
| Implementar segurança física para escritórios, áreas de trabalho e áreas seguras | CMA_0323 - Implementar segurança física para escritórios, áreas de trabalho e áreas seguras | Manual, Desabilitado | 1.1.0 |
O acesso físico para funcionários e visitantes é autorizado e gerenciado
ID: PCI DSS v4.0 9.3.4 Propriedade: Compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controlar o acesso físico | CMA_0081 – Controlar o acesso físico | Manual, Desabilitado | 1.1.0 |
| Implementar segurança física para escritórios, áreas de trabalho e áreas seguras | CMA_0323 - Implementar segurança física para escritórios, áreas de trabalho e áreas seguras | Manual, Desabilitado | 1.1.0 |
As mídias com os dados do titular do cartão são armazenadas, acessadas, distribuídas e destruídas com segurança
ID: PCI DSS v4.0 9.4.1 Propriedade: Compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Implementar controles para proteger todas as mídias | CMA_0314 – Implementar controles para proteger todas as mídias | Manual, Desabilitado | 1.1.0 |
As mídias com os dados do titular do cartão são armazenadas, acessadas, distribuídas e destruídas com segurança
ID: PCI DSS v4.0 9.4.1.1 Propriedade: Compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Implementar controles para proteger todas as mídias | CMA_0314 – Implementar controles para proteger todas as mídias | Manual, Desabilitado | 1.1.0 |
As mídias com os dados do titular do cartão são armazenadas, acessadas, distribuídas e destruídas com segurança
ID: PCI DSS v4.0 9.4.2 Propriedade: Compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Implementar controles para proteger todas as mídias | CMA_0314 – Implementar controles para proteger todas as mídias | Manual, Desabilitado | 1.1.0 |
As mídias com os dados do titular do cartão são armazenadas, acessadas, distribuídas e destruídas com segurança
ID: PCI DSS v4.0 9.4.3 Propriedade: Compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Implementar controles para proteger todas as mídias | CMA_0314 – Implementar controles para proteger todas as mídias | Manual, Desabilitado | 1.1.0 |
| Gerenciar o transporte de ativos | CMA_0370 - Gerenciar o transporte de ativos | Manual, Desabilitado | 1.1.0 |
As mídias com os dados do titular do cartão são armazenadas, acessadas, distribuídas e destruídas com segurança
ID: PCI DSS v4.0 9.4.4 Propriedade: Compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Implementar controles para proteger todas as mídias | CMA_0314 – Implementar controles para proteger todas as mídias | Manual, Desabilitado | 1.1.0 |
| Gerenciar o transporte de ativos | CMA_0370 - Gerenciar o transporte de ativos | Manual, Desabilitado | 1.1.0 |
As mídias com os dados do titular do cartão são armazenadas, acessadas, distribuídas e destruídas com segurança
ID: PCI DSS v4.0 9.4.5.1 Propriedade: Compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Criar um estoque de dados | CMA_0096 – Criar um estoque de dados | Manual, Desabilitado | 1.1.0 |
| Manter registros de processamento de dados pessoais | CMA_0353 – Manter registros de processamento de dados pessoais | Manual, Desabilitado | 1.1.0 |
As mídias com os dados do titular do cartão são armazenadas, acessadas, distribuídas e destruídas com segurança
ID: PCI DSS v4.0 9.4.6 Propriedade: Compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Empregar um mecanismo de limpeza de mídia | CMA_0208 - Empregar um mecanismo de limpeza de mídia | Manual, Desabilitado | 1.1.0 |
| Implementar controles para proteger todas as mídias | CMA_0314 – Implementar controles para proteger todas as mídias | Manual, Desabilitado | 1.1.0 |
| Executar revisão de disposição | CMA_0391 - Executar revisão de disposição | Manual, Desabilitado | 1.1.0 |
| Verificar se os dados pessoais foram excluídos ao final do processamento | CMA_0540 - Verificar se os dados pessoais foram excluídos ao final do processamento | Manual, Desabilitado | 1.1.0 |
As mídias com os dados do titular do cartão são armazenadas, acessadas, distribuídas e destruídas com segurança
ID: PCI DSS v4.0 9.4.7 Propriedade: Compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Empregar um mecanismo de limpeza de mídia | CMA_0208 - Empregar um mecanismo de limpeza de mídia | Manual, Desabilitado | 1.1.0 |
| Implementar controles para proteger todas as mídias | CMA_0314 – Implementar controles para proteger todas as mídias | Manual, Desabilitado | 1.1.0 |
| Executar revisão de disposição | CMA_0391 - Executar revisão de disposição | Manual, Desabilitado | 1.1.0 |
| Verificar se os dados pessoais foram excluídos ao final do processamento | CMA_0540 - Verificar se os dados pessoais foram excluídos ao final do processamento | Manual, Desabilitado | 1.1.0 |
Os dispositivos de POI (ponto de interação) estão protegidos contra adulteração e substituição não autorizada
ID: PCI DSS v4.0 9.5.1 Propriedade: Compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controlar o acesso físico | CMA_0081 – Controlar o acesso físico | Manual, Desabilitado | 1.1.0 |
| Implementar segurança física para escritórios, áreas de trabalho e áreas seguras | CMA_0323 - Implementar segurança física para escritórios, áreas de trabalho e áreas seguras | Manual, Desabilitado | 1.1.0 |
| Gerenciar a entrada, a saída, o processamento e o armazenamento de dados | CMA_0369 – Gerenciar a entrada, a saída, o processamento e o armazenamento de dados | Manual, Desabilitado | 1.1.0 |
Os dispositivos de POI (ponto de interação) estão protegidos contra adulteração e substituição não autorizada
ID: PCI DSS v4.0 9.5.1.2 Propriedade: Compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controlar o acesso físico | CMA_0081 – Controlar o acesso físico | Manual, Desabilitado | 1.1.0 |
| Implementar segurança física para escritórios, áreas de trabalho e áreas seguras | CMA_0323 - Implementar segurança física para escritórios, áreas de trabalho e áreas seguras | Manual, Desabilitado | 1.1.0 |
| Gerenciar a entrada, a saída, o processamento e o armazenamento de dados | CMA_0369 – Gerenciar a entrada, a saída, o processamento e o armazenamento de dados | Manual, Desabilitado | 1.1.0 |
Os dispositivos de POI (ponto de interação) estão protegidos contra adulteração e substituição não autorizada
ID: PCI DSS v4.0 9.5.1.2.1 Propriedade: Compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controlar o acesso físico | CMA_0081 – Controlar o acesso físico | Manual, Desabilitado | 1.1.0 |
| Implementar segurança física para escritórios, áreas de trabalho e áreas seguras | CMA_0323 - Implementar segurança física para escritórios, áreas de trabalho e áreas seguras | Manual, Desabilitado | 1.1.0 |
| Gerenciar a entrada, a saída, o processamento e o armazenamento de dados | CMA_0369 – Gerenciar a entrada, a saída, o processamento e o armazenamento de dados | Manual, Desabilitado | 1.1.0 |
Os dispositivos de POI (ponto de interação) estão protegidos contra adulteração e substituição não autorizada
ID: PCI DSS v4.0 9.5.1.3 Propriedade: Compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Fornecer treinamento de segurança antes de fornecer acesso | CMA_0418 – Fornecer treinamento de segurança antes de fornecer acesso | Manual, Desabilitado | 1.1.0 |
Próximas etapas
Artigos adicionais sobre o Azure Policy:
- Visão geral da Conformidade Regulatória.
- Consulte a estrutura de definição da iniciativa.
- Veja outros exemplos em Amostras do Azure Policy.
- Revisar Compreendendo os efeitos da política.
- Saiba como corrigir recursos fora de conformidade.