你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
PCI DSS v4.0 法规合规性内置计划的详细信息
下文详细说明了 Azure Policy 法规合规性内置计划定义如何映射到 PCI DSS v4.0 中的合规性域和控制措施。 有关此合规性标准的详细信息,请参阅 PCI DSS v4.0。 如需了解所有权,请查看策略类型和云中责任分担。
以下映射适用于 PCI DSS v4.0 控制。 许多控制措施都是使用 Azure Policy 计划定义实现的。 若要查看完整计划定义,请在 Azure 门户中打开“策略”,并选择“定义”页 。 然后,找到 PCI DSS v4 法规合规性内置计划定义并将其选中。
重要
下面的每个控件都与一个或多个 Azure Policy 定义关联。 这些策略有助于评估控制的合规性;但是,控制与一个或多个策略之间通常不是一对一或完全匹配。 因此,Azure Policy 中的符合性仅引用策略定义本身;这并不能确保你完全符合某个控制措施的所有要求。 此外,符合性标准包含目前未由任何 Azure Policy 定义处理的控件。 因此,Azure Policy 中的符合性只是整体符合性状态的部分视图。 此符合性标准的符合性域、控制措施和 Azure Policy 定义之间的关联可能会随着时间的推移而发生变化。 若要查看更改历史记录,请参阅 GitHub 提交历史记录。
要求 01:安装和维护网络安全控制
定义和了解适用于安装和维护网络安全控制的过程和机制
ID:PCI DSS v4.0 1.1.1,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 查看和更新配置管理策略和过程 | CMA_C1175 - 查看和更新配置管理策略和过程 | 手动、已禁用 | 1.1.0 |
| 查看和更新系统和通信保护策略及过程 | CMA_C1616 - 查看和更新系统和通信保护策略及过程 | 手动、已禁用 | 1.1.0 |
配置和维护网络安全控制 (NCS)
ID:PCI DSS v4.0 1.2.1,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 为非合规设备配置操作 | CMA_0062 - 为非合规设备配置操作 | 手动、已禁用 | 1.1.0 |
| 开发并维护基线配置 | CMA_0153 - 设计并维护基线配置 | 手动、已禁用 | 1.1.0 |
| 强制执行安全配置设置 | CMA_0249 - 强制执行安全配置设置 | 手动、已禁用 | 1.1.0 |
| 建立配置控制委员会 | CMA_0254 - 建立配置控制委员会 | 手动、已禁用 | 1.1.0 |
| 建立并记录配置管理计划 | CMA_0264 - 建立并记录配置管理计划 | 手动、已禁用 | 1.1.0 |
| 实现自动配置管理工具 | CMA_0311 - 实现自动配置管理工具 | 手动、已禁用 | 1.1.0 |
配置和维护网络安全控制 (NCS)
ID:PCI DSS v4.0 1.2.2,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 执行安全影响分析 | CMA_0057 - 执行安全影响分析 | 手动、已禁用 | 1.1.0 |
| 制定和维护漏洞管理标准 | CMA_0152 - 制定和维护漏洞管理标准 | 手动、已禁用 | 1.1.0 |
| 建立风险管理策略 | CMA_0258 - 建立风险管理策略 | 手动、已禁用 | 1.1.0 |
| 建立并记录更改控制流程 | CMA_0265 - 建立并记录更改控制流程 | 手动、已禁用 | 1.1.0 |
| 为开发人员建立配置管理要求 | CMA_0270 - 为开发人员设定配置管理要求 | 手动、已禁用 | 1.1.0 |
| 执行隐私影响评估 | CMA_0387 - 执行隐私影响评估 | 手动、已禁用 | 1.1.0 |
| 执行风险评估 | CMA_0388 - 执行风险评估 | 手动、已禁用 | 1.1.0 |
| 对配置更改控制执行审核 | CMA_0390 - 对配置变更控制执行审核 | 手动、已禁用 | 1.1.0 |
配置和维护网络安全控制 (NCS)
ID:PCI DSS v4.0 1.2.3,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 建立内部连接之前检查隐私和安全合规性 | CMA_0053 - 建立内部连接之前检查隐私和安全合规性 | 手动、已禁用 | 1.1.0 |
配置和维护网络安全控制 (NCS)
ID:PCI DSS v4.0 1.2.4,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 维护个人数据的处理记录 | CMA_0353 - 维护个人数据的处理记录 | 手动、已禁用 | 1.1.0 |
配置和维护网络安全控制 (NCS)
ID:PCI DSS v4.0 1.2.5,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 标识外部服务提供程序 | CMA_C1591 - 标识外部服务提供程序 | 手动、已禁用 | 1.1.0 |
| 要求开发人员识别 SDLC 端口、协议和服务 | CMA_C1578 - 要求开发人员识别 SDLC 端口、协议和服务 | 手动、已禁用 | 1.1.0 |
配置和维护网络安全控制 (NCS)
ID:PCI DSS v4.0 1.2.8,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 强制和审核访问限制 | CMA_C1203 - 强制和审核访问限制 | 手动、已禁用 | 1.1.0 |
| 建立并记录更改控制流程 | CMA_0265 - 建立并记录更改控制流程 | 手动、已禁用 | 1.1.0 |
| 查看任何未经授权的更改的更改 | CMA_C1204 - 查看任何未经授权的更改的更改 | 手动、已禁用 | 1.1.0 |
限制进出持卡人数据环境的网络访问
ID:PCI DSS v4.0 1.3.2,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 应限制在与虚拟机关联的网络安全组上使用所有网络端口 | Azure 安全中心已识别到网络安全组的某些入站规则过于宽松。 入站规则不应允许从“任何”或“Internet”范围进行访问。 这有可能使得攻击者能够将你的资源定为攻击目标。 | AuditIfNotExists、Disabled | 3.0.0 |
| 应限制对存储帐户的网络访问 | 应限制对存储帐户的网络访问。 配置网络规则,以便只允许来自允许的网络的应用程序访问存储帐户。 若要允许来自特定 Internet 或本地客户端的连接,可以向来自特定 Azure 虚拟网络的流量或公共 Internet IP 地址范围授予访问权限 | Audit、Deny、Disabled | 1.1.1 |
限制进出持卡人数据环境的网络访问
ID:PCI DSS v4.0 1.3.3,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 记录并实施无线访问准则 | CMA_0190 - 记录并实施无线访问准则 | 手动、已禁用 | 1.1.0 |
| 保护无线访问 | CMA_0411 - 保护无线访问 | 手动、已禁用 | 1.1.0 |
控制受信任网络和不受信任网络之间的网络连接
ID:PCI DSS v4.0 1.4.1,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 控制信息流 | CMA_0079 - 控制信息流 | 手动、已禁用 | 1.1.0 |
| 采用加密信息的流控制机制 | CMA_0211 - 采用加密信息的流控制机制 | 手动、已禁用 | 1.1.0 |
| 为每项外部服务实现托管接口 | CMA_C1626 - 为每项外部服务实现托管接口 | 手动、已禁用 | 1.1.0 |
| 实现系统边界保护 | CMA_0328 - 实现系统边界保护 | 手动、已禁用 | 1.1.0 |
| 将接口固定到外部系统 | CMA_0491 - 保护到外部系统的接口 | 手动、已禁用 | 1.1.0 |
控制受信任网络和不受信任网络之间的网络连接
ID:PCI DSS v4.0 1.4.2,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 应限制在与虚拟机关联的网络安全组上使用所有网络端口 | Azure 安全中心已识别到网络安全组的某些入站规则过于宽松。 入站规则不应允许从“任何”或“Internet”范围进行访问。 这有可能使得攻击者能够将你的资源定为攻击目标。 | AuditIfNotExists、Disabled | 3.0.0 |
| 控制信息流 | CMA_0079 - 控制信息流 | 手动、已禁用 | 1.1.0 |
| 采用加密信息的流控制机制 | CMA_0211 - 采用加密信息的流控制机制 | 手动、已禁用 | 1.1.0 |
| 为每项外部服务实现托管接口 | CMA_C1626 - 为每项外部服务实现托管接口 | 手动、已禁用 | 1.1.0 |
| 实现系统边界保护 | CMA_0328 - 实现系统边界保护 | 手动、已禁用 | 1.1.0 |
| 将接口固定到外部系统 | CMA_0491 - 保护到外部系统的接口 | 手动、已禁用 | 1.1.0 |
| 应限制对存储帐户的网络访问 | 应限制对存储帐户的网络访问。 配置网络规则,以便只允许来自允许的网络的应用程序访问存储帐户。 若要允许来自特定 Internet 或本地客户端的连接,可以向来自特定 Azure 虚拟网络的流量或公共 Internet IP 地址范围授予访问权限 | Audit、Deny、Disabled | 1.1.1 |
控制受信任网络和不受信任网络之间的网络连接
ID:PCI DSS v4.0 1.4.3,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 控制信息流 | CMA_0079 - 控制信息流 | 手动、已禁用 | 1.1.0 |
| 采用加密信息的流控制机制 | CMA_0211 - 采用加密信息的流控制机制 | 手动、已禁用 | 1.1.0 |
控制受信任网络和不受信任网络之间的网络连接
ID:PCI DSS v4.0 1.4.4,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 控制信息流 | CMA_0079 - 控制信息流 | 手动、已禁用 | 1.1.0 |
| 采用加密信息的流控制机制 | CMA_0211 - 采用加密信息的流控制机制 | 手动、已禁用 | 1.1.0 |
缓解可连接到不受信任网络和 CDE 的计算设备对 CDE 带来的风险
ID:PCI DSS v4.0 1.5.1,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 授权远程访问 | CMA_0024 - 授权远程访问 | 手动、已禁用 | 1.1.0 |
| 记录移动性培训 | CMA_0191 - 记录移动性培训 | 手动、已禁用 | 1.1.0 |
| 记录远程访问准则 | CMA_0196 - 记录远程访问准则 | 手动、已禁用 | 1.1.0 |
| 实施控制措施来保护备用工作站点 | CMA_0315 - 实施控制措施来保护备用工作站点 | 手动、已禁用 | 1.1.0 |
| 提供隐私培训 | CMA_0415 - 提供隐私培训 | 手动、已禁用 | 1.1.0 |
要求 10:记录和监视对系统组件和持卡人数据的所有访问
定义和记录适用于记录和监视对系统组件和持卡人数据的所有访问的过程和机制
ID:PCI DSS v4.0 10.1.1,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 制定审核和责任策略和过程 | CMA_0154- 制定审核和责任策略及过程 | 手动、已禁用 | 1.1.0 |
| 制定信息安全策略和过程 | CMA_0158 - 制定信息安全策略和过程 | 手动、已禁用 | 1.1.0 |
| 治理策略和过程 | CMA_0292 - 治理策略和过程 | 手动、已禁用 | 1.1.0 |
| 更新信息安全策略 | CMA_0518 - 更新信息安全策略 | 手动、已禁用 | 1.1.0 |
实现审核日志以支持检测异常和可疑活动,以及对事件进行取证分析
ID:PCI DSS v4.0 10.2.1,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 审核特权函数 | CMA_0019 - 审核特权函数 | 手动、已禁用 | 1.1.0 |
| 审核用户帐户状态 | CMA_0020 - 审核用户帐户状态 | 手动、已禁用 | 1.1.0 |
| 确定可审核的事件 | CMA_0137 - 确定可审核的事件 | 手动、已禁用 | 1.1.0 |
| 查看审核数据 | CMA_0466 - 查看审核数据 | 手动、已禁用 | 1.1.0 |
实现审核日志以支持检测异常和可疑活动,以及对事件进行取证分析
ID:PCI DSS v4.0 10.2.1.1,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 确定可审核的事件 | CMA_0137 - 确定可审核的事件 | 手动、已禁用 | 1.1.0 |
实现审核日志以支持检测异常和可疑活动,以及对事件进行取证分析
ID:PCI DSS v4.0 10.2.1.2,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 审核特权函数 | CMA_0019 - 审核特权函数 | 手动、已禁用 | 1.1.0 |
| 对已记录的特权命令进行全文分析 | CMA_0056 - 对已记录的特权命令进行全文分析 | 手动、已禁用 | 1.1.0 |
| 监视帐户活动 | CMA_0377 - 监视帐户活动 | 手动、已禁用 | 1.1.0 |
| 监视特权角色分配 | CMA_0378 - 监视特权角色分配 | 手动、已禁用 | 1.1.0 |
| 限制对特权帐户的访问 | CMA_0446 - 限制对特权帐户的访问权限 | 手动、已禁用 | 1.1.0 |
| 根据需要撤销特权角色 | CMA_0483 - 根据需要撤销特权角色 | 手动、已禁用 | 1.1.0 |
| 使用特权标识管理 | CMA_0533 - 使用特权标识管理 | 手动、已禁用 | 1.1.0 |
实现审核日志以支持检测异常和可疑活动,以及对事件进行取证分析
ID:PCI DSS v4.0 10.2.1.3,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 审核特权函数 | CMA_0019 - 审核特权函数 | 手动、已禁用 | 1.1.0 |
| 对已记录的特权命令进行全文分析 | CMA_0056 - 对已记录的特权命令进行全文分析 | 手动、已禁用 | 1.1.0 |
| 确定可审核的事件 | CMA_0137 - 确定可审核的事件 | 手动、已禁用 | 1.1.0 |
| 监视帐户活动 | CMA_0377 - 监视帐户活动 | 手动、已禁用 | 1.1.0 |
| 监视特权角色分配 | CMA_0378 - 监视特权角色分配 | 手动、已禁用 | 1.1.0 |
| 限制对特权帐户的访问 | CMA_0446 - 限制对特权帐户的访问权限 | 手动、已禁用 | 1.1.0 |
| 根据需要撤销特权角色 | CMA_0483 - 根据需要撤销特权角色 | 手动、已禁用 | 1.1.0 |
| 使用特权标识管理 | CMA_0533 - 使用特权标识管理 | 手动、已禁用 | 1.1.0 |
实现审核日志以支持检测异常和可疑活动,以及对事件进行取证分析
ID:PCI DSS v4.0 10.2.1.4,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 确定可审核的事件 | CMA_0137 - 确定可审核的事件 | 手动、已禁用 | 1.1.0 |
实现审核日志以支持检测异常和可疑活动,以及对事件进行取证分析
ID:PCI DSS v4.0 10.2.1.5,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 审核特权函数 | CMA_0019 - 审核特权函数 | 手动、已禁用 | 1.1.0 |
| 审核用户帐户状态 | CMA_0020 - 审核用户帐户状态 | 手动、已禁用 | 1.1.0 |
| 自动执行帐户管理 | CMA_0026 - 自动执行帐户管理 | 手动、已禁用 | 1.1.0 |
| 对已记录的特权命令进行全文分析 | CMA_0056 - 对已记录的特权命令进行全文分析 | 手动、已禁用 | 1.1.0 |
| 确定可审核的事件 | CMA_0137 - 确定可审核的事件 | 手动、已禁用 | 1.1.0 |
| 管理系统和管理员帐户 | CMA_0368 - 管理系统和管理员帐户 | 手动、已禁用 | 1.1.0 |
| 监视整个组织的访问权限 | CMA_0376 - 监视整个组织的访问权限 | 手动、已禁用 | 1.1.0 |
| 监视帐户活动 | CMA_0377 - 监视帐户活动 | 手动、已禁用 | 1.1.0 |
| 监视特权角色分配 | CMA_0378 - 监视特权角色分配 | 手动、已禁用 | 1.1.0 |
| 当不需要帐户时通知 | CMA_0383 - 当不需要帐户时通知 | 手动、已禁用 | 1.1.0 |
| 限制对特权帐户的访问 | CMA_0446 - 限制对特权帐户的访问权限 | 手动、已禁用 | 1.1.0 |
| 根据需要撤销特权角色 | CMA_0483 - 根据需要撤销特权角色 | 手动、已禁用 | 1.1.0 |
| 使用特权标识管理 | CMA_0533 - 使用特权标识管理 | 手动、已禁用 | 1.1.0 |
实现审核日志以支持检测异常和可疑活动,以及对事件进行取证分析
ID:PCI DSS v4.0 10.2.1.6,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 审核特权函数 | CMA_0019 - 审核特权函数 | 手动、已禁用 | 1.1.0 |
| 对已记录的特权命令进行全文分析 | CMA_0056 - 对已记录的特权命令进行全文分析 | 手动、已禁用 | 1.1.0 |
| 确定可审核的事件 | CMA_0137 - 确定可审核的事件 | 手动、已禁用 | 1.1.0 |
| 监视帐户活动 | CMA_0377 - 监视帐户活动 | 手动、已禁用 | 1.1.0 |
| 监视特权角色分配 | CMA_0378 - 监视特权角色分配 | 手动、已禁用 | 1.1.0 |
| 限制对特权帐户的访问 | CMA_0446 - 限制对特权帐户的访问权限 | 手动、已禁用 | 1.1.0 |
| 根据需要撤销特权角色 | CMA_0483 - 根据需要撤销特权角色 | 手动、已禁用 | 1.1.0 |
| 使用特权标识管理 | CMA_0533 - 使用特权标识管理 | 手动、已禁用 | 1.1.0 |
实现审核日志以支持检测异常和可疑活动,以及对事件进行取证分析
ID:PCI DSS v4.0 10.2.1.7,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 确定可审核的事件 | CMA_0137 - 确定可审核的事件 | 手动、已禁用 | 1.1.0 |
实现审核日志以支持检测异常和可疑活动,以及对事件进行取证分析
ID:PCI DSS v4.0 10.2.2,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 审核所选资源类型的诊断设置。 | 审核所选资源类型的诊断设置。 请确保仅选择支持诊断设置的资源类型。 | AuditIfNotExists | 2.0.1 |
| 应启用 SQL 服务器上的审核 | 应在 SQL 服务器上启用审核以跟踪服务器上所有数据库的数据库活动,并将其保存在审核日志中。 | AuditIfNotExists、Disabled | 2.0.0 |
| 确定可审核的事件 | CMA_0137 - 确定可审核的事件 | 手动、已禁用 | 1.1.0 |
| 存储帐户应迁移到新的 Azure 资源管理器资源 | 使用新的 Azure 资源管理器为存储帐户提供安全增强功能,例如:更强大的访问控制 (RBAC)、更好的审核、基于 Azure 资源管理器的部署和监管、对托管标识的访问权限、访问密钥保管库以获取机密、基于 Azure AD 的身份验证以及对标记和资源组的支持,以简化安全管理 | Audit、Deny、Disabled | 1.0.0 |
| 应将虚拟机迁移到新的 Azure 资源管理器资源 | 对虚拟机使用新的 Azure 资源管理器以提供安全增强功能,例如:更强的访问控制 (RBAC)、更佳审核功能、基于 Azure 资源管理器的部署和治理、对托管标识的访问、访问密钥保管库以获取机密、基于 Azure AD 的身份验证以及支持使用标记和资源组简化安全管理 | Audit、Deny、Disabled | 1.0.0 |
保护审核日志,以免遭破坏和未经授权的修改
ID:PCI DSS v4.0 10.3.1,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 启用双重或联合授权 | CMA_0226 - 启用双重或联合授权 | 手动、已禁用 | 1.1.0 |
| 保护审核信息 | CMA_0401 - 保护审核信息 | 手动、已禁用 | 1.1.0 |
保护审核日志,以免遭破坏和未经授权的修改
ID:PCI DSS v4.0 10.3.2,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 启用双重或联合授权 | CMA_0226 - 启用双重或联合授权 | 手动、已禁用 | 1.1.0 |
| 保护审核信息 | CMA_0401 - 保护审核信息 | 手动、已禁用 | 1.1.0 |
保护审核日志,以免遭破坏和未经授权的修改
ID:PCI DSS v4.0 10.3.3,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 审核所选资源类型的诊断设置。 | 审核所选资源类型的诊断设置。 请确保仅选择支持诊断设置的资源类型。 | AuditIfNotExists | 2.0.1 |
| 应启用 SQL 服务器上的审核 | 应在 SQL 服务器上启用审核以跟踪服务器上所有数据库的数据库活动,并将其保存在审核日志中。 | AuditIfNotExists、Disabled | 2.0.0 |
| 建立备份策略和过程 | CMA_0268 - 制定备份策略和过程 | 手动、已禁用 | 1.1.0 |
| 存储帐户应迁移到新的 Azure 资源管理器资源 | 使用新的 Azure 资源管理器为存储帐户提供安全增强功能,例如:更强大的访问控制 (RBAC)、更好的审核、基于 Azure 资源管理器的部署和监管、对托管标识的访问权限、访问密钥保管库以获取机密、基于 Azure AD 的身份验证以及对标记和资源组的支持,以简化安全管理 | Audit、Deny、Disabled | 1.0.0 |
| 应将虚拟机迁移到新的 Azure 资源管理器资源 | 对虚拟机使用新的 Azure 资源管理器以提供安全增强功能,例如:更强的访问控制 (RBAC)、更佳审核功能、基于 Azure 资源管理器的部署和治理、对托管标识的访问、访问密钥保管库以获取机密、基于 Azure AD 的身份验证以及支持使用标记和资源组简化安全管理 | Audit、Deny、Disabled | 1.0.0 |
保护审核日志,以免遭破坏和未经授权的修改
ID:PCI DSS v4.0 10.3.4,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 启用双重或联合授权 | CMA_0226 - 启用双重或联合授权 | 手动、已禁用 | 1.1.0 |
| 保护审核信息 | CMA_0401 - 保护审核信息 | 手动、已禁用 | 1.1.0 |
审阅审核日志,以确定异常或可疑活动
ID:PCI DSS v4.0 10.4.1,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 关联审核记录 | CMA_0087 - 关联审核记录 | 手动、已禁用 | 1.1.0 |
| 建立审核评审与报告要求 | CMA_0277 - 建立审核评审与报告的要求 | 手动、已禁用 | 1.1.0 |
| 集成审核评审、分析和报告 | CMA_0339 - 集成审核评审、分析和报告 | 手动、已禁用 | 1.1.0 |
| 将云应用安全与 SIEM 集成 | CMA_0340 - 将云应用安全与 SIEM 集成 | 手动、已禁用 | 1.1.0 |
| 查看帐户预配日志 | CMA_0460 - 查看帐户预配日志 | 手动、已禁用 | 1.1.0 |
| 每周检查管理员分配任务 | CMA_0461 - 每周检查管理员分配 | 手动、已禁用 | 1.1.0 |
| 查看审核数据 | CMA_0466 - 查看审核数据 | 手动、已禁用 | 1.1.0 |
| 查看云标识报告概述 | CMA_0468 - 查看云标识报告概述 | 手动、已禁用 | 1.1.0 |
| 查看受控文件夹访问事件 | CMA_0471 - 查看受控文件夹访问权限事件 | 手动、已禁用 | 1.1.0 |
| 查看文件和文件夹活动 | CMA_0473 - 查看文件和文件夹活动 | 手动、已禁用 | 1.1.0 |
| 每周评审角色组更改 | CMA_0476 - 每周评审角色组更改 | 手动、已禁用 | 1.1.0 |
审阅审核日志,以确定异常或可疑活动
ID:PCI DSS v4.0 10.4.1.1,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 关联审核记录 | CMA_0087 - 关联审核记录 | 手动、已禁用 | 1.1.0 |
| 建立审核评审与报告要求 | CMA_0277 - 建立审核评审与报告的要求 | 手动、已禁用 | 1.1.0 |
| 集成审核评审、分析和报告 | CMA_0339 - 集成审核评审、分析和报告 | 手动、已禁用 | 1.1.0 |
| 将云应用安全与 SIEM 集成 | CMA_0340 - 将云应用安全与 SIEM 集成 | 手动、已禁用 | 1.1.0 |
| 查看帐户预配日志 | CMA_0460 - 查看帐户预配日志 | 手动、已禁用 | 1.1.0 |
| 每周检查管理员分配任务 | CMA_0461 - 每周检查管理员分配 | 手动、已禁用 | 1.1.0 |
| 查看审核数据 | CMA_0466 - 查看审核数据 | 手动、已禁用 | 1.1.0 |
| 查看云标识报告概述 | CMA_0468 - 查看云标识报告概述 | 手动、已禁用 | 1.1.0 |
| 查看受控文件夹访问事件 | CMA_0471 - 查看受控文件夹访问权限事件 | 手动、已禁用 | 1.1.0 |
| 查看文件和文件夹活动 | CMA_0473 - 查看文件和文件夹活动 | 手动、已禁用 | 1.1.0 |
| 每周评审角色组更改 | CMA_0476 - 每周评审角色组更改 | 手动、已禁用 | 1.1.0 |
审阅审核日志,以确定异常或可疑活动
ID:PCI DSS v4.0 10.4.2,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 关联审核记录 | CMA_0087 - 关联审核记录 | 手动、已禁用 | 1.1.0 |
| 建立审核评审与报告要求 | CMA_0277 - 建立审核评审与报告的要求 | 手动、已禁用 | 1.1.0 |
| 集成审核评审、分析和报告 | CMA_0339 - 集成审核评审、分析和报告 | 手动、已禁用 | 1.1.0 |
| 将云应用安全与 SIEM 集成 | CMA_0340 - 将云应用安全与 SIEM 集成 | 手动、已禁用 | 1.1.0 |
| 查看帐户预配日志 | CMA_0460 - 查看帐户预配日志 | 手动、已禁用 | 1.1.0 |
| 每周检查管理员分配任务 | CMA_0461 - 每周检查管理员分配 | 手动、已禁用 | 1.1.0 |
| 查看审核数据 | CMA_0466 - 查看审核数据 | 手动、已禁用 | 1.1.0 |
| 查看云标识报告概述 | CMA_0468 - 查看云标识报告概述 | 手动、已禁用 | 1.1.0 |
| 查看受控文件夹访问事件 | CMA_0471 - 查看受控文件夹访问权限事件 | 手动、已禁用 | 1.1.0 |
| 查看文件和文件夹活动 | CMA_0473 - 查看文件和文件夹活动 | 手动、已禁用 | 1.1.0 |
| 每周评审角色组更改 | CMA_0476 - 每周评审角色组更改 | 手动、已禁用 | 1.1.0 |
审阅审核日志,以确定异常或可疑活动
ID:PCI DSS v4.0 10.4.2.1,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 关联审核记录 | CMA_0087 - 关联审核记录 | 手动、已禁用 | 1.1.0 |
| 建立审核评审与报告要求 | CMA_0277 - 建立审核评审与报告的要求 | 手动、已禁用 | 1.1.0 |
| 集成审核评审、分析和报告 | CMA_0339 - 集成审核评审、分析和报告 | 手动、已禁用 | 1.1.0 |
| 将云应用安全与 SIEM 集成 | CMA_0340 - 将云应用安全与 SIEM 集成 | 手动、已禁用 | 1.1.0 |
| 查看帐户预配日志 | CMA_0460 - 查看帐户预配日志 | 手动、已禁用 | 1.1.0 |
| 每周检查管理员分配任务 | CMA_0461 - 每周检查管理员分配 | 手动、已禁用 | 1.1.0 |
| 查看审核数据 | CMA_0466 - 查看审核数据 | 手动、已禁用 | 1.1.0 |
| 查看云标识报告概述 | CMA_0468 - 查看云标识报告概述 | 手动、已禁用 | 1.1.0 |
| 查看受控文件夹访问事件 | CMA_0471 - 查看受控文件夹访问权限事件 | 手动、已禁用 | 1.1.0 |
| 查看文件和文件夹活动 | CMA_0473 - 查看文件和文件夹活动 | 手动、已禁用 | 1.1.0 |
| 每周评审角色组更改 | CMA_0476 - 每周评审角色组更改 | 手动、已禁用 | 1.1.0 |
审阅审核日志,以确定异常或可疑活动
ID:PCI DSS v4.0 10.4.3,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 关联审核记录 | CMA_0087 - 关联审核记录 | 手动、已禁用 | 1.1.0 |
| 建立审核评审与报告要求 | CMA_0277 - 建立审核评审与报告的要求 | 手动、已禁用 | 1.1.0 |
| 集成审核评审、分析和报告 | CMA_0339 - 集成审核评审、分析和报告 | 手动、已禁用 | 1.1.0 |
| 将云应用安全与 SIEM 集成 | CMA_0340 - 将云应用安全与 SIEM 集成 | 手动、已禁用 | 1.1.0 |
| 查看帐户预配日志 | CMA_0460 - 查看帐户预配日志 | 手动、已禁用 | 1.1.0 |
| 每周检查管理员分配任务 | CMA_0461 - 每周检查管理员分配 | 手动、已禁用 | 1.1.0 |
| 查看审核数据 | CMA_0466 - 查看审核数据 | 手动、已禁用 | 1.1.0 |
| 查看云标识报告概述 | CMA_0468 - 查看云标识报告概述 | 手动、已禁用 | 1.1.0 |
| 查看受控文件夹访问事件 | CMA_0471 - 查看受控文件夹访问权限事件 | 手动、已禁用 | 1.1.0 |
| 查看文件和文件夹活动 | CMA_0473 - 查看文件和文件夹活动 | 手动、已禁用 | 1.1.0 |
| 每周评审角色组更改 | CMA_0476 - 每周评审角色组更改 | 手动、已禁用 | 1.1.0 |
审核日志历史记录已保留并可供分析
ID:PCI DSS v4.0 10.5.1,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 遵守定义的保持期 | CMA_0004 - 遵守定义的保持期 | 手动、已禁用 | 1.1.0 |
| 保留安全策略和过程 | CMA_0454 - 保留安全策略和过程 | 手动、已禁用 | 1.1.0 |
| 保留终止的用户数据 | CMA_0455 - 保留终止的用户数据 | 手动、已禁用 | 1.1.0 |
时间同步机制支持所有系统中的一致时间设置
ID:PCI DSS v4.0 10.6.1,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 对审核记录使用系统时钟 | CMA_0535 - 对审核记录使用系统时钟 | 手动、已禁用 | 1.1.0 |
时间同步机制支持所有系统中的一致时间设置
ID:PCI DSS v4.0 10.6.2,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 对审核记录使用系统时钟 | CMA_0535 - 对审核记录使用系统时钟 | 手动、已禁用 | 1.1.0 |
时间同步机制支持所有系统中的一致时间设置
ID:PCI DSS v4.0 10.6.3,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 审核特权函数 | CMA_0019 - 审核特权函数 | 手动、已禁用 | 1.1.0 |
| 授权访问安全性函数和信息 | CMA_0022 - 授权访问安全性函数和信息 | 手动、已禁用 | 1.1.0 |
| 授权和管理访问权限 | CMA_0023 - 授权和管理访问权限 | 手动、已禁用 | 1.1.0 |
| 对已记录的特权命令进行全文分析 | CMA_0056 - 对已记录的特权命令进行全文分析 | 手动、已禁用 | 1.1.0 |
| 强制实施强制和自主访问控制策略 | CMA_0246 - 强制实施强制和自主访问控制策略 | 手动、已禁用 | 1.1.0 |
| 监视帐户活动 | CMA_0377 - 监视帐户活动 | 手动、已禁用 | 1.1.0 |
| 监视特权角色分配 | CMA_0378 - 监视特权角色分配 | 手动、已禁用 | 1.1.0 |
| 限制对特权帐户的访问 | CMA_0446 - 限制对特权帐户的访问权限 | 手动、已禁用 | 1.1.0 |
| 根据需要撤销特权角色 | CMA_0483 - 根据需要撤销特权角色 | 手动、已禁用 | 1.1.0 |
| 使用特权标识管理 | CMA_0533 - 使用特权标识管理 | 手动、已禁用 | 1.1.0 |
检测、报告关键安全控制系统故障并立即作出响应
ID:PCI DSS v4.0 10.7.1,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 为已标识异常创建替代操作 | CMA_C1711 - 为已标识异常创建替代操作 | 手动、已禁用 | 1.1.0 |
| 治理并监视审核处理活动 | CMA_0289 - 治理并监视审核处理活动 | 手动、已禁用 | 1.1.0 |
| 通知相关人员任何失败的安全验证测试 | CMA_C1710 - 通知相关人员任何失败的安全验证测试 | 手动、已禁用 | 1.1.0 |
| 按定义的频率执行安全性函数验证 | CMA_C1709 - 按定义的频率执行安全性函数验证 | 手动、已禁用 | 1.1.0 |
| 验证安全性函数 | CMA_C1708 - 验证安全性函数 | 手动、已禁用 | 1.1.0 |
检测、报告关键安全控制系统故障并立即作出响应
ID:PCI DSS v4.0 10.7.2,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 为已标识异常创建替代操作 | CMA_C1711 - 为已标识异常创建替代操作 | 手动、已禁用 | 1.1.0 |
| 治理并监视审核处理活动 | CMA_0289 - 治理并监视审核处理活动 | 手动、已禁用 | 1.1.0 |
| 通知相关人员任何失败的安全验证测试 | CMA_C1710 - 通知相关人员任何失败的安全验证测试 | 手动、已禁用 | 1.1.0 |
| 按定义的频率执行安全性函数验证 | CMA_C1709 - 按定义的频率执行安全性函数验证 | 手动、已禁用 | 1.1.0 |
| 验证安全性函数 | CMA_C1708 - 验证安全性函数 | 手动、已禁用 | 1.1.0 |
检测、报告关键安全控制系统故障并立即作出响应
ID:PCI DSS v4.0 10.7.3,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 为已标识异常创建替代操作 | CMA_C1711 - 为已标识异常创建替代操作 | 手动、已禁用 | 1.1.0 |
| 通知相关人员任何失败的安全验证测试 | CMA_C1710 - 通知相关人员任何失败的安全验证测试 | 手动、已禁用 | 1.1.0 |
| 按定义的频率执行安全性函数验证 | CMA_C1709 - 按定义的频率执行安全性函数验证 | 手动、已禁用 | 1.1.0 |
| 验证安全性函数 | CMA_C1708 - 验证安全性函数 | 手动、已禁用 | 1.1.0 |
要求 11:定期测试系统和网络的安全性
定义并了解适用于定期测试系统和网络安全性的流程和机制
ID:PCI DSS v4.0 11.1.1,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 查看和更新信息完整性策略及过程 | CMA_C1667 - 查看和更新信息完整性策略及过程 | 手动、已禁用 | 1.1.0 |
| 查看和更新系统和通信保护策略及过程 | CMA_C1616 - 查看和更新系统和通信保护策略及过程 | 手动、已禁用 | 1.1.0 |
| 查看安全评估和授权策略及过程 | CMA_C1143 - 查看安全评估和授权策略及过程 | 手动、已禁用 | 1.1.0 |
识别和监视无线接入点,并解决未经授权的无线接入点问题
ID:PCI DSS v4.0 11.2.2,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 记录并实施无线访问准则 | CMA_0190 - 记录并实施无线访问准则 | 手动、已禁用 | 1.1.0 |
| 保护无线访问 | CMA_0411 - 保护无线访问 | 手动、已禁用 | 1.1.0 |
定期标识、确定外部和内部漏洞的优先级并加以解决
ID:PCI DSS v4.0 11.3.1,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 应在虚拟机上启用漏洞评估解决方案 | 审核虚拟机以检测其是否正在运行受支持的漏洞评估解决方案。 每个网络风险和安全计划的核心部分都是识别和分析漏洞。 Azure 安全中心的标准定价层包括对虚拟机进行漏洞扫描,无需额外付费。 此外,安全中心可以自动为你部署此工具。 | AuditIfNotExists、Disabled | 3.0.0 |
| 监视 Azure 安全中心 Endpoint Protection 的缺失情况 | 建议通过 Azure 安全中心监视未安装 Endpoint Protection 代理的服务器 | AuditIfNotExists、Disabled | 3.0.0 |
| 执行漏洞扫描 | CMA_0393 - 执行漏洞扫描 | 手动、已禁用 | 1.1.0 |
| 修正信息系统缺陷 | CMA_0427 - 修正信息系统缺陷 | 手动、已禁用 | 1.1.0 |
| SQL 数据库应已解决漏洞结果 | 监视漏洞评估扫描结果,并提供有关如何消除数据库漏洞的建议。 | AuditIfNotExists、Disabled | 4.1.0 |
| 应在计算机上安装系统更新 | 建议通过 Azure 安全中心监视服务器上缺失的安全系统更新 | AuditIfNotExists、Disabled | 4.0.0 |
| 应修复计算机上安全配置中的漏洞 | 建议通过 Azure 安全中心监视不满足配置的基线的服务器 | AuditIfNotExists、Disabled | 3.1.0 |
定期标识、确定外部和内部漏洞的优先级并加以解决
ID:PCI DSS v4.0 11.3.1.1,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 执行漏洞扫描 | CMA_0393 - 执行漏洞扫描 | 手动、已禁用 | 1.1.0 |
| 修正信息系统缺陷 | CMA_0427 - 修正信息系统缺陷 | 手动、已禁用 | 1.1.0 |
定期标识、确定外部和内部漏洞的优先级并加以解决
ID:PCI DSS v4.0 11.3.1.3,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 执行漏洞扫描 | CMA_0393 - 执行漏洞扫描 | 手动、已禁用 | 1.1.0 |
| 修正信息系统缺陷 | CMA_0427 - 修正信息系统缺陷 | 手动、已禁用 | 1.1.0 |
定期标识、确定外部和内部漏洞的优先级并加以解决
ID:PCI DSS v4.0 11.3.2,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 执行漏洞扫描 | CMA_0393 - 执行漏洞扫描 | 手动、已禁用 | 1.1.0 |
| 修正信息系统缺陷 | CMA_0427 - 修正信息系统缺陷 | 手动、已禁用 | 1.1.0 |
定期标识、确定外部和内部漏洞的优先级并加以解决
ID:PCI DSS v4.0 11.3.2.1,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 执行漏洞扫描 | CMA_0393 - 执行漏洞扫描 | 手动、已禁用 | 1.1.0 |
| 修正信息系统缺陷 | CMA_0427 - 修正信息系统缺陷 | 手动、已禁用 | 1.1.0 |
定期执行外部和内部渗透测试,并更正可利用的漏洞和安全漏洞
ID:PCI DSS v4.0 11.4.1,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 聘请独立团队进行渗透测试 | CMA_C1171 - 聘请独立团队进行渗透测试 | 手动、已禁用 | 1.1.0 |
定期执行外部和内部渗透测试,并更正可利用的漏洞和安全漏洞
ID:PCI DSS v4.0 11.4.3,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 聘请独立团队进行渗透测试 | CMA_C1171 - 聘请独立团队进行渗透测试 | 手动、已禁用 | 1.1.0 |
检测并响应网络入侵和意外的文件更改
ID:PCI DSS v4.0 11.5.1,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 向人员发出信息溢写警报 | CMA_0007 - 向人员发出信息溢写警报 | 手动、已禁用 | 1.1.0 |
| 制定事件响应计划 | CMA_0145 - 制定事件响应计划 | 手动、已禁用 | 1.1.0 |
| 对威胁执行趋势分析 | CMA_0389 - 对威胁执行趋势分析 | 手动、已禁用 | 1.1.0 |
| 为组织中的新云应用程序和热门云应用程序设置自动通知 | CMA_0495 - 为组织中的新云应用程序和热门云应用程序设置自动通知 | 手动、已禁用 | 1.1.0 |
检测并响应网络入侵和意外的文件更改
ID:PCI DSS v4.0 11.5.1.1,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 向人员发出信息溢写警报 | CMA_0007 - 向人员发出信息溢写警报 | 手动、已禁用 | 1.1.0 |
| 制定事件响应计划 | CMA_0145 - 制定事件响应计划 | 手动、已禁用 | 1.1.0 |
| 为组织中的新云应用程序和热门云应用程序设置自动通知 | CMA_0495 - 为组织中的新云应用程序和热门云应用程序设置自动通知 | 手动、已禁用 | 1.1.0 |
检测并响应网络入侵和意外的文件更改
ID:PCI DSS v4.0 11.5.2,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 检测到冲突时采用自动关闭/重启操作 | CMA_C1715 - 检测到冲突时采用自动关闭/重启操作 | 手动、已禁用 | 1.1.0 |
| 验证软件、固件和信息完整性 | CMA_0542 - 验证软件、固件和信息完整性 | 手动、已禁用 | 1.1.0 |
| 查看并配置系统诊断数据 | CMA_0544 - 查看并配置系统诊断数据 | 手动、已禁用 | 1.1.0 |
检测并响应对付款页面的未授权更改
ID:PCI DSS v4.0 11.6.1,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 检测到冲突时采用自动关闭/重启操作 | CMA_C1715 - 检测到冲突时采用自动关闭/重启操作 | 手动、已禁用 | 1.1.0 |
| 验证软件、固件和信息完整性 | CMA_0542 - 验证软件、固件和信息完整性 | 手动、已禁用 | 1.1.0 |
| 查看并配置系统诊断数据 | CMA_0544 - 查看并配置系统诊断数据 | 手动、已禁用 | 1.1.0 |
要求 12:通过组织策略和计划支持信息安全
治理实体信息资产保护和为之提供方向的全面信息安全策略是已知和最新的
ID:PCI DSS v4.0 12.1.2,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 建立信息安全计划 | CMA_0263 - 制定信息安全计划 | 手动、已禁用 | 1.1.0 |
| 更新信息安全策略 | CMA_0518 - 更新信息安全策略 | 手动、已禁用 | 1.1.0 |
治理实体信息资产保护和为之提供方向的全面信息安全策略是已知和最新的
ID:PCI DSS v4.0 12.1.4,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 任命高级信息安全管理人员 | CMA_C1733 - 任命高级信息安全管理人员 | 手动、已禁用 | 1.1.0 |
对可能影响 CDE 的可疑和已确认安全事件立即作出响应
ID:PCI DSS v4.0 12.10.2,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 访问信息安全事件 | CMA_0013 - 访问信息安全事件 | 手动、已禁用 | 1.1.0 |
| 制定事件响应计划 | CMA_0145 - 制定事件响应计划 | 手动、已禁用 | 1.1.0 |
| 实现事件处理 | CMA_0318 - 实现事件处理 | 手动、已禁用 | 1.1.0 |
| 维护数据泄露记录 | CMA_0351 - 维护数据泄露记录 | 手动、已禁用 | 1.1.0 |
| 维护事件响应计划 | CMA_0352 - 维护事件响应计划 | 手动、已禁用 | 1.1.0 |
| 保护事件响应计划 | CMA_0405 - 保护事件响应计划 | 手动、已禁用 | 1.1.0 |
对可能影响 CDE 的可疑和已确认安全事件立即作出响应
ID:PCI DSS v4.0 12.10.4,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 提供信息溢写培训 | CMA_0413 - 提供信息溢写培训 | 手动、已禁用 | 1.1.0 |
对可能影响 CDE 的可疑和已确认安全事件立即作出响应
ID:PCI DSS v4.0 12.10.4.1,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 提供信息溢写培训 | CMA_0413 - 提供信息溢写培训 | 手动、已禁用 | 1.1.0 |
对可能影响 CDE 的可疑和已确认安全事件立即作出响应
ID:PCI DSS v4.0 12.10.5,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 制定事件响应计划 | CMA_0145 - 制定事件响应计划 | 手动、已禁用 | 1.1.0 |
| 启用网络保护 | CMA_0238 - 启用网络保护 | 手动、已禁用 | 1.1.0 |
| 实现事件处理 | CMA_0318 - 实现事件处理 | 手动、已禁用 | 1.1.0 |
对可能影响 CDE 的可疑和已确认安全事件立即作出响应
ID:PCI DSS v4.0 12.10.6,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 访问信息安全事件 | CMA_0013 - 访问信息安全事件 | 手动、已禁用 | 1.1.0 |
| 维护事件响应计划 | CMA_0352 - 维护事件响应计划 | 手动、已禁用 | 1.1.0 |
对可能影响 CDE 的可疑和已确认安全事件立即作出响应
ID:PCI DSS v4.0 12.10.7,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 制定事件响应计划 | CMA_0145 - 制定事件响应计划 | 手动、已禁用 | 1.1.0 |
| 制定安全防护措施 | CMA_0161 - 制定安全防护措施 | 手动、已禁用 | 1.1.0 |
| 启用网络保护 | CMA_0238 - 启用网络保护 | 手动、已禁用 | 1.1.0 |
| 根除被污染的信息 | CMA_0253 - 根除被污染的信息 | 手动、已禁用 | 1.1.0 |
| 执行操作以响应信息溢写 | CMA_0281 - 执行操作以响应信息溢写 | 手动、已禁用 | 1.1.0 |
| 实现事件处理 | CMA_0318 - 实现事件处理 | 手动、已禁用 | 1.1.0 |
| 对威胁执行趋势分析 | CMA_0389 - 对威胁执行趋势分析 | 手动、已禁用 | 1.1.0 |
| 查看并调查受限制的用户 | CMA_0545 - 查看并调查受限制的用户 | 手动、已禁用 | 1.1.0 |
定义并实现适用于最终用户技术的可接受使用策略
ID:PCI DSS v4.0 12.2.1,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 制定可接受的使用策略和过程 | CMA_0143 - 制定可接受的使用策略和过程 | 手动、已禁用 | 1.1.0 |
| 强制执行行为和访问协议规则 | CMA_0248 - 强制执行行为和访问协议规则 | 手动、已禁用 | 1.1.0 |
| 要求遵守知识产权 | CMA_0432 - 要求遵守知识产权 | 手动、已禁用 | 1.1.0 |
| 跟踪软件许可证使用情况 | CMA_C1235 - 跟踪软件许可证使用情况 | 手动、已禁用 | 1.1.0 |
对持卡人数据环境的风险进行正式标识、评估和管理
ID:PCI DSS v4.0 12.3.1,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 执行风险评估 | CMA_C1543 - 执行风险评估 | 手动、已禁用 | 1.1.0 |
| 执行风险评估并分配其结果 | CMA_C1544 - 执行风险评估并分配其结果 | 手动、已禁用 | 1.1.0 |
| 执行风险评估并记录其结果 | CMA_C1542 - 执行风险评估并记录其结果 | 手动、已禁用 | 1.1.0 |
| 执行风险评估 | CMA_0388 - 执行风险评估 | 手动、已禁用 | 1.1.0 |
对持卡人数据环境的风险进行正式标识、评估和管理
ID:PCI DSS v4.0 12.3.2,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 执行风险评估 | CMA_C1543 - 执行风险评估 | 手动、已禁用 | 1.1.0 |
| 执行风险评估并分配其结果 | CMA_C1544 - 执行风险评估并分配其结果 | 手动、已禁用 | 1.1.0 |
| 执行风险评估并记录其结果 | CMA_C1542 - 执行风险评估并记录其结果 | 手动、已禁用 | 1.1.0 |
| 执行风险评估 | CMA_0388 - 执行风险评估 | 手动、已禁用 | 1.1.0 |
对持卡人数据环境的风险进行正式标识、评估和管理
ID:PCI DSS v4.0 12.3.4,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 向人员传播安全警报 | CMA_C1705 - 向人员传播安全警报 | 手动、已禁用 | 1.1.0 |
| 建立威胁情报计划 | CMA_0260 - 建立威胁情报计划 | 手动、已禁用 | 1.1.0 |
| 修正信息系统缺陷 | CMA_0427 - 修正信息系统缺陷 | 手动、已禁用 | 1.1.0 |
管理 PCI DSS 合规性
ID:PCI DSS v4.0 12.4.1,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 制定安全评估计划 | CMA_C1144 - 制定安全评估计划 | 手动、已禁用 | 1.1.0 |
| 制定隐私计划 | CMA_0257 - 制定隐私计划 | 手动、已禁用 | 1.1.0 |
| 建立信息安全计划 | CMA_0263 - 制定信息安全计划 | 手动、已禁用 | 1.1.0 |
| 管理合规性活动 | CMA_0358 - 管理合规性活动 | 手动、已禁用 | 1.1.0 |
| 更新隐私计划、策略和过程 | CMA_C1807 - 更新隐私计划、策略和过程 | 手动、已禁用 | 1.1.0 |
管理 PCI DSS 合规性
ID:PCI DSS v4.0 12.4.2,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 评估安全控制措施 | CMA_C1145 - 评估安全控制 | 手动、已禁用 | 1.1.0 |
| 配置检测允许列表 | CMA_0068 - 配置检测允许列表 | 手动、已禁用 | 1.1.0 |
| 制定安全评估计划 | CMA_C1144 - 制定安全评估计划 | 手动、已禁用 | 1.1.0 |
| 为安全控制评估选择其他测试 | CMA_C1149 - 为安全控制评估选择其他测试 | 手动、已禁用 | 1.1.0 |
| 打开终结点安全解决方案的传感器 | CMA_0514 - 打开终结点安全解决方案的传感器 | 手动、已禁用 | 1.1.0 |
| 进行独立安全评审 | CMA_0515 - 进行独立安全评审 | 手动、已禁用 | 1.1.0 |
管理 PCI DSS 合规性
ID:PCI DSS v4.0 12.4.2.1,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 配置检测允许列表 | CMA_0068 - 配置检测允许列表 | 手动、已禁用 | 1.1.0 |
| 提供安全评估结果 | CMA_C1147 - 提供安全评估结果 | 手动、已禁用 | 1.1.0 |
| 开发 POAM(&M) | CMA_C1156 - 制定 POA&M | 手动、已禁用 | 1.1.0 |
| 生成安全评估报告 | CMA_C1146 - 生成安全评估报告 | 手动、已禁用 | 1.1.0 |
| 打开终结点安全解决方案的传感器 | CMA_0514 - 打开终结点安全解决方案的传感器 | 手动、已禁用 | 1.1.0 |
| 进行独立安全评审 | CMA_0515 - 进行独立安全评审 | 手动、已禁用 | 1.1.0 |
| 更新 POAM 项(&M) | CMA_C1157 - 更新 POA&M 项 | 手动、已禁用 | 1.1.0 |
记录并验证 PCI DSS 范围
ID:PCI DSS v4.0 12.5.2,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 维护个人数据的处理记录 | CMA_0353 - 维护个人数据的处理记录 | 手动、已禁用 | 1.1.0 |
记录并验证 PCI DSS 范围
ID:PCI DSS v4.0 12.5.2.1,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 创建数据清单 | CMA_0096 - 创建数据清单 | 手动、已禁用 | 1.1.0 |
| 维护个人数据的处理记录 | CMA_0353 - 维护个人数据的处理记录 | 手动、已禁用 | 1.1.0 |
记录并验证 PCI DSS 范围
ID:PCI DSS v4.0 12.5.3,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 建立信息安全计划 | CMA_0263 - 制定信息安全计划 | 手动、已禁用 | 1.1.0 |
| 更新信息安全策略 | CMA_0518 - 更新信息安全策略 | 手动、已禁用 | 1.1.0 |
安全意识教育是一项持续的活动
ID:PCI DSS v4.0 12.6.1,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 记录安全和隐私培训活动 | CMA_0198 - 记录安全和隐私培训活动 | 手动、已禁用 | 1.1.0 |
| 建立信息安全工作人员开发和改进计划 | CMA_C1752 - 建立信息安全工作人员开发和改进计划 | 手动、已禁用 | 1.1.0 |
安全意识教育是一项持续的活动
ID:PCI DSS v4.0 12.6.2,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 提供更新的安全意识培训 | CMA_C1090 - 提供更新的安全意识培训 | 手动、已禁用 | 1.1.0 |
安全意识教育是一项持续的活动
ID:PCI DSS v4.0 12.6.3,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 记录人员接受隐私要求 | CMA_0193 - 记录人员对隐私要求的接受情况 | 手动、已禁用 | 1.1.0 |
| 定期提供基于角色的安全训练 | CMA_C1095 - 定期提供基于角色的安全训练 | 手动、已禁用 | 1.1.0 |
| 提供定期安全意识培训 | CMA_C1091 - 提供定期安全意识培训 | 手动、已禁用 | 1.1.0 |
| 提供隐私培训 | CMA_0415 - 提供隐私培训 | 手动、已禁用 | 1.1.0 |
| 提供基于角色的安全培训 | CMA_C1094 - 提供基于角色的安全培训 | 手动、已禁用 | 1.1.0 |
| 在提供访问权限之前提供安全培训 | CMA_0418 - 在提供访问权限之前提供安全培训 | 手动、已禁用 | 1.1.0 |
| 为新用户提供安全培训 | CMA_0419 - 为新用户提供安全培训 | 手动、已禁用 | 1.1.0 |
| 提供更新的安全意识培训 | CMA_C1090 - 提供更新的安全意识培训 | 手动、已禁用 | 1.1.0 |
安全意识教育是一项持续的活动
ID:PCI DSS v4.0 12.6.3.1,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 实施威胁意识计划 | CMA_C1758 - 实施威胁感知计划 | 手动、已禁用 | 1.1.0 |
| 实施内部威胁计划 | CMA_C1751 - 实现内部威胁计划 | 手动、已禁用 | 1.1.0 |
| 为新用户提供安全培训 | CMA_0419 - 为新用户提供安全培训 | 手动、已禁用 | 1.1.0 |
安全意识教育是一项持续的活动
ID:PCI DSS v4.0 12.6.3.2,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 在提供访问权限之前提供安全培训 | CMA_0418 - 在提供访问权限之前提供安全培训 | 手动、已禁用 | 1.1.0 |
| 为新用户提供安全培训 | CMA_0419 - 为新用户提供安全培训 | 手动、已禁用 | 1.1.0 |
对人员进行筛查,以降低内部威胁带来的风险
ID:PCI DSS v4.0 12.7.1,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 清除有权访问机密信息的人员 | CMA_0054 - 清除有权访问机密信息的人员 | 手动、已禁用 | 1.1.0 |
| 实施人员筛查 | CMA_0322 - 实施人员筛查 | 手动、已禁用 | 1.1.0 |
| 按定义的频率重新筛选个人 | CMA_C1512 - 按定义的频率重新筛选个人 | 手动、已禁用 | 1.1.0 |
管理与第三方服务提供商 (TPSP) 关系关联的信息资产的风险
ID:PCI DSS v4.0 12.8.1,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 要求外部服务提供商符合安全要求 | CMA_C1586 - 要求外部服务提供商符合安全要求 | 手动、已禁用 | 1.1.0 |
管理与第三方服务提供商 (TPSP) 关系关联的信息资产的风险
ID:PCI DSS v4.0 12.8.2,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 定义处理者的职责 | CMA_0127 - 定义处理者的职责 | 手动、已禁用 | 1.1.0 |
| 确定供应商合同义务 | CMA_0140 - 确定供应商合同义务 | 手动、已禁用 | 1.1.0 |
| 记录收购合同验收条件 | CMA_0187 - 记录收购合同验收条件 | 手动、已禁用 | 1.1.0 |
| 记录收购合同中的个人数据保护 | CMA_0194 - 记录收购合同中的个人数据保护 | 手动、已禁用 | 1.1.0 |
| 收购合同中安全信息的文档保护 | CMA_0195 - 记录收购合同中安全信息的保护 | 手动、已禁用 | 1.1.0 |
| 记录在合同中使用共享数据的要求 | CMA_0197 - 记录在合同中使用共享数据的要求 | 手动、已禁用 | 1.1.0 |
| 收购合同中的文档安全保证要求 | CMA_0199 - 记录收购合同中的安全保证要求 | 手动、已禁用 | 1.1.0 |
| 收购合同中的文档安全记录要求 | CMA_0200 - 收购合同中的文档安全记录要求 | 手动、已禁用 | 1.1.0 |
| 收购合同中的文档安全功能要求 | CMA_0201 - 记录收购合同中的安全功能要求 | 手动、已禁用 | 1.1.0 |
| 记录收购合同中的安全强度要求 | CMA_0203 - 记录收购合同中的安全强度要求 | 手动、已禁用 | 1.1.0 |
| 记录收购合同中的信息系统环境 | CMA_0205 - 记录收购合同中的信息系统环境 | 手动、已禁用 | 1.1.0 |
| 记录第三方合同中的持卡人数据保护 | CMA_0207 - 记录第三方合同中的持卡人数据保护 | 手动、已禁用 | 1.1.0 |
| 获取安全控件的设计和实现信息 | CMA_C1576 - 获取安全控件的设计和实现信息 | 手动、已禁用 | 1.1.1 |
| 获取安全控件的功能属性 | CMA_C1575 - 获取安全控件的功能属性 | 手动、已禁用 | 1.1.0 |
| 保留向第三方披露 PII 的记录 | CMA_0422 - 保留向第三方披露 PII 的记录 | 手动、已禁用 | 1.1.0 |
管理与第三方服务提供商 (TPSP) 关系关联的信息资产的风险
ID:PCI DSS v4.0 12.8.3,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 评估第三方关系中的风险 | CMA_0014 - 评估第三方关系中的风险 | 手动、已禁用 | 1.1.0 |
| 定义提供货物和服务的要求 | CMA_0126 - 定义供应货物和服务的要求 | 手动、已禁用 | 1.1.0 |
| 确定供应商合同义务 | CMA_0140 - 确定供应商合同义务 | 手动、已禁用 | 1.1.0 |
| 制定供应链风险管理策略 | CMA_0275 - 制定供应链风险管理策略 | 手动、已禁用 | 1.1.0 |
| 要求外部服务提供商符合安全要求 | CMA_C1586 - 要求外部服务提供商符合安全要求 | 手动、已禁用 | 1.1.0 |
管理与第三方服务提供商 (TPSP) 关系关联的信息资产的风险
ID:PCI DSS v4.0 12.8.4,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 评估第三方关系中的风险 | CMA_0014 - 评估第三方关系中的风险 | 手动、已禁用 | 1.1.0 |
| 定义提供货物和服务的要求 | CMA_0126 - 定义供应货物和服务的要求 | 手动、已禁用 | 1.1.0 |
| 确定供应商合同义务 | CMA_0140 - 确定供应商合同义务 | 手动、已禁用 | 1.1.0 |
| 制定供应链风险管理策略 | CMA_0275 - 制定供应链风险管理策略 | 手动、已禁用 | 1.1.0 |
| 获取安全控制的持续监视计划 | CMA_C1577 - 获取安全控制的持续监视计划 | 手动、已禁用 | 1.1.0 |
| 要求外部服务提供商符合安全要求 | CMA_C1586 - 要求外部服务提供商符合安全要求 | 手动、已禁用 | 1.1.0 |
| 查看云服务提供商对策略和协议的符合性 | CMA_0469 - 查看云服务提供商对策略和协议的符合性 | 手动、已禁用 | 1.1.0 |
| 进行独立安全评审 | CMA_0515 - 进行独立安全评审 | 手动、已禁用 | 1.1.0 |
管理与第三方服务提供商 (TPSP) 关系关联的信息资产的风险
ID:PCI DSS v4.0 12.8.5,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 确定供应商合同义务 | CMA_0140 - 确定供应商合同义务 | 手动、已禁用 | 1.1.0 |
| 记录收购合同验收条件 | CMA_0187 - 记录收购合同验收条件 | 手动、已禁用 | 1.1.0 |
| 记录收购合同中的个人数据保护 | CMA_0194 - 记录收购合同中的个人数据保护 | 手动、已禁用 | 1.1.0 |
| 收购合同中安全信息的文档保护 | CMA_0195 - 记录收购合同中安全信息的保护 | 手动、已禁用 | 1.1.0 |
| 记录在合同中使用共享数据的要求 | CMA_0197 - 记录在合同中使用共享数据的要求 | 手动、已禁用 | 1.1.0 |
| 收购合同中的文档安全保证要求 | CMA_0199 - 记录收购合同中的安全保证要求 | 手动、已禁用 | 1.1.0 |
| 收购合同中的文档安全记录要求 | CMA_0200 - 收购合同中的文档安全记录要求 | 手动、已禁用 | 1.1.0 |
| 收购合同中的文档安全功能要求 | CMA_0201 - 记录收购合同中的安全功能要求 | 手动、已禁用 | 1.1.0 |
| 记录收购合同中的安全强度要求 | CMA_0203 - 记录收购合同中的安全强度要求 | 手动、已禁用 | 1.1.0 |
| 记录收购合同中的信息系统环境 | CMA_0205 - 记录收购合同中的信息系统环境 | 手动、已禁用 | 1.1.0 |
| 记录第三方合同中的持卡人数据保护 | CMA_0207 - 记录第三方合同中的持卡人数据保护 | 手动、已禁用 | 1.1.0 |
| 获取安全控件的设计和实现信息 | CMA_C1576 - 获取安全控件的设计和实现信息 | 手动、已禁用 | 1.1.1 |
| 获取安全控件的功能属性 | CMA_C1575 - 获取安全控件的功能属性 | 手动、已禁用 | 1.1.0 |
第三方服务提供商 (TPSP) 支持其客户的 PCI DSS 合规性
ID:PCI DSS v4.0 12.9.1,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 定义处理者的职责 | CMA_0127 - 定义处理者的职责 | 手动、已禁用 | 1.1.0 |
| 保留向第三方披露 PII 的记录 | CMA_0422 - 保留向第三方披露 PII 的记录 | 手动、已禁用 | 1.1.0 |
| 要求外部服务提供商符合安全要求 | CMA_C1586 - 要求外部服务提供商符合安全要求 | 手动、已禁用 | 1.1.0 |
第三方服务提供商 (TPSP) 支持其客户的 PCI DSS 合规性
ID:PCI DSS v4.0 12.9.2,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 要求外部服务提供商符合安全要求 | CMA_C1586 - 要求外部服务提供商符合安全要求 | 手动、已禁用 | 1.1.0 |
| 查看云服务提供商对策略和协议的符合性 | CMA_0469 - 查看云服务提供商对策略和协议的符合性 | 手动、已禁用 | 1.1.0 |
| 进行独立安全评审 | CMA_0515 - 进行独立安全评审 | 手动、已禁用 | 1.1.0 |
要求 02:将安全配置应用于所有系统组件
定义并了解将安全配置应用于所有系统组件的过程和机制
ID:PCI DSS v4.0 2.1.1,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 查看和更新配置管理策略和过程 | CMA_C1175 - 查看和更新配置管理策略和过程 | 手动、已禁用 | 1.1.0 |
以安全方式配置和管理系统组件
ID:PCI DSS v4.0 2.2.1,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 为非合规设备配置操作 | CMA_0062 - 为非合规设备配置操作 | 手动、已禁用 | 1.1.0 |
| 开发并维护基线配置 | CMA_0153 - 设计并维护基线配置 | 手动、已禁用 | 1.1.0 |
| 强制执行安全配置设置 | CMA_0249 - 强制执行安全配置设置 | 手动、已禁用 | 1.1.0 |
| 建立配置控制委员会 | CMA_0254 - 建立配置控制委员会 | 手动、已禁用 | 1.1.0 |
| 建立并记录配置管理计划 | CMA_0264 - 建立并记录配置管理计划 | 手动、已禁用 | 1.1.0 |
| 实现自动配置管理工具 | CMA_0311 - 实现自动配置管理工具 | 手动、已禁用 | 1.1.0 |
以安全方式配置和管理系统组件
ID:PCI DSS v4.0 2.2.2,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 管理验证器 | CMA_C1321 - 管理验证器 | 手动、已禁用 | 1.1.0 |
以安全方式配置和管理系统组件
ID:PCI DSS v4.0 2.2.5,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 强制执行安全配置设置 | CMA_0249 - 强制执行安全配置设置 | 手动、已禁用 | 1.1.0 |
| 修正信息系统缺陷 | CMA_0427 - 修正信息系统缺陷 | 手动、已禁用 | 1.1.0 |
以安全方式配置和管理系统组件
ID:PCI DSS v4.0 2.2.7,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 实现加密机制 | CMA_C1419 - 实现加密机制 | 手动、已禁用 | 1.1.0 |
以安全方式配置和管理无线环境
ID:PCI DSS v4.0 2.3.1,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 记录并实施无线访问准则 | CMA_0190 - 记录并实施无线访问准则 | 手动、已禁用 | 1.1.0 |
| 标识并验证网络设备 | CMA_0296 - 标识并验证网络设备 | 手动、已禁用 | 1.1.0 |
| 保护无线访问 | CMA_0411 - 保护无线访问 | 手动、已禁用 | 1.1.0 |
以安全方式配置和管理无线环境
ID:PCI DSS v4.0 2.3.2,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 记录并实施无线访问准则 | CMA_0190 - 记录并实施无线访问准则 | 手动、已禁用 | 1.1.0 |
| 标识并验证网络设备 | CMA_0296 - 标识并验证网络设备 | 手动、已禁用 | 1.1.0 |
| 保护无线访问 | CMA_0411 - 保护无线访问 | 手动、已禁用 | 1.1.0 |
要求 03:保护存储的帐户数据
定义和了解适用于保护存储帐户数据的过程和机制
ID:PCI DSS v4.0 3.1.1,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 制定隐私计划 | CMA_0257 - 制定隐私计划 | 手动、已禁用 | 1.1.0 |
| 查看和更新系统和通信保护策略及过程 | CMA_C1616 - 查看和更新系统和通信保护策略及过程 | 手动、已禁用 | 1.1.0 |
| 更新隐私计划、策略和过程 | CMA_C1807 - 更新隐私计划、策略和过程 | 手动、已禁用 | 1.1.0 |
将帐户数据的存储保持在最低程度
ID:PCI DSS v4.0 3.2.1,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 遵守定义的保持期 | CMA_0004 - 遵守定义的保持期 | 手动、已禁用 | 1.1.0 |
| 控制物理访问 | CMA_0081 - 控制物理访问 | 手动、已禁用 | 1.1.0 |
| 阐述处理个人信息的法律依据 | CMA_0206 - 记录处理个人信息的法律依据 | 手动、已禁用 | 1.1.0 |
| 管理数据的输入、输出、处理和存储 | CMA_0369 - 管理数据的输入、输出、处理和存储 | 手动、已禁用 | 1.1.0 |
| 在收集或处理个人数据之前获取同意 | CMA_0385 - 在收集或处理个人数据之前获取同意 | 手动、已禁用 | 1.1.0 |
| 执行处置评审 | CMA_0391 - 执行处置评审 | 手动、已禁用 | 1.1.0 |
| 查看标签活动和分析 | CMA_0474 - 查看标签活动和分析 | 手动、已禁用 | 1.1.0 |
| 在处理结束时验证个人数据是否已删除 | CMA_0540 - 在处理结束时验证个人数据是否已删除 | 手动、已禁用 | 1.1.0 |
授权后不存储敏感的身份验证数据 (SAD)
ID:PCI DSS v4.0 3.3.1,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 遵守定义的保持期 | CMA_0004 - 遵守定义的保持期 | 手动、已禁用 | 1.1.0 |
| 阐述处理个人信息的法律依据 | CMA_0206 - 记录处理个人信息的法律依据 | 手动、已禁用 | 1.1.0 |
| 实施隐私声明传递方法 | CMA_0324 - 实现隐私通知交付方法 | 手动、已禁用 | 1.1.0 |
| 在收集或处理个人数据之前获取同意 | CMA_0385 - 在收集或处理个人数据之前获取同意 | 手动、已禁用 | 1.1.0 |
| 执行处置评审 | CMA_0391 - 执行处置评审 | 手动、已禁用 | 1.1.0 |
| 提供隐私通知 | CMA_0414 - 提供隐私通知 | 手动、已禁用 | 1.1.0 |
| 限制通信 | CMA_0449 - 限制通信 | 手动、已禁用 | 1.1.0 |
| 在处理结束时验证个人数据是否已删除 | CMA_0540 - 在处理结束时验证个人数据是否已删除 | 手动、已禁用 | 1.1.0 |
授权后不存储敏感的身份验证数据 (SAD)
ID:PCI DSS v4.0 3.3.1.1,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 遵守定义的保持期 | CMA_0004 - 遵守定义的保持期 | 手动、已禁用 | 1.1.0 |
| 阐述处理个人信息的法律依据 | CMA_0206 - 记录处理个人信息的法律依据 | 手动、已禁用 | 1.1.0 |
| 实施隐私声明传递方法 | CMA_0324 - 实现隐私通知交付方法 | 手动、已禁用 | 1.1.0 |
| 在收集或处理个人数据之前获取同意 | CMA_0385 - 在收集或处理个人数据之前获取同意 | 手动、已禁用 | 1.1.0 |
| 执行处置评审 | CMA_0391 - 执行处置评审 | 手动、已禁用 | 1.1.0 |
| 提供隐私通知 | CMA_0414 - 提供隐私通知 | 手动、已禁用 | 1.1.0 |
| 限制通信 | CMA_0449 - 限制通信 | 手动、已禁用 | 1.1.0 |
| 在处理结束时验证个人数据是否已删除 | CMA_0540 - 在处理结束时验证个人数据是否已删除 | 手动、已禁用 | 1.1.0 |
授权后不存储敏感的身份验证数据 (SAD)
ID:PCI DSS v4.0 3.3.1.2,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 阐述处理个人信息的法律依据 | CMA_0206 - 记录处理个人信息的法律依据 | 手动、已禁用 | 1.1.0 |
| 实施隐私声明传递方法 | CMA_0324 - 实现隐私通知交付方法 | 手动、已禁用 | 1.1.0 |
| 在收集或处理个人数据之前获取同意 | CMA_0385 - 在收集或处理个人数据之前获取同意 | 手动、已禁用 | 1.1.0 |
| 提供隐私通知 | CMA_0414 - 提供隐私通知 | 手动、已禁用 | 1.1.0 |
| 限制通信 | CMA_0449 - 限制通信 | 手动、已禁用 | 1.1.0 |
授权后不存储敏感的身份验证数据 (SAD)
ID:PCI DSS v4.0 3.3.1.3,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 遵守定义的保持期 | CMA_0004 - 遵守定义的保持期 | 手动、已禁用 | 1.1.0 |
| 阐述处理个人信息的法律依据 | CMA_0206 - 记录处理个人信息的法律依据 | 手动、已禁用 | 1.1.0 |
| 实施隐私声明传递方法 | CMA_0324 - 实现隐私通知交付方法 | 手动、已禁用 | 1.1.0 |
| 在收集或处理个人数据之前获取同意 | CMA_0385 - 在收集或处理个人数据之前获取同意 | 手动、已禁用 | 1.1.0 |
| 执行处置评审 | CMA_0391 - 执行处置评审 | 手动、已禁用 | 1.1.0 |
| 提供隐私通知 | CMA_0414 - 提供隐私通知 | 手动、已禁用 | 1.1.0 |
| 限制通信 | CMA_0449 - 限制通信 | 手动、已禁用 | 1.1.0 |
| 在处理结束时验证个人数据是否已删除 | CMA_0540 - 在处理结束时验证个人数据是否已删除 | 手动、已禁用 | 1.1.0 |
授权后不存储敏感的身份验证数据 (SAD)
ID:PCI DSS v4.0 3.3.2,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 对加密模块进行身份验证 | CMA_0021 - 对加密模块进行身份验证 | 手动、已禁用 | 1.1.0 |
授权后不存储敏感的身份验证数据 (SAD)
ID:PCI DSS v4.0 3.3.3,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 对 Azure 资源拥有所有者权限的帐户应启用 MFA | 为了防止帐户或资源出现违规问题,应为所有拥有所有者权限的订阅帐户启用多重身份验证 (MFA)。 | AuditIfNotExists、Disabled | 1.0.0 |
| 对 Azure 资源拥有写入权限的帐户应启用 MFA | 为了防止帐户或资源出现违规问题,应为所有拥有写入特权的订阅帐户启用多重身份验证 (MFA)。 | AuditIfNotExists、Disabled | 1.0.0 |
| 应该为 SQL 服务器预配 Azure Active Directory 管理员 | 审核确认已为 SQL Server 预配了 Azure Active Directory 管理员以启用 Azure AD 身份验证。 使用 Azure AD 身份验证可以简化权限管理,以及集中化数据库用户和其他 Microsoft 服务的标识管理 | AuditIfNotExists、Disabled | 1.0.0 |
| 审核自定义 RBAC 角色的使用情况 | 审核“所有者、参与者、读者”等内置角色而不是容易出错的自定义 RBAC 角色。 使用自定义角色被视为例外,需要进行严格的审查和威胁建模 | Audit、Disabled | 1.0.1 |
| 对加密模块进行身份验证 | CMA_0021 - 对加密模块进行身份验证 | 手动、已禁用 | 1.1.0 |
| 阐述处理个人信息的法律依据 | CMA_0206 - 记录处理个人信息的法律依据 | 手动、已禁用 | 1.1.0 |
| 应删除对 Azure 资源拥有所有者权限的来宾帐户 | 为了防止发生未受监视的访问,应从订阅中删除拥有所有者权限的外部帐户。 | AuditIfNotExists、Disabled | 1.0.0 |
| 应删除对 Azure 资源拥有读取权限的来宾帐户 | 应从订阅中删除拥有读取特权的外部帐户,以防发生未受监视的访问。 | AuditIfNotExists、Disabled | 1.0.0 |
| 应删除对 Azure 资源拥有写入权限的来宾帐户 | 应从订阅中删除拥有写入特权的外部帐户,以防发生未受监视的访问。 | AuditIfNotExists、Disabled | 1.0.0 |
| 实现隐私通知交付方法 | CMA_0324 - 实现隐私通知交付方法 | 手动、已禁用 | 1.1.0 |
| 在收集或处理个人数据之前获取同意 | CMA_0385 - 在收集或处理个人数据之前获取同意 | 手动、已禁用 | 1.1.0 |
| 提供隐私通知 | CMA_0414 - 提供隐私通知 | 手动、已禁用 | 1.1.0 |
| 限制通信 | CMA_0449 - 限制通信 | 手动、已禁用 | 1.1.0 |
限制对显示完整 PAN 的访问和复制持卡人数据的能力
ID:PCI DSS v4.0 3.4.1,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 实施隐私声明传递方法 | CMA_0324 - 实现隐私通知交付方法 | 手动、已禁用 | 1.1.0 |
| 提供隐私通知 | CMA_0414 - 提供隐私通知 | 手动、已禁用 | 1.1.0 |
| 限制通信 | CMA_0449 - 限制通信 | 手动、已禁用 | 1.1.0 |
限制对显示完整 PAN 的访问和复制持卡人数据的能力
ID:PCI DSS v4.0 3.4.2,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 实施隐私声明传递方法 | CMA_0324 - 实现隐私通知交付方法 | 手动、已禁用 | 1.1.0 |
| 提供隐私通知 | CMA_0414 - 提供隐私通知 | 手动、已禁用 | 1.1.0 |
| 限制通信 | CMA_0449 - 限制通信 | 手动、已禁用 | 1.1.0 |
无论主帐号 (PAN) 存储在何处,都对其进行保护
ID:PCI DSS v4.0 3.5.1,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 只应通过 HTTPS 访问应用服务应用 | 使用 HTTPS 可确保执行服务器/服务身份验证服务,并保护传输中的数据不受网络层窃听攻击威胁。 | 审核、已禁用、拒绝 | 4.0.0 |
| 自动化帐户变量应加密 | 存储敏感数据时,请务必启用自动化帐户变量资产加密 | Audit、Deny、Disabled | 1.1.0 |
| 建立数据泄漏管理过程 | CMA_0255 - 建立数据泄漏管理过程 | 手动、已禁用 | 1.1.0 |
| 只应通过 HTTPS 访问函数应用 | 使用 HTTPS 可确保执行服务器/服务身份验证服务,并保护传输中的数据不受网络层窃听攻击威胁。 | 审核、已禁用、拒绝 | 5.0.0 |
| 实施控制措施来保护所有介质 | CMA_0314 - 实施控制措施来保护所有介质 | 手动、已禁用 | 1.1.0 |
| 只能与 Azure Cache for Redis 建立安全连接 | 审核是否仅启用通过 SSL 来与 Azure Redis 缓存建立连接。 使用安全连接可确保服务器和服务之间的身份验证并保护传输中的数据免受中间人攻击、窃听攻击和会话劫持等网络层攻击 | Audit、Deny、Disabled | 1.0.0 |
| 使用加密保护传输中的数据 | CMA_0403 - 使用加密保护传输中的数据 | 手动、已禁用 | 1.1.0 |
| 保护特殊信息 | CMA_0409 - 保护特殊信息 | 手动、已禁用 | 1.1.0 |
| 应启用安全传输到存储帐户 | 审核存储帐户中安全传输的要求。 安全传输选项会强制存储帐户仅接受来自安全连接 (HTTPS) 的请求。 使用 HTTPS 可确保服务器和服务之间的身份验证并保护传输中的数据免受中间人攻击、窃听和会话劫持等网络层攻击 | Audit、Deny、Disabled | 2.0.0 |
| Service Fabric 群集应将 ClusterProtectionLevel 属性设置为 EncryptAndSign | Service Fabric 使用主要群集证书为节点之间的通信提供三个保护级别(None、Sign 和 EncryptAndSign)。 设置保护级别以确保所有节点到节点消息均已进行加密和数字签名 | Audit、Deny、Disabled | 1.1.0 |
| 应在 SQL 数据库上启用透明数据加密 | 应启用透明数据加密以保护静态数据并满足符合性要求 | AuditIfNotExists、Disabled | 2.0.0 |
无论主帐号 (PAN) 存储在何处,都对其进行保护
ID:PCI DSS v4.0 3.5.1.1,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 建立数据泄漏管理过程 | CMA_0255 - 建立数据泄漏管理过程 | 手动、已禁用 | 1.1.0 |
| 实施控制措施来保护所有介质 | CMA_0314 - 实施控制措施来保护所有介质 | 手动、已禁用 | 1.1.0 |
| 使用加密保护传输中的数据 | CMA_0403 - 使用加密保护传输中的数据 | 手动、已禁用 | 1.1.0 |
| 保护特殊信息 | CMA_0409 - 保护特殊信息 | 手动、已禁用 | 1.1.0 |
无论主帐号 (PAN) 存储在何处,都对其进行保护
ID:PCI DSS v4.0 3.5.1.2,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 建立数据泄漏管理过程 | CMA_0255 - 建立数据泄漏管理过程 | 手动、已禁用 | 1.1.0 |
| 实施控制措施来保护所有介质 | CMA_0314 - 实施控制措施来保护所有介质 | 手动、已禁用 | 1.1.0 |
| 使用加密保护传输中的数据 | CMA_0403 - 使用加密保护传输中的数据 | 手动、已禁用 | 1.1.0 |
| 保护特殊信息 | CMA_0409 - 保护特殊信息 | 手动、已禁用 | 1.1.0 |
无论主帐号 (PAN) 存储在何处,都对其进行保护
ID:PCI DSS v4.0 3.5.1.3,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 建立数据泄漏管理过程 | CMA_0255 - 建立数据泄漏管理过程 | 手动、已禁用 | 1.1.0 |
| 实施控制措施来保护所有介质 | CMA_0314 - 实施控制措施来保护所有介质 | 手动、已禁用 | 1.1.0 |
| 使用加密保护传输中的数据 | CMA_0403 - 使用加密保护传输中的数据 | 手动、已禁用 | 1.1.0 |
| 保护特殊信息 | CMA_0409 - 保护特殊信息 | 手动、已禁用 | 1.1.0 |
保护用于保护已存储帐户数据的加密密钥的安全
ID:PCI DSS v4.0 3.6.1,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 定义物理密钥管理流程 | CMA_0115 - 定义物理密钥管理流程 | 手动、已禁用 | 1.1.0 |
| 定义加密使用 | CMA_0120 - 定义加密使用 | 手动、已禁用 | 1.1.0 |
| 定义加密密钥管理的组织要求 | CMA_0123 - 定义加密密钥管理的组织要求 | 手动、已禁用 | 1.1.0 |
| 确定断言要求 | CMA_0136 - 确定断言要求 | 手动、已禁用 | 1.1.0 |
| 颁发公钥证书 | CMA_0347 - 颁发公钥证书 | 手动、已禁用 | 1.1.0 |
| 管理对称加密密钥 | CMA_0367 - 管理对称加密密钥 | 手动、已禁用 | 1.1.0 |
| 限制对私钥的访问 | CMA_0445 - 限制对私钥的访问权限 | 手动、已禁用 | 1.1.0 |
保护用于保护已存储帐户数据的加密密钥的安全
ID:PCI DSS v4.0 3.6.1.1,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 定义物理密钥管理流程 | CMA_0115 - 定义物理密钥管理流程 | 手动、已禁用 | 1.1.0 |
| 定义加密使用 | CMA_0120 - 定义加密使用 | 手动、已禁用 | 1.1.0 |
| 定义加密密钥管理的组织要求 | CMA_0123 - 定义加密密钥管理的组织要求 | 手动、已禁用 | 1.1.0 |
| 确定断言要求 | CMA_0136 - 确定断言要求 | 手动、已禁用 | 1.1.0 |
| 颁发公钥证书 | CMA_0347 - 颁发公钥证书 | 手动、已禁用 | 1.1.0 |
| 管理对称加密密钥 | CMA_0367 - 管理对称加密密钥 | 手动、已禁用 | 1.1.0 |
| 限制对私钥的访问 | CMA_0445 - 限制对私钥的访问权限 | 手动、已禁用 | 1.1.0 |
保护用于保护已存储帐户数据的加密密钥的安全
ID:PCI DSS v4.0 3.6.1.2,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 定义物理密钥管理流程 | CMA_0115 - 定义物理密钥管理流程 | 手动、已禁用 | 1.1.0 |
| 定义加密使用 | CMA_0120 - 定义加密使用 | 手动、已禁用 | 1.1.0 |
| 定义加密密钥管理的组织要求 | CMA_0123 - 定义加密密钥管理的组织要求 | 手动、已禁用 | 1.1.0 |
| 确定断言要求 | CMA_0136 - 确定断言要求 | 手动、已禁用 | 1.1.0 |
| 颁发公钥证书 | CMA_0347 - 颁发公钥证书 | 手动、已禁用 | 1.1.0 |
| 管理对称加密密钥 | CMA_0367 - 管理对称加密密钥 | 手动、已禁用 | 1.1.0 |
| 生成、控制和分配对称加密密钥 | CMA_C1645 - 生成、控制和分配对称加密密钥 | 手动、已禁用 | 1.1.0 |
| 限制对私钥的访问 | CMA_0445 - 限制对私钥的访问权限 | 手动、已禁用 | 1.1.0 |
保护用于保护已存储帐户数据的加密密钥的安全
ID:PCI DSS v4.0 3.6.1.3,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 定义物理密钥管理流程 | CMA_0115 - 定义物理密钥管理流程 | 手动、已禁用 | 1.1.0 |
| 定义加密使用 | CMA_0120 - 定义加密使用 | 手动、已禁用 | 1.1.0 |
| 定义加密密钥管理的组织要求 | CMA_0123 - 定义加密密钥管理的组织要求 | 手动、已禁用 | 1.1.0 |
| 确定断言要求 | CMA_0136 - 确定断言要求 | 手动、已禁用 | 1.1.0 |
| 颁发公钥证书 | CMA_0347 - 颁发公钥证书 | 手动、已禁用 | 1.1.0 |
| 管理对称加密密钥 | CMA_0367 - 管理对称加密密钥 | 手动、已禁用 | 1.1.0 |
| 限制对私钥的访问 | CMA_0445 - 限制对私钥的访问权限 | 手动、已禁用 | 1.1.0 |
保护用于保护已存储帐户数据的加密密钥的安全
ID:PCI DSS v4.0 3.6.1.4,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 定义物理密钥管理流程 | CMA_0115 - 定义物理密钥管理流程 | 手动、已禁用 | 1.1.0 |
| 定义加密使用 | CMA_0120 - 定义加密使用 | 手动、已禁用 | 1.1.0 |
| 定义加密密钥管理的组织要求 | CMA_0123 - 定义加密密钥管理的组织要求 | 手动、已禁用 | 1.1.0 |
| 确定断言要求 | CMA_0136 - 确定断言要求 | 手动、已禁用 | 1.1.0 |
| 颁发公钥证书 | CMA_0347 - 颁发公钥证书 | 手动、已禁用 | 1.1.0 |
| 管理对称加密密钥 | CMA_0367 - 管理对称加密密钥 | 手动、已禁用 | 1.1.0 |
| 限制对私钥的访问 | CMA_0445 - 限制对私钥的访问权限 | 手动、已禁用 | 1.1.0 |
当使用加密保护存储的帐户数据时,定义并实现涵盖密钥生命周期各个方面的密钥管理流程和过程
ID:PCI DSS v4.0 3.7.1,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 定义物理密钥管理流程 | CMA_0115 - 定义物理密钥管理流程 | 手动、已禁用 | 1.1.0 |
| 定义加密使用 | CMA_0120 - 定义加密使用 | 手动、已禁用 | 1.1.0 |
| 定义加密密钥管理的组织要求 | CMA_0123 - 定义加密密钥管理的组织要求 | 手动、已禁用 | 1.1.0 |
| 确定断言要求 | CMA_0136 - 确定断言要求 | 手动、已禁用 | 1.1.0 |
| 颁发公钥证书 | CMA_0347 - 颁发公钥证书 | 手动、已禁用 | 1.1.0 |
| 管理对称加密密钥 | CMA_0367 - 管理对称加密密钥 | 手动、已禁用 | 1.1.0 |
| 限制对私钥的访问 | CMA_0445 - 限制对私钥的访问权限 | 手动、已禁用 | 1.1.0 |
当使用加密保护存储的帐户数据时,定义并实现涵盖密钥生命周期各个方面的密钥管理流程和过程
ID:PCI DSS v4.0 3.7.2,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 定义物理密钥管理流程 | CMA_0115 - 定义物理密钥管理流程 | 手动、已禁用 | 1.1.0 |
| 定义加密使用 | CMA_0120 - 定义加密使用 | 手动、已禁用 | 1.1.0 |
| 定义加密密钥管理的组织要求 | CMA_0123 - 定义加密密钥管理的组织要求 | 手动、已禁用 | 1.1.0 |
| 确定断言要求 | CMA_0136 - 确定断言要求 | 手动、已禁用 | 1.1.0 |
| 颁发公钥证书 | CMA_0347 - 颁发公钥证书 | 手动、已禁用 | 1.1.0 |
| 管理对称加密密钥 | CMA_0367 - 管理对称加密密钥 | 手动、已禁用 | 1.1.0 |
| 生成、控制和分配对称加密密钥 | CMA_C1645 - 生成、控制和分配对称加密密钥 | 手动、已禁用 | 1.1.0 |
| 限制对私钥的访问 | CMA_0445 - 限制对私钥的访问权限 | 手动、已禁用 | 1.1.0 |
当使用加密保护存储的帐户数据时,定义并实现涵盖密钥生命周期各个方面的密钥管理流程和过程
ID:PCI DSS v4.0 3.7.3,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 定义物理密钥管理流程 | CMA_0115 - 定义物理密钥管理流程 | 手动、已禁用 | 1.1.0 |
| 定义加密使用 | CMA_0120 - 定义加密使用 | 手动、已禁用 | 1.1.0 |
| 定义加密密钥管理的组织要求 | CMA_0123 - 定义加密密钥管理的组织要求 | 手动、已禁用 | 1.1.0 |
| 确定断言要求 | CMA_0136 - 确定断言要求 | 手动、已禁用 | 1.1.0 |
| 颁发公钥证书 | CMA_0347 - 颁发公钥证书 | 手动、已禁用 | 1.1.0 |
| 保持信息的可用性 | CMA_C1644 - 保持信息的可用性 | 手动、已禁用 | 1.1.0 |
| 管理对称加密密钥 | CMA_0367 - 管理对称加密密钥 | 手动、已禁用 | 1.1.0 |
| 生成、控制和分配对称加密密钥 | CMA_C1645 - 生成、控制和分配对称加密密钥 | 手动、已禁用 | 1.1.0 |
| 限制对私钥的访问 | CMA_0445 - 限制对私钥的访问权限 | 手动、已禁用 | 1.1.0 |
当使用加密保护存储的帐户数据时,定义并实现涵盖密钥生命周期各个方面的密钥管理流程和过程
ID:PCI DSS v4.0 3.7.4,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 定义物理密钥管理流程 | CMA_0115 - 定义物理密钥管理流程 | 手动、已禁用 | 1.1.0 |
| 定义加密使用 | CMA_0120 - 定义加密使用 | 手动、已禁用 | 1.1.0 |
| 定义加密密钥管理的组织要求 | CMA_0123 - 定义加密密钥管理的组织要求 | 手动、已禁用 | 1.1.0 |
| 确定断言要求 | CMA_0136 - 确定断言要求 | 手动、已禁用 | 1.1.0 |
| 颁发公钥证书 | CMA_0347 - 颁发公钥证书 | 手动、已禁用 | 1.1.0 |
| 管理对称加密密钥 | CMA_0367 - 管理对称加密密钥 | 手动、已禁用 | 1.1.0 |
| 限制对私钥的访问 | CMA_0445 - 限制对私钥的访问权限 | 手动、已禁用 | 1.1.0 |
当使用加密保护存储的帐户数据时,定义并实现涵盖密钥生命周期各个方面的密钥管理流程和过程
ID:PCI DSS v4.0 3.7.5,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 定义物理密钥管理流程 | CMA_0115 - 定义物理密钥管理流程 | 手动、已禁用 | 1.1.0 |
| 定义加密使用 | CMA_0120 - 定义加密使用 | 手动、已禁用 | 1.1.0 |
| 定义加密密钥管理的组织要求 | CMA_0123 - 定义加密密钥管理的组织要求 | 手动、已禁用 | 1.1.0 |
| 确定断言要求 | CMA_0136 - 确定断言要求 | 手动、已禁用 | 1.1.0 |
| 颁发公钥证书 | CMA_0347 - 颁发公钥证书 | 手动、已禁用 | 1.1.0 |
| 管理对称加密密钥 | CMA_0367 - 管理对称加密密钥 | 手动、已禁用 | 1.1.0 |
| 限制对私钥的访问 | CMA_0445 - 限制对私钥的访问权限 | 手动、已禁用 | 1.1.0 |
当使用加密保护存储的帐户数据时,定义并实现涵盖密钥生命周期各个方面的密钥管理流程和过程
ID:PCI DSS v4.0 3.7.6,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 定义物理密钥管理流程 | CMA_0115 - 定义物理密钥管理流程 | 手动、已禁用 | 1.1.0 |
| 定义加密使用 | CMA_0120 - 定义加密使用 | 手动、已禁用 | 1.1.0 |
| 定义加密密钥管理的组织要求 | CMA_0123 - 定义加密密钥管理的组织要求 | 手动、已禁用 | 1.1.0 |
| 确定断言要求 | CMA_0136 - 确定断言要求 | 手动、已禁用 | 1.1.0 |
| 颁发公钥证书 | CMA_0347 - 颁发公钥证书 | 手动、已禁用 | 1.1.0 |
| 管理对称加密密钥 | CMA_0367 - 管理对称加密密钥 | 手动、已禁用 | 1.1.0 |
| 限制对私钥的访问 | CMA_0445 - 限制对私钥的访问权限 | 手动、已禁用 | 1.1.0 |
当使用加密保护存储的帐户数据时,定义并实现涵盖密钥生命周期各个方面的密钥管理流程和过程
ID:PCI DSS v4.0 3.7.7,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 定义物理密钥管理流程 | CMA_0115 - 定义物理密钥管理流程 | 手动、已禁用 | 1.1.0 |
| 定义加密使用 | CMA_0120 - 定义加密使用 | 手动、已禁用 | 1.1.0 |
| 定义加密密钥管理的组织要求 | CMA_0123 - 定义加密密钥管理的组织要求 | 手动、已禁用 | 1.1.0 |
| 确定断言要求 | CMA_0136 - 确定断言要求 | 手动、已禁用 | 1.1.0 |
| 颁发公钥证书 | CMA_0347 - 颁发公钥证书 | 手动、已禁用 | 1.1.0 |
| 管理对称加密密钥 | CMA_0367 - 管理对称加密密钥 | 手动、已禁用 | 1.1.0 |
| 限制对私钥的访问 | CMA_0445 - 限制对私钥的访问权限 | 手动、已禁用 | 1.1.0 |
当使用加密保护存储的帐户数据时,定义并实现涵盖密钥生命周期各个方面的密钥管理流程和过程
ID:PCI DSS v4.0 3.7.8,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 定义物理密钥管理流程 | CMA_0115 - 定义物理密钥管理流程 | 手动、已禁用 | 1.1.0 |
| 定义加密使用 | CMA_0120 - 定义加密使用 | 手动、已禁用 | 1.1.0 |
| 定义加密密钥管理的组织要求 | CMA_0123 - 定义加密密钥管理的组织要求 | 手动、已禁用 | 1.1.0 |
| 确定断言要求 | CMA_0136 - 确定断言要求 | 手动、已禁用 | 1.1.0 |
| 颁发公钥证书 | CMA_0347 - 颁发公钥证书 | 手动、已禁用 | 1.1.0 |
| 管理对称加密密钥 | CMA_0367 - 管理对称加密密钥 | 手动、已禁用 | 1.1.0 |
| 限制对私钥的访问 | CMA_0445 - 限制对私钥的访问权限 | 手动、已禁用 | 1.1.0 |
当使用加密保护存储的帐户数据时,定义并实现涵盖密钥生命周期各个方面的密钥管理流程和过程
ID:PCI DSS v4.0 3.7.9,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 定义物理密钥管理流程 | CMA_0115 - 定义物理密钥管理流程 | 手动、已禁用 | 1.1.0 |
| 定义加密使用 | CMA_0120 - 定义加密使用 | 手动、已禁用 | 1.1.0 |
| 定义加密密钥管理的组织要求 | CMA_0123 - 定义加密密钥管理的组织要求 | 手动、已禁用 | 1.1.0 |
| 确定断言要求 | CMA_0136 - 确定断言要求 | 手动、已禁用 | 1.1.0 |
| 颁发公钥证书 | CMA_0347 - 颁发公钥证书 | 手动、已禁用 | 1.1.0 |
| 管理对称加密密钥 | CMA_0367 - 管理对称加密密钥 | 手动、已禁用 | 1.1.0 |
| 限制对私钥的访问 | CMA_0445 - 限制对私钥的访问权限 | 手动、已禁用 | 1.1.0 |
要求 04:在通过开放的公用网络传输期间使用强加密保护持卡人数据
定义并记录在通过开放公用网络传输期间使用强加密保护持卡人数据的流程和机制
ID:PCI DSS v4.0 4.1.1,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 查看和更新系统和通信保护策略及过程 | CMA_C1616 - 查看和更新系统和通信保护策略及过程 | 手动、已禁用 | 1.1.0 |
在传输过程中,使用强加密保护 PAN
ID:PCI DSS v4.0 4.2.1,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 配置工作站以检查数字证书 | CMA_0073 - 配置工作站以检查数字证书 | 手动、已禁用 | 1.1.0 |
| 定义物理密钥管理流程 | CMA_0115 - 定义物理密钥管理流程 | 手动、已禁用 | 1.1.0 |
| 定义加密使用 | CMA_0120 - 定义加密使用 | 手动、已禁用 | 1.1.0 |
| 定义加密密钥管理的组织要求 | CMA_0123 - 定义加密密钥管理的组织要求 | 手动、已禁用 | 1.1.0 |
| 确定断言要求 | CMA_0136 - 确定断言要求 | 手动、已禁用 | 1.1.0 |
| 颁发公钥证书 | CMA_0347 - 颁发公钥证书 | 手动、已禁用 | 1.1.0 |
| 管理对称加密密钥 | CMA_0367 - 管理对称加密密钥 | 手动、已禁用 | 1.1.0 |
| 生成、控制和分配非对称加密密钥 | CMA_C1646 - 生成、控制和分配非对称加密密钥 | 手动、已禁用 | 1.1.0 |
| 生成、控制和分配对称加密密钥 | CMA_C1645 - 生成、控制和分配对称加密密钥 | 手动、已禁用 | 1.1.0 |
| 使用加密保护传输中的数据 | CMA_0403 - 使用加密保护传输中的数据 | 手动、已禁用 | 1.1.0 |
| 使用加密保护密码 | CMA_0408 - 使用加密保护密码 | 手动、已禁用 | 1.1.0 |
| 限制对私钥的访问 | CMA_0445 - 限制对私钥的访问权限 | 手动、已禁用 | 1.1.0 |
在传输过程中,使用强加密保护 PAN
ID:PCI DSS v4.0 4.2.1.1,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 定义物理密钥管理流程 | CMA_0115 - 定义物理密钥管理流程 | 手动、已禁用 | 1.1.0 |
| 定义加密使用 | CMA_0120 - 定义加密使用 | 手动、已禁用 | 1.1.0 |
| 定义加密密钥管理的组织要求 | CMA_0123 - 定义加密密钥管理的组织要求 | 手动、已禁用 | 1.1.0 |
| 确定断言要求 | CMA_0136 - 确定断言要求 | 手动、已禁用 | 1.1.0 |
| 颁发公钥证书 | CMA_0347 - 颁发公钥证书 | 手动、已禁用 | 1.1.0 |
| 保持信息的可用性 | CMA_C1644 - 保持信息的可用性 | 手动、已禁用 | 1.1.0 |
| 管理对称加密密钥 | CMA_0367 - 管理对称加密密钥 | 手动、已禁用 | 1.1.0 |
| 限制对私钥的访问 | CMA_0445 - 限制对私钥的访问权限 | 手动、已禁用 | 1.1.0 |
在传输过程中,使用强加密保护 PAN
ID:PCI DSS v4.0 4.2.1.2,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 记录并实施无线访问准则 | CMA_0190 - 记录并实施无线访问准则 | 手动、已禁用 | 1.1.0 |
| 标识并验证网络设备 | CMA_0296 - 标识并验证网络设备 | 手动、已禁用 | 1.1.0 |
| 保护无线访问 | CMA_0411 - 保护无线访问 | 手动、已禁用 | 1.1.0 |
在传输过程中,使用强加密保护 PAN
ID:PCI DSS v4.0 4.2.2,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 配置工作站以检查数字证书 | CMA_0073 - 配置工作站以检查数字证书 | 手动、已禁用 | 1.1.0 |
| 使用加密保护传输中的数据 | CMA_0403 - 使用加密保护传输中的数据 | 手动、已禁用 | 1.1.0 |
| 使用加密保护密码 | CMA_0408 - 使用加密保护密码 | 手动、已禁用 | 1.1.0 |
要求 05:保护所有系统和网络免受恶意软件侵害
定义和了解保护所有系统和网络免受恶意软件侵害的流程和机制
ID:PCI DSS v4.0 5.1.1,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 查看和更新信息完整性策略及过程 | CMA_C1667 - 查看和更新信息完整性策略及过程 | 手动、已禁用 | 1.1.0 |
阻止或检测和解决恶意软件
ID:PCI DSS v4.0 5.2.1,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 应在虚拟机上启用漏洞评估解决方案 | 审核虚拟机以检测其是否正在运行受支持的漏洞评估解决方案。 每个网络风险和安全计划的核心部分都是识别和分析漏洞。 Azure 安全中心的标准定价层包括对虚拟机进行漏洞扫描,无需额外付费。 此外,安全中心可以自动为你部署此工具。 | AuditIfNotExists、Disabled | 3.0.0 |
| 阻止从 USB 运行不受信任和未签名的进程 | CMA_0050 - 阻止从 USB 运行的不受信任和未签名的进程 | 手动、已禁用 | 1.1.0 |
| 管理网关 | CMA_0363 - 管理网关 | 手动、已禁用 | 1.1.0 |
| 监视 Azure 安全中心 Endpoint Protection 的缺失情况 | 建议通过 Azure 安全中心监视未安装 Endpoint Protection 代理的服务器 | AuditIfNotExists、Disabled | 3.0.0 |
| 对威胁执行趋势分析 | CMA_0389 - 对威胁执行趋势分析 | 手动、已禁用 | 1.1.0 |
| 执行漏洞扫描 | CMA_0393 - 执行漏洞扫描 | 手动、已禁用 | 1.1.0 |
| 每周查看恶意软件检测报告 | CMA_0475 - 每周查看恶意软件检测报告 | 手动、已禁用 | 1.1.0 |
| 每周查看威胁防护状态 | CMA_0479 - 每周查看威胁防护状态 | 手动、已禁用 | 1.1.0 |
| SQL 数据库应已解决漏洞结果 | 监视漏洞评估扫描结果,并提供有关如何消除数据库漏洞的建议。 | AuditIfNotExists、Disabled | 4.1.0 |
| 应在计算机上安装系统更新 | 建议通过 Azure 安全中心监视服务器上缺失的安全系统更新 | AuditIfNotExists、Disabled | 4.0.0 |
| 更新防病毒定义 | CMA_0517 - 更新防病毒定义 | 手动、已禁用 | 1.1.0 |
| 应修复计算机上安全配置中的漏洞 | 建议通过 Azure 安全中心监视不满足配置的基线的服务器 | AuditIfNotExists、Disabled | 3.1.0 |
阻止或检测和解决恶意软件
ID:PCI DSS v4.0 5.2.2,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 应在虚拟机上启用漏洞评估解决方案 | 审核虚拟机以检测其是否正在运行受支持的漏洞评估解决方案。 每个网络风险和安全计划的核心部分都是识别和分析漏洞。 Azure 安全中心的标准定价层包括对虚拟机进行漏洞扫描,无需额外付费。 此外,安全中心可以自动为你部署此工具。 | AuditIfNotExists、Disabled | 3.0.0 |
| 阻止从 USB 运行不受信任和未签名的进程 | CMA_0050 - 阻止从 USB 运行的不受信任和未签名的进程 | 手动、已禁用 | 1.1.0 |
| 管理网关 | CMA_0363 - 管理网关 | 手动、已禁用 | 1.1.0 |
| 监视 Azure 安全中心 Endpoint Protection 的缺失情况 | 建议通过 Azure 安全中心监视未安装 Endpoint Protection 代理的服务器 | AuditIfNotExists、Disabled | 3.0.0 |
| 对威胁执行趋势分析 | CMA_0389 - 对威胁执行趋势分析 | 手动、已禁用 | 1.1.0 |
| 执行漏洞扫描 | CMA_0393 - 执行漏洞扫描 | 手动、已禁用 | 1.1.0 |
| 每周查看恶意软件检测报告 | CMA_0475 - 每周查看恶意软件检测报告 | 手动、已禁用 | 1.1.0 |
| 每周查看威胁防护状态 | CMA_0479 - 每周查看威胁防护状态 | 手动、已禁用 | 1.1.0 |
| SQL 数据库应已解决漏洞结果 | 监视漏洞评估扫描结果,并提供有关如何消除数据库漏洞的建议。 | AuditIfNotExists、Disabled | 4.1.0 |
| 应在计算机上安装系统更新 | 建议通过 Azure 安全中心监视服务器上缺失的安全系统更新 | AuditIfNotExists、Disabled | 4.0.0 |
| 更新防病毒定义 | CMA_0517 - 更新防病毒定义 | 手动、已禁用 | 1.1.0 |
| 应修复计算机上安全配置中的漏洞 | 建议通过 Azure 安全中心监视不满足配置的基线的服务器 | AuditIfNotExists、Disabled | 3.1.0 |
阻止或检测和解决恶意软件
ID:PCI DSS v4.0 5.2.3,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 应在虚拟机上启用漏洞评估解决方案 | 审核虚拟机以检测其是否正在运行受支持的漏洞评估解决方案。 每个网络风险和安全计划的核心部分都是识别和分析漏洞。 Azure 安全中心的标准定价层包括对虚拟机进行漏洞扫描,无需额外付费。 此外,安全中心可以自动为你部署此工具。 | AuditIfNotExists、Disabled | 3.0.0 |
| 阻止从 USB 运行不受信任和未签名的进程 | CMA_0050 - 阻止从 USB 运行的不受信任和未签名的进程 | 手动、已禁用 | 1.1.0 |
| 管理网关 | CMA_0363 - 管理网关 | 手动、已禁用 | 1.1.0 |
| 监视 Azure 安全中心 Endpoint Protection 的缺失情况 | 建议通过 Azure 安全中心监视未安装 Endpoint Protection 代理的服务器 | AuditIfNotExists、Disabled | 3.0.0 |
| 对威胁执行趋势分析 | CMA_0389 - 对威胁执行趋势分析 | 手动、已禁用 | 1.1.0 |
| 执行漏洞扫描 | CMA_0393 - 执行漏洞扫描 | 手动、已禁用 | 1.1.0 |
| 每周查看恶意软件检测报告 | CMA_0475 - 每周查看恶意软件检测报告 | 手动、已禁用 | 1.1.0 |
| 每周查看威胁防护状态 | CMA_0479 - 每周查看威胁防护状态 | 手动、已禁用 | 1.1.0 |
| SQL 数据库应已解决漏洞结果 | 监视漏洞评估扫描结果,并提供有关如何消除数据库漏洞的建议。 | AuditIfNotExists、Disabled | 4.1.0 |
| 应在计算机上安装系统更新 | 建议通过 Azure 安全中心监视服务器上缺失的安全系统更新 | AuditIfNotExists、Disabled | 4.0.0 |
| 更新防病毒定义 | CMA_0517 - 更新防病毒定义 | 手动、已禁用 | 1.1.0 |
| 应修复计算机上安全配置中的漏洞 | 建议通过 Azure 安全中心监视不满足配置的基线的服务器 | AuditIfNotExists、Disabled | 3.1.0 |
阻止或检测和解决恶意软件
ID:PCI DSS v4.0 5.2.3.1,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 执行风险评估 | CMA_C1543 - 执行风险评估 | 手动、已禁用 | 1.1.0 |
| 执行风险评估并记录其结果 | CMA_C1542 - 执行风险评估并记录其结果 | 手动、已禁用 | 1.1.0 |
| 执行风险评估 | CMA_0388 - 执行风险评估 | 手动、已禁用 | 1.1.0 |
反恶意软件机制和进程处于活动、维护和监视状态
ID:PCI DSS v4.0 5.3.1,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 阻止从 USB 运行不受信任和未签名的进程 | CMA_0050 - 阻止从 USB 运行的不受信任和未签名的进程 | 手动、已禁用 | 1.1.0 |
| 管理网关 | CMA_0363 - 管理网关 | 手动、已禁用 | 1.1.0 |
| 对威胁执行趋势分析 | CMA_0389 - 对威胁执行趋势分析 | 手动、已禁用 | 1.1.0 |
| 执行漏洞扫描 | CMA_0393 - 执行漏洞扫描 | 手动、已禁用 | 1.1.0 |
| 每周查看恶意软件检测报告 | CMA_0475 - 每周查看恶意软件检测报告 | 手动、已禁用 | 1.1.0 |
| 更新防病毒定义 | CMA_0517 - 更新防病毒定义 | 手动、已禁用 | 1.1.0 |
反恶意软件机制和进程处于活动、维护和监视状态
ID:PCI DSS v4.0 5.3.3,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 阻止从 USB 运行不受信任和未签名的进程 | CMA_0050 - 阻止从 USB 运行的不受信任和未签名的进程 | 手动、已禁用 | 1.1.0 |
| 管理网关 | CMA_0363 - 管理网关 | 手动、已禁用 | 1.1.0 |
| 对威胁执行趋势分析 | CMA_0389 - 对威胁执行趋势分析 | 手动、已禁用 | 1.1.0 |
| 执行漏洞扫描 | CMA_0393 - 执行漏洞扫描 | 手动、已禁用 | 1.1.0 |
| 每周查看恶意软件检测报告 | CMA_0475 - 每周查看恶意软件检测报告 | 手动、已禁用 | 1.1.0 |
| 每周查看威胁防护状态 | CMA_0479 - 每周查看威胁防护状态 | 手动、已禁用 | 1.1.0 |
| 更新防病毒定义 | CMA_0517 - 更新防病毒定义 | 手动、已禁用 | 1.1.0 |
反恶意软件机制和进程处于活动、维护和监视状态
ID:PCI DSS v4.0 5.3.4,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 遵守定义的保持期 | CMA_0004 - 遵守定义的保持期 | 手动、已禁用 | 1.1.0 |
| 确定可审核的事件 | CMA_0137 - 确定可审核的事件 | 手动、已禁用 | 1.1.0 |
| 保留安全策略和过程 | CMA_0454 - 保留安全策略和过程 | 手动、已禁用 | 1.1.0 |
| 保留终止的用户数据 | CMA_0455 - 保留终止的用户数据 | 手动、已禁用 | 1.1.0 |
反恶意软件机制和进程处于活动、维护和监视状态
ID:PCI DSS v4.0 5.3.5,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 执行安全影响分析 | CMA_0057 - 执行安全影响分析 | 手动、已禁用 | 1.1.0 |
| 制定和维护漏洞管理标准 | CMA_0152 - 制定和维护漏洞管理标准 | 手动、已禁用 | 1.1.0 |
| 建立风险管理策略 | CMA_0258 - 建立风险管理策略 | 手动、已禁用 | 1.1.0 |
| 建立并记录更改控制流程 | CMA_0265 - 建立并记录更改控制流程 | 手动、已禁用 | 1.1.0 |
| 为开发人员建立配置管理要求 | CMA_0270 - 为开发人员设定配置管理要求 | 手动、已禁用 | 1.1.0 |
| 执行隐私影响评估 | CMA_0387 - 执行隐私影响评估 | 手动、已禁用 | 1.1.0 |
| 执行风险评估 | CMA_0388 - 执行风险评估 | 手动、已禁用 | 1.1.0 |
| 对配置更改控制执行审核 | CMA_0390 - 对配置变更控制执行审核 | 手动、已禁用 | 1.1.0 |
反钓鱼机制可保护用户免受钓鱼攻击
ID:PCI DSS v4.0 5.4.1,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 阻止从 USB 运行不受信任和未签名的进程 | CMA_0050 - 阻止从 USB 运行的不受信任和未签名的进程 | 手动、已禁用 | 1.1.0 |
| 管理网关 | CMA_0363 - 管理网关 | 手动、已禁用 | 1.1.0 |
| 对威胁执行趋势分析 | CMA_0389 - 对威胁执行趋势分析 | 手动、已禁用 | 1.1.0 |
| 执行漏洞扫描 | CMA_0393 - 执行漏洞扫描 | 手动、已禁用 | 1.1.0 |
| 每周查看恶意软件检测报告 | CMA_0475 - 每周查看恶意软件检测报告 | 手动、已禁用 | 1.1.0 |
| 每周查看威胁防护状态 | CMA_0479 - 每周查看威胁防护状态 | 手动、已禁用 | 1.1.0 |
| 更新防病毒定义 | CMA_0517 - 更新防病毒定义 | 手动、已禁用 | 1.1.0 |
要求 06:开发和维护安全系统及软件
定义和了解适用于开发和维护安全系统及软件的过程和机制
ID:PCI DSS v4.0 6.1.1,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 查看和更新配置管理策略和过程 | CMA_C1175 - 查看和更新配置管理策略和过程 | 手动、已禁用 | 1.1.0 |
| 查看和更新系统和服务采购政策和过程 | CMA_C1560 - 查看和更新系统和服务采购政策和过程 | 手动、已禁用 | 1.1.0 |
以安全方式开发 Bespoke 和自定义软件
ID:PCI DSS v4.0 6.2.2,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 定期提供基于角色的安全训练 | CMA_C1095 - 定期提供基于角色的安全训练 | 手动、已禁用 | 1.1.0 |
| 在提供访问权限之前提供安全培训 | CMA_0418 - 在提供访问权限之前提供安全培训 | 手动、已禁用 | 1.1.0 |
以安全方式开发 Bespoke 和自定义软件
ID:PCI DSS v4.0 6.2.3.1,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 个人的独立职责 | CMA_0492 - 个人的独立职责 | 手动、已禁用 | 1.1.0 |
以安全方式开发 Bespoke 和自定义软件
ID:PCI DSS v4.0 6.2.4,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 只应通过 HTTPS 访问应用服务应用 | 使用 HTTPS 可确保执行服务器/服务身份验证服务,并保护传输中的数据不受网络层窃听攻击威胁。 | 审核、已禁用、拒绝 | 4.0.0 |
| 自动化帐户变量应加密 | 存储敏感数据时,请务必启用自动化帐户变量资产加密 | Audit、Deny、Disabled | 1.1.0 |
| 只应通过 HTTPS 访问函数应用 | 使用 HTTPS 可确保执行服务器/服务身份验证服务,并保护传输中的数据不受网络层窃听攻击威胁。 | 审核、已禁用、拒绝 | 5.0.0 |
| 只能与 Azure Cache for Redis 建立安全连接 | 审核是否仅启用通过 SSL 来与 Azure Redis 缓存建立连接。 使用安全连接可确保服务器和服务之间的身份验证并保护传输中的数据免受中间人攻击、窃听攻击和会话劫持等网络层攻击 | Audit、Deny、Disabled | 1.0.0 |
| 应启用安全传输到存储帐户 | 审核存储帐户中安全传输的要求。 安全传输选项会强制存储帐户仅接受来自安全连接 (HTTPS) 的请求。 使用 HTTPS 可确保服务器和服务之间的身份验证并保护传输中的数据免受中间人攻击、窃听和会话劫持等网络层攻击 | Audit、Deny、Disabled | 2.0.0 |
| Service Fabric 群集应将 ClusterProtectionLevel 属性设置为 EncryptAndSign | Service Fabric 使用主要群集证书为节点之间的通信提供三个保护级别(None、Sign 和 EncryptAndSign)。 设置保护级别以确保所有节点到节点消息均已进行加密和数字签名 | Audit、Deny、Disabled | 1.1.0 |
| 应在 SQL 数据库上启用透明数据加密 | 应启用透明数据加密以保护静态数据并满足符合性要求 | AuditIfNotExists、Disabled | 2.0.0 |
识别并解决安全漏洞
ID:PCI DSS v4.0 6.3.1,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 向人员传播安全警报 | CMA_C1705 - 向人员传播安全警报 | 手动、已禁用 | 1.1.0 |
| 建立威胁情报计划 | CMA_0260 - 建立威胁情报计划 | 手动、已禁用 | 1.1.0 |
| 实现安全指令 | CMA_C1706 - 实现安全指令 | 手动、已禁用 | 1.1.0 |
| 修正信息系统缺陷 | CMA_0427 - 修正信息系统缺陷 | 手动、已禁用 | 1.1.0 |
识别并解决安全漏洞
ID:PCI DSS v4.0 6.3.2,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 获取管理员文档 | CMA_C1580 - 获取管理员文档 | 手动、已禁用 | 1.1.0 |
识别并解决安全漏洞
ID:PCI DSS v4.0 6.3.3,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 应在虚拟机上启用漏洞评估解决方案 | 审核虚拟机以检测其是否正在运行受支持的漏洞评估解决方案。 每个网络风险和安全计划的核心部分都是识别和分析漏洞。 Azure 安全中心的标准定价层包括对虚拟机进行漏洞扫描,无需额外付费。 此外,安全中心可以自动为你部署此工具。 | AuditIfNotExists、Disabled | 3.0.0 |
| 监视 Azure 安全中心 Endpoint Protection 的缺失情况 | 建议通过 Azure 安全中心监视未安装 Endpoint Protection 代理的服务器 | AuditIfNotExists、Disabled | 3.0.0 |
| SQL 数据库应已解决漏洞结果 | 监视漏洞评估扫描结果,并提供有关如何消除数据库漏洞的建议。 | AuditIfNotExists、Disabled | 4.1.0 |
| 应在计算机上安装系统更新 | 建议通过 Azure 安全中心监视服务器上缺失的安全系统更新 | AuditIfNotExists、Disabled | 4.0.0 |
| 应修复计算机上安全配置中的漏洞 | 建议通过 Azure 安全中心监视不满足配置的基线的服务器 | AuditIfNotExists、Disabled | 3.1.0 |
保护面向公众的 Web 应用程序免受攻击
ID:PCI DSS v4.0 6.4.1,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 应在虚拟机上启用漏洞评估解决方案 | 审核虚拟机以检测其是否正在运行受支持的漏洞评估解决方案。 每个网络风险和安全计划的核心部分都是识别和分析漏洞。 Azure 安全中心的标准定价层包括对虚拟机进行漏洞扫描,无需额外付费。 此外,安全中心可以自动为你部署此工具。 | AuditIfNotExists、Disabled | 3.0.0 |
| 监视 Azure 安全中心 Endpoint Protection 的缺失情况 | 建议通过 Azure 安全中心监视未安装 Endpoint Protection 代理的服务器 | AuditIfNotExists、Disabled | 3.0.0 |
| 执行漏洞扫描 | CMA_0393 - 执行漏洞扫描 | 手动、已禁用 | 1.1.0 |
| 修正信息系统缺陷 | CMA_0427 - 修正信息系统缺陷 | 手动、已禁用 | 1.1.0 |
| SQL 数据库应已解决漏洞结果 | 监视漏洞评估扫描结果,并提供有关如何消除数据库漏洞的建议。 | AuditIfNotExists、Disabled | 4.1.0 |
| 应在计算机上安装系统更新 | 建议通过 Azure 安全中心监视服务器上缺失的安全系统更新 | AuditIfNotExists、Disabled | 4.0.0 |
| 应修复计算机上安全配置中的漏洞 | 建议通过 Azure 安全中心监视不满足配置的基线的服务器 | AuditIfNotExists、Disabled | 3.1.0 |
保护面向公众的 Web 应用程序免受攻击
ID:PCI DSS v4.0 6.4.3,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 验证软件、固件和信息完整性 | CMA_0542 - 验证软件、固件和信息完整性 | 手动、已禁用 | 1.1.0 |
| 查看并配置系统诊断数据 | CMA_0544 - 查看并配置系统诊断数据 | 手动、已禁用 | 1.1.0 |
安全管理对所有系统组件进行的更改
ID:PCI DSS v4.0 6.5.1,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 执行安全影响分析 | CMA_0057 - 执行安全影响分析 | 手动、已禁用 | 1.1.0 |
| 制定和维护漏洞管理标准 | CMA_0152 - 制定和维护漏洞管理标准 | 手动、已禁用 | 1.1.0 |
| 建立风险管理策略 | CMA_0258 - 建立风险管理策略 | 手动、已禁用 | 1.1.0 |
| 建立并记录更改控制流程 | CMA_0265 - 建立并记录更改控制流程 | 手动、已禁用 | 1.1.0 |
| 为开发人员建立配置管理要求 | CMA_0270 - 为开发人员设定配置管理要求 | 手动、已禁用 | 1.1.0 |
| 执行隐私影响评估 | CMA_0387 - 执行隐私影响评估 | 手动、已禁用 | 1.1.0 |
| 执行风险评估 | CMA_0388 - 执行风险评估 | 手动、已禁用 | 1.1.0 |
| 对配置更改控制执行审核 | CMA_0390 - 对配置变更控制执行审核 | 手动、已禁用 | 1.1.0 |
安全管理对所有系统组件进行的更改
ID:PCI DSS v4.0 6.5.2,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 要求开发人员管理更改完整性 | CMA_C1595 - 要求开发人员管理更改完整性 | 手动、已禁用 | 1.1.0 |
安全管理对所有系统组件进行的更改
ID:PCI DSS v4.0 6.5.3,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 执行安全影响分析 | CMA_0057 - 执行安全影响分析 | 手动、已禁用 | 1.1.0 |
| 建立并记录更改控制流程 | CMA_0265 - 建立并记录更改控制流程 | 手动、已禁用 | 1.1.0 |
| 为开发人员建立配置管理要求 | CMA_0270 - 为开发人员设定配置管理要求 | 手动、已禁用 | 1.1.0 |
| 限制在生产环境中进行更改的特权 | CMA_C1206 - 限制在生产环境中进行更改的特权 | 手动、已禁用 | 1.1.0 |
| 执行隐私影响评估 | CMA_0387 - 执行隐私影响评估 | 手动、已禁用 | 1.1.0 |
| 对配置更改控制执行审核 | CMA_0390 - 对配置变更控制执行审核 | 手动、已禁用 | 1.1.0 |
安全管理对所有系统组件进行的更改
ID:PCI DSS v4.0 6.5.4,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 执行安全影响分析 | CMA_0057 - 执行安全影响分析 | 手动、已禁用 | 1.1.0 |
| 建立并记录更改控制流程 | CMA_0265 - 建立并记录更改控制流程 | 手动、已禁用 | 1.1.0 |
| 为开发人员建立配置管理要求 | CMA_0270 - 为开发人员设定配置管理要求 | 手动、已禁用 | 1.1.0 |
| 限制在生产环境中进行更改的特权 | CMA_C1206 - 限制在生产环境中进行更改的特权 | 手动、已禁用 | 1.1.0 |
| 执行隐私影响评估 | CMA_0387 - 执行隐私影响评估 | 手动、已禁用 | 1.1.0 |
| 对配置更改控制执行审核 | CMA_0390 - 对配置变更控制执行审核 | 手动、已禁用 | 1.1.0 |
安全管理对所有系统组件进行的更改
ID:PCI DSS v4.0 6.5.5,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 在研究处理中合并安全和数据隐私做法 | CMA_0331 - 在研究处理中合并安全和数据隐私做法 | 手动、已禁用 | 1.1.0 |
安全管理对所有系统组件进行的更改
ID:PCI DSS v4.0 6.5.6,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 执行安全影响分析 | CMA_0057 - 执行安全影响分析 | 手动、已禁用 | 1.1.0 |
| 建立并记录更改控制流程 | CMA_0265 - 建立并记录更改控制流程 | 手动、已禁用 | 1.1.0 |
| 为开发人员建立配置管理要求 | CMA_0270 - 为开发人员设定配置管理要求 | 手动、已禁用 | 1.1.0 |
| 执行隐私影响评估 | CMA_0387 - 执行隐私影响评估 | 手动、已禁用 | 1.1.0 |
| 对配置更改控制执行审核 | CMA_0390 - 对配置变更控制执行审核 | 手动、已禁用 | 1.1.0 |
要求 07:按业务须知限制访问系统组件和持卡人数据
定义和了解按业务须知限制访问系统组件和持卡人数据的流程和机制
ID:PCI DSS v4.0 7.1.1,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 制定访问控制策略和过程 | CMA_0144 - 制定访问控制策略和过程 | 手动、已禁用 | 1.1.0 |
| 强制实施强制和自主访问控制策略 | CMA_0246 - 强制实施强制和自主访问控制策略 | 手动、已禁用 | 1.1.0 |
| 治理策略和过程 | CMA_0292 - 治理策略和过程 | 手动、已禁用 | 1.1.0 |
| 查看访问控制策略和过程 | CMA_0457 - 查看访问控制策略和过程 | 手动、已禁用 | 1.1.0 |
定义和了解按业务须知限制访问系统组件和持卡人数据的流程和机制
ID:PCI DSS v4.0 7.1.2,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 制定访问控制策略和过程 | CMA_0144 - 制定访问控制策略和过程 | 手动、已禁用 | 1.1.0 |
| 强制实施强制和自主访问控制策略 | CMA_0246 - 强制实施强制和自主访问控制策略 | 手动、已禁用 | 1.1.0 |
| 治理策略和过程 | CMA_0292 - 治理策略和过程 | 手动、已禁用 | 1.1.0 |
适当定义和分配对系统组件和数据的访问权限
ID:PCI DSS v4.0 7.2.1,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 只多只为订阅指定 3 个所有者 | 建议最多指定 3 个订阅所有者,以减少可能出现的已遭入侵的所有者做出的违规行为。 | AuditIfNotExists、Disabled | 3.0.0 |
| 授权访问安全性函数和信息 | CMA_0022 - 授权访问安全性函数和信息 | 手动、已禁用 | 1.1.0 |
| 授权和管理访问权限 | CMA_0023 - 授权和管理访问权限 | 手动、已禁用 | 1.1.0 |
| 设计访问控制模型 | CMA_0129 - 设计访问控制模型 | 手动、已禁用 | 1.1.0 |
| 采用最小特权访问 | CMA_0212 - 采用最小特权访问 | 手动、已禁用 | 1.1.0 |
| 强制执行逻辑访问 | CMA_0245 - 强制执行逻辑访问 | 手动、已禁用 | 1.1.0 |
| 强制实施强制和自主访问控制策略 | CMA_0246 - 强制实施强制和自主访问控制策略 | 手动、已禁用 | 1.1.0 |
| 需要批准才能创建帐户 | CMA_0431 - 需要批准才能创建帐户 | 手动、已禁用 | 1.1.0 |
| 查看有权访问敏感数据的用户组和应用程序 | CMA_0481 - 查看有权访问敏感数据的用户组和应用程序 | 手动、已禁用 | 1.1.0 |
| 应为订阅分配了多个所有者 | 建议指定多个订阅所有者,这样才会有管理员访问冗余。 | AuditIfNotExists、Disabled | 3.0.0 |
适当定义和分配对系统组件和数据的访问权限
ID:PCI DSS v4.0 7.2.2,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 只多只为订阅指定 3 个所有者 | 建议最多指定 3 个订阅所有者,以减少可能出现的已遭入侵的所有者做出的违规行为。 | AuditIfNotExists、Disabled | 3.0.0 |
| 授权访问安全性函数和信息 | CMA_0022 - 授权访问安全性函数和信息 | 手动、已禁用 | 1.1.0 |
| 授权和管理访问权限 | CMA_0023 - 授权和管理访问权限 | 手动、已禁用 | 1.1.0 |
| 设计访问控制模型 | CMA_0129 - 设计访问控制模型 | 手动、已禁用 | 1.1.0 |
| 采用最小特权访问 | CMA_0212 - 采用最小特权访问 | 手动、已禁用 | 1.1.0 |
| 强制实施强制和自主访问控制策略 | CMA_0246 - 强制实施强制和自主访问控制策略 | 手动、已禁用 | 1.1.0 |
| 应为订阅分配了多个所有者 | 建议指定多个订阅所有者,这样才会有管理员访问冗余。 | AuditIfNotExists、Disabled | 3.0.0 |
适当定义和分配对系统组件和数据的访问权限
ID:PCI DSS v4.0 7.2.3,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 授权访问安全性函数和信息 | CMA_0022 - 授权访问安全性函数和信息 | 手动、已禁用 | 1.1.0 |
| 授权和管理访问权限 | CMA_0023 - 授权和管理访问权限 | 手动、已禁用 | 1.1.0 |
| 设计访问控制模型 | CMA_0129 - 设计访问控制模型 | 手动、已禁用 | 1.1.0 |
| 采用最小特权访问 | CMA_0212 - 采用最小特权访问 | 手动、已禁用 | 1.1.0 |
| 强制执行逻辑访问 | CMA_0245 - 强制执行逻辑访问 | 手动、已禁用 | 1.1.0 |
| 强制实施强制和自主访问控制策略 | CMA_0246 - 强制实施强制和自主访问控制策略 | 手动、已禁用 | 1.1.0 |
| 需要批准才能创建帐户 | CMA_0431 - 需要批准才能创建帐户 | 手动、已禁用 | 1.1.0 |
| 查看有权访问敏感数据的用户组和应用程序 | CMA_0481 - 查看有权访问敏感数据的用户组和应用程序 | 手动、已禁用 | 1.1.0 |
适当定义和分配对系统组件和数据的访问权限
ID:PCI DSS v4.0 7.2.4,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 审核用户帐户状态 | CMA_0020 - 审核用户帐户状态 | 手动、已禁用 | 1.1.0 |
| 查看帐户预配日志 | CMA_0460 - 查看帐户预配日志 | 手动、已禁用 | 1.1.0 |
| 审查用户帐户 | CMA_0480 - 审查用户帐户 | 手动、已禁用 | 1.1.0 |
| 查看用户权限 | CMA_C1039 - 查看用户权限 | 手动、已禁用 | 1.1.0 |
适当定义和分配对系统组件和数据的访问权限
ID:PCI DSS v4.0 7.2.5,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 定义信息系统帐户类型 | CMA_0121 - 定义信息系统帐户类型 | 手动、已禁用 | 1.1.0 |
适当定义和分配对系统组件和数据的访问权限
ID:PCI DSS v4.0 7.2.5.1,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 监视帐户活动 | CMA_0377 - 监视帐户活动 | 手动、已禁用 | 1.1.0 |
适当定义和分配对系统组件和数据的访问权限
ID:PCI DSS v4.0 7.2.6,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 授权访问安全性函数和信息 | CMA_0022 - 授权访问安全性函数和信息 | 手动、已禁用 | 1.1.0 |
| 授权和管理访问权限 | CMA_0023 - 授权和管理访问权限 | 手动、已禁用 | 1.1.0 |
| 设计访问控制模型 | CMA_0129 - 设计访问控制模型 | 手动、已禁用 | 1.1.0 |
| 采用最小特权访问 | CMA_0212 - 采用最小特权访问 | 手动、已禁用 | 1.1.0 |
| 强制执行逻辑访问 | CMA_0245 - 强制执行逻辑访问 | 手动、已禁用 | 1.1.0 |
| 强制实施强制和自主访问控制策略 | CMA_0246 - 强制实施强制和自主访问控制策略 | 手动、已禁用 | 1.1.0 |
| 需要批准才能创建帐户 | CMA_0431 - 需要批准才能创建帐户 | 手动、已禁用 | 1.1.0 |
| 查看有权访问敏感数据的用户组和应用程序 | CMA_0481 - 查看有权访问敏感数据的用户组和应用程序 | 手动、已禁用 | 1.1.0 |
通过访问控制系统管理对系统组件和数据的访问
ID:PCI DSS v4.0 7.3.1,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 对 Azure 资源拥有所有者权限的帐户应启用 MFA | 为了防止帐户或资源出现违规问题,应为所有拥有所有者权限的订阅帐户启用多重身份验证 (MFA)。 | AuditIfNotExists、Disabled | 1.0.0 |
| 对 Azure 资源拥有写入权限的帐户应启用 MFA | 为了防止帐户或资源出现违规问题,应为所有拥有写入特权的订阅帐户启用多重身份验证 (MFA)。 | AuditIfNotExists、Disabled | 1.0.0 |
| 应该为 SQL 服务器预配 Azure Active Directory 管理员 | 审核确认已为 SQL Server 预配了 Azure Active Directory 管理员以启用 Azure AD 身份验证。 使用 Azure AD 身份验证可以简化权限管理,以及集中化数据库用户和其他 Microsoft 服务的标识管理 | AuditIfNotExists、Disabled | 1.0.0 |
| 审核自定义 RBAC 角色的使用情况 | 审核“所有者、参与者、读者”等内置角色而不是容易出错的自定义 RBAC 角色。 使用自定义角色被视为例外,需要进行严格的审查和威胁建模 | Audit、Disabled | 1.0.1 |
| 授权访问安全性函数和信息 | CMA_0022 - 授权访问安全性函数和信息 | 手动、已禁用 | 1.1.0 |
| 授权和管理访问权限 | CMA_0023 - 授权和管理访问权限 | 手动、已禁用 | 1.1.0 |
| 自动执行帐户管理 | CMA_0026 - 自动执行帐户管理 | 手动、已禁用 | 1.1.0 |
| 强制执行逻辑访问 | CMA_0245 - 强制执行逻辑访问 | 手动、已禁用 | 1.1.0 |
| 强制实施强制和自主访问控制策略 | CMA_0246 - 强制实施强制和自主访问控制策略 | 手动、已禁用 | 1.1.0 |
| 应删除对 Azure 资源拥有所有者权限的来宾帐户 | 为了防止发生未受监视的访问,应从订阅中删除拥有所有者权限的外部帐户。 | AuditIfNotExists、Disabled | 1.0.0 |
| 应删除对 Azure 资源拥有读取权限的来宾帐户 | 应从订阅中删除拥有读取特权的外部帐户,以防发生未受监视的访问。 | AuditIfNotExists、Disabled | 1.0.0 |
| 应删除对 Azure 资源拥有写入权限的来宾帐户 | 应从订阅中删除拥有写入特权的外部帐户,以防发生未受监视的访问。 | AuditIfNotExists、Disabled | 1.0.0 |
| 管理系统和管理员帐户 | CMA_0368 - 管理系统和管理员帐户 | 手动、已禁用 | 1.1.0 |
| 监视整个组织的访问权限 | CMA_0376 - 监视整个组织的访问权限 | 手动、已禁用 | 1.1.0 |
| 当不需要帐户时通知 | CMA_0383 - 当不需要帐户时通知 | 手动、已禁用 | 1.1.0 |
| 需要批准才能创建帐户 | CMA_0431 - 需要批准才能创建帐户 | 手动、已禁用 | 1.1.0 |
| 查看有权访问敏感数据的用户组和应用程序 | CMA_0481 - 查看有权访问敏感数据的用户组和应用程序 | 手动、已禁用 | 1.1.0 |
通过访问控制系统管理对系统组件和数据的访问
ID:PCI DSS v4.0 7.3.2,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 授权访问安全性函数和信息 | CMA_0022 - 授权访问安全性函数和信息 | 手动、已禁用 | 1.1.0 |
| 授权和管理访问权限 | CMA_0023 - 授权和管理访问权限 | 手动、已禁用 | 1.1.0 |
| 自动执行帐户管理 | CMA_0026 - 自动执行帐户管理 | 手动、已禁用 | 1.1.0 |
| 强制执行逻辑访问 | CMA_0245 - 强制执行逻辑访问 | 手动、已禁用 | 1.1.0 |
| 强制实施强制和自主访问控制策略 | CMA_0246 - 强制实施强制和自主访问控制策略 | 手动、已禁用 | 1.1.0 |
| 管理系统和管理员帐户 | CMA_0368 - 管理系统和管理员帐户 | 手动、已禁用 | 1.1.0 |
| 监视整个组织的访问权限 | CMA_0376 - 监视整个组织的访问权限 | 手动、已禁用 | 1.1.0 |
| 当不需要帐户时通知 | CMA_0383 - 当不需要帐户时通知 | 手动、已禁用 | 1.1.0 |
| 需要批准才能创建帐户 | CMA_0431 - 需要批准才能创建帐户 | 手动、已禁用 | 1.1.0 |
| 查看有权访问敏感数据的用户组和应用程序 | CMA_0481 - 查看有权访问敏感数据的用户组和应用程序 | 手动、已禁用 | 1.1.0 |
通过访问控制系统管理对系统组件和数据的访问
ID:PCI DSS v4.0 7.3.3,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 授权访问安全性函数和信息 | CMA_0022 - 授权访问安全性函数和信息 | 手动、已禁用 | 1.1.0 |
| 授权和管理访问权限 | CMA_0023 - 授权和管理访问权限 | 手动、已禁用 | 1.1.0 |
| 强制执行逻辑访问 | CMA_0245 - 强制执行逻辑访问 | 手动、已禁用 | 1.1.0 |
| 强制实施强制和自主访问控制策略 | CMA_0246 - 强制实施强制和自主访问控制策略 | 手动、已禁用 | 1.1.0 |
| 需要批准才能创建帐户 | CMA_0431 - 需要批准才能创建帐户 | 手动、已禁用 | 1.1.0 |
| 查看有权访问敏感数据的用户组和应用程序 | CMA_0481 - 查看有权访问敏感数据的用户组和应用程序 | 手动、已禁用 | 1.1.0 |
要求 08:标识用户并对系统组件的访问进行身份验证
定义和了解适用于识别用户和对系统组件的访问进行身份验证的过程和机制
ID:PCI DSS v4.0 8.1.1,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 查看和更新标识以及身份验证策略和过程 | CMA_C1299 - 查看和更新标识以及身份验证策略和过程 | 手动、已禁用 | 1.1.0 |
用户和管理员的用户标识和相关帐户在整个帐户生命周期中受到严格管理
ID:PCI DSS v4.0 8.2.1,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 分配系统标识符 | CMA_0018 - 分配系统标识符 | 手动、已禁用 | 1.1.0 |
| 强制执行用户唯一性 | CMA_0250 - 强制执行用户唯一性 | 手动、已禁用 | 1.1.0 |
| 支持由法律机构颁发的个人验证凭据 | CMA_0507 - 支持由法律机构颁发的个人验证凭据 | 手动、已禁用 | 1.1.0 |
用户和管理员的用户标识和相关帐户在整个帐户生命周期中受到严格管理
ID:PCI DSS v4.0 8.2.2,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 定义并强制执行共享帐户和组帐户的条件 | CMA_0117 - 定义并强制执行共享帐户和组帐户的条件 | 手动、已禁用 | 1.1.0 |
| 重新颁发已更改的组和帐户的验证器 | CMA_0426 - 重新颁发用于已更改的组和帐户的验证器 | 手动、已禁用 | 1.1.0 |
| 需要使用单个验证器 | CMA_C1305 - 需要使用单个验证器 | 手动、已禁用 | 1.1.0 |
| 终止客户控制的帐户凭据 | CMA_C1022 - 终止客户控制的帐户凭据 | 手动、已禁用 | 1.1.0 |
用户和管理员的用户标识和相关帐户在整个帐户生命周期中受到严格管理
ID:PCI DSS v4.0 8.2.3,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 采用生物识别身份验证机制 | CMA_0005 - 采用生物识别身份验证机制 | 手动、已禁用 | 1.1.0 |
| 标识并验证网络设备 | CMA_0296 - 标识并验证网络设备 | 手动、已禁用 | 1.1.0 |
| 满足令牌质量要求 | CMA_0487 - 满足令牌质量要求 | 手动、已禁用 | 1.1.0 |
用户和管理员的用户标识和相关帐户在整个帐户生命周期中受到严格管理
ID:PCI DSS v4.0 8.2.4,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 分配系统标识符 | CMA_0018 - 分配系统标识符 | 手动、已禁用 | 1.1.0 |
| 应删除对 Azure 资源拥有所有者权限的已封锁帐户 | 应从订阅中删除拥有所有者权限的已弃用帐户。 已弃用帐户是已阻止登录的帐户。 | AuditIfNotExists、Disabled | 1.0.0 |
| 应删除对 Azure 资源拥有读取和写入权限的已封锁帐户 | 应从订阅中删除弃用的帐户。 已弃用帐户是已阻止登录的帐户。 | AuditIfNotExists、Disabled | 1.0.0 |
| 应删除对 Azure 资源拥有所有者权限的来宾帐户 | 为了防止发生未受监视的访问,应从订阅中删除拥有所有者权限的外部帐户。 | AuditIfNotExists、Disabled | 1.0.0 |
| 应删除对 Azure 资源拥有读取权限的来宾帐户 | 应从订阅中删除拥有读取特权的外部帐户,以防发生未受监视的访问。 | AuditIfNotExists、Disabled | 1.0.0 |
| 应删除对 Azure 资源拥有写入权限的来宾帐户 | 应从订阅中删除拥有写入特权的外部帐户,以防发生未受监视的访问。 | AuditIfNotExists、Disabled | 1.0.0 |
| 需要批准才能创建帐户 | CMA_0431 - 需要批准才能创建帐户 | 手动、已禁用 | 1.1.0 |
用户和管理员的用户标识和相关帐户在整个帐户生命周期中受到严格管理
ID:PCI DSS v4.0 8.2.5,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 应删除对 Azure 资源拥有所有者权限的已封锁帐户 | 应从订阅中删除拥有所有者权限的已弃用帐户。 已弃用帐户是已阻止登录的帐户。 | AuditIfNotExists、Disabled | 1.0.0 |
| 应删除对 Azure 资源拥有读取和写入权限的已封锁帐户 | 应从订阅中删除弃用的帐户。 已弃用帐户是已阻止登录的帐户。 | AuditIfNotExists、Disabled | 1.0.0 |
用户和管理员的用户标识和相关帐户在整个帐户生命周期中受到严格管理
ID:PCI DSS v4.0 8.2.6,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 终止时禁用验证器 | CMA_0169 - 终止时禁用验证器 | 手动、已禁用 | 1.1.0 |
| 根据需要撤销特权角色 | CMA_0483 - 根据需要撤销特权角色 | 手动、已禁用 | 1.1.0 |
用户和管理员的用户标识和相关帐户在整个帐户生命周期中受到严格管理
ID:PCI DSS v4.0 8.2.7,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 应删除对 Azure 资源拥有所有者权限的已封锁帐户 | 应从订阅中删除拥有所有者权限的已弃用帐户。 已弃用帐户是已阻止登录的帐户。 | AuditIfNotExists、Disabled | 1.0.0 |
| 应删除对 Azure 资源拥有读取和写入权限的已封锁帐户 | 应从订阅中删除弃用的帐户。 已弃用帐户是已阻止登录的帐户。 | AuditIfNotExists、Disabled | 1.0.0 |
| 应删除对 Azure 资源拥有所有者权限的来宾帐户 | 为了防止发生未受监视的访问,应从订阅中删除拥有所有者权限的外部帐户。 | AuditIfNotExists、Disabled | 1.0.0 |
| 应删除对 Azure 资源拥有读取权限的来宾帐户 | 应从订阅中删除拥有读取特权的外部帐户,以防发生未受监视的访问。 | AuditIfNotExists、Disabled | 1.0.0 |
| 应删除对 Azure 资源拥有写入权限的来宾帐户 | 应从订阅中删除拥有写入特权的外部帐户,以防发生未受监视的访问。 | AuditIfNotExists、Disabled | 1.0.0 |
| 识别非组织用户并对其进行身份验证 | CMA_C1346 - 识别非组织用户并对其进行身份验证 | 手动、已禁用 | 1.1.0 |
用户和管理员的用户标识和相关帐户在整个帐户生命周期中受到严格管理
ID:PCI DSS v4.0 8.2.8,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 定义和强制实施非活动日志策略 | CMA_C1017 - 定义和强制实施非活动日志策略 | 手动、已禁用 | 1.1.0 |
| 自动终止用户会话 | CMA_C1054 - 自动终止用户会话 | 手动、已禁用 | 1.1.0 |
建立和管理对用户和管理员的强身份验证
ID:PCI DSS v4.0 8.3.1,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 采用生物识别身份验证机制 | CMA_0005 - 采用生物识别身份验证机制 | 手动、已禁用 | 1.1.0 |
| 建立验证器类型和进程 | CMA_0267 - 建立验证器类型和流程 | 手动、已禁用 | 1.1.0 |
| 标识并验证网络设备 | CMA_0296 - 标识并验证网络设备 | 手动、已禁用 | 1.1.0 |
| 满足令牌质量要求 | CMA_0487 - 满足令牌质量要求 | 手动、已禁用 | 1.1.0 |
建立和管理对用户和管理员的强身份验证
ID:PCI DSS v4.0 8.3.10,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 管理验证器生存期并重新使用 | CMA_0355 - 管理验证器生存期并重新使用 | 手动、已禁用 | 1.1.0 |
| 刷新验证器 | CMA_0425 - 刷新验证器 | 手动、已禁用 | 1.1.0 |
建立和管理对用户和管理员的强身份验证
ID:PCI DSS v4.0 8.3.10.1,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 管理验证器生存期并重新使用 | CMA_0355 - 管理验证器生存期并重新使用 | 手动、已禁用 | 1.1.0 |
| 刷新验证器 | CMA_0425 - 刷新验证器 | 手动、已禁用 | 1.1.0 |
建立和管理对用户和管理员的强身份验证
ID:PCI DSS v4.0 8.3.11,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 采用生物识别身份验证机制 | CMA_0005 - 采用生物识别身份验证机制 | 手动、已禁用 | 1.1.0 |
| 分配验证器 | CMA_0184 - 分配验证器 | 手动、已禁用 | 1.1.0 |
| 建立验证器类型和进程 | CMA_0267 - 建立验证器类型和流程 | 手动、已禁用 | 1.1.0 |
| 标识并验证网络设备 | CMA_0296 - 标识并验证网络设备 | 手动、已禁用 | 1.1.0 |
| 满足令牌质量要求 | CMA_0487 - 满足令牌质量要求 | 手动、已禁用 | 1.1.0 |
| 在分发验证器之前验证标识 | CMA_0538 - 在分发验证器之前验证标识 | 手动、已禁用 | 1.1.0 |
建立和管理对用户和管理员的强身份验证
ID:PCI DSS v4.0 8.3.2,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 确保授权用户保护所提供的身份验证器 | CMA_C1339 - 确保授权用户保护所提供的身份验证器 | 手动、已禁用 | 1.1.0 |
| 使用加密保护密码 | CMA_0408 - 使用加密保护密码 | 手动、已禁用 | 1.1.0 |
建立和管理对用户和管理员的强身份验证
ID:PCI DSS v4.0 8.3.4,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 强制限制连续失败的登录尝试次数 | CMA_C1044 - 强制限制连续失败的登录尝试次数 | 手动、已禁用 | 1.1.0 |
建立和管理对用户和管理员的强身份验证
ID:PCI DSS v4.0 8.3.5,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 建立验证器类型和进程 | CMA_0267 - 建立验证器类型和流程 | 手动、已禁用 | 1.1.0 |
建立和管理对用户和管理员的强身份验证
ID:PCI DSS v4.0 8.3.6,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 添加系统分配的托管标识,在没有标识的虚拟机上启用来宾配置分配 | 此策略将系统分配的托管标识添加到托管在 Azure 中的虚拟机,这些虚拟机受来宾配置支持,但没有任何托管标识。 系统分配的托管标识是所有来宾配置分配的先决条件,在使用任何来宾配置策略定义之前必须被添加到计算机。 有关来宾配置的详细信息,请访问 https://aka.ms/gcpol。 | modify | 4.1.0 |
| 添加系统分配的托管标识,以在具有用户分配的标识的 VM 上启用来宾配置分配 | 此策略将系统分配的托管标识添加到托管在 Azure 中的虚拟机,这些虚拟机受来宾配置支持、至少有一个用户分配的标识,但没有系统分配的托管标识。 系统分配的托管标识是所有来宾配置分配的先决条件,在使用任何来宾配置策略定义之前必须被添加到计算机。 有关来宾配置的详细信息,请访问 https://aka.ms/gcpol。 | modify | 4.1.0 |
| 审核允许在指定数量的唯一密码后重新使用密码的 Windows 计算机 | 要求将先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 如果 Windows 计算机允许在指定数量的唯一密码后重新使用密码,则这些计算机是不合规的。 唯一密码的默认值为 24 | AuditIfNotExists、Disabled | 2.1.0 |
| 审核未将最长密码期限设置为指定天数的 Windows 计算机 | 要求将先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 如果 Windows 计算机未将最长密码期限设置为指定天数,则这些计算机是不合规的。 最长密码期限的默认值为 70 天 | AuditIfNotExists、Disabled | 2.1.0 |
| 审核未将最短密码长度限制为特定字符数的 Windows 计算机 | 要求将先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 如果 Windows 计算机没有将最短密码长度限制为特定字符数,则这些计算机是不合规的。 最短密码长度的默认值为 14 个字符 | AuditIfNotExists、Disabled | 2.1.0 |
| 部署 Windows 来宾配置扩展以在 Windows VM 上启用来宾配置分配 | 此策略将 Windows 来宾配置扩展部署到托管在 Azure 中受来宾配置支持的 Windows 虚拟机。 Windows 来宾配置扩展是所有 Windows 来宾配置分配的先决条件,在使用任何 Windows 来宾配置策略定义之前必须将其部署到计算机。 有关来宾配置的详细信息,请访问 https://aka.ms/gcpol。 | deployIfNotExists | 1.2.0 |
| 记录收购合同中的安全强度要求 | CMA_0203 - 记录收购合同中的安全强度要求 | 手动、已禁用 | 1.1.0 |
| 制定密码策略 | CMA_0256 - 制定密码策略 | 手动、已禁用 | 1.1.0 |
| 实现记住的机密验证过程的参数 | CMA_0321 - 实现记住的机密验证工具的参数 | 手动、已禁用 | 1.1.0 |
建立和管理对用户和管理员的强身份验证
ID:PCI DSS v4.0 8.3.8,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 进行验证器保护培训 | CMA_0329 - 进行验证器保护的培训 | 手动、已禁用 | 1.1.0 |
建立和管理对用户和管理员的强身份验证
ID:PCI DSS v4.0 8.3.9,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 管理验证器生存期并重新使用 | CMA_0355 - 管理验证器生存期并重新使用 | 手动、已禁用 | 1.1.0 |
| 刷新验证器 | CMA_0425 - 刷新验证器 | 手动、已禁用 | 1.1.0 |
实现多重身份验证 (MFA) 以保护对 CDE 的访问
ID:PCI DSS v4.0 8.4.1,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 对 Azure 资源拥有所有者权限的帐户应启用 MFA | 为了防止帐户或资源出现违规问题,应为所有拥有所有者权限的订阅帐户启用多重身份验证 (MFA)。 | AuditIfNotExists、Disabled | 1.0.0 |
| 对 Azure 资源拥有写入权限的帐户应启用 MFA | 为了防止帐户或资源出现违规问题,应为所有拥有写入特权的订阅帐户启用多重身份验证 (MFA)。 | AuditIfNotExists、Disabled | 1.0.0 |
| 采用生物识别身份验证机制 | CMA_0005 - 采用生物识别身份验证机制 | 手动、已禁用 | 1.1.0 |
| 应该为 SQL 服务器预配 Azure Active Directory 管理员 | 审核确认已为 SQL Server 预配了 Azure Active Directory 管理员以启用 Azure AD 身份验证。 使用 Azure AD 身份验证可以简化权限管理,以及集中化数据库用户和其他 Microsoft 服务的标识管理 | AuditIfNotExists、Disabled | 1.0.0 |
| 审核自定义 RBAC 角色的使用情况 | 审核“所有者、参与者、读者”等内置角色而不是容易出错的自定义 RBAC 角色。 使用自定义角色被视为例外,需要进行严格的审查和威胁建模 | Audit、Disabled | 1.0.1 |
| 应删除对 Azure 资源拥有所有者权限的来宾帐户 | 为了防止发生未受监视的访问,应从订阅中删除拥有所有者权限的外部帐户。 | AuditIfNotExists、Disabled | 1.0.0 |
| 应删除对 Azure 资源拥有读取权限的来宾帐户 | 应从订阅中删除拥有读取特权的外部帐户,以防发生未受监视的访问。 | AuditIfNotExists、Disabled | 1.0.0 |
| 应删除对 Azure 资源拥有写入权限的来宾帐户 | 应从订阅中删除拥有写入特权的外部帐户,以防发生未受监视的访问。 | AuditIfNotExists、Disabled | 1.0.0 |
实现多重身份验证 (MFA) 以保护对 CDE 的访问
ID:PCI DSS v4.0 8.4.2,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 采用生物识别身份验证机制 | CMA_0005 - 采用生物识别身份验证机制 | 手动、已禁用 | 1.1.0 |
| 授权远程访问 | CMA_0024 - 授权远程访问 | 手动、已禁用 | 1.1.0 |
| 记录移动性培训 | CMA_0191 - 记录移动性培训 | 手动、已禁用 | 1.1.0 |
| 记录远程访问准则 | CMA_0196 - 记录远程访问准则 | 手动、已禁用 | 1.1.0 |
| 标识并验证网络设备 | CMA_0296 - 标识并验证网络设备 | 手动、已禁用 | 1.1.0 |
| 实施控制措施来保护备用工作站点 | CMA_0315 - 实施控制措施来保护备用工作站点 | 手动、已禁用 | 1.1.0 |
| 提供隐私培训 | CMA_0415 - 提供隐私培训 | 手动、已禁用 | 1.1.0 |
| 满足令牌质量要求 | CMA_0487 - 满足令牌质量要求 | 手动、已禁用 | 1.1.0 |
实现多重身份验证 (MFA) 以保护对 CDE 的访问
ID:PCI DSS v4.0 8.4.3,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 采用生物识别身份验证机制 | CMA_0005 - 采用生物识别身份验证机制 | 手动、已禁用 | 1.1.0 |
| 授权远程访问 | CMA_0024 - 授权远程访问 | 手动、已禁用 | 1.1.0 |
| 记录移动性培训 | CMA_0191 - 记录移动性培训 | 手动、已禁用 | 1.1.0 |
| 记录远程访问准则 | CMA_0196 - 记录远程访问准则 | 手动、已禁用 | 1.1.0 |
| 标识并验证网络设备 | CMA_0296 - 标识并验证网络设备 | 手动、已禁用 | 1.1.0 |
| 实施控制措施来保护备用工作站点 | CMA_0315 - 实施控制措施来保护备用工作站点 | 手动、已禁用 | 1.1.0 |
| 提供隐私培训 | CMA_0415 - 提供隐私培训 | 手动、已禁用 | 1.1.0 |
| 满足令牌质量要求 | CMA_0487 - 满足令牌质量要求 | 手动、已禁用 | 1.1.0 |
配置多重身份验证 (MFA) 系统以防止滥用
ID:PCI DSS v4.0 8.5.1,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 采用生物识别身份验证机制 | CMA_0005 - 采用生物识别身份验证机制 | 手动、已禁用 | 1.1.0 |
| 授权远程访问 | CMA_0024 - 授权远程访问 | 手动、已禁用 | 1.1.0 |
| 记录移动性培训 | CMA_0191 - 记录移动性培训 | 手动、已禁用 | 1.1.0 |
| 记录远程访问准则 | CMA_0196 - 记录远程访问准则 | 手动、已禁用 | 1.1.0 |
| 标识并验证网络设备 | CMA_0296 - 标识并验证网络设备 | 手动、已禁用 | 1.1.0 |
| 实施控制措施来保护备用工作站点 | CMA_0315 - 实施控制措施来保护备用工作站点 | 手动、已禁用 | 1.1.0 |
| 提供隐私培训 | CMA_0415 - 提供隐私培训 | 手动、已禁用 | 1.1.0 |
| 满足令牌质量要求 | CMA_0487 - 满足令牌质量要求 | 手动、已禁用 | 1.1.0 |
严格管理应用程序和系统帐户的使用以及关联的身份验证因素
ID:PCI DSS v4.0 8.6.1,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 定义信息系统帐户类型 | CMA_0121 - 定义信息系统帐户类型 | 手动、已禁用 | 1.1.0 |
| 需要批准才能创建帐户 | CMA_0431 - 需要批准才能创建帐户 | 手动、已禁用 | 1.1.0 |
严格管理应用程序和系统帐户的使用以及关联的身份验证因素
ID:PCI DSS v4.0 8.6.2,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 进行验证器保护培训 | CMA_0329 - 进行验证器保护的培训 | 手动、已禁用 | 1.1.0 |
严格管理应用程序和系统帐户的使用以及关联的身份验证因素
ID:PCI DSS v4.0 8.6.3,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 记录收购合同中的安全强度要求 | CMA_0203 - 记录收购合同中的安全强度要求 | 手动、已禁用 | 1.1.0 |
| 制定密码策略 | CMA_0256 - 制定密码策略 | 手动、已禁用 | 1.1.0 |
| 实现记住的机密验证过程的参数 | CMA_0321 - 实现记住的机密验证工具的参数 | 手动、已禁用 | 1.1.0 |
| 进行验证器保护培训 | CMA_0329 - 进行验证器保护的培训 | 手动、已禁用 | 1.1.0 |
| 管理验证器生存期并重新使用 | CMA_0355 - 管理验证器生存期并重新使用 | 手动、已禁用 | 1.1.0 |
| 刷新验证器 | CMA_0425 - 刷新验证器 | 手动、已禁用 | 1.1.0 |
要求 09:限制对持卡人数据的物理访问
定义和了解适用于限制对持卡人数据进行物理访问的过程和机制
ID:PCI DSS v4.0 9.1.1,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 查看和更新媒体保护策略及过程 | CMA_C1427 - 查看和更新媒体保护策略及过程 | 手动、已禁用 | 1.1.0 |
| 查看和更新物理与环境策略和过程 | CMA_C1446 - 查看和更新物理与环境策略和过程 | 手动、已禁用 | 1.1.0 |
物理访问控制管理包含持卡人数据的设施和系统的进入权
ID:PCI DSS v4.0 9.2.2,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 控制物理访问 | CMA_0081 - 控制物理访问 | 手动、已禁用 | 1.1.0 |
物理访问控制管理包含持卡人数据的设施和系统的进入权
ID:PCI DSS v4.0 9.2.3,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 控制物理访问 | CMA_0081 - 控制物理访问 | 手动、已禁用 | 1.1.0 |
| 实现办公室、工作区和安全区域的物理安全 | CMA_0323 - 实现办公室、工作区和安全区域的物理安全 | 手动、已禁用 | 1.1.0 |
物理访问控制管理包含持卡人数据的设施和系统的进入权
ID:PCI DSS v4.0 9.2.4,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 控制物理访问 | CMA_0081 - 控制物理访问 | 手动、已禁用 | 1.1.0 |
| 实现办公室、工作区和安全区域的物理安全 | CMA_0323 - 实现办公室、工作区和安全区域的物理安全 | 手动、已禁用 | 1.1.0 |
对人员和访问者的物理访问进行授权和管理
ID:PCI DSS v4.0 9.3.1,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 控制物理访问 | CMA_0081 - 控制物理访问 | 手动、已禁用 | 1.1.0 |
对人员和访问者的物理访问进行授权和管理
ID:PCI DSS v4.0 9.3.1.1,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 控制物理访问 | CMA_0081 - 控制物理访问 | 手动、已禁用 | 1.1.0 |
对人员和访问者的物理访问进行授权和管理
ID:PCI DSS v4.0 9.3.2,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 控制物理访问 | CMA_0081 - 控制物理访问 | 手动、已禁用 | 1.1.0 |
| 实现办公室、工作区和安全区域的物理安全 | CMA_0323 - 实现办公室、工作区和安全区域的物理安全 | 手动、已禁用 | 1.1.0 |
对人员和访问者的物理访问进行授权和管理
ID:PCI DSS v4.0 9.3.3,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 控制物理访问 | CMA_0081 - 控制物理访问 | 手动、已禁用 | 1.1.0 |
| 实现办公室、工作区和安全区域的物理安全 | CMA_0323 - 实现办公室、工作区和安全区域的物理安全 | 手动、已禁用 | 1.1.0 |
对人员和访问者的物理访问进行授权和管理
ID:PCI DSS v4.0 9.3.4,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 控制物理访问 | CMA_0081 - 控制物理访问 | 手动、已禁用 | 1.1.0 |
| 实现办公室、工作区和安全区域的物理安全 | CMA_0323 - 实现办公室、工作区和安全区域的物理安全 | 手动、已禁用 | 1.1.0 |
以安全方式存储、访问、分发和销毁含有持卡人数据的介质
ID:PCI DSS v4.0 9.4.1,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 实施控制措施来保护所有介质 | CMA_0314 - 实施控制措施来保护所有介质 | 手动、已禁用 | 1.1.0 |
以安全方式存储、访问、分发和销毁含有持卡人数据的介质
ID:PCI DSS v4.0 9.4.1.1,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 实施控制措施来保护所有介质 | CMA_0314 - 实施控制措施来保护所有介质 | 手动、已禁用 | 1.1.0 |
以安全方式存储、访问、分发和销毁含有持卡人数据的介质
ID:PCI DSS v4.0 9.4.2,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 实施控制措施来保护所有介质 | CMA_0314 - 实施控制措施来保护所有介质 | 手动、已禁用 | 1.1.0 |
以安全方式存储、访问、分发和销毁含有持卡人数据的介质
ID:PCI DSS v4.0 9.4.3,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 实施控制措施来保护所有介质 | CMA_0314 - 实施控制措施来保护所有介质 | 手动、已禁用 | 1.1.0 |
| 管理资产的运输 | CMA_0370 - 管理资产的运输 | 手动、已禁用 | 1.1.0 |
以安全方式存储、访问、分发和销毁含有持卡人数据的介质
ID:PCI DSS v4.0 9.4.4,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 实施控制措施来保护所有介质 | CMA_0314 - 实施控制措施来保护所有介质 | 手动、已禁用 | 1.1.0 |
| 管理资产的运输 | CMA_0370 - 管理资产的运输 | 手动、已禁用 | 1.1.0 |
以安全方式存储、访问、分发和销毁含有持卡人数据的介质
ID:PCI DSS v4.0 9.4.5.1,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 创建数据清单 | CMA_0096 - 创建数据清单 | 手动、已禁用 | 1.1.0 |
| 维护个人数据的处理记录 | CMA_0353 - 维护个人数据的处理记录 | 手动、已禁用 | 1.1.0 |
以安全方式存储、访问、分发和销毁含有持卡人数据的介质
ID:PCI DSS v4.0 9.4.6,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 使用媒体清理机制 | CMA_0208 - 使用媒体清理机制 | 手动、已禁用 | 1.1.0 |
| 实施控制措施来保护所有介质 | CMA_0314 - 实施控制措施来保护所有介质 | 手动、已禁用 | 1.1.0 |
| 执行处置评审 | CMA_0391 - 执行处置评审 | 手动、已禁用 | 1.1.0 |
| 在处理结束时验证个人数据是否已删除 | CMA_0540 - 在处理结束时验证个人数据是否已删除 | 手动、已禁用 | 1.1.0 |
以安全方式存储、访问、分发和销毁含有持卡人数据的介质
ID:PCI DSS v4.0 9.4.7,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 使用媒体清理机制 | CMA_0208 - 使用媒体清理机制 | 手动、已禁用 | 1.1.0 |
| 实施控制措施来保护所有介质 | CMA_0314 - 实施控制措施来保护所有介质 | 手动、已禁用 | 1.1.0 |
| 执行处置评审 | CMA_0391 - 执行处置评审 | 手动、已禁用 | 1.1.0 |
| 在处理结束时验证个人数据是否已删除 | CMA_0540 - 在处理结束时验证个人数据是否已删除 | 手动、已禁用 | 1.1.0 |
保护交互点 (POI) 设备,以防止篡改和未经授权的替换
ID:PCI DSS v4.0 9.5.1,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 控制物理访问 | CMA_0081 - 控制物理访问 | 手动、已禁用 | 1.1.0 |
| 实现办公室、工作区和安全区域的物理安全 | CMA_0323 - 实现办公室、工作区和安全区域的物理安全 | 手动、已禁用 | 1.1.0 |
| 管理数据的输入、输出、处理和存储 | CMA_0369 - 管理数据的输入、输出、处理和存储 | 手动、已禁用 | 1.1.0 |
保护交互点 (POI) 设备,以防止篡改和未经授权的替换
ID:PCI DSS v4.0 9.5.1.2,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 控制物理访问 | CMA_0081 - 控制物理访问 | 手动、已禁用 | 1.1.0 |
| 实现办公室、工作区和安全区域的物理安全 | CMA_0323 - 实现办公室、工作区和安全区域的物理安全 | 手动、已禁用 | 1.1.0 |
| 管理数据的输入、输出、处理和存储 | CMA_0369 - 管理数据的输入、输出、处理和存储 | 手动、已禁用 | 1.1.0 |
保护交互点 (POI) 设备,以防止篡改和未经授权的替换
ID:PCI DSS v4.0 9.5.1.2.1,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 控制物理访问 | CMA_0081 - 控制物理访问 | 手动、已禁用 | 1.1.0 |
| 实现办公室、工作区和安全区域的物理安全 | CMA_0323 - 实现办公室、工作区和安全区域的物理安全 | 手动、已禁用 | 1.1.0 |
| 管理数据的输入、输出、处理和存储 | CMA_0369 - 管理数据的输入、输出、处理和存储 | 手动、已禁用 | 1.1.0 |
保护交互点 (POI) 设备,以防止篡改和未经授权的替换
ID:PCI DSS v4.0 9.5.1.3,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 在提供访问权限之前提供安全培训 | CMA_0418 - 在提供访问权限之前提供安全培训 | 手动、已禁用 | 1.1.0 |
后续步骤
有关 Azure Policy 的其他文章:
- 法规符合性概述。
- 请参阅计划定义结构。
- 在 Azure Policy 示例中查看其他示例。
- 查看了解策略效果。
- 了解如何修正不符合的资源。
反馈
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:https://aka.ms/ContentUserFeedback。
提交和查看相关反馈