Microsoft 365 應用程式合規性檔附錄和詞彙

  • 發行項

附錄 A

TLS 設定檔設定需求

所有網路流量,不論是在虛擬網路、雲端服務或數據中心內,都必須使用最低 TLS v1.1 來保護, (建議) 或其他適用的通訊協定使用 TLS v1.2+。 此需求的例外狀況如下:

  • HTTP 對 HTTPS 重新導向。 您的應用程式可以透過 HTTP 回應,將用戶端重新導向至 HTTPS,但回應不得包含任何敏感數據, (Cookie、標頭、內容) 。 不允許重新導向至 HTTPS 和回應健康情況探查以外的其他 HTTP 回應。 請參閱下方。
  • 健康情況探查。 只有在檢查方不支援 HTTPS 健康情況探查 ,您的應用程式才能透過 HTTP 回應健康情況探查。
  • 憑證存取。 基於憑證驗證和撤銷檢查的目的,允許透過 HTTP 存取 CRL、OCSP 和 AIA 端點。
  • 本機通訊。 您的應用程式可以使用 HTTP (或其他未受保護的通訊協定) 來進行未離開作業系統的通訊,例如連線到在 localhost 上公開的 Web 伺服器端點。

必須停用 TLS 壓縮。

附錄 B

加密設定檔設定需求

只允許密碼編譯基本類型和參數,如下所示:

對稱式密碼編譯

加密

 ✓ 只允許 AES、BitLocker、Fishfish 或 TDES。 任何支援的金鑰長度 >=128 都允許 (128 位、192 位和 256 位) ,而且 (建議) 使用 256 位密鑰。

 ✓ 只允許 CBC 模式。 每個加密作業都必須使用全新隨機產生的初始化向量 (IV) 。

 ✓ 不允許使用串流加密,例如 RC4、 IS NOT

哈希函式

 ✓ 所有新程式代碼都必須使用 SHA-256、SHA-384 或 SHA-512 (統稱為 SHA-2) 。 輸出可能會截斷為不小於128位

 ✓ SHA-1 只能用於相容性原因。

 ✓ 不允許使用 MD5、MD4、MD2 和其他哈希函式,即使是非密碼編譯應用程式也一樣。

訊息驗證

 ✓ 所有新程式代碼都必須搭配其中一個核准的哈希函式使用 HMAC。 HMAC 的輸出可能會截斷為不小於 128 位。

 ✓ HMAC-SHA1 只能用於相容性原因。

 ✓ HMAC 金鑰必須至少為 128 位。 建議使用256位金鑰。

非對稱演算法

加密

 ✓ 允許 RSA。 密鑰 必須 至少為 2048 位,且必須使用 OAEP 填補。 基於相容性理由,只允許使用 PKCS 填補。

簽章

 ✓ 允許 RSA。 密鑰 必須 至少為 2048 位,且必須使用 PSS 填補。 基於相容性理由,只允許使用 PKCS 填補。

 允許 ✓ECDSA。 索 引鍵必須 至少為256位。 必須使用 NIST P-256、P-384 或 P-521 曲線。

金鑰交換

 ✓ 允許 ECDH。 索 引鍵必須 至少為256位。 必須使用 NIST P-256、P-384 或 P-521 曲線。

 ✓ 允許 ECDH。 索 引鍵必須 至少為256位。 必須使用 NIST P-256、P-384 或 P-521 曲線。

附錄 C

辨識項集合 – ISO 27001 的差異

在您已達到ISO27001合規性的情況下,下列差異的 (差距) 未完全由 ISO 27001 涵蓋,至少需要在此 Microsoft 365 認證中檢閱。

注意事項

在 Microsoft 365 認證評量中,認證分析師會判斷是否有任何對應的 ISO 27001 控制件未包含在 ISO 27001 評定中,也可以決定要包含的範例控件,以提供進一步的保證。 ISO 27001 中缺少的任何需求都必須包含在您的 Microsoft 365 認證評定活動中。

惡意代碼防護 – 防病毒軟體

如果惡意代碼保護已使用應用程控就緒,且在 ISO 27001 內證明為 ,則報告不需要進一步調查。 如果沒有應用程控,認證分析師將需要識別和評估應用程控機制的辨識項,以避免在環境中惡意代碼被入侵。 這會要求您:

  • 示範防病毒軟體正在所有取樣的系統元件上執行。

  • 示範如何跨所有取樣的系統元件設定防病毒軟體,以自動封鎖惡意代碼、隔離 & 警示或警示。

  • 防病毒軟體 必須 設定為記錄所有活動。

修補程式管理 – 修補

由於 ISO 27001 稽核不會特別評估此類別,因此您必須:

  • 廠商不再支援的軟體元件和操作系統 不得 在環境中使用。 必須備妥支持原則,以確保不支援的軟體元件/操作系統會從環境中移除,以及識別何時必須備妥軟體元件的程式

弱點掃描

由於 ISO 27001 稽核不會特別評估此類別,因此您必須:

  • 示範每季進行內部和外部弱點掃描。

  • 確認支援檔已備妥,可根據風險排名和規格進行弱點補救,如下所示:

✓ 修正與內部掃描風險排名一致的所有重大和高風險問題。

✓ 修正與外部掃描風險排名一致的所有嚴重、高和中風險問題。

✓ 示範補救是依照記載的弱點補救原則進行。

防火牆 – 防火牆 (或對等技術)

由於 ISO 27001 稽核不會特別評估此類別,因此您必須:

  • 示範防火牆已安裝在範圍內環境的界限上。

  • 示範防火牆安裝在 DMZ 和信任的網路之間。

  • 示範 DMZ 中的所有公用存取都會終止。

  • 示範在安裝到實時環境之前,預設的系統管理認證已變更。

  • 示範所有允許通過防火牆 () 的流量都會經過授權程式,這會產生具有業務理由的所有流量檔。

  • 示範所有防火牆都設定為卸除未明確定義的流量。

  • 示範防火牆只支援所有非控制台系統管理介面上的強式密碼編譯。

  • 示範向因特網公開的防火牆非控制台系統管理介面支援 MFA。

  • 示範防火牆規則檢閱至少每 6 個月執行一次

防火牆 – Web 應用程式防火牆 (WAF)

如果部署 WAF 來協助防範應用程式可公開的眾多 Web 應用程式威脅和弱點,則會提供額外的信用額度。 當 WAF 或類似專案存在時,您必須:

  • 示範 WAF 是在主動式防禦模式中設定,或使用警示進行更多監視。

  • 示範 WAF 已設定為支援 SSL 卸除。

  • 根據 OWASP 核心規則集 (3.0 或 3.1) 設定,可防範下列大部分的攻擊類型:

✓ 通訊協議和編碼問題。

✓ 標頭插入、要求外送和回應分割。

✓ 檔案和路徑周遊攻擊。

✓ 遠端檔案包含 (RFI) 攻擊。

✓ 遠端程式代碼執行攻擊。

✓ PHP 插入式攻擊。

✓ 跨網站腳本攻擊。

✓ SQL 插入式攻擊。

✓ 會話修正攻擊。

變更控制件

由於 ISO 27001 稽核不會特別評估變更要求程式的某些元素,因此您必須:

  • 示範變更要求具有下列詳細資料:

✓ 記載的影響。

✓ 要進行哪些功能測試的詳細數據。

✓ 任何退回程序的詳細數據。

  • 示範功能測試是在變更完成之後進行。

  • 示範在進行功能測試之後,變更要求已核准。

帳戶管理

由於 ISO 27001 稽核不會特別評估帳戶管理程式的某些元素,因此您必須:

  • 示範如何實作 ✓,以減輕重新執行攻擊 (例如 MFA、Kerberos) 。
  • 示範如何停用或刪除 3 個月內未使用的帳戶。
  • 您必須設定 ✓或其他適當的防護功能來保護用戶認證。 下列最低密碼原則應作為指導方針:

✓ 密碼長度下限為 8 個字元。

✓ 帳戶鎖定閾值不超過 10 次嘗試。

✓ 密碼歷程記錄至少五個密碼。

✓ 強制使用強密碼。

  • 示範 MFA 已針對所有遠端存取解決方案進行設定。

  • 示範已在所有遠端訪問解決方案上設定強式加密。

  • 如果公用 DNS 的管理不在範圍內的環境中,所有能夠進行 DNS 修改的使用者帳戶都必須設定為使用 MFA。

入侵偵測和預防 (選擇性)

由於 ISO 27001 稽核不會特別評估入侵偵測和預防服務 (IDPS) 程式的某些元素,因此您必須:

  • IDPS 應該 部署在支援環境的周邊。

  • IDPS 簽章 應該 在過去一天內保持在最新狀態。

  • IDPS 應該設定為TLS檢查。

  • 為所有輸入和輸出流量設定IDPS。

  • 設定IDPS以進行警示。

事件記錄

由於 ISO 27001 稽核不會特別評估安全性事件記錄程式的某些元素,因此您必須:

  • 示範公用面向系統正在記錄至不在 DMZ 內的集中式記錄解決方案。

  • 示範如何立即使用至少 30 天的記錄數據,並保留 90 天。

檢閱 (記錄數據)

由於 ISO 27001 稽核不會特別評估此類別的某些元素,因此您必須:

  • 示範每日記錄檢閱的執行方式,以及如何識別例外狀況和異常,以顯示如何處理這些狀況。

提醒

由於 ISO 27001 稽核不會特別評估此類別的某些元素,因此您必須:

  • 示範如何將安全性事件設定為觸發立即分級的警示。

  • 示範員工如何全天候可用來回應安全性警示。

風險管理

由於 ISO 27001 稽核不會特別評估風險評估程式的某些元素,因此您必須:

  • 示範已建立正式的風險管理程式。

事件回應

由於 ISO 27001 稽核不會特別評估事件回應原則和程式的某些元素,因此您必須:

  • 示範事件回應計畫/程式包括:

✓ 預期威脅模型的特定響應程式。

✓ 事件處理功能符合 NIST 網路安全性架構 (識別、保護、偵測、回應、復原) 。

✓ IRP 涵蓋範圍內的系統。

✓ 事件回應小組的年度訓練。

附錄 D

辨識項集合 – PCI DSS 的差異

在您已達到PCI DSS合規性的情況下,下列差異的 (差距) 未完全由PCI DSS涵蓋,至少需要在此 Microsoft 365 認證中檢閱。

注意事項

在 Microsoft 365 認證評定中,認證分析師會判斷 PCI DSS 評定中是否未包含任何對應的 PCI DSS 控制件,也可以決定要包含的範例控件,以提供進一步的保證。 PCI DSS 中缺少的任何需求都必須包含在 Microsoft 365 認證評定活動中。

惡意代碼保護 - 應用程控

如果惡意代碼保護是透過使用防病毒軟體而備妥,且在PCI DSS中證明為,則不需要進一步調查。 如果沒有防病毒軟體,認證分析師將需要識別和評估應用程控機制的辨識項,以防止在環境中惡意代碼被入侵。 這會要求您:

  • 示範應用程式核准的執行方式,並確認已完成。

  • 示範具有業務理由的已核准應用程式完整清單存在。

  • 提供或示範支援檔,詳細說明如何設定應用程控軟體,以符合特定應用程控機制 (,也就是允許清單、程式代碼簽署等 ) 。

  • 示範在所有取樣的系統元件中,應用程控已設定為已記載。

修補程式管理 – 風險排名

由於PCI DSS稽核不會特別評估此類別,因此您必須:

  • 示範如何執行弱點的風險排名。

弱點掃描

由於PCI DSS稽核不會特別評估此類別,因此您必須:

  • 示範補救是依照記載的弱點補救原則進行。

防火牆 – 防火牆 (或對等技術)

由於PCI DSS稽核不會特別評估此類別,因此您必須:

  • 示範防火牆只支援所有非控制台系統管理介面上的強式密碼編譯。

  • 示範向因特網公開的防火牆非控制台系統管理介面支援 MFA。

如果已部署 Web 應用程式防火牆 (WAF) ,以協助防範應用程式可能暴露的眾多 Web 應用程式威脅和弱點,則會提供額外的信用額度。 當 WAF 或類似專案存在時,您必須:

  • 示範 WAF 是在主動式防禦模式中設定,或使用警示進行更多監視。

  • 示範 WAF 已設定為支援 SSL 卸除。

  • 根據 OWASP 核心規則集 (3.0 或 3.1) 設定,可防範下列大部分的攻擊類型:

✓ 通訊協議和編碼問題。

✓ 標頭插入、要求外送和回應分割。

✓ 檔案和路徑周遊攻擊。

✓ 遠端檔案包含 (RFI) 攻擊。

✓ 遠端程式代碼執行攻擊。

✓ PHP 插入式攻擊。

✓ 跨網站腳本攻擊。

✓ SQL 插入式攻擊。

✓ 會話修正攻擊。

變更控制件

由於PCI DSS稽核不會特別評估變更要求程式的某些元素,因此您必須:

  • 示範在生產環境中提出變更要求之前,會先提出變更要求。

  • 示範變更在進入生產環境之前已獲得授權。

  • 示範功能測試是在變更完成之後進行。

  • 示範在進行功能測試之後,變更要求已核准。

安全軟體開發/部署

由於 PCI DSS 稽核不會特別存取安全軟體開發和部署程式的某些元素;這會要求您:

  • 程式代碼存放庫必須受到 MFA 保護。

  • 必須備妥適當的訪問控制,以保護程式代碼存放庫免於遭受惡意代碼修改。

帳戶管理

由於PCI DSS稽核不會特別評估帳戶管理程式的某些元素,因此您必須:

  • 示範如何實作授權機制,以減輕重新執行攻擊 (例如 MFA、Kerberos) 。

  • 強密碼原則或其他適當的防護功能必須設定為保護用戶認證。 下列最低密碼原則應作為指導方針:

✓ 密碼長度下限為 8 個字元。

✓ 帳戶鎖定閾值不超過 10 次嘗試。

✓ 密碼歷程記錄至少五個密碼。

✓ 強制使用強密碼。

  • 示範已在所有遠端訪問解決方案上設定強式加密。

  • 如果公用 DNS 的管理不在範圍內的環境中,所有能夠進行 DNS 修改的使用者帳戶都必須設定為使用 MFA。

入侵偵測和預防 (選擇性)

由於PCI DSS稽核不會特別評估入侵偵測和預防服務 (IDPS) 程式的某些元素,因此您必須:

  • IDPS 應該設定為TLS檢查。

  • 應為所有輸入和輸出流量設定IDPS。

風險管理

由於PCI DSS稽核不會特別評估風險評估程式的某些元素,因此您必須:

  • 示範風險評估包含影響和可能性矩陣。

事件回應

由於PCI DSS稽核不會特別評估事件回應原則和程式的某些元素,因此開發人員必須:

  • 示範事件處理功能符合 NIST 網路安全性架構 (識別、保護、偵測、回應、復原) 。

附錄 E

辨識項集合 - SOC 2 的差異

在您已達到 SOC 2 合規性的情況下,必須檢閱下列差異的 (差距,) SOC 2 未完全涵蓋。此 Microsoft 365 認證需要加以檢閱。

注意事項

在 Microsoft 365 認證評定中,認證分析師會判斷 SOC 2 評定中是否未包含任何對應的 SOC 2 控制件,也可以決定要包含的範例控件,以提供進一步的保證。 SOC 2 評定中遺漏的任何需求都必須包含在 Microsoft 365 認證評定活動中。

惡意代碼保護 - 應用程控

如果惡意代碼保護是透過使用防病毒軟體來準備就緒,並且在SOC 2中證明為,則不需要進一步調查。 如果沒有防病毒軟體,認證分析師將需要識別和評估應用程控機制的辨識項,以防止在環境中惡意代碼被入侵。 這會要求您:

  • 提供或示範支援檔,詳細說明如何設定應用程控軟體,以符合特定應用程控機制 (,也就是允許清單、程式代碼簽署等 ) 。

  • 示範應用程式核准的執行方式,並確認已完成。

  • 示範具有業務理由的已核准應用程式完整清單存在。

  • 示範在所有取樣的系統元件中,應用程控已設定為已記載。

修補程式管理 – 修補

由於 SOC 2 稽核不會特別評估此類別,因此您必須:

  • 任何低、中、高或嚴重問題都必須在一般修補活動時段內修補。

  • 廠商不再支援的軟體元件和操作系統不得在環境中使用。 必須備妥支持原則,以確保不支援的軟體元件/操作系統會從環境中移除,以及識別軟體元件何時必須就緒的程式。

防火牆 – 防火牆

由於 SOC 2 稽核不會特別評估防火牆訪問控制清單的變更控件,因此您必須:

  • 示範所有允許的流量通過防火牆 (的) 會經過授權程式,以產生具有商業理由的所有流量檔。

  • 示範防火牆規則檢閱至少每六個月執行一次。

如果已部署 Web 應用程式防火牆 (WAF) 或類似專案,以協助防範應用程式可公開的眾多 Web 應用程式威脅和弱點,則會提供額外的信用額度。 當 WAF 或類似專案存在時,您必須:

  • 示範 WAF 是在主動式防禦模式中設定,或使用警示進行更多監視。

  • 示範 WAF 已設定為支援 SSL 卸除。

  • 根據 OWASP 核心規則集 ( (3.0 或 3.1) 設定,可防範下列大部分的攻擊類型:

 ✓ 通訊協議和編碼問題。

 ✓ 標頭插入、要求外送和回應分割。

 ✓ 檔案和路徑周遊攻擊。

 ✓ 遠端檔案包含 (RFI) 攻擊。

 ✓ 遠端程式代碼執行攻擊。

 ✓ PHP 插入式攻擊。

 ✓ 跨網站腳本攻擊。

 ✓ SQL 插入式攻擊。

 ✓ 會話修正攻擊。

變更控制件

由於 SOC 2 稽核不會特別評估變更要求程式的某些元素,因此開發人員必須:

  • 示範開發/測試環境如何與強制執行職責區分的生產環境分開。

  • 示範如何在開發/測試環境中不使用實時數據。

  • 示範功能測試是在變更完成之後進行。

  • 示範在進行功能測試之後,變更要求已核准。

安全軟體開發/部署

由於 SOC 2 稽核不會特別存取安全軟體開發和部署程式的某些元素;這會要求您:

  • 您必須已建立並記載涵蓋整個軟體開發生命週期的軟體開發程式。

  • 開發人員必須至少每年進行安全的軟體程式代碼定型。

  • 程式代碼存放庫必須受到 MFA 保護。

  • 必須備妥適當的訪問控制,以保護程式代碼存放庫免於遭受惡意代碼修改。

帳戶管理

由於 SOC2 稽核不會特別評估帳戶管理程式的某些元素,因此您必須:

  • 示範如何實作授權機制,以減輕重新執行攻擊 (例如 MFA、Kerberos) 。

  • 示範如何停用或刪除 3 個月內未使用的帳戶。

  • 強密碼原則或其他適當的防護功能必須設定為保護用戶認證。 下列最低密碼原則應作為指導方針:

 ✓ 密碼長度下限為 8 個字元。

 ✓ 帳戶鎖定閾值不超過 10 次嘗試。

 ✓ 密碼歷程記錄至少 5 個密碼。

 ✓ 強制使用強密碼

  • 示範唯一的用戶帳戶會發行給所有使用者。

  • 如果公用 DNS 的管理不在範圍內的環境中,所有能夠進行 DNS 修改的使用者帳戶都必須設定為使用 MFA。

入侵偵測和預防 (選擇性) 。

由於 SOC 2 稽核不會特別評估 IDPS) 程式 (入侵偵測和預防服務的某些元素,因此您必須:

  • 在過去一天內,IDPS 簽章應該保持在最新狀態

  • 應設定IDPS以進行TLS檢查

  • 應為所有輸入和輸出流量設定IDPS

事件記錄

由於 SOC 2 稽核不會特別評估安全性事件記錄程式的某些元素,因此您必須:

  • 示範如何在範例集內的所有系統元件上,設定下列系統來記錄下列事件

 ✓ 使用者存取系統元件和應用程式 (的) 。

 ✓ 高許可權用戶所採取的所有動作。

 ✓ 無效的邏輯存取嘗試。

示範記錄的事件包含;至少是下列資訊:

 ✓ 使用者。

 ✓ 事件類型。

 ✓ 日期和時間。

 ✓ 成功/失敗指標。

 ✓ 用來識別受影響系統的標籤。

  • 示範範例集中的所有系統元件都設定為使用時間同步處理,而且這些元件與主要/次要時間伺服器相同。

  • 示範公用面向系統正在記錄至不在 DMZ 內的集中式記錄解決方案。

  • 示範公用面向系統正在記錄至不在 DMZ 內的集中式記錄解決方案。

  • 示範集中式記錄解決方案如何受到保護,以防止未經授權的記錄數據遭到竄改。

  • 示範如何立即使用至少 30 天的記錄數據,並保留 90 天以上。

風險管理

由於 SOC2 稽核不會特別評估風險評估程式的某些元素,因此您必須:

  • 示範至少每年執行一次正式的風險評估。

事件回應。

由於 SOC2 稽核不會特別評估事件回應原則和程式的某些元素,因此您必須:

  • 示範事件回應計畫/程式包括:

 ✓ 預期威脅模型的特定響應程式。

 ✓ 記錄通訊程式,以確保及時通知重要專案關係人 (付款品牌/取得者、監管機構、監管機關、主管、客戶等。

附錄 F

裝載部署類型

Microsoft 確認您將部署應用程式,並將應用程式/載入宏程式代碼儲存在不同的裝載環境中。 Microsoft 365 認證中某些安全性控制措施的整體責任將取決於所使用的裝載環境。 附錄 F 會查看常見的部署類型,並將這些類型對應至評估程式中評估的安全性控制件。 已識別下列裝載部署類型:

裝載類型 說明
ISV 裝載 ISV 裝載類型可以定義為您負責支援應用程式/載入宏環境的基礎結構。 這可以實際位於您自己的數據中心或具有共置服務的第三方數據中心內。 最後,您擁有支援基礎結構和作業環境的完整擁有權和管理控制權。
基礎結構即服務 (IaaS) (https://azure.microsoft.com/overview/what-is-iaas/) 基礎結構即服務是一項服務,由雲端服務提供者 (CSP) 代表實體支援基礎結構進行管理和維護。 一般而言,網路、記憶體、實體伺服器和虛擬化基礎結構都是雲端解決方案提供者的責任。 操作系統、中間件、運行時間、資料和應用程式是您的責任。 防火牆功能也會由第三方管理和維護,不過,維護防火牆規則基底通常仍是取用者的責任。
平臺即服務/無伺服器 (PaaS) (https://azure.microsoft.com/overview/what-is-paas/) 使用平臺即服務,您可以使用受控平臺布建,以呈現可取用的服務。 您不需要執行系統管理員功能,因為操作系統和支援的基礎結構是由 CSP 管理。 通常,當組織不想考慮呈現 Web 服務,而是可以專注於建立 Web 應用程式原始程式碼,並在雲端受控 Web 服務上發布 Web 應用程式時,通常會使用此方法。另一個範例可能是提供資料庫連線到資料庫的資料庫服務,但支援的基礎結構和資料庫應用程式是從取用者中抽象化。注意:無伺服器和 PaaS 很類似,因此基於 Microsoft 365 認證裝載部署類型的無伺服器和 PasS 的目的,會被視為相同
混合式託管 使用混合式託管類型時,您可以利用多個託管類型來支援支援環境的各個部分。 這可能是跨多個 Microsoft 365 堆疊使用應用程式/載入宏的情況。 雖然 Microsoft 365 認證將支援跨多個 Microsoft 365 服務開發應用程式/附加元件的位置,但必須根據每個適用的「託管類型對應」來評估跨應用程式/載入宏) 支援環境的整個 (。 有時候,您可能會針對執行此作業的單一載入宏使用不同的裝載類型,準則的適用性仍然需要遵循各種裝載類型的「裝載類型對應」準則。
共用裝載 共用裝載是您在由多個個別取用者共用的平臺內裝載環境的位置。 Microsoft 365 認證規格並未寫入,因為採用雲端,共用裝載並不常見。 如果您認為正在使用此功能,請連絡 Microsoft,因為需要建立其他需求,以考慮這種裝載類型下的其他風險。

附錄 G

深入了解

Microsoft 365 應用程式合規性計劃概觀什麼是 Microsoft 365 應用程式發行者證明?什麼是 Microsoft 365 認證?

詞彙

友邦 保險

*授權單位資訊存取是用來尋找頒發證書頒發機構單位憑證的服務位置描述元。

Crl

*證書吊銷清單可讓安全套接字層 (SSL) 端點驗證從遠端主機接收的憑證有效且值得信任。

CVSS 分數

*常見的弱點評分系統是一種已發佈的標準,可測量弱點,並根據其嚴重性計算數值分數。

CVSS 修補程式管理指導方針

  • 重要 (9.0 - 10.0)
  • 高 (7.0 - 8.9)
  • 中 (4.0 - 6.9)
  • 低 (0.0 - 3.9)

Dmz

*非單位化區域是實體或邏輯中繼網路,可直接與外部或非專屬網路互動,同時讓主機的內部專用網保持獨立且隔離。

FedRAMP

FedRAMP (聯邦風險與授權管理計劃) 是 2011 年建立的全美國聯邦政府計劃。 它提供針對雲端產品和服務進行安全性評估、授權和持續監視的標準化方法。

EUII

用戶可識別資訊

GDPR

*一般數據保護規定是歐盟 (歐盟) 所有歐盟公民數據的隱私權和數據保護規定,無論您的應用程式網站位於何處。

HSTS

*HTTP Strict Transport Security 會利用 HTTP 回應標頭指示網頁瀏覽器只透過 HTTPS 存取內容。這是設計來防範降級攻擊和 Cookie 劫持。

Iec

*國際電工委員會。

主義

*資訊安全性管理系統。

ISV

獨立安全性廠商是開發、行銷及銷售在第三方軟體和硬體平臺上執行之軟體的個人和組織。

ISO 27001

組織中所有技術控制的資訊安全性管理系統規格架構,會風險管理原則和程式程式。

LFI

包含本機檔案 可讓攻擊者透過網頁瀏覽器在伺服器上包含檔案。

Nist

美國國家標準局 (NIST) ,這是美國商務部的非法規機構,提供適用於美國私人部門組織的指引,以評估和核准其預防、偵測及回應網路攻擊的能力。

非重大變更

  • 次要錯誤修正。
  • 稍微改善效能。
  • 操作系統/連結庫/用戶端和伺服器應用程式修補程式。

OCSP

在線憑證狀態通訊協定 可用來檢查 X.509 數位證書的撤銷狀態。

OII

組織可識別的資訊

OWASP

開啟 Web 應用程式安全性專案

PCI DSS

支付卡產業數據安全標準,這是維護全球持卡人數據安全標準的組織。

手寫筆測試

滲透測試 是一種測試 Web 應用程式的方法,方法是模擬惡意攻擊來尋找攻擊者可能利用的安全性弱點。

Saml

安全性判斷提示標記語言 是開放式標準,可在使用者、識別提供者和服務提供者之間交換驗證和授權數據。

敏感性資料

  • 訪問控制數據。
  • 客戶內容。
  • 使用者身分識別資訊。
  • 支持數據。
  • 公用個人資料。
  • 使用者假名資訊。

重大變更

  • 主控環境的重新配置。
  • 主要升級至支持的基礎結構;例如,實作新的防火牆、主要升級至前端服務等。
  • 將功能和 /或擴充功能新增至您的應用程式。
  • 匯報 擷取其他敏感數據的應用程式。
  • 應用程式數據流或授權模型的變更
  • 新增 API 端點或 API 端點函式。

SOC 2

服務組織控制 2 是由五個信任服務原則所組成的技術稽核程式,可確保服務提供者安全地管理組織用戶端的數據和隱私權。

Ssl

安全套接字層

TLS

傳輸層安全性