Detalhes da iniciativa interna de conformidade regulatória SWIFT CSP-CSCF v2022

Artigo
05/01/2024

O artigo a seguir detalha como a definição de iniciativa interna de conformidade regulatória do Azure Policy é mapeada para domínios de conformidade e controles no SWIFT CSP-CSCF v2022. Para obter mais informações sobre esse padrão de conformidade, confira SWIFT CSP-CSCF v2022. Para entender a Propriedade, confira Definição de política do Azure Policy e Responsabilidade compartilhada na nuvem.

Os mapeamentos a seguir são para os controles SWIFT CSP-CSCF v2022. Muitos dos controles são implementados com uma definição de iniciativa do Azure Policy. Para examinar a definição da iniciativa completa, abra Política no portal do Azure e selecione a página Definições. Em seguida, localize e selecione a definição de iniciativa interna de conformidade regulatória SWIFT CSP-CSCF v2022.

Importante

Cada controle abaixo está associado com uma ou mais definições do Azure Policy. Essas políticas podem ajudar você a avaliar a conformidade com o controle. No entanto, geralmente não há uma correspondência um para um ou completa entre um controle e uma ou mais políticas. Dessa forma, Conformidade no Azure Policy refere-se somente às próprias definições de política e não garante que você esteja em conformidade total com todos os requisitos de um controle. Além disso, o padrão de conformidade inclui controles que não são abordados por nenhuma definição do Azure Policy no momento. Portanto, a conformidade no Azure Policy é somente uma exibição parcial do status de conformidade geral. As associações entre os domínios de conformidade, os controles e as definições do Azure Policy para este padrão de conformidade podem ser alteradas ao longo do tempo. Para exibir o histórico de alterações, confira o Histórico de Confirmações do GitHub.

1. Restringir o Acesso à Internet e Proteger Sistemas Críticos do Ambiente Geral da TI

Garanta a proteção da infraestrutura SWIFT local do usuário contra elementos potencialmente comprometidos do ambiente geral de TI e do ambiente externo.

ID: Propriedade do Swift CSCF v2022 1.1: compartilhado

Nome _{(Portal do Azure)}	Descrição	Efeito(s)	Versão _(GitHub)
[Versão prévia]: todo o tráfego da Internet deve ser roteado por meio do Firewall do Azure implantado	A Central de Segurança do Azure identificou que algumas de suas sub-redes não estão protegidas com um firewall de última geração. Proteja suas sub-redes de ameaças potenciais restringindo o acesso a elas com o Firewall do Azure ou um firewall de última geração compatível	AuditIfNotExists, desabilitado	3.0.0 – versão prévia
[Versão Prévia]: o agente de coleta de dados de tráfego de rede deve ser instalado nas máquinas virtuais Linux	A Central de Segurança usa o Microsoft Dependency Agent para coletar dados de tráfego de rede de suas máquinas virtuais do Azure para habilitar recursos avançados de proteção de rede, como visualização de tráfego no mapa de rede, recomendações de proteção de rede e ameaças de rede específicas.	AuditIfNotExists, desabilitado	1.0.2 – versão prévia
[Versão Prévia]: o agente de coleta de dados de tráfego de rede deve ser instalado nas máquinas virtuais Windows	A Central de Segurança usa o Microsoft Dependency Agent para coletar dados de tráfego de rede de suas máquinas virtuais do Azure para habilitar recursos avançados de proteção de rede, como visualização de tráfego no mapa de rede, recomendações de proteção de rede e ameaças de rede específicas.	AuditIfNotExists, desabilitado	1.0.2 – versão prévia
Os controles de aplicativos adaptáveis para definir aplicativos seguros devem estar habilitados nos computadores	Permita que os controles de aplicativos definam a lista de aplicativos considerados seguros em execução nos seus computadores e alertem você quando outros aplicativos forem executados. Isso ajuda a proteger seus computadores contra malware. Para simplificar o processo de configuração e manutenção de suas regras, a Central de Segurança usa o machine learning para analisar os aplicativos em execução em cada computador e sugerir a lista de aplicativos considerados seguros.	AuditIfNotExists, desabilitado	3.0.0
As recomendações da proteção de rede adaptável devem ser aplicadas nas máquinas virtuais para a Internet	A Central de Segurança do Azure analisa os padrões de tráfego das máquinas virtuais para a Internet e fornece recomendações de regra do Grupo de Segurança de Rede que reduzem a possível superfície de ataque	AuditIfNotExists, desabilitado	3.0.0
Todas as portas de rede devem ser restritas nos grupos de segurança de rede associados à sua máquina virtual	A Central de Segurança do Azure identificou algumas das regras de entrada de seus grupos de segurança de rede como permissivas demais. As regras de entrada não devem permitir o acesso por meio de intervalos "Qualquer" ou "Internet". Isso tem o potencial de tornar seus recursos alvos de invasores.	AuditIfNotExists, desabilitado	3.0.0
As regras da lista de permissões na política de controles de aplicativos adaptáveis devem ser atualizadas	Monitore as alterações no comportamento dos grupos de computadores configurados para auditoria pelos controles de aplicativos adaptáveis da Central de Segurança do Azure. A Central de Segurança usa o machine learning para analisar os processos em execução em seus computadores e sugerir uma lista de aplicativos considerados seguros. Eles são apresentados como aplicativos recomendados para permitir as políticas de controle de aplicativos adaptáveis.	AuditIfNotExists, desabilitado	3.0.0
Os aplicativos do Serviço de Aplicativo devem usar um ponto de extremidade de serviço de rede virtual	Use pontos de extremidade de serviço de rede virtual para restringir o acesso ao seu aplicativo de sub-redes selecionadas de uma rede virtual do Azure. Para saber mais sobre pontos de extremidade de serviço do Serviço de Aplicativo, acesse https://aka.ms/appservice-vnet-service-endpoint.	AuditIfNotExists, desabilitado	2.0.1
O Azure Key Vault deve ter o firewall habilitado	Habilite o firewall do cofre de chaves para que o cofre de chaves não seja acessível por padrão a nenhum IP público. Opcionalmente, você pode configurar intervalos de IP específicos para limitar o acesso a essas redes. Saiba mais em: https://docs.microsoft.com/azure/key-vault/general/network-security	Audit, Deny, desabilitado	3.2.1
Verificar a conformidade de privacidade e segurança antes de estabelecer conexões internas	CMA_0053 – Verificar a conformidade de privacidade e segurança antes de estabelecer conexões internas	Manual, Desabilitado	1.1.0
Garantir que os provedores externos atendam de forma consistente aos interesses dos clientes	CMA_C1592 – Garantir que os provedores externos atendam de forma consistente aos interesses dos clientes	Manual, Desabilitado	1.1.0
Implementar a proteção de limites do sistema	CMA_0328 – Implementar a proteção de limites do sistema	Manual, Desabilitado	1.1.0
As máquinas virtuais para a Internet devem ser protegidas com grupos de segurança de rede	Proteja suas máquinas virtuais contra possíveis ameaças, restringindo o acesso a elas com um NSG (grupo de segurança de rede). Saiba mais sobre como controlar o tráfego com NSGs em https://aka.ms/nsg-doc	AuditIfNotExists, desabilitado	3.0.0
O encaminhamento IP na máquina virtual deve ser desabilitado	A habilitação do encaminhamento de IP na NIC de uma máquina virtual permite que o computador receba o tráfego endereçado a outros destinos. O encaminhamento de IP raramente é necessário (por exemplo, ao usar a VM como uma solução de virtualização de rede) e, portanto, isso deve ser examinado pela equipe de segurança de rede.	AuditIfNotExists, desabilitado	3.0.0
O Key Vault deve usar um ponto de extremidade de serviço de rede virtual	Essa política audita os Key Vaults que não estão configurados para usar um ponto de extremidade de serviço de rede virtual.	Audit, desabilitado	1.0.0
O Observador de Rede deve ser habilitado	O Observador de Rede é um serviço regional que permite monitorar e diagnosticar as condições em um nível do cenário da rede em, para e a partir do Azure. O monitoramento de nível do cenário permite diagnosticar problemas em um modo de exibição de nível de rede de ponta a ponta. É necessário ter um grupo de recursos do Observador de Rede a ser criado em todas as regiões em que uma rede virtual está presente. Um alerta será habilitado se um grupo de recursos do Observador de Rede não estiver disponível em uma região específica.	AuditIfNotExists, desabilitado	3.0.0
Revisar a conformidade com políticas e contratos do provedor de serviços de nuvem	CMA_0469 – Revisar a conformidade com políticas e contratos do provedor de serviços de nuvem	Manual, Desabilitado	1.1.0
As contas de armazenamento devem restringir o acesso da rede	O acesso da rede às contas de armazenamento deve ser restrito. Configure as regras de rede de tal forma que somente os aplicativos das redes permitidas possam acessar a conta de armazenamento. Para permitir conexões de clientes específicos locais ou da Internet, o acesso pode ser permitido para o tráfego de redes virtuais específicas do Azure ou para intervalos de endereços IP públicos da Internet	Audit, Deny, desabilitado	1.1.1
As Contas de Armazenamento devem usar um ponto de extremidade de serviço de rede virtual	Essa política audita as Contas de Armazenamento que não estão configuradas para usar um ponto de extremidade de serviço de rede virtual.	Audit, desabilitado	1.0.0
As sub-redes devem ser associadas a um Grupo de Segurança de Rede	Proteja sua sub-rede contra possíveis ameaças, restringindo o acesso a ela com um NSG (Grupo de Segurança de Rede). Os NSGs contêm uma lista de regras de ACL (lista de controle de acesso) que permitem ou negam o tráfego de rede para sua sub-rede.	AuditIfNotExists, desabilitado	3.0.0
Passar por revisão de segurança independente	CMA_0515 – Passar por revisão de segurança independente	Manual, Desabilitado	1.1.0
Os modelos do Construtor de Imagens de VM devem usar o link privado	O Link Privado do Azure permite que você conecte sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de Link Privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Ao mapear pontos de extremidade privados para seus recursos de criação do Construtor de Imagens de VM, os riscos de vazamento de dados são reduzidos. Saiba mais sobre links privados em: https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet.	Auditoria, desabilitado, negação	1.1.0

Restrinja e controle a alocação e o uso de contas do sistema operacional no nível do administrador.

ID: Propriedade do SWIFT CSCF v2022 1.2: compartilhado

Nome _{(Portal do Azure)}	Descrição	Efeito(s)	Versão _(GitHub)
Um máximo de três proprietários deve ser designado para sua assinatura	Recomenda-se designar até 3 proprietários de assinaturas para reduzir o potencial de violação por parte de um proprietário comprometido.	AuditIfNotExists, desabilitado	3.0.0
Auditar funções com privilégios	CMA_0019 – Auditar funções com privilégios	Manual, Desabilitado	1.1.0
As contas bloqueadas com permissões de proprietário em recursos do Azure devem ser removidas	Contas descontinuadas com permissões de proprietário devem ser removidas da sua assinatura. Contas descontinuadas são contas que foram impedidas de fazer login.	AuditIfNotExists, desabilitado	1.0.0
As contas bloqueadas com permissões de leitura e gravação em recursos do Azure devem ser removidas	Contas descontinuadas devem ser removidas de suas assinaturas. Contas descontinuadas são contas que foram impedidas de fazer login.	AuditIfNotExists, desabilitado	1.0.0
Definir e impor condições para contas compartilhadas e de grupo	CMA_0117 – Definir e aplicar condições para contas compartilhadas e de grupo	Manual, Desabilitado	1.1.0
Criar um modelo de controle de acesso	CMA_0129 – Criar um modelo de controle de acesso	Manual, Desabilitado	1.1.0
Desenvolver e estabelecer um plano de segurança do sistema	CMA_0151 – Desenvolver e estabelecer um plano de segurança do sistema	Manual, Desabilitado	1.1.0
Desenvolver procedimentos e políticas de segurança de informações	CMA_0158 - Desenvolver políticas e procedimentos de segurança de informações	Manual, Desabilitado	1.1.0
Empregar acesso de privilégio mínimo	CMA_0212 – Empregar o acesso de privilégios mínimos	Manual, Desabilitado	1.1.0
Estabelecer um programa de privacidade	CMA_0257 – Estabelecer um programa de privacidade	Manual, Desabilitado	1.1.0
Estabelecer requisitos de segurança para a fabricação de dispositivos conectados	CMA_0279 – Estabelecer requisitos de segurança para a fabricação de dispositivos conectados	Manual, Desabilitado	1.1.0
As contas de convidado com permissões de proprietário em recursos do Azure devem ser removidas	Contas externas com permissões de proprietário devem ser removidas da sua assinatura para evitar o acesso não monitorado.	AuditIfNotExists, desabilitado	1.0.0
As contas de convidado com permissões de leitura em recursos do Azure devem ser removidas	Contas externas com privilégios de leitura devem ser removidas da sua assinatura para evitar o acesso não monitorado.	AuditIfNotExists, desabilitado	1.0.0
As contas de convidado com permissões de gravação em recursos do Azure devem ser removidas	Contas externas com privilégios de gravação devem ser removidas da sua assinatura para evitar o acesso não monitorado.	AuditIfNotExists, desabilitado	1.0.0
Implementar princípios de engenharia de segurança para os sistemas de informações	CMA_0325 – Implementar princípios de engenharia de segurança de sistemas de informações	Manual, Desabilitado	1.1.0
As portas de gerenciamento de máquinas virtuais devem ser protegidas com o controle de acesso à rede just-in-time	O possível acesso JIT (Just In Time) da rede será monitorado pela Central de Segurança do Azure como recomendação	AuditIfNotExists, desabilitado	3.0.0
Monitorar a atividade da conta	CMA_0377 – Monitorar atividade da conta	Manual, Desabilitado	1.1.0
Monitorar atribuição de função com privilégios	CMA_0378 – Monitorar atribuição de função com privilégios	Manual, Desabilitado	1.1.0
Restringir o acesso a contas privilegiadas	CMA_0446 – Restringir o acesso a contas privilegiadas	Manual, Desabilitado	1.1.0
Revogar funções com privilégios conforme a necessidade	CMA_0483 – Revogar funções com privilégios conforme a necessidade	Manual, Desabilitado	1.1.0
Deve haver mais de um proprietário atribuído à sua assinatura	Recomenda-se designar mais de um proprietário de assinatura para ter redundância de acesso de administrador.	AuditIfNotExists, desabilitado	3.0.0
Usar o Privileged Identity Management	CMA_0533 – Usar o Privileged Identity Management	Manual, Desabilitado	1.1.0

ID: Propriedade do SWIFT CSCF v2022 1.3: compartilhado

Nome _{(Portal do Azure)}	Descrição	Efeito(s)	Versão _(GitHub)
Auditar VMs que não usam discos gerenciados	Essa política audita VMs que não usam discos gerenciados	auditoria	1.0.0
Implementar a proteção de limites do sistema	CMA_0328 – Implementar a proteção de limites do sistema	Manual, Desabilitado	1.1.0

Controlar/proteger o acesso à Internet contra computadores operadores e sistemas dentro da zona segura.

ID: Propriedade do SWIFT CSCF v2022 1.4: compartilhado

Nome _{(Portal do Azure)}	Descrição	Efeito(s)	Versão _(GitHub)
[Versão prévia]: todo o tráfego da Internet deve ser roteado por meio do Firewall do Azure implantado	A Central de Segurança do Azure identificou que algumas de suas sub-redes não estão protegidas com um firewall de última geração. Proteja suas sub-redes de ameaças potenciais restringindo o acesso a elas com o Firewall do Azure ou um firewall de última geração compatível	AuditIfNotExists, desabilitado	3.0.0 – versão prévia
Autorizar o acesso remoto	CMA_0024 – Autorizar o acesso remoto	Manual, Desabilitado	1.1.0
Definir o uso de criptografia	CMA_0120 – Definir o uso de criptografia	Manual, Desabilitado	1.1.0
Documentar e implementar diretrizes de acesso sem fio	CMA_0190 – Documentar e implementar diretrizes de acesso sem fio	Manual, Desabilitado	1.1.0
Documentar o treinamento de mobilidade	CMA_0191 – Documentar o treinamento de mobilidade	Manual, Desabilitado	1.1.0
Documentar as diretrizes de acesso remoto	CMA_0196 – Documentar as diretrizes de acesso remoto	Manual, Desabilitado	1.1.0
Implementar controles para proteger sites de trabalho alternativos	CMA_0315 – Implementar controles para proteger sites de trabalho alternativos	Manual, Desabilitado	1.1.0
As máquinas virtuais para a Internet devem ser protegidas com grupos de segurança de rede	Proteja suas máquinas virtuais contra possíveis ameaças, restringindo o acesso a elas com um NSG (grupo de segurança de rede). Saiba mais sobre como controlar o tráfego com NSGs em https://aka.ms/nsg-doc	AuditIfNotExists, desabilitado	3.0.0
Máquinas virtuais não voltadas para a Internet devem ser protegidas com grupos de segurança de rede	Proteja suas máquinas virtuais não voltadas para a Internet contra possíveis ameaças, restringindo o acesso com um NSG (grupo de segurança de rede). Saiba mais sobre como controlar o tráfego com NSGs em https://aka.ms/nsg-doc	AuditIfNotExists, desabilitado	3.0.0
Proteger o acesso sem fio	CMA_0411 – Proteger acesso sem fio	Manual, Desabilitado	1.1.0
Fornecer treinamento de privacidade	CMA_0415 – Fornecer treinamento de privacidade	Manual, Desabilitado	1.1.0

Garanta a proteção da infraestrutura de conectividade do cliente contra o ambiente externo e elementos potencialmente comprometidos do ambiente de TI geral.

ID: Propriedade do SWIFT CSCF v2022 1.5A: compartilhado

Nome _{(Portal do Azure)}	Descrição	Efeito(s)	Versão _(GitHub)
[Versão prévia]: todo o tráfego da Internet deve ser roteado por meio do Firewall do Azure implantado	A Central de Segurança do Azure identificou que algumas de suas sub-redes não estão protegidas com um firewall de última geração. Proteja suas sub-redes de ameaças potenciais restringindo o acesso a elas com o Firewall do Azure ou um firewall de última geração compatível	AuditIfNotExists, desabilitado	3.0.0 – versão prévia
[Versão Prévia]: o agente de coleta de dados de tráfego de rede deve ser instalado nas máquinas virtuais Linux	A Central de Segurança usa o Microsoft Dependency Agent para coletar dados de tráfego de rede de suas máquinas virtuais do Azure para habilitar recursos avançados de proteção de rede, como visualização de tráfego no mapa de rede, recomendações de proteção de rede e ameaças de rede específicas.	AuditIfNotExists, desabilitado	1.0.2 – versão prévia
[Versão Prévia]: o agente de coleta de dados de tráfego de rede deve ser instalado nas máquinas virtuais Windows	A Central de Segurança usa o Microsoft Dependency Agent para coletar dados de tráfego de rede de suas máquinas virtuais do Azure para habilitar recursos avançados de proteção de rede, como visualização de tráfego no mapa de rede, recomendações de proteção de rede e ameaças de rede específicas.	AuditIfNotExists, desabilitado	1.0.2 – versão prévia
Os controles de aplicativos adaptáveis para definir aplicativos seguros devem estar habilitados nos computadores	Permita que os controles de aplicativos definam a lista de aplicativos considerados seguros em execução nos seus computadores e alertem você quando outros aplicativos forem executados. Isso ajuda a proteger seus computadores contra malware. Para simplificar o processo de configuração e manutenção de suas regras, a Central de Segurança usa o machine learning para analisar os aplicativos em execução em cada computador e sugerir a lista de aplicativos considerados seguros.	AuditIfNotExists, desabilitado	3.0.0
As recomendações da proteção de rede adaptável devem ser aplicadas nas máquinas virtuais para a Internet	A Central de Segurança do Azure analisa os padrões de tráfego das máquinas virtuais para a Internet e fornece recomendações de regra do Grupo de Segurança de Rede que reduzem a possível superfície de ataque	AuditIfNotExists, desabilitado	3.0.0
Todas as portas de rede devem ser restritas nos grupos de segurança de rede associados à sua máquina virtual	A Central de Segurança do Azure identificou algumas das regras de entrada de seus grupos de segurança de rede como permissivas demais. As regras de entrada não devem permitir o acesso por meio de intervalos "Qualquer" ou "Internet". Isso tem o potencial de tornar seus recursos alvos de invasores.	AuditIfNotExists, desabilitado	3.0.0
Os aplicativos do Serviço de Aplicativo devem usar um ponto de extremidade de serviço de rede virtual	Use pontos de extremidade de serviço de rede virtual para restringir o acesso ao seu aplicativo de sub-redes selecionadas de uma rede virtual do Azure. Para saber mais sobre pontos de extremidade de serviço do Serviço de Aplicativo, acesse https://aka.ms/appservice-vnet-service-endpoint.	AuditIfNotExists, desabilitado	2.0.1
A Proteção contra DDoS do Azure deve ser habilitada	A Proteção contra DDoS deve ser habilitada para todas as redes virtuais com uma sub-rede que seja parte de um gateway de aplicativo com um IP público.	AuditIfNotExists, desabilitado	3.0.1
O Azure Key Vault deve ter o firewall habilitado	Habilite o firewall do cofre de chaves para que o cofre de chaves não seja acessível por padrão a nenhum IP público. Opcionalmente, você pode configurar intervalos de IP específicos para limitar o acesso a essas redes. Saiba mais em: https://docs.microsoft.com/azure/key-vault/general/network-security	Audit, Deny, desabilitado	3.2.1
Controlar o fluxo de informações	CMA_0079 – Controlar o fluxo de informações	Manual, Desabilitado	1.1.0
Empregar proteção de limite para isolar sistemas da informação	CMA_C1639 – Empregar proteção de limite para isolar sistemas da informação	Manual, Desabilitado	1.1.0
Empregar mecanismos de controle de fluxo de informações criptografadas	CMA_0211 – Empregar mecanismos de controle de fluxo de informações criptografadas	Manual, Desabilitado	1.1.0
Empregar restrições nas interligações do sistema externo	CMA_C1155 – Empregar restrições nas interligações do sistema externo	Manual, Desabilitado	1.1.0
Estabelecer padrões de configuração de firewall e roteador	CMA_0272 – Estabelecer padrões de configuração de firewall e roteador	Manual, Desabilitado	1.1.0
Estabelecer a segmentação de rede para o ambiente de dados do titular do cartão	CMA_0273 – Estabelecer a segmentação de rede para o ambiente de dados do titular do cartão	Manual, Desabilitado	1.1.0
Identificar e gerenciar trocas de informações downstream	CMA_0298 – Identificar e gerenciar trocas de informações downstream	Manual, Desabilitado	1.1.0
Implementar a interface gerenciada para cada serviço externo	CMA_C1626 – Implementar a interface gerenciada para cada serviço externo	Manual, Desabilitado	1.1.0
Implementar a proteção de limites do sistema	CMA_0328 – Implementar a proteção de limites do sistema	Manual, Desabilitado	1.1.0
As máquinas virtuais para a Internet devem ser protegidas com grupos de segurança de rede	Proteja suas máquinas virtuais contra possíveis ameaças, restringindo o acesso a elas com um NSG (grupo de segurança de rede). Saiba mais sobre como controlar o tráfego com NSGs em https://aka.ms/nsg-doc	AuditIfNotExists, desabilitado	3.0.0
O encaminhamento IP na máquina virtual deve ser desabilitado	A habilitação do encaminhamento de IP na NIC de uma máquina virtual permite que o computador receba o tráfego endereçado a outros destinos. O encaminhamento de IP raramente é necessário (por exemplo, ao usar a VM como uma solução de virtualização de rede) e, portanto, isso deve ser examinado pela equipe de segurança de rede.	AuditIfNotExists, desabilitado	3.0.0
O Key Vault deve usar um ponto de extremidade de serviço de rede virtual	Essa política audita os Key Vaults que não estão configurados para usar um ponto de extremidade de serviço de rede virtual.	Audit, desabilitado	1.0.0
O Observador de Rede deve ser habilitado	O Observador de Rede é um serviço regional que permite monitorar e diagnosticar as condições em um nível do cenário da rede em, para e a partir do Azure. O monitoramento de nível do cenário permite diagnosticar problemas em um modo de exibição de nível de rede de ponta a ponta. É necessário ter um grupo de recursos do Observador de Rede a ser criado em todas as regiões em que uma rede virtual está presente. Um alerta será habilitado se um grupo de recursos do Observador de Rede não estiver disponível em uma região específica.	AuditIfNotExists, desabilitado	3.0.0
As contas de armazenamento devem restringir o acesso da rede	O acesso da rede às contas de armazenamento deve ser restrito. Configure as regras de rede de tal forma que somente os aplicativos das redes permitidas possam acessar a conta de armazenamento. Para permitir conexões de clientes específicos locais ou da Internet, o acesso pode ser permitido para o tráfego de redes virtuais específicas do Azure ou para intervalos de endereços IP públicos da Internet	Audit, Deny, desabilitado	1.1.1
As Contas de Armazenamento devem usar um ponto de extremidade de serviço de rede virtual	Essa política audita as Contas de Armazenamento que não estão configuradas para usar um ponto de extremidade de serviço de rede virtual.	Audit, desabilitado	1.0.0
As sub-redes devem ser associadas a um Grupo de Segurança de Rede	Proteja sua sub-rede contra possíveis ameaças, restringindo o acesso a ela com um NSG (Grupo de Segurança de Rede). Os NSGs contêm uma lista de regras de ACL (lista de controle de acesso) que permitem ou negam o tráfego de rede para sua sub-rede.	AuditIfNotExists, desabilitado	3.0.0
Os modelos do Construtor de Imagens de VM devem usar o link privado	O Link Privado do Azure permite que você conecte sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de Link Privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Ao mapear pontos de extremidade privados para seus recursos de criação do Construtor de Imagens de VM, os riscos de vazamento de dados são reduzidos. Saiba mais sobre links privados em: https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet.	Auditoria, desabilitado, negação	1.1.0

2. Reduzir a superfície de ataque e as vulnerabilidades

ID: Propriedade do SWIFT CSCF v2022 2.1: compartilhado

Minimize a ocorrência de vulnerabilidades técnicas conhecidas em computadores operadores e dentro da infraestrutura SWIFT local, garantindo o suporte do fornecedor, aplicando atualizações de software obrigatórias e aplicando atualizações de segurança em tempo hábil alinhadas ao risco avaliado.

ID: Propriedade do SWIFT CSCF v2022 2.2: compartilhado

Nome _{(Portal do Azure)}	Descrição	Efeito(s)	Versão _(GitHub)
Adicionar identidade gerenciada atribuída ao sistema para habilitar atribuições de Configuração de Convidado em máquinas virtuais sem identidades	Essa política adiciona uma identidade gerenciada atribuída ao sistema a máquinas virtuais hospedadas no Azure com suporte da Configuração de Convidado, mas que não têm identidades gerenciadas. Uma identidade gerenciada atribuída ao sistema é um pré-requisito para todas as atribuições de Configuração de Convidado e deve ser adicionada a computadores antes de usar definições de política da Configuração de Convidado. Para obter mais informações sobre a Configuração de Convidado, acesse https://aka.ms/gcpol.	modify	4.1.0
Adicionar uma identidade gerenciada atribuída ao sistema para habilitar atribuições de Configuração de Convidado em VMs com uma identidade atribuída ao usuário	Essa política adiciona uma identidade gerenciada atribuída ao sistema a máquinas virtuais hospedadas no Azure com suporte da Configuração de Convidado e tem pelo menos uma identidade atribuída ao usuário, mas não tem uma identidade gerenciada atribuída ao sistema. Uma identidade gerenciada atribuída ao sistema é um pré-requisito para todas as atribuições de Configuração de Convidado e deve ser adicionada a computadores antes de usar definições de política da Configuração de Convidado. Para obter mais informações sobre a Configuração de Convidado, acesse https://aka.ms/gcpol.	modify	4.1.0
Auditar as VMs do Windows com uma reinicialização pendente	Requer que os pré-requisitos sejam implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. Os computadores não estarão em conformidade se o computador tiver uma reinicialização pendente por qualquer um dos seguintes motivos: serviço baseado em componentes, Windows Update, renomeação de arquivo pendente, renomeação de computador pendente, reinicialização pendente do Configuration Manager. Cada detecção tem um caminho do Registro exclusivo.	auditIfNotExists	2.0.0
Correlacionar as informações da verificação de vulnerabilidade	CMA_C1558 – Correlacionar as informações da verificação de vulnerabilidade	Manual, Desabilitado	1.1.1
Implantar a extensão de Configuração de Convidado do Windows para habilitar atribuições de Configuração de Convidado em VMs do Windows	Essa política implanta a extensão de Configuração de Convidado do Windows em máquinas virtuais do Windows hospedadas no Azure com suporte da Configuração de Convidado. A extensão de Configuração de Convidado do Windows é um pré-requisito para todas as atribuições da Configuração de Convidado do Windows e precisa ser implantada em computadores antes de usar qualquer definição de política de Configuração de Convidado do Windows. Para obter mais informações sobre a Configuração de Convidado, acesse https://aka.ms/gcpol.	deployIfNotExists	1.2.0
Divulgar alertas de segurança para o pessoal	CMA_C1705 – Divulgar alertas de segurança para o pessoal	Manual, Desabilitado	1.1.0
Executar verificações de vulnerabilidade	CMA_0393 – Executar verificações de vulnerabilidade	Manual, Desabilitado	1.1.0
Corrigir falhas do sistema de informações	CMA_0427 – Corrigir falhas do sistema de informações	Manual, Desabilitado	1.1.0
As atualizações do sistema nos conjuntos de dimensionamento de máquinas virtuais devem ser instaladas	Faça uma auditoria para verificar se faltam atualizações de segurança do sistema e atualizações críticas que devem ser instaladas para garantir que os seus conjuntos de dimensionamento de máquinas virtuais Windows e Linux estejam seguros.	AuditIfNotExists, desabilitado	3.0.0
As atualizações do sistema devem ser instaladas em suas máquinas	A falta de atualizações do sistema de segurança em seus servidores será monitorada pela Central de Segurança do Azure como recomendações	AuditIfNotExists, desabilitado	4.0.0
Usar mecanismos automatizados de alertas de segurança	CMA_C1707 – Usar mecanismos automatizados de alertas de segurança	Manual, Desabilitado	1.1.0

ID: Propriedade do SWIFT CSCF v2022 2.3: compartilhado

Garanta a confidencialidade, a integridade e a autenticidade mútua dos fluxos de dados entre componentes de infraestrutura SWIFT locais ou remotos e os primeiros saltos de back-office aos qual eles se conectam.

ID: Propriedade do SWIFT CSCF v2022 2.4: compartilhado

Nome _{(Portal do Azure)}	Descrição	Efeito(s)	Versão _(GitHub)
Realizar backup da documentação do sistema de informação	CMA_C1289 - Realizar backup da documentação do sistema de informações	Manual, Desabilitado	1.1.0
Configurar as estações de trabalho para verificar certificados digitais	CMA_0073 – Configurar as estações de trabalho para verificar certificados digitais	Manual, Desabilitado	1.1.0
Estabelecer políticas e procedimentos de backup	CMA_0268 - Estabelecer políticas e procedimentos de backup	Manual, Desabilitado	1.1.0
Implementar controles para proteger todas as mídias	CMA_0314 – Implementar controles para proteger todas as mídias	Manual, Desabilitado	1.1.0
Notificar usuários sobre logon ou acesso do sistema	CMA_0382 – Notificar usuários sobre logon ou acesso do sistema	Manual, Desabilitado	1.1.0
Proteger dados em trânsito usando criptografia	CMA_0403 – Proteger dados em trânsito usando criptografia	Manual, Desabilitado	1.1.0
Proteger senhas com criptografia	CMA_0408 – Proteger senhas com criptografia	Manual, Desabilitado	1.1.0

Segurança do fluxo de dados de back-office

ID: Propriedade do SWIFT CSCF v2022 2.4A: cliente

Nome _{(Portal do Azure)}	Descrição	Efeito(s)	Versão _(GitHub)
A autenticação para computadores Linux deve exigir chaves SSH	Embora o SSH em si forneça uma conexão criptografada, usar senhas com SSH ainda deixa a VM vulnerável a ataques de força bruta. A opção mais segura para autenticação em uma máquina virtual Linux do Azure por SSH é com um par de chaves pública-privada, também conhecido como chaves SSH. Saiba mais: https://docs.microsoft.com/azure/virtual-machines/linux/create-ssh-keys-detailed.	AuditIfNotExists, desabilitado	3.2.0
As variáveis da conta de automação devem ser criptografadas	É importante habilitar a criptografia dos ativos variáveis da conta de Automação do Azure ao armazenar dados confidenciais	Audit, Deny, desabilitado	1.1.0
Os computadores Windows devem ser configurados para usar protocolos de comunicação seguros	Para proteger a privacidade das informações comunicadas pela Internet, os computadores devem usar a última versão do protocolo de criptografia padrão do setor, o protocolo TLS. O TLS protege as comunicações em uma rede criptografando uma conexão entre computadores.	AuditIfNotExists, desabilitado	4.1.1

ID: Propriedade do Swift CSCF v2022 2.5: compartilhado

Nome _{(Portal do Azure)}	Descrição	Efeito(s)	Versão _(GitHub)
Realizar backup da documentação do sistema de informação	CMA_C1289 - Realizar backup da documentação do sistema de informações	Manual, Desabilitado	1.1.0
Configurar as estações de trabalho para verificar certificados digitais	CMA_0073 – Configurar as estações de trabalho para verificar certificados digitais	Manual, Desabilitado	1.1.0
Estabelecer políticas e procedimentos de backup	CMA_0268 - Estabelecer políticas e procedimentos de backup	Manual, Desabilitado	1.1.0
Implementar controles para proteger todas as mídias	CMA_0314 – Implementar controles para proteger todas as mídias	Manual, Desabilitado	1.1.0
Gerenciar o transporte de ativos	CMA_0370 - Gerenciar o transporte de ativos	Manual, Desabilitado	1.1.0
Proteger dados em trânsito usando criptografia	CMA_0403 – Proteger dados em trânsito usando criptografia	Manual, Desabilitado	1.1.0
Proteger senhas com criptografia	CMA_0408 – Proteger senhas com criptografia	Manual, Desabilitado	1.1.0

Proteção de dados de transmissão externa

ID: Propriedade do SWIFT CSCF v2022 2.5A: cliente

Nome _{(Portal do Azure)}	Descrição	Efeito(s)	Versão _(GitHub)
Auditar máquinas virtuais sem a recuperação de desastre configurada	Audite máquinas virtuais sem a recuperação de desastre configurada. Para saber mais sobre recuperação de desastre, acesse https://aka.ms/asr-doc.	auditIfNotExists	1.0.0
Auditar VMs que não usam discos gerenciados	Essa política audita VMs que não usam discos gerenciados	auditoria	1.0.0
As variáveis da conta de automação devem ser criptografadas	É importante habilitar a criptografia dos ativos variáveis da conta de Automação do Azure ao armazenar dados confidenciais	Audit, Deny, desabilitado	1.1.0
O Backup do Azure deve ser habilitado para máquinas virtuais	Garanta a proteção de suas Máquinas Virtuais do Azure habilitando o Backup do Azure. O Backup do Azure é uma solução de proteção de dados segura e econômica para o Azure.	AuditIfNotExists, desabilitado	3.0.0
O armazenamento com redundância geográfica deve ser habilitado para Contas de Armazenamento	Usar a redundância geográfica para criar aplicativos altamente disponíveis	Audit, desabilitado	1.0.0
A transferência segura para contas de armazenamento deve ser habilitada	Exigência de auditoria de transferência segura em sua conta de armazenamento. A transferência segura é uma opção que força a sua conta de armazenamento a aceitar somente solicitações de conexões seguras (HTTPS). O uso de HTTPS garante a autenticação entre o servidor e o serviço e protege dados em trânsito de ataques de camada de rede, como ataques intermediários, interceptação e sequestro de sessão	Audit, Deny, desabilitado	2.0.0
As máquinas virtuais devem criptografar discos temporários, caches e fluxos de dados entre os recursos de Computação e Armazenamento	Por padrão, o SO e os discos de dados de uma máquina virtual são criptografados em repouso usando chaves gerenciadas pela plataforma. Os discos temporários, os caches de dados e os dados que fluem entre a computação e o armazenamento não são criptografados. Desconsidere essa recomendação se: 1. estiver usando a criptografia no host ou 2. a criptografia do lado do servidor no Managed Disks atender aos seus requisitos de segurança. Saiba mais em: Criptografia do servidor do Armazenamento em Disco do Azure: https://aka.ms/disksse,Diferentes ofertas de criptografia de disco: https://aka.ms/diskencryptioncomparison	AuditIfNotExists, desabilitado	2.0.3

ID: Propriedade SWIFT CSCF v2022 2.6: compartilhado

Identifique vulnerabilidades conhecidas no ambiente SWIFT local implementando um processo regular de verificação de vulnerabilidades e aja com base nos resultados.

ID: Propriedade SWIFT CSCF v2022 2.7: compartilhado

Nome _{(Portal do Azure)}	Descrição	Efeito(s)	Versão _(GitHub)
Uma solução de avaliação de vulnerabilidade deve ser habilitada nas máquinas virtuais	Audita as máquinas virtuais para detectar se elas estão executando uma solução de avaliação de vulnerabilidade compatível. Um componente principal de cada programa de segurança e risco cibernético é a identificação e a análise das vulnerabilidades. O tipo de preço padrão da Central de Segurança do Azure inclui a verificação de vulnerabilidade para as máquinas virtuais sem custo adicional. Além disso, a Central de Segurança pode implantar essa ferramenta automaticamente para você.	AuditIfNotExists, desabilitado	3.0.0
O Azure Defender para o Serviço de Aplicativo deve estar habilitado	O Azure Defender para o Serviço de Aplicativo utiliza a escala da nuvem e a visibilidade que o Azure tem como um provedor de nuvem para monitorar ataques comuns aos aplicativos Web.	AuditIfNotExists, desabilitado	1.0.3
O Azure Defender para Key Vault deve estar habilitado	O Azure Defender para Key Vault oferece uma camada adicional de proteção e inteligência de segurança ao detectar tentativas incomuns e potencialmente prejudiciais de acessar ou explorar as contas do Key Vault.	AuditIfNotExists, desabilitado	1.0.3
O Azure Defender para servidores deve estar habilitado	O Azure Defender para servidores fornece proteção contra ameaças em tempo real para cargas de trabalho do servidor e gera recomendações de proteção, bem como alertas sobre atividades suspeitas.	AuditIfNotExists, desabilitado	1.0.3
Correlacionar as informações da verificação de vulnerabilidade	CMA_C1558 – Correlacionar as informações da verificação de vulnerabilidade	Manual, Desabilitado	1.1.1
Implementar acesso privilegiado para executar atividades de verificação de vulnerabilidades	CMA_C1555 – Implementar acesso privilegiado para executar atividades de verificação de vulnerabilidades	Manual, Desabilitado	1.1.0
Incorporar a correção de falhas no gerenciamento de configuração	CMA_C1671 – Incorporar a correção de falhas no gerenciamento de configuração	Manual, Desabilitado	1.1.0
O Microsoft Defender para Armazenamento deve estar habilitado	O Microsoft Defender para Armazenamento detecta ameaças potenciais às suas contas de armazenamento. Ele ajuda a evitar os três principais impactos em seus dados e carga de trabalho: uploads de arquivos mal-intencionados, exfiltração de dados confidenciais e dados corrompidos. O novo plano do Defender para Armazenamento inclui Verificação de Malware e Detecção de Ameaças a Dados Confidenciais. Este plano também fornece uma estrutura de preços previsível (por conta de armazenamento) para controle da cobertura e dos custos.	AuditIfNotExists, desabilitado	1.0.0
Observar e relatar vulnerabilidades de segurança	CMA_0384 – Observar e relatar vulnerabilidades de segurança	Manual, Desabilitado	1.1.0
Executar uma análise de tendências de ameaças	CMA_0389 – Executar uma análise de tendências de ameaças	Manual, Desabilitado	1.1.0
Realizar modelagem de ameaças	CMA_0392 – Realizar modelagem de ameaças	Manual, Desabilitado	1.1.0
Executar verificações de vulnerabilidade	CMA_0393 – Executar verificações de vulnerabilidade	Manual, Desabilitado	1.1.0
Corrigir falhas do sistema de informações	CMA_0427 – Corrigir falhas do sistema de informações	Manual, Desabilitado	1.1.0
As vulnerabilidades nas configurações de segurança do contêiner devem ser corrigidas	Audite vulnerabilidades na configuração de segurança em computadores com o Docker instalado e exiba como recomendações na Central de Segurança do Azure.	AuditIfNotExists, desabilitado	3.0.0
As vulnerabilidades da configuração de segurança nas máquinas devem ser corrigidas	Os servidores que não atenderem à linha de base configurada serão monitorados pela Central de Segurança do Azure como recomendações	AuditIfNotExists, desabilitado	3.1.0
As vulnerabilidades da configuração de segurança nos conjuntos de dimensionamento de máquinas virtuais devem ser corrigidas	Faça a auditoria das vulnerabilidades do SO nos seus conjuntos de dimensionamento de máquinas virtuais para protegê-los contra ataques.	AuditIfNotExists, desabilitado	3.0.0

Garanta uma abordagem consistente e eficaz para o monitoramento de mensagens dos clientes.

ID: Propriedade SWIFT CSCF v2022 2.8.5: compartilhado

Nome _{(Portal do Azure)}	Descrição	Efeito(s)	Versão _(GitHub)
Avaliar o risco em relacionamentos de terceiros	CMA_0014 – Avaliar o risco em relacionamentos de terceiros	Manual, Desabilitado	1.1.0
Definir e documentar supervisão governamental	CMA_C1587 – Definir e documentar supervisão governamental	Manual, Desabilitado	1.1.0
Definir requisitos para o fornecimento de bens e serviços	CMA_0126 – Definir requisitos para o fornecimento de bens e serviços	Manual, Desabilitado	1.1.0
Determinar as obrigações do contrato de fornecedor	CMA_0140 – Determinar as obrigações do contrato de fornecedor	Manual, Desabilitado	1.1.0
Estabelecer políticas de gerenciamento de riscos da cadeia de suprimentos	CMA_0275 – Estabelecer políticas de gerenciamento de riscos da cadeia de suprimentos	Manual, Desabilitado	1.1.0
Exigir que provedores de serviços externos cumpram os requisitos de segurança	CMA_C1586 – Exigir que provedores de serviços externos cumpram os requisitos de segurança	Manual, Desabilitado	1.1.0
Revisar a conformidade com políticas e contratos do provedor de serviços de nuvem	CMA_0469 – Revisar a conformidade com políticas e contratos do provedor de serviços de nuvem	Manual, Desabilitado	1.1.0
Passar por revisão de segurança independente	CMA_0515 – Passar por revisão de segurança independente	Manual, Desabilitado	1.1.0

Garanta a proteção da infraestrutura SWIFT local contra riscos expostos pela terceirização de atividades críticas.

ID: Propriedade SWIFT CSCF v2022 2.8A: compartilhado

Nome _{(Portal do Azure)}	Descrição	Efeito(s)	Versão _(GitHub)
Determinar as obrigações do contrato de fornecedor	CMA_0140 – Determinar as obrigações do contrato de fornecedor	Manual, Desabilitado	1.1.0
Documentar critérios de aceitação do contrato de aquisição	CMA_0187 – Documentar critérios de aceitação do contrato de aquisição	Manual, Desabilitado	1.1.0
Documentar a proteção de dados pessoais em contratos de aquisição	CMA_0194 – Documentar a proteção de dados pessoais em contratos de aquisição	Manual, Desabilitado	1.1.0
Documentar a proteção de informações de segurança em contratos de aquisição	CMA_0195 – Documentar a proteção de informações de segurança em contratos de aquisição	Manual, Desabilitado	1.1.0
Documentar requisitos para o uso de dados compartilhados em contratos	CMA_0197 – Documentar requisitos para o uso de dados compartilhados em contratos	Manual, Desabilitado	1.1.0
Documentar requisitos de garantia de segurança em contratos de aquisição	CMA_0199 – Documentar requisitos de garantia de segurança em contratos de aquisição	Manual, Desabilitado	1.1.0
Documentar requisitos de documentação de segurança no contrato de aquisição	CMA_0200 – Documentar requisitos de documentação de segurança no contrato de aquisição	Manual, Desabilitado	1.1.0
Documentar requisitos funcionais de segurança nos contratos de aquisição	CMA_0201 – Documentar requisitos funcionais de segurança nos contratos de aquisição	Manual, Desabilitado	1.1.0
Documentar requisitos de força de segurança em contratos de aquisição	CMA_0203 - Documentar requisitos de força de segurança em contratos de aquisição	Manual, Desabilitado	1.1.0
Documentar o ambiente do sistema de informações em contratos de aquisição	CMA_0205 - Documentar o ambiente do sistema de informações em contratos de aquisição	Manual, Desabilitado	1.1.0
Documentar a proteção de dados de titulares em contratos terceirizados	CMA_0207 – Documentar a proteção dos dados de titulares em contratos terceirizados	Manual, Desabilitado	1.1.0

Garanta a atividade de transação de saída dentro dos limites esperados dos negócios normais.

ID: Propriedade SWIFT CSCF v2022 2.9: compartilhado

Nome _{(Portal do Azure)}	Descrição	Efeito(s)	Versão _(GitHub)
Autorizar, monitorar e controlar VoIP	CMA_0025 – Autorizar, monitorar e controlar VoIP	Manual, Desabilitado	1.1.0
Controlar o fluxo de informações	CMA_0079 – Controlar o fluxo de informações	Manual, Desabilitado	1.1.0
Empregar mecanismos de controle de fluxo de informações criptografadas	CMA_0211 – Empregar mecanismos de controle de fluxo de informações criptografadas	Manual, Desabilitado	1.1.0
Implementar a proteção de limites do sistema	CMA_0328 – Implementar a proteção de limites do sistema	Manual, Desabilitado	1.1.0
Gerenciar gateways	CMA_0363 – Gerenciar gateways	Manual, Desabilitado	1.1.0
Executar uma análise de tendências de ameaças	CMA_0389 – Executar uma análise de tendências de ameaças	Manual, Desabilitado	1.1.0
Rotear o tráfego por meio de pontos de acesso à rede gerenciada	CMA_0484 – Rotear o tráfego por meio de pontos de acesso à rede gerenciada	Manual, Desabilitado	1.1.0

Restrinja a atividade de transação a equivalentes comerciais validadas e aprovadas.

ID: Propriedade SWIFT CSCF v2022 2.11A: compartilhado

Nome _{(Portal do Azure)}	Descrição	Efeito(s)	Versão _(GitHub)
Autorizar o acesso às funções e informações de segurança	CMA_0022 – Autorizar o acesso às funções e informações de segurança	Manual, Desabilitado	1.1.0
Autorizar e gerenciar o acesso	CMA_0023 – Autorizar e gerenciar o acesso	Manual, Desabilitado	1.1.0
Criar um modelo de controle de acesso	CMA_0129 – Criar um modelo de controle de acesso	Manual, Desabilitado	1.1.0
Empregar acesso de privilégio mínimo	CMA_0212 – Empregar o acesso de privilégios mínimos	Manual, Desabilitado	1.1.0
Impor o acesso lógico	CMA_0245 – Impor o acesso lógico	Manual, Desabilitado	1.1.0
Impor políticas de controle de acesso obrigatórias e opcionais	CMA_0246 – Impor políticas de controle de acesso obrigatórias e opcionais	Manual, Desabilitado	1.1.0
Reatribuir ou remover privilégios de usuário conforme o necessário	CMA_C1040 – Reatribuir ou remover privilégios de usuário conforme o necessário	Manual, Desabilitado	1.1.0
Exigir aprovação para criação de conta	CMA_0431 – Exigir aprovação para criação de conta	Manual, Desabilitado	1.1.0
Examinar grupos de usuários e aplicativos com acesso a dados confidenciais	CMA_0481 – Examinar grupos de usuários e aplicativos com acesso a dados confidenciais	Manual, Desabilitado	1.1.0
Examinar os privilégios do usuário	CMA_C1039 – Examinar os privilégios do usuário	Manual, Desabilitado	1.1.0

3. Proteger fisicamente o ambiente

Impeça o acesso físico não autorizado a equipamentos, ambientes de trabalho, sites de hospedagem e armazenamento confidenciais.

ID: Propriedade SWIFT CSCF v2022 3.1: compartilhado

Nome _{(Portal do Azure)}	Descrição	Efeito(s)	Versão _(GitHub)
Auditar VMs que não usam discos gerenciados	Essa política audita VMs que não usam discos gerenciados	auditoria	1.0.0
Controlar o acesso físico	CMA_0081 – Controlar o acesso físico	Manual, Desabilitado	1.1.0
Definir um processo de gerenciamento de chave física	CMA_0115 – Definir um processo de gerenciamento de chave física	Manual, Desabilitado	1.1.0
Estabelecer e manter um inventário de ativos	CMA_0266 - Estabelecer e manter um inventário de ativos	Manual, Desabilitado	1.1.0
Implementar segurança física para escritórios, áreas de trabalho e áreas seguras	CMA_0323 - Implementar segurança física para escritórios, áreas de trabalho e áreas seguras	Manual, Desabilitado	1.1.0
Instalar um sistema de alarme	CMA_0338 - Instalar um sistema de alarme	Manual, Desabilitado	1.1.0
Gerenciar um sistema de câmera de vigilância seguro	CMA_0354 - Gerenciar um sistema de câmera de vigilância seguro	Manual, Desabilitado	1.1.0
Revisar e atualizar as políticas e procedimentos físicos e ambientais	CMA_C1446 - Revisar e atualizar políticas e procedimentos físicos e ambientais	Manual, Desabilitado	1.1.0

4. Impedir Comprometimento de Credenciais

Garanta que as senhas sejam suficientemente resistentes contra ataques comuns de senha implementando e impondo uma política de senha eficaz.

ID: Propriedade SWIFT CSCF v2022 4.1: compartilhado

ID: Propriedade SWIFT CSCF v2022 4.2: compartilhado

Nome _{(Portal do Azure)}	Descrição	Efeito(s)	Versão _(GitHub)
Contas com permissões de proprietário em recursos do Azure devem estar habilitadas para MFA	A autenticação Multifator do Microsoft Azure (MFA) deve ser ativada para todas as contas de assinatura com permissões de proprietário para evitar uma quebra de contas ou recursos.	AuditIfNotExists, desabilitado	1.0.0
Contas com permissões de leitura em recursos do Azure devem estar habilitadas para MFA	A autenticação Multifator do Microsoft Azure (MFA) deve ser ativada para todas as contas de assinatura com privilégios de leitura para evitar uma quebra de contas ou recursos.	AuditIfNotExists, desabilitado	1.0.0
Contas com permissões de gravação em recursos do Azure devem estar habilitadas para MFA	A autenticação Multifator do Microsoft Azure (MFA) deve estar habilitada para todas as contas de assinatura com privilégios de gravação para evitar uma quebra de contas ou recursos.	AuditIfNotExists, desabilitado	1.0.0
Adotar os mecanismos de autenticação biométrica	CMA_0005 – Adotar os mecanismos de autenticação biométrica	Manual, Desabilitado	1.1.0
Identificar e autenticar dispositivos de rede	CMA_0296 – Identificar e autenticar dispositivos de rede	Manual, Desabilitado	1.1.0

5. Gerenciar identidades e separar privilégios

Imponha os princípios de segurança de acesso de necessidade de conhecimento, privilégio mínimo e separação de funções para contas de operador.

ID: Propriedade SWIFT CSCF v2022 5.1: compartilhado

Nome _{(Portal do Azure)}	Descrição	Efeito(s)	Versão _(GitHub)
Um máximo de três proprietários deve ser designado para sua assinatura	Recomenda-se designar até 3 proprietários de assinaturas para reduzir o potencial de violação por parte de um proprietário comprometido.	AuditIfNotExists, desabilitado	3.0.0
Adicionar identidade gerenciada atribuída ao sistema para habilitar atribuições de Configuração de Convidado em máquinas virtuais sem identidades	Essa política adiciona uma identidade gerenciada atribuída ao sistema a máquinas virtuais hospedadas no Azure com suporte da Configuração de Convidado, mas que não têm identidades gerenciadas. Uma identidade gerenciada atribuída ao sistema é um pré-requisito para todas as atribuições de Configuração de Convidado e deve ser adicionada a computadores antes de usar definições de política da Configuração de Convidado. Para obter mais informações sobre a Configuração de Convidado, acesse https://aka.ms/gcpol.	modify	4.1.0
Adicionar uma identidade gerenciada atribuída ao sistema para habilitar atribuições de Configuração de Convidado em VMs com uma identidade atribuída ao usuário	Essa política adiciona uma identidade gerenciada atribuída ao sistema a máquinas virtuais hospedadas no Azure com suporte da Configuração de Convidado e tem pelo menos uma identidade atribuída ao usuário, mas não tem uma identidade gerenciada atribuída ao sistema. Uma identidade gerenciada atribuída ao sistema é um pré-requisito para todas as atribuições de Configuração de Convidado e deve ser adicionada a computadores antes de usar definições de política da Configuração de Convidado. Para obter mais informações sobre a Configuração de Convidado, acesse https://aka.ms/gcpol.	modify	4.1.0
Atribuir gerentes de conta	CMA_0015 – Atribuir gerentes de conta	Manual, Desabilitado	1.1.0
Auditar o status da conta de usuário	CMA_0020 – Auditar o status da conta de usuário	Manual, Desabilitado	1.1.0
Auditar os computadores Windows que contêm certificados que expiram dentro do número de dias especificado	Requer que os pré-requisitos sejam implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. Os computadores não estarão em conformidade se os certificados no repositório especificado tiverem uma data de validade fora do intervalo para o número de dias fornecido como parâmetro. A política também fornece a opção de verificar apenas certificados específicos ou excluir certificados específicos e se certificados expirados serão relatados.	auditIfNotExists	2.0.0
Automatizar o gerenciamento de contas	CMA_0026 – Automatizar o gerenciamento de contas	Manual, Desabilitado	1.1.0
As contas bloqueadas com permissões de proprietário em recursos do Azure devem ser removidas	Contas descontinuadas com permissões de proprietário devem ser removidas da sua assinatura. Contas descontinuadas são contas que foram impedidas de fazer login.	AuditIfNotExists, desabilitado	1.0.0
As contas bloqueadas com permissões de leitura e gravação em recursos do Azure devem ser removidas	Contas descontinuadas devem ser removidas de suas assinaturas. Contas descontinuadas são contas que foram impedidas de fazer login.	AuditIfNotExists, desabilitado	1.0.0
Definir autorizações de acesso para dar suporte à separação de tarefas	CMA_0116 – Definir autorizações de acesso para dar suporte à separação de tarefas	Manual, Desabilitado	1.1.0
Definir tipos de conta do sistema de informações	CMA_0121 – Definir tipos de contas do sistema de informação	Manual, Desabilitado	1.1.0
Implantar a extensão de Configuração de Convidado do Windows para habilitar atribuições de Configuração de Convidado em VMs do Windows	Essa política implanta a extensão de Configuração de Convidado do Windows em máquinas virtuais do Windows hospedadas no Azure com suporte da Configuração de Convidado. A extensão de Configuração de Convidado do Windows é um pré-requisito para todas as atribuições da Configuração de Convidado do Windows e precisa ser implantada em computadores antes de usar qualquer definição de política de Configuração de Convidado do Windows. Para obter mais informações sobre a Configuração de Convidado, acesse https://aka.ms/gcpol.	deployIfNotExists	1.2.0
Criar um modelo de controle de acesso	CMA_0129 – Criar um modelo de controle de acesso	Manual, Desabilitado	1.1.0
Desabilitar os autenticadores após o encerramento	CMA_0169 – Desabilitar os autenticadores após o encerramento	Manual, Desabilitado	1.1.0
Documentar privilégios de acesso	CMA_0186 – Documentar privilégios de acesso	Manual, Desabilitado	1.1.0
Documentar separação de tarefas	CMA_0204 – Documentar separação de tarefas	Manual, Desabilitado	1.1.0
Empregar acesso de privilégio mínimo	CMA_0212 – Empregar o acesso de privilégios mínimos	Manual, Desabilitado	1.1.0
Estabelecer condições para associação de função	CMA_0269 – Estabelecer condições para associação de função	Manual, Desabilitado	1.1.0
As contas de convidado com permissões de proprietário em recursos do Azure devem ser removidas	Contas externas com permissões de proprietário devem ser removidas da sua assinatura para evitar o acesso não monitorado.	AuditIfNotExists, desabilitado	1.0.0
As contas de convidado com permissões de leitura em recursos do Azure devem ser removidas	Contas externas com privilégios de leitura devem ser removidas da sua assinatura para evitar o acesso não monitorado.	AuditIfNotExists, desabilitado	1.0.0
As contas de convidado com permissões de gravação em recursos do Azure devem ser removidas	Contas externas com privilégios de gravação devem ser removidas da sua assinatura para evitar o acesso não monitorado.	AuditIfNotExists, desabilitado	1.0.0
Gerenciar contas de administrador e sistema	CMA_0368 – Gerenciar contas de administrador e sistema	Manual, Desabilitado	1.1.0
Monitorar o acesso em toda a organização	CMA_0376 – Monitorar o acesso em toda a organização	Manual, Desabilitado	1.1.0
Monitorar a atividade da conta	CMA_0377 – Monitorar atividade da conta	Manual, Desabilitado	1.1.0
Notificar quando a conta não for necessária	CMA_0383 – Notificar quando a conta não for necessária	Manual, Desabilitado	1.1.0
Proteger informações de auditoria	CMA_0401 – Proteger informações de auditoria	Manual, Desabilitado	1.1.0
Reatribuir ou remover privilégios de usuário conforme o necessário	CMA_C1040 – Reatribuir ou remover privilégios de usuário conforme o necessário	Manual, Desabilitado	1.1.0
Exigir aprovação para criação de conta	CMA_0431 – Exigir aprovação para criação de conta	Manual, Desabilitado	1.1.0
Restringir o acesso a contas privilegiadas	CMA_0446 – Restringir o acesso a contas privilegiadas	Manual, Desabilitado	1.1.0
Examinar logs de provisionamento de conta	CMA_0460 – Examinar logs de provisionamento de conta	Manual, Desabilitado	1.1.0
Examinar contas de usuário	CMA_0480: – Examinar contas de usuário	Manual, Desabilitado	1.1.0
Examinar os privilégios do usuário	CMA_C1039 – Examinar os privilégios do usuário	Manual, Desabilitado	1.1.0
Revogar funções com privilégios conforme a necessidade	CMA_0483 – Revogar funções com privilégios conforme a necessidade	Manual, Desabilitado	1.1.0
Separar tarefas de indivíduos	CMA_0492 – Separar tarefas de indivíduos	Manual, Desabilitado	1.1.0
Deve haver mais de um proprietário atribuído à sua assinatura	Recomenda-se designar mais de um proprietário de assinatura para ter redundância de acesso de administrador.	AuditIfNotExists, desabilitado	3.0.0

Garanta o gerenciamento, o acompanhamento e o uso adequados da autenticação de hardware ou tokens pessoais conectados e desconectados (quando os tokens são usados).

ID: Propriedade SWIFT CSCF v2022 5.2: compartilhado

Nome _{(Portal do Azure)}	Descrição	Efeito(s)	Versão _(GitHub)
Distribuir autenticadores	CMA_0184 – Distribuir autenticadores	Manual, Desabilitado	1.1.0
Estabelecer processos e tipos de autenticador	CMA_0267 – Estabelecer processos e tipos de autenticador	Manual, Desabilitado	1.1.0
Estabelecer procedimentos para a distribuição inicial do autenticador	CMA_0276 – Estabelecer procedimentos para distribuição inicial do autenticador	Manual, Desabilitado	1.1.0
As portas de gerenciamento de máquinas virtuais devem ser protegidas com o controle de acesso à rede just-in-time	O possível acesso JIT (Just In Time) da rede será monitorado pela Central de Segurança do Azure como recomendação	AuditIfNotExists, desabilitado	3.0.0
Verificar identidade antes de distribuir autenticadores	CMA_0538 – Verificar identidade antes de distribuir autenticadores	Manual, Desabilitado	1.1.0

Na medida em que permitido e praticável, garanta a confiabilidade dos funcionários que operam o ambiente SWIFT local executando a triagem regular da equipe.

ID: Propriedade SWIFT CSCF v2022 5.3A: compartilhado

Nome _{(Portal do Azure)}	Descrição	Efeito(s)	Versão _(GitHub)
Desmarcar o pessoal com acesso às informações confidenciais	CMA_0054 – Desmarcar o pessoal com acesso às informações classificadas	Manual, Desabilitado	1.1.0
Verificar se os contratos de acesso são assinados ou cancelados dentro do prazo	CMA_C1528 - Verificar se os contratos de acesso são assinados ou cancelados dentro do prazo	Manual, Desabilitado	1.1.0
Implementar triagem de pessoal	CMA_0322 – Implementar triagem de pessoal	Manual, Desabilitado	1.1.0
Proteger informações especiais	CMA_0409 – Proteger informações especiais	Manual, Desabilitado	1.1.0
Reexaminar indivíduos em uma frequência definida	CMA_C1512 – Reexaminar indivíduos em uma frequência definida	Manual, Desabilitado	1.1.0

Proteja fisicamente e logicamente o repositório de senhas registradas.

ID: Propriedade SWIFT CSCF v2022 5.4: compartilhado

Nome _{(Portal do Azure)}	Descrição	Efeito(s)	Versão _(GitHub)
Auditar os computadores Windows que não armazenam senhas usando a criptografia reversível	Requer que os pré-requisitos sejam implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. Os computadores não estarão em conformidade se forem computadores Windows que não armazenam senhas usando a criptografia reversível	AuditIfNotExists, desabilitado	2.0.0
Documentar requisitos de força de segurança em contratos de aquisição	CMA_0203 - Documentar requisitos de força de segurança em contratos de aquisição	Manual, Desabilitado	1.1.0
Estabelecer uma política de senha	CMA_0256 - Estabelecer uma política de senha	Manual, Desabilitado	1.1.0
Implementar parâmetros para verificadores de segredo memorizados	CMA_0321 - Implementar parâmetros para verificadores de segredos memorizados	Manual, Desabilitado	1.1.0
Os cofres de chaves devem ter a proteção contra exclusão habilitadas	A exclusão mal-intencionada de um cofre de chaves pode levar à perda permanente de dados. Você pode evitar a perda permanente de dados habilitando a proteção contra limpeza e a exclusão temporária. A proteção de limpeza protege você contra ataques de invasores impondo um período de retenção obrigatório para cofres de chaves de exclusão temporária. Ninguém dentro de sua organização nem a Microsoft poderá limpar os cofres de chaves durante o período de retenção de exclusão temporária. Lembre-se de que os cofres de chaves criados após 1º de setembro de 2019 têm a exclusão temporária habilitada por padrão.	Audit, Deny, desabilitado	2.1.0
Proteger senhas com criptografia	CMA_0408 – Proteger senhas com criptografia	Manual, Desabilitado	1.1.0

6. Detectar atividade anômala em sistemas ou registros de transações

Garanta que a infraestrutura SWIFT local esteja protegida contra malware e aja com base nos resultados.

ID: Propriedade SWIFT CSCF v2022 6.1: compartilhado

ID: Propriedade SWIFT CSCF v2022 6.2: compartilhado

Nome _{(Portal do Azure)}	Descrição	Efeito(s)	Versão _(GitHub)
Configurar as estações de trabalho para verificar certificados digitais	CMA_0073 – Configurar as estações de trabalho para verificar certificados digitais	Manual, Desabilitado	1.1.0
Empregar desligamento/reinicialização automática quando forem detectadas violações	CMA_C1715 – Empregar desligamento/reinicialização automática quando forem detectadas violações	Manual, Desabilitado	1.1.0
Proteger dados em trânsito usando criptografia	CMA_0403 – Proteger dados em trânsito usando criptografia	Manual, Desabilitado	1.1.0
Proteger senhas com criptografia	CMA_0408 – Proteger senhas com criptografia	Manual, Desabilitado	1.1.0
Verificar integridade de software, firmware e informações	CMA_0542 – Verificar integridade de software, firmware e informações	Manual, Desabilitado	1.1.0
Exibir e configurar dados de diagnóstico do sistema	CMA_0544 – Exibir e configurar dados de diagnóstico do sistema	Manual, Desabilitado	1.1.0

Garanta a integridade dos registros de banco de dados para a interface de mensagens SWIFT ou o conector do cliente e aja com base nos resultados.

ID: Propriedade SWIFT CSCF v2022 6.3: compartilhado

Nome _{(Portal do Azure)}	Descrição	Efeito(s)	Versão _(GitHub)
Verificar integridade de software, firmware e informações	CMA_0542 – Verificar integridade de software, firmware e informações	Manual, Desabilitado	1.1.0
Exibir e configurar dados de diagnóstico do sistema	CMA_0544 – Exibir e configurar dados de diagnóstico do sistema	Manual, Desabilitado	1.1.0

Registre eventos de segurança e detecte ações e operações anômalas dentro do ambiente SWIFT local.

ID: Propriedade SWIFT CSCF v2022 6.4: compartilhado

Nome _{(Portal do Azure)}	Descrição	Efeito(s)	Versão _(GitHub)
[Versão prévia]: a extensão do Log Analytics deve ser habilitada para as imagens das máquina virtuais listadas	Relata máquinas virtuais como sem conformidade se a imagem da máquina virtual não estiver na lista definida e a extensão não está instalada.	AuditIfNotExists, desabilitado	2.0.1 – versão prévia
[Versão Prévia]: o agente de coleta de dados de tráfego de rede deve ser instalado nas máquinas virtuais Linux	A Central de Segurança usa o Microsoft Dependency Agent para coletar dados de tráfego de rede de suas máquinas virtuais do Azure para habilitar recursos avançados de proteção de rede, como visualização de tráfego no mapa de rede, recomendações de proteção de rede e ameaças de rede específicas.	AuditIfNotExists, desabilitado	1.0.2 – versão prévia
[Versão Prévia]: o agente de coleta de dados de tráfego de rede deve ser instalado nas máquinas virtuais Windows	A Central de Segurança usa o Microsoft Dependency Agent para coletar dados de tráfego de rede de suas máquinas virtuais do Azure para habilitar recursos avançados de proteção de rede, como visualização de tráfego no mapa de rede, recomendações de proteção de rede e ameaças de rede específicas.	AuditIfNotExists, desabilitado	1.0.2 – versão prévia
O log de atividades deve ser retido por pelo menos um ano	Essa política auditará o log de atividades se a retenção não for definida para 365 dias ou para sempre (dias de retenção definidos como 0).	AuditIfNotExists, desabilitado	1.0.0
Adicionar identidade gerenciada atribuída ao sistema para habilitar atribuições de Configuração de Convidado em máquinas virtuais sem identidades	Essa política adiciona uma identidade gerenciada atribuída ao sistema a máquinas virtuais hospedadas no Azure com suporte da Configuração de Convidado, mas que não têm identidades gerenciadas. Uma identidade gerenciada atribuída ao sistema é um pré-requisito para todas as atribuições de Configuração de Convidado e deve ser adicionada a computadores antes de usar definições de política da Configuração de Convidado. Para obter mais informações sobre a Configuração de Convidado, acesse https://aka.ms/gcpol.	modify	4.1.0
Adicionar uma identidade gerenciada atribuída ao sistema para habilitar atribuições de Configuração de Convidado em VMs com uma identidade atribuída ao usuário	Essa política adiciona uma identidade gerenciada atribuída ao sistema a máquinas virtuais hospedadas no Azure com suporte da Configuração de Convidado e tem pelo menos uma identidade atribuída ao usuário, mas não tem uma identidade gerenciada atribuída ao sistema. Uma identidade gerenciada atribuída ao sistema é um pré-requisito para todas as atribuições de Configuração de Convidado e deve ser adicionada a computadores antes de usar definições de política da Configuração de Convidado. Para obter mais informações sobre a Configuração de Convidado, acesse https://aka.ms/gcpol.	modify	4.1.0
Todos os recursos de log de fluxo devem estar no estado habilitado	Uma auditoria para recursos do log de fluxo a fim de verificar se o status dele está habilitado. Habilite logs de fluxo permite registrar informações sobre o tráfego IP que flui. Ele pode ser usado para otimizar os fluxos de rede, monitorar a taxa de transferência, verificar a conformidade, detectar invasões e muito mais.	Audit, desabilitado	1.0.1
Os aplicativos do Serviço de Aplicativo devem ter logs de recursos habilitados	Auditar a habilitação de logs de recurso no aplicativo. Isso permite recriar trilhas de atividades para fins de investigação se ocorrer um incidente de segurança ou se sua rede estiver comprometida.	AuditIfNotExists, desabilitado	2.0.1
Auditar funções com privilégios	CMA_0019 – Auditar funções com privilégios	Manual, Desabilitado	1.1.0
Auditar o status da conta de usuário	CMA_0020 – Auditar o status da conta de usuário	Manual, Desabilitado	1.1.0
Auditar máquinas virtuais sem a recuperação de desastre configurada	Audite máquinas virtuais sem a recuperação de desastre configurada. Para saber mais sobre recuperação de desastre, acesse https://aka.ms/asr-doc.	auditIfNotExists	1.0.0
O provisionamento automático do agente do Log Analytics deve ser habilitado na sua assinatura	Para monitorar as vulnerabilidades e ameaças à segurança, a Central de Segurança do Azure coleta dados de suas máquinas virtuais do Azure. Os dados são coletados pelo agente do Log Analytics, anteriormente conhecido como MMA (Microsoft Monitoring Agent), que lê várias configurações e logs de eventos relacionados à segurança do computador e copia os dados para o seu workspace do Log Analytics para análise. É recomendável habilitar o provisionamento automático para implantar automaticamente o agente em todas as VMs do Azure com suporte e nas VMs que forem criadas.	AuditIfNotExists, desabilitado	1.0.1
O Backup do Azure deve ser habilitado para máquinas virtuais	Garanta a proteção de suas Máquinas Virtuais do Azure habilitando o Backup do Azure. O Backup do Azure é uma solução de proteção de dados segura e econômica para o Azure.	AuditIfNotExists, desabilitado	3.0.0
O Azure Defender para o Serviço de Aplicativo deve estar habilitado	O Azure Defender para o Serviço de Aplicativo utiliza a escala da nuvem e a visibilidade que o Azure tem como um provedor de nuvem para monitorar ataques comuns aos aplicativos Web.	AuditIfNotExists, desabilitado	1.0.3
O Azure Defender para Key Vault deve estar habilitado	O Azure Defender para Key Vault oferece uma camada adicional de proteção e inteligência de segurança ao detectar tentativas incomuns e potencialmente prejudiciais de acessar ou explorar as contas do Key Vault.	AuditIfNotExists, desabilitado	1.0.3
O Azure Defender para servidores deve estar habilitado	O Azure Defender para servidores fornece proteção contra ameaças em tempo real para cargas de trabalho do servidor e gera recomendações de proteção, bem como alertas sobre atividades suspeitas.	AuditIfNotExists, desabilitado	1.0.3
O perfil de log do Azure Monitor deve coletar logs para as categorias "gravar", "excluir" e "ação"	Essa política garante que um perfil de log colete logs para as categorias "gravar", "excluir" e "ação"	AuditIfNotExists, desabilitado	1.0.0
Os clusters de Logs do Azure Monitor devem ser criados com criptografia de infraestrutura habilitada (criptografia dupla)	Para garantir que a criptografia de dados segura esteja habilitada no nível de serviço e no nível de infraestrutura com dois algoritmos de criptografia diferentes e duas chaves diferentes, use um cluster dedicado do Azure Monitor. Essa opção é habilitada por padrão quando há suporte na região, confira https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys#customer-managed-key-overview.	auditar, Auditar, negar, Negar, desabilitado, Desabilitado	1.1.0
Os clusters de Logs do Azure Monitor devem ser criptografados com uma chave gerenciada pelo cliente	Crie o cluster de logs do Azure Monitor com criptografia de chaves gerenciadas pelo cliente. Por padrão, os dados do log são criptografados com chaves gerenciadas pelo serviço, mas as chaves gerenciadas pelo cliente normalmente são necessárias para atender à conformidade regulatória. A chave gerenciada pelo cliente no Azure Monitor oferece mais controle sobre o acesso aos dados, confira https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys.	auditar, Auditar, negar, Negar, desabilitado, Desabilitado	1.1.0
Os Logs do Azure Monitor para o Application Insights devem ser vinculados a um workspace do Log Analytics	Vincule o componente Application Insights a um workspace do Log Analytics para criptografia de logs. Normalmente, as chaves gerenciadas pelo cliente são necessárias para atender à conformidade regulatória e obter mais controle sobre o acesso aos dados no Azure Monitor. Vincular o componente a um workspace do Log Analytics habilitado com uma chave gerenciada pelo cliente garante que os logs do Application Insights atendam a esse requisito de conformidade, confira https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys.	auditar, Auditar, negar, Negar, desabilitado, Desabilitado	1.1.0
O Azure Monitor deve coletar os logs de atividades de todas as regiões	Essa política audita o perfil de log do Azure Monitor que não exporta atividades de todas as regiões com suporte do Azure, incluindo global.	AuditIfNotExists, desabilitado	2.0.0
A solução "Segurança e Auditoria" do Azure Monitor precisa ser implantada	Essa política garante que a Segurança e Auditoria seja implantada.	AuditIfNotExists, desabilitado	1.0.0
Correlacionar os registros de auditoria	CMA_0087 – Correlacionar registros de auditoria	Manual, Desabilitado	1.1.0
Implantar a extensão de Configuração de Convidado do Windows para habilitar atribuições de Configuração de Convidado em VMs do Windows	Essa política implanta a extensão de Configuração de Convidado do Windows em máquinas virtuais do Windows hospedadas no Azure com suporte da Configuração de Convidado. A extensão de Configuração de Convidado do Windows é um pré-requisito para todas as atribuições da Configuração de Convidado do Windows e precisa ser implantada em computadores antes de usar qualquer definição de política de Configuração de Convidado do Windows. Para obter mais informações sobre a Configuração de Convidado, acesse https://aka.ms/gcpol.	deployIfNotExists	1.2.0
Determinar eventos auditáveis	CMA_0137 – Determinar eventos auditáveis	Manual, Desabilitado	1.1.0
Estabelecer requisitos para revisão e relatórios de auditoria	CMA_0277 – Estabelecer requisitos para revisão e relatórios de auditoria	Manual, Desabilitado	1.1.0
Os logs de fluxo deverão ser configurados para cada grupo de segurança de rede	Uma auditoria de grupos de segurança de rede para verificar se os logs de fluxo foram configurados. Habilitar logs de fluxo permite registrar informações sobre o tráfego IP que flui por meio do grupo de segurança de rede. Ele pode ser usado para otimizar os fluxos de rede, monitorar a taxa de transferência, verificar a conformidade, detectar invasões e muito mais.	Audit, desabilitado	1.1.0
Integrar revisão de auditoria, análise e relatórios	CMA_0339 – Integrar revisão de auditoria, análise e relatórios	Manual, Desabilitado	1.1.0
Integrar a segurança do aplicativo em nuvem a um SIEM	CMA_0340 – Integrar a segurança do aplicativo em nuvem a um SIEM	Manual, Desabilitado	1.1.0
A extensão do Log Analytics deve ser habilitada em conjuntos de dimensionamento de máquinas virtuais para as imagens da máquina virtual listadas	Relata os conjuntos de dimensionamento de máquinas virtuais como sem conformidade quando a imagem da máquina virtual não está na lista definida e a extensão não está instalada.	AuditIfNotExists, desabilitado	2.0.1
O Microsoft Defender para Armazenamento deve estar habilitado	O Microsoft Defender para Armazenamento detecta ameaças potenciais às suas contas de armazenamento. Ele ajuda a evitar os três principais impactos em seus dados e carga de trabalho: uploads de arquivos mal-intencionados, exfiltração de dados confidenciais e dados corrompidos. O novo plano do Defender para Armazenamento inclui Verificação de Malware e Detecção de Ameaças a Dados Confidenciais. Este plano também fornece uma estrutura de preços previsível (por conta de armazenamento) para controle da cobertura e dos custos.	AuditIfNotExists, desabilitado	1.0.0
Os logs de fluxo do Observador de Rede devem ter a análise de tráfego habilitada	A análise de tráfego analisa os logs de fluxo para fornecer insights sobre o fluxo de tráfego em sua nuvem do Azure. Ela pode ser usada para visualizar a atividade de rede em suas assinaturas do Azure e identificar pontos de acesso, identificar ameaças à segurança, entender os padrões de fluxo de tráfego, identificar configurações de rede incorretas e muito mais.	Audit, desabilitado	1.0.1
Executar verificações de vulnerabilidade	CMA_0393 – Executar verificações de vulnerabilidade	Manual, Desabilitado	1.1.0
Fornecer alertas em tempo real para falhas de eventos de auditoria	CMA_C1114 - Fornecer alertas em tempo real para falhas de eventos de auditoria	Manual, Desabilitado	1.1.0
Corrigir falhas do sistema de informações	CMA_0427 – Corrigir falhas do sistema de informações	Manual, Desabilitado	1.1.0
Os logs de recurso em contas do Lote devem estar habilitados	Auditar a habilitação de logs de recurso. Permite recriar trilhas de atividades a serem usadas para fins de investigação; quando ocorrer um incidente de segurança ou quando sua rede estiver comprometida	AuditIfNotExists, desabilitado	5.0.0
Os logs de recurso no Key Vault devem estar habilitados	Auditar a habilitação de logs de recurso. Permite recriar trilhas de atividades a serem usadas para fins de investigação quando ocorrer um incidente de segurança ou quando sua rede estiver comprometida	AuditIfNotExists, desabilitado	5.0.0
Os logs de recurso nos Aplicativos Lógicos devem estar habilitados	Auditar a habilitação de logs de recurso. Permite recriar trilhas de atividades a serem usadas para fins de investigação; quando ocorrer um incidente de segurança ou quando sua rede estiver comprometida	AuditIfNotExists, desabilitado	5.1.0
Os logs de recurso nos serviços de pesquisa devem estar habilitados	Auditar a habilitação de logs de recurso. Permite recriar trilhas de atividades a serem usadas para fins de investigação; quando ocorrer um incidente de segurança ou quando sua rede estiver comprometida	AuditIfNotExists, desabilitado	5.0.0
Os logs de recurso no Barramento de Serviço devem estar habilitados	Auditar a habilitação de logs de recurso. Permite recriar trilhas de atividades a serem usadas para fins de investigação; quando ocorrer um incidente de segurança ou quando sua rede estiver comprometida	AuditIfNotExists, desabilitado	5.0.0
Examinar logs de provisionamento de conta	CMA_0460 – Examinar logs de provisionamento de conta	Manual, Desabilitado	1.1.0
Revisar atribuições de administrador semanalmente	CMA_0461 – Revisar atribuições de administrador semanalmente	Manual, Desabilitado	1.1.0
Examinar dados de auditoria	CMA_0466 – Examinar dados de auditoria	Manual, Desabilitado	1.1.0
Revisar a visão geral do relatório de identidade na nuvem	CMA_0468 – Revisar a visão geral do relatório de identidade na nuvem	Manual, Desabilitado	1.1.0
Revisar eventos de acesso controlado a pastas	CMA_0471 – Revisar eventos de acesso controlado a pastas	Manual, Desabilitado	1.1.0
Revisar eventos de proteção contra exploração	CMA_0472 – Revisar eventos de proteção contra exploração	Manual, Desabilitado	1.1.0
Revisar a atividade de arquivo e pasta	CMA_0473 – Revisar a atividade de arquivo e pasta	Manual, Desabilitado	1.1.0
Revisar alterações de grupo de funções semanalmente	CMA_0476 – Revisar alterações de grupo de funções semanalmente	Manual, Desabilitado	1.1.0
As consultas salvas no Azure Monitor devem ser salvas na conta de armazenamento do cliente para criptografia de logs	Vincule a conta de armazenamento ao workspace do Log Analytics para proteger as consultas salvas com criptografia de conta de armazenamento. Normalmente, as chaves gerenciadas pelo cliente são necessárias para atender à conformidade regulatória e obter mais controle sobre o acesso às consultas salvas no Azure Monitor. Para obter mais detalhes sobre os itens acima, confira https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys?tabs=portal#customer-managed-key-for-saved-queries.	auditar, Auditar, negar, Negar, desabilitado, Desabilitado	1.1.0
A conta de armazenamento que possui o contêiner com os logs de atividade deve ser criptografada com BYOK	Essa política auditará se a conta de armazenamento que possui o contêiner com logs de atividades estiver criptografada com BYOK. A política funcionará apenas se a conta de armazenamento estiver na mesma assinatura dos logs de atividades por design. Mais informações sobre a criptografia de Armazenamento do Microsoft Azure em repouso podem ser encontradas aqui https://aka.ms/azurestoragebyok.	AuditIfNotExists, desabilitado	1.0.0
A extensão do Log Analytics deve ser instalada em Conjuntos de Dimensionamento de Máquinas Virtuais	Esta política audita os Conjuntos de Dimensionamento de Máquinas Virtuais do Windows ou do Linux nos quais a extensão do Log Analytics não está instalada.	AuditIfNotExists, desabilitado	1.0.1
As máquinas virtuais devem ter a extensão do Log Analytics instalada	Esta política audita as máquinas virtuais do Windows ou do Linux nas quais a extensão do Log Analytics não está instalada.	AuditIfNotExists, desabilitado	1.0.1

Detecte e contenha atividades de rede anômalas direcionadas a ambientes SWIFT locais ou remotos ou dentro destes.

ID: Propriedade SWIFT CSCF v2022 6.5A: compartilhado

Garanta uma abordagem consistente e eficaz para o gerenciamento de incidentes cibernéticos.

ID: Propriedade SWIFT CSCF v2022 7.1: compartilhado

Nome _{(Portal do Azure)}	Descrição	Efeito(s)	Versão _(GitHub)
Resolver problemas de segurança da informação	CMA_C1742 – Resolver problemas de segurança da informação	Manual, Desabilitado	1.1.0
A notificação por email para alertas de severidade alta deve ser habilitada	Para que as pessoas relevantes em sua organização sejam notificadas quando houver uma potencial violação de segurança em uma das suas assinaturas, habilite notificações por email para alertas de severidade alta na Central de Segurança.	AuditIfNotExists, desabilitado	1.1.0
A notificação por email para o proprietário da assinatura para alertas de severidade alta deve ser habilitada	Para que os proprietários de assinatura sejam notificados quando houver uma potencial violação de segurança na assinatura deles, defina que notificações para alertas de severidade alta sejam enviadas por email para os proprietários da assinatura na Central de Segurança.	AuditIfNotExists, desabilitado	2.1.0
Identificar classes de incidentes e ações tomadas	CMA_C1365 – Identificar classes de incidentes e ações tomadas	Manual, Desabilitado	1.1.0
Incorporar eventos simulados ao treinamento de resposta a incidentes	CMA_C1356 – Incorporar eventos simulados ao treinamento de resposta a incidentes	Manual, Desabilitado	1.1.0
Fornecer treinamento de vazamento de informações	CMA_0413 – Fornecer treinamento de vazamento de informações	Manual, Desabilitado	1.1.0
Revisar e atualizar as políticas e procedimentos de resposta a incidentes	CMA_C1352 - Revisar e atualizar as políticas e procedimentos de resposta a incidentes	Manual, Desabilitado	1.1.0
As assinaturas devem ter um endereço de email de contato para problemas de segurança	Para que as pessoas relevantes em sua organização sejam notificadas quando houver uma potencial violação de segurança em uma das suas assinaturas, defina um contato de segurança para receber notificações por email da Central de Segurança.	AuditIfNotExists, desabilitado	1.0.1

Certifique-se de que todos os funcionários estejam cientes sobre suas responsabilidades de segurança e as cumpram, realizando atividades regulares de conscientização, e mantenha o conhecimento de segurança dos funcionários com acesso privilegiado.

ID: Propriedade SWIFT CSCF v2022 7.2: compartilhado

Nome _{(Portal do Azure)}	Descrição	Efeito(s)	Versão _(GitHub)
Documentar atividades de treinamento de privacidade e segurança	CMA_0198 - Documentar atividades de treinamento de privacidade e segurança	Manual, Desabilitado	1.1.0
Fornecer treinamento periódico de segurança baseada em funções	CMA_C1095 – Fornecer treinamento periódico de segurança baseada em funções	Manual, Desabilitado	1.1.0
Fornecer treinamento periódico sobre conscientização de segurança	CMA_C1091 - Fornecer treinamento periódico sobre conscientização de segurança	Manual, Desabilitado	1.1.0
Fornecer treinamento de privacidade	CMA_0415 – Fornecer treinamento de privacidade	Manual, Desabilitado	1.1.0
Fornecer exercícios práticos baseados em funções	CMA_C1096 – Fornecer exercícios práticos baseados em funções	Manual, Desabilitado	1.1.0
Fornecer treinamento de segurança baseada em funções	CMA_C1094 – Fornecer treinamentos de segurança baseada em funções	Manual, Desabilitado	1.1.0
Fornecer treinamentos baseados em funções sobre atividades suspeitas	CMA_C1097 – Fornecer treinamentos baseados em funções sobre atividades suspeitas	Manual, Desabilitado	1.1.0
Fornecer treinamento de conscientização de segurança para ameaças internas	CMA_0417 – Fornecer treinamento de conscientização de segurança para ameaças internas	Manual, Desabilitado	1.1.0
Fornecer treinamento de segurança antes de fornecer acesso	CMA_0418 – Fornecer treinamento de segurança antes de fornecer acesso	Manual, Desabilitado	1.1.0
Fornecer treinamento de segurança para novos usuários	CMA_0419 - Fornecer treinamento de segurança para novos usuários	Manual, Desabilitado	1.1.0
Fornecer treinamento de conscientização de segurança atualizado	CMA_C1090 - Fornecer treinamento de conscientização de segurança atualizado	Manual, Desabilitado	1.1.0

Valide a configuração de segurança operacional e identifique as lacunas de segurança executando testes de penetração.

ID: Propriedade SWIFT CSCF v2022 7.3A: compartilhado

Nome _{(Portal do Azure)}	Descrição	Efeito(s)	Versão _(GitHub)
Empregar uma equipe independente para teste de penetração	CMA_C1171 – Empregar uma equipe independente para teste de penetração	Manual, Desabilitado	1.1.0
Exigir que os desenvolvedores criem uma arquitetura de segurança	CMA_C1612 – Exigir que os desenvolvedores criem uma arquitetura de segurança	Manual, Desabilitado	1.1.0

Avalie o risco e a prontidão da organização com base em cenários plausíveis de ataque cibernético.

ID: Propriedade SWIFT CSCF v2022 7.4A: compartilhado

Nome _{(Portal do Azure)}	Descrição	Efeito(s)	Versão _(GitHub)
Realizar a Avaliação de Risco	CMA_C1543 – Realizar a avaliação de risco	Manual, Desabilitado	1.1.0
Realizar a avaliação de risco e distribuir os resultados	CMA_C1544 – Realizar a avaliação de risco e distribuir os resultados	Manual, Desabilitado	1.1.0
Realizar a avaliação de risco e documentar resultados	CMA_C1542 – Realizar a avaliação de risco e documentar resultados	Manual, Desabilitado	1.1.0
Estabelecer uma estratégia de gerenciamento de riscos	CMA_0258 - Estabelecer uma estratégia de gerenciamento de riscos	Manual, Desabilitado	1.1.0
Implementar a estratégia de gerenciamento de riscos	CMA_C1744 – Implementar a estratégia de gerenciamento de riscos	Manual, Desabilitado	1.1.0
Executar uma avaliação de risco	CMA_0388 - Executar uma avaliação de risco	Manual, Desabilitado	1.1.0
Revisar e atualizar políticas e procedimentos de avaliação de risco	CMA_C1537 - Revisar e atualizar políticas e procedimentos de avaliação de risco	Manual, Desabilitado	1.1.0

8. Definir e monitorar o desempenho

Garanta a disponibilidade definindo e monitorando formalmente os objetivos a serem alcançados

ID: Propriedade SWIFT CSCF v2022 8.1: compartilhado

Nome _{(Portal do Azure)}	Descrição	Efeito(s)	Versão _(GitHub)
Coordenar os planos de contingência com os planos relacionados	CMA_0086 - Coordenar os planos de contingência com os planos relacionados	Manual, Desabilitado	1.1.0
Desenvolver plano de contingência	CMA_C1244 – Desenvolver plano de contingência	Manual, Desabilitado	1.1.0
Obter opinião jurídica para monitorar atividades do sistema	CMA_C1688 – Obter opinião jurídica para monitorar atividades do sistema	Manual, Desabilitado	1.1.0
Executar uma análise de tendências de ameaças	CMA_0389 – Executar uma análise de tendências de ameaças	Manual, Desabilitado	1.1.0
Planejar a continuação de funções de negócios essenciais	CMA_C1255 – Planejar a continuação de funções de negócios essenciais	Manual, Desabilitado	1.1.0
Planejar a retomada das funções essenciais do negócio	CMA_C1253 – Planejar a retomada das funções essenciais do negócio	Manual, Desabilitado	1.1.0
Fornecer informações de monitoramento conforme o necessário	CMA_C1689 – Fornecer informações de monitoramento conforme o necessário	Manual, Desabilitado	1.1.0
Retomar todas as funções da missão e do negócio	CMA_C1254 - Retomar todas as funções da missão e do negócio	Manual, Desabilitado	1.1.0

Garanta a disponibilidade, a capacidade e a qualidade dos serviços aos clientes

ID: Propriedade SWIFT CSCF v2022 8.4: compartilhado

Nome _{(Portal do Azure)}	Descrição	Efeito(s)	Versão _(GitHub)
Realizar um planejamento de capacidade	CMA_C1252 - Faça um planejamento da capacidade	Manual, Desabilitado	1.1.0
Coordenar os planos de contingência com os planos relacionados	CMA_0086 - Coordenar os planos de contingência com os planos relacionados	Manual, Desabilitado	1.1.0
Criar ações alternativas para anomalias identificadas	CMA_C1711 – Criar ações alternativas para anomalias identificadas	Manual, Desabilitado	1.1.0
Desenvolver plano de contingência	CMA_C1244 – Desenvolver plano de contingência	Manual, Desabilitado	1.1.0
Notificar pessoal sobre testes de verificação de segurança com falha	CMA_C1710 – Notificar pessoal sobre testes de verificação de segurança com falha	Manual, Desabilitado	1.1.0
Executar a verificação da função de segurança em uma frequência definida	CMA_C1709 – Executar verificação de função de segurança em uma frequência definida	Manual, Desabilitado	1.1.0
Planejar a continuação de funções de negócios essenciais	CMA_C1255 – Planejar a continuação de funções de negócios essenciais	Manual, Desabilitado	1.1.0

Garanta a disponibilidade antecipada das versões SWIFTNet e dos padrões FIN para testes adequados pelo cliente antes de entrar em operação.

ID: Propriedade SWIFT CSCF v2022 8.5: compartilhado

Nome _{(Portal do Azure)}	Descrição	Efeito(s)	Versão _(GitHub)
Resolver vulnerabilidades de codificação	CMA_0003 - Resolver vulnerabilidades de codificação	Manual, Desabilitado	1.1.0
Desenvolver e documentar requisitos de segurança de aplicativos	CMA_0148 - Desenvolver e documentar requisitos de segurança de aplicativos	Manual, Desabilitado	1.1.0
Documentar o ambiente do sistema de informações em contratos de aquisição	CMA_0205 - Documentar o ambiente do sistema de informações em contratos de aquisição	Manual, Desabilitado	1.1.0
Estabelecer um programa de desenvolvimento de software seguro	CMA_0259 - Estabelecer um programa de desenvolvimento de software seguro	Manual, Desabilitado	1.1.0
Executar verificações de vulnerabilidade	CMA_0393 – Executar verificações de vulnerabilidade	Manual, Desabilitado	1.1.0
Corrigir falhas do sistema de informações	CMA_0427 – Corrigir falhas do sistema de informações	Manual, Desabilitado	1.1.0
Exigir que os desenvolvedores documentem as alterações aprovadas e o impacto potencial	CMA_C1597 - Exigir que os desenvolvedores documentem as alterações aprovadas e o impacto potencial	Manual, Desabilitado	1.1.0
Exigir que os desenvolvedores implementem somente alterações aprovadas	CMA_C1596 - Exigir que os desenvolvedores implementem somente as alterações aprovadas	Manual, Desabilitado	1.1.0
Exigir que os desenvolvedores gerenciem a integridade da alteração	CMA_C1595 - Exigir que os desenvolvedores gerenciem a integridade da alteração	Manual, Desabilitado	1.1.0
Exigir que os desenvolvedores produzam evidências da execução do plano de avaliação de segurança	CMA_C1602 – Exigir que os desenvolvedores produzam evidências da execução do plano de avaliação de segurança	Manual, Desabilitado	1.1.0
Verificar integridade de software, firmware e informações	CMA_0542 – Verificar integridade de software, firmware e informações	Manual, Desabilitado	1.1.0

9. Garanta a disponibilidade por meio da resiliência

Os provedores devem garantir que o serviço permaneça disponível para os clientes em caso de perturbação ou mau funcionamento local.

ID: Propriedade SWIFT CSCF v2022 9.1: compartilhado

Nome _{(Portal do Azure)}	Descrição	Efeito(s)	Versão _(GitHub)
Realizar testes de resposta a incidentes	CMA_0060 – Realizar testes de resposta a incidentes	Manual, Desabilitado	1.1.0
Coordenar os planos de contingência com os planos relacionados	CMA_0086 - Coordenar os planos de contingência com os planos relacionados	Manual, Desabilitado	1.1.0
Desenvolver plano de contingência	CMA_C1244 – Desenvolver plano de contingência	Manual, Desabilitado	1.1.0
Desenvolver procedimentos e políticas de planejamento de contingências	CMA_0156 – Desenvolver procedimentos e políticas de planejamento de contingências	Manual, Desabilitado	1.1.0
Distribuir procedimentos e políticas	CMA_0185 - Distribuir procedimentos e políticas	Manual, Desabilitado	1.1.0
Estabelecer um programa de segurança da informação	CMA_0263 – Estabelecer um programa de segurança da informação	Manual, Desabilitado	1.1.0
Fornecer treinamento de contingência	CMA_0412 – Fornecer treinamento de contingência	Manual, Desabilitado	1.1.0
Executar ataques de simulação	CMA_0486 – Executar ataques de simulação	Manual, Desabilitado	1.1.0

Os provedores devem garantir que o serviço permaneça disponível para os clientes em caso de desastre no local.

ID: Propriedade SWIFT CSCF v2022 9.2: compartilhado

Nome _{(Portal do Azure)}	Descrição	Efeito(s)	Versão _(GitHub)
Realizar backup da documentação do sistema de informação	CMA_C1289 - Realizar backup da documentação do sistema de informações	Manual, Desabilitado	1.1.0
Criar sites de armazenamento alternativos e primários separados	CMA_C1269 - Criar sites de armazenamento alternativos e primários separados	Manual, Desabilitado	1.1.0
Garantir que as proteções do site de armazenamento alternativo sejam equivalentes às do site primário	CMA_C1268 - Garantir que as proteções alternativas do site de armazenamento sejam equivalentes ao site primário	Manual, Desabilitado	1.1.0
Estabelecer site de armazenamento alternativo que facilita operações de recuperação	CMA_C1270 - Estabelecer site de armazenamento alternativo que facilita operações de recuperação	Manual, Desabilitado	1.1.0
Estabelecer um local de armazenamento alternativo para armazenar e recuperar informações de backup	CMA_C1267 - Estabelecer um local de armazenamento alternativo para armazenar e recuperar informações de backup	Manual, Desabilitado	1.1.0
Estabelecer um site de processamento alternativo	CMA_0262 - Estabelecer um local de processamento alternativo	Manual, Desabilitado	1.1.0
Estabelecer requisitos para provedores de serviços de Internet	CMA_0278 - Estabelecer requisitos para provedores de serviços de Internet	Manual, Desabilitado	1.1.0
Identificar e reduzir possíveis problemas no site de armazenamento alternativo	CMA_C1271 - Identificar e reduzir possíveis problemas no site de armazenamento alternativo	Manual, Desabilitado	1.1.0
Preparar o local de processamento alternativo para uso como local operacional	CMA_C1278 - Preparar um site de processamento alternativo para uso como site operacional	Manual, Desabilitado	1.1.0
Recuperar e reconstituir recursos após qualquer interrupção	CMA_C1295 – Recuperar e reconstituir recursos após qualquer interrupção	Manual, Desabilitado	1.1.1
Restaurar os recursos para o estado operacional	CMA_C1297 – Restaurar recursos para o estado operacional	Manual, Desabilitado	1.1.1
Armazenar informações de backup separadamente	CMA_C1293 - Armazenar informações de backup separadamente	Manual, Desabilitado	1.1.0
Transferir informações de cópia de backup para um site de armazenamento alternativo	CMA_C1294 - Transferir informações de cópia de backup para um site de armazenamento alternativo	Manual, Desabilitado	1.1.0

A agência de serviço deve garantir que o serviço permaneça disponível para seus clientes em caso de perturbação, risco ou incidente.

ID: Propriedade SWIFT CSCF v2022 9.3: compartilhado

Nome _{(Portal do Azure)}	Descrição	Efeito(s)	Versão _(GitHub)
Desenvolver e documentar um plano de continuidade dos negócios e recuperação de desastres	CMA_0146 – Desenvolver e documentar um plano de continuidade dos negócios e recuperação de desastres	Manual, Desabilitado	1.1.0
Desenvolver plano de contingência	CMA_C1244 – Desenvolver plano de contingência	Manual, Desabilitado	1.1.0
Usar iluminação de emergência automática	CMA_0209 - Usar iluminação de emergência automática	Manual, Desabilitado	1.1.0
Implementar uma metodologia de teste de penetração	CMA_0306 – Implementar uma metodologia de teste de penetração	Manual, Desabilitado	1.1.0
Implementar segurança física para escritórios, áreas de trabalho e áreas seguras	CMA_0323 - Implementar segurança física para escritórios, áreas de trabalho e áreas seguras	Manual, Desabilitado	1.1.0
Revisar e atualizar as políticas e procedimentos físicos e ambientais	CMA_C1446 - Revisar e atualizar políticas e procedimentos físicos e ambientais	Manual, Desabilitado	1.1.0
Executar ataques de simulação	CMA_0486 – Executar ataques de simulação	Manual, Desabilitado	1.1.0

A disponibilidade e a qualidade do serviço dos provedores são asseguradas por meio do uso dos pacotes de conectividade SWIFT recomendados e da largura de banda de linha apropriada

ID: Propriedade SWIFT CSCF v2022 9.4: compartilhado

Nome _{(Portal do Azure)}	Descrição	Efeito(s)	Versão _(GitHub)
Autorizar, monitorar e controlar VoIP	CMA_0025 – Autorizar, monitorar e controlar VoIP	Manual, Desabilitado	1.1.0
Realizar um planejamento de capacidade	CMA_C1252 - Faça um planejamento da capacidade	Manual, Desabilitado	1.1.0
Implementar a proteção de limites do sistema	CMA_0328 – Implementar a proteção de limites do sistema	Manual, Desabilitado	1.1.0
Gerenciar gateways	CMA_0363 – Gerenciar gateways	Manual, Desabilitado	1.1.0
Rotear o tráfego por meio de pontos de acesso à rede gerenciada	CMA_0484 – Rotear o tráfego por meio de pontos de acesso à rede gerenciada	Manual, Desabilitado	1.1.0

10. Estar pronto em caso de desastre grave

A continuidade dos negócios é assegurada por meio de um plano documentado e comunicado às partes potencialmente afetadas (bureau de serviços e clientes).

ID: Propriedade SWIFT CSCF v2022 10.1: compartilhado

Nome _{(Portal do Azure)}	Descrição	Efeito(s)	Versão _(GitHub)
Coordenar os planos de contingência com os planos relacionados	CMA_0086 - Coordenar os planos de contingência com os planos relacionados	Manual, Desabilitado	1.1.0
Desenvolver plano de contingência	CMA_C1244 – Desenvolver plano de contingência	Manual, Desabilitado	1.1.0
Planejar a continuação de funções de negócios essenciais	CMA_C1255 – Planejar a continuação de funções de negócios essenciais	Manual, Desabilitado	1.1.0
Planejar a retomada das funções essenciais do negócio	CMA_C1253 – Planejar a retomada das funções essenciais do negócio	Manual, Desabilitado	1.1.0
Retomar todas as funções da missão e do negócio	CMA_C1254 - Retomar todas as funções da missão e do negócio	Manual, Desabilitado	1.1.0

11. Monitorar em caso de desastre grave

Certifique-se de que haja uma abordagem consistente e eficaz para o monitoramento e escalonamento de eventos.

ID: Propriedade SWIFT CSCF v2022 11.1: compartilhado

Nome _{(Portal do Azure)}	Descrição	Efeito(s)	Versão _(GitHub)
Documentar operações de segurança	CMA_0202 – Documentar operações de segurança	Manual, Desabilitado	1.1.0
Obter opinião jurídica para monitorar atividades do sistema	CMA_C1688 – Obter opinião jurídica para monitorar atividades do sistema	Manual, Desabilitado	1.1.0
Executar uma análise de tendências de ameaças	CMA_0389 – Executar uma análise de tendências de ameaças	Manual, Desabilitado	1.1.0
Fornecer informações de monitoramento conforme o necessário	CMA_C1689 – Fornecer informações de monitoramento conforme o necessário	Manual, Desabilitado	1.1.0
Ativar sensores para a solução de segurança de ponto de extremidade	CMA_0514 – Ativar sensores para a solução de segurança de ponto de extremidade	Manual, Desabilitado	1.1.0

Garanta uma abordagem consistente e eficaz para o gerenciamento de incidentes (gerenciamento de problemas).

ID: Propriedade SWIFT CSCF v2022 11.2: compartilhado

Garanta um escalonamento adequado de defeitos operacionais em caso de impacto do cliente.

ID: Propriedade SWIFT CSCF v2022 11.4: compartilhado

Nome _{(Portal do Azure)}	Descrição	Efeito(s)	Versão _(GitHub)
Automatizar o processo para documentar as alterações implementadas	CMA_C1195 - Automatizar o processo para documentar alterações implementadas	Manual, Desabilitado	1.1.0
Automatizar o processo para destacar propostas de alteração não visualizadas	CMA_C1193 - Automatizar o processo para destacar propostas de alteração não visualizadas	Manual, Desabilitado	1.1.0
Desenvolver um plano de resposta a incidentes	CMA_0145 – Desenvolver um plano de resposta a incidentes	Manual, Desabilitado	1.1.0
Documentar operações de segurança	CMA_0202 – Documentar operações de segurança	Manual, Desabilitado	1.1.0
Habilitar a proteção de rede	CMA_0238 – Habilitar a proteção de rede	Manual, Desabilitado	1.1.0
Erradicar informações contaminadas	CMA_0253 – Erradicar informações contaminadas	Manual, Desabilitado	1.1.0
Estabelecer e documentar processos de controle de alterações	CMA_0265 – Estabelecer e documentar processos de controle de alterações	Manual, Desabilitado	1.1.0
Estabelecer requisitos de gerenciamento de configuração para desenvolvedores	CMA_0270 - Estabelecer requisitos de gerenciamento de configuração para desenvolvedores	Manual, Desabilitado	1.1.0
Estabelecer relação entre a capacidade de resposta a incidentes e provedores externos	CMA_C1376 – Estabelecer relação entre a capacidade de resposta a incidentes e provedores externos	Manual, Desabilitado	1.1.0
Executar ações em resposta a despejos de informações	CMA_0281 – Executar ações em resposta a despejos de informações	Manual, Desabilitado	1.1.0
Implementar tratamento de incidentes	CMA_0318 – Implementar tratamento de incidentes	Manual, Desabilitado	1.1.0
Executar uma análise de tendências de ameaças	CMA_0389 – Executar uma análise de tendências de ameaças	Manual, Desabilitado	1.1.0
Executar auditoria para controle de alterações de configuração	CMA_0390 - Executar auditoria para controle de alterações de configuração	Manual, Desabilitado	1.1.0
Exibir e investigar usuários restritos	CMA_0545 – Exibir e investigar usuários restritos	Manual, Desabilitado	1.1.0

Suporte efetivo é oferecido aos clientes caso eles enfrentem problemas durante o horário comercial.

ID: Propriedade SWIFT CSCF v2022 11.5: compartilhado

Nome _{(Portal do Azure)}	Descrição	Efeito(s)	Versão _(GitHub)
Desenvolver um plano de resposta a incidentes	CMA_0145 – Desenvolver um plano de resposta a incidentes	Manual, Desabilitado	1.1.0
Documentar operações de segurança	CMA_0202 – Documentar operações de segurança	Manual, Desabilitado	1.1.0
Habilitar a proteção de rede	CMA_0238 – Habilitar a proteção de rede	Manual, Desabilitado	1.1.0
Erradicar informações contaminadas	CMA_0253 – Erradicar informações contaminadas	Manual, Desabilitado	1.1.0
Estabelecer relação entre a capacidade de resposta a incidentes e provedores externos	CMA_C1376 – Estabelecer relação entre a capacidade de resposta a incidentes e provedores externos	Manual, Desabilitado	1.1.0
Executar ações em resposta a despejos de informações	CMA_0281 – Executar ações em resposta a despejos de informações	Manual, Desabilitado	1.1.0
Identificar o pessoal de resposta a incidentes	CMA_0301 – Identificar o pessoal de resposta a incidentes	Manual, Desabilitado	1.1.0
Implementar tratamento de incidentes	CMA_0318 – Implementar tratamento de incidentes	Manual, Desabilitado	1.1.0
Executar uma análise de tendências de ameaças	CMA_0389 – Executar uma análise de tendências de ameaças	Manual, Desabilitado	1.1.0
Exibir e investigar usuários restritos	CMA_0545 – Exibir e investigar usuários restritos	Manual, Desabilitado	1.1.0

12. Garanta que o conhecimento esteja disponível

Garanta a qualidade do serviço aos clientes por meio de funcionários com certificação SWIFT.

ID: Propriedade SWIFT CSCF v2022 12.1: compartilhado

Nome _{(Portal do Azure)}	Descrição	Efeito(s)	Versão _(GitHub)
Fornecer treinamento periódico de segurança baseada em funções	CMA_C1095 – Fornecer treinamento periódico de segurança baseada em funções	Manual, Desabilitado	1.1.0
Fornecer treinamento de segurança baseada em funções	CMA_C1094 – Fornecer treinamentos de segurança baseada em funções	Manual, Desabilitado	1.1.0
Fornecer treinamento de segurança antes de fornecer acesso	CMA_0418 – Fornecer treinamento de segurança antes de fornecer acesso	Manual, Desabilitado	1.1.0

Próximas etapas

Artigos adicionais sobre o Azure Policy:

Visão geral da Conformidade Regulatória.
Consulte a estrutura de definição da iniciativa.
Veja outros exemplos em Amostras do Azure Policy.
Revisar Compreendendo os efeitos da política.
Saiba como corrigir recursos fora de conformidade.

Nome _{(Portal do Azure)}	Descrição	Efeito(s)	Versão _(GitHub)
Avaliar eventos de segurança da informação	CMA_0013 – Avaliar eventos de segurança da informação	Manual, Desabilitado	1.1.0
Realizar testes de resposta a incidentes	CMA_0060 – Realizar testes de resposta a incidentes	Manual, Desabilitado	1.1.0
Desenvolver um plano de resposta a incidentes	CMA_0145 – Desenvolver um plano de resposta a incidentes	Manual, Desabilitado	1.1.0
Desenvolver proteções de segurança	CMA_0161 – Desenvolver proteções de segurança	Manual, Desabilitado	1.1.0
Documentar operações de segurança	CMA_0202 – Documentar operações de segurança	Manual, Desabilitado	1.1.0
Habilitar a proteção de rede	CMA_0238 – Habilitar a proteção de rede	Manual, Desabilitado	1.1.0
Erradicar informações contaminadas	CMA_0253 – Erradicar informações contaminadas	Manual, Desabilitado	1.1.0
Estabelecer um programa de segurança da informação	CMA_0263 – Estabelecer um programa de segurança da informação	Manual, Desabilitado	1.1.0
Executar ações em resposta a despejos de informações	CMA_0281 – Executar ações em resposta a despejos de informações	Manual, Desabilitado	1.1.0
Identificar classes de incidentes e ações tomadas	CMA_C1365 – Identificar classes de incidentes e ações tomadas	Manual, Desabilitado	1.1.0
Implementar tratamento de incidentes	CMA_0318 – Implementar tratamento de incidentes	Manual, Desabilitado	1.1.0
Incorporar eventos simulados ao treinamento de resposta a incidentes	CMA_C1356 – Incorporar eventos simulados ao treinamento de resposta a incidentes	Manual, Desabilitado	1.1.0
Manter registros de violação de dados	CMA_0351 – Manter registros de violação de dados	Manual, Desabilitado	1.1.0
Manter plano de resposta a incidentes	CMA_0352 – Manter plano de resposta a incidentes	Manual, Desabilitado	1.1.0
Executar uma análise de tendências de ameaças	CMA_0389 – Executar uma análise de tendências de ameaças	Manual, Desabilitado	1.1.0
Proteger o plano de resposta a incidentes	CMA_0405 – Proteger o plano de resposta a incidentes	Manual, Desabilitado	1.1.0
Fornecer treinamento de vazamento de informações	CMA_0413 – Fornecer treinamento de vazamento de informações	Manual, Desabilitado	1.1.0
Revisar e atualizar as políticas e procedimentos de resposta a incidentes	CMA_C1352 - Revisar e atualizar as políticas e procedimentos de resposta a incidentes	Manual, Desabilitado	1.1.0
Executar ataques de simulação	CMA_0486 – Executar ataques de simulação	Manual, Desabilitado	1.1.0
Exibir e investigar usuários restritos	CMA_0545 – Exibir e investigar usuários restritos	Manual, Desabilitado	1.1.0