Detalles de la iniciativa integrada de cumplimiento normativo de PCI DSS v4.0
En el siguiente artículo se detalla la correspondencia entre la definición de la iniciativa integrada de cumplimiento normativo de Azure Policy y los dominios de cumplimiento y controles de PCI DSS v4.0. Para más información sobre este estándar de cumplimiento, vea PCI DSS v4.0. Para entender el concepto de propiedad, consulte Definición de directivas de Azure Policy y Responsabilidad compartida en la nube.
Las siguientes asignaciones son para los controles de PCI DSS v4.0. Muchos de los controles se implementan con una definición de iniciativa de Azure Policy. Para revisar la definición de iniciativa completa, abra Policy en Azure Portal y seleccione la página Definiciones. Después, busque y seleccione la definición de la iniciativa integrada de cumplimiento normativo de PCI DSS v4.
Importante
Cada control que se muestra a continuación está asociado a una o varias definiciones de Azure Policy. Estas directivas pueden ayudarle a evaluar el cumplimiento mediante el control. Sin embargo, con frecuencia no hay una correspondencia completa o exacta entre un control y una o varias directivas. Como tal, el cumplimiento en Azure Policy solo se refiere a las propias definiciones de directiva; esto no garantiza que se cumpla totalmente con todos los requisitos de un control. Además, el estándar de cumplimiento incluye controles que no se abordan con las definiciones de Azure Policy en este momento. Por lo tanto, el cumplimiento en Azure Policy es solo una vista parcial del estado general de cumplimiento. Las asociaciones entre los dominios de cumplimiento, los controles y las definiciones de Azure Policy para este estándar de cumplimiento pueden cambiar con el tiempo. Para ver el historial de cambios, consulte el historial de confirmación de GitHub.
Requisito 01: Instalar y mantener controles de seguridad de red
Los procesos y mecanismos para instalar y mantener los controles de seguridad de red se definen y entienden
Id.: Propiedad de PCI DSS v4.0 1.1.1: Compartida
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Revisión y actualización de las directivas y procedimientos de administración de configuración | CMA_C1175: Revisar y actualizar las directivas y procedimientos de administración de configuración | Manual, Deshabilitado | 1.1.0 |
| Revisión y actualización de directivas y procedimientos de protección del sistema y de las comunicaciones | CMA_C1616: Revisar y actualizar directivas y procedimientos de protección del sistema y de las comunicaciones | Manual, Deshabilitado | 1.1.0 |
Los controles de seguridad de red (NSC) se configuran y mantienen
Id.: Propiedad de PCI DSS v4.0 1.2.1: Compartida
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Configurar las acciones para los dispositivos no conformes | CMA_0062: Configurar las acciones para los dispositivos no conformes | Manual, Deshabilitado | 1.1.0 |
| Desarrollar y mantener las configuraciones de línea base | CMA_0153: Desarrollar y mantener las configuraciones de línea base | Manual, Deshabilitado | 1.1.0 |
| Aplicar opciones de configuración de seguridad | CMA_0249: Aplicar opciones de configuración de seguridad | Manual, Deshabilitado | 1.1.0 |
| Establecer un panel de control de configuración | CMA_0254: Establecer un panel de control de configuración | Manual, Deshabilitado | 1.1.0 |
| Establecer y documentar un plan de administración de configuración | CMA_0264: Establecer y documentar un plan de administración de configuración | Manual, Deshabilitado | 1.1.0 |
| Implementación de una herramienta de administración de configuración automatizada | CMA_0311: Implementar una herramienta de administración de configuración automatizada | Manual, Deshabilitado | 1.1.0 |
Los controles de seguridad de red (NSC) se configuran y mantienen
Id.: Propiedad de PCI DSS v4.0 1.2.2: Compartida
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Realización de un análisis de impacto en la seguridad | CMA_0057: Realizar un análisis de impacto en la seguridad | Manual, Deshabilitado | 1.1.0 |
| Desarrollo y mantenimiento del estándar de administración de vulnerabilidades | CMA_0152: Desarrollar y mantener el estándar de administración de vulnerabilidades | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de una estrategia de administración de riesgos | CMA_0258: Establecer una estrategia de administración de riesgos | Manual, Deshabilitado | 1.1.0 |
| Establecer y documentar los procesos de control de cambios | CMA_0265: Establecer y documentar los procesos de control de cambios | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de los requisitos de administración de configuración para desarrolladores | CMA_0270: Establecer los requisitos de administración de configuración para desarrolladores | Manual, Deshabilitado | 1.1.0 |
| Realización de una evaluación de impacto en la privacidad | CMA_0387: Realizar una evaluación de impacto en la privacidad | Manual, Deshabilitado | 1.1.0 |
| Realización de una evaluación de riesgos | CMA_0388: Realizar una evaluación de riesgos | Manual, Deshabilitado | 1.1.0 |
| Realización de una auditoría para el control de cambios de configuración | CMA_0390: Realizar auditoría para el control de cambios de configuración | Manual, Deshabilitado | 1.1.0 |
Los controles de seguridad de red (NSC) se configuran y mantienen
Id.: Propiedad de PCI DSS v4.0 1.2.3: Compartida
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Comprobación del cumplimiento de privacidad y seguridad antes de establecer conexiones internas | CMA_0053: Comprobar el cumplimiento de privacidad y seguridad antes de establecer conexiones internas | Manual, Deshabilitado | 1.1.0 |
Los controles de seguridad de red (NSC) se configuran y mantienen
Id.: Propiedad de PCI DSS v4.0 1.2.4: Compartida
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Mantenimiento de registros de procesamiento de datos personales | CMA_0353: Mantener registros de procesamiento de datos personales | Manual, Deshabilitado | 1.1.0 |
Los controles de seguridad de red (NSC) se configuran y mantienen
Id.: Propiedad de PCI DSS v4.0 1.2.5: Compartida
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Identificación de proveedores de servicios externos | CMA_C1591: Identificar proveedores de servicios externos | Manual, Deshabilitado | 1.1.0 |
| Requerimiento al desarrollador de que identifique los puertos, protocolos y servicios SDLC | CMA_C1578: Requerir al desarrollador que identifique los puertos, protocolos y servicios SDLC | Manual, Deshabilitado | 1.1.0 |
Los controles de seguridad de red (NSC) se configuran y mantienen
Id.: Propiedad de PCI DSS v4.0 1.2.8: Compartida
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Exigencia y auditoría de las restricciones de acceso | CMA_C1203: Exigir y auditar las restricciones de acceso | Manual, Deshabilitado | 1.1.0 |
| Establecer y documentar los procesos de control de cambios | CMA_0265: Establecer y documentar los procesos de control de cambios | Manual, Deshabilitado | 1.1.0 |
| Revisión de los cambios en busca de cambios no autorizados | CMA_C1204: Revisar los cambios en busca de cambios no autorizados | Manual, Deshabilitado | 1.1.0 |
El acceso de red hacia y desde el entorno de datos del titular de la tarjeta está restringido
Id.: Propiedad de PCI DSS v4.0 1.3.2: Compartida
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Todos los puertos de red deben estar restringidos en los grupos de seguridad de red asociados a la máquina virtual | Azure Security Center identificó que algunas de las reglas de entrada de sus grupos de seguridad de red son demasiado permisivas. Las reglas de entrada no deben permitir el acceso desde los intervalos "Cualquiera" o "Internet". Esto podría permitir que los atacantes pudieran acceder a sus recursos. | AuditIfNotExists, Disabled | 3.0.0 |
| Se debe restringir el acceso de red a las cuentas de almacenamiento | El acceso de red a las cuentas de almacenamiento debe estar restringido. Configure reglas de red, solo las aplicaciones de redes permitidas pueden acceder a la cuenta de almacenamiento. Para permitir conexiones desde clientes específicos locales o de Internet, se puede conceder acceso al tráfico procedente de redes virtuales de Azure específicas o a intervalos de direcciones IP de Internet públicas. | Audit, Deny, Disabled | 1.1.1 |
El acceso de red hacia y desde el entorno de datos del titular de la tarjeta está restringido
Id.: Propiedad de PCI DSS v4.0 1.3.3: Compartida
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Documentación e implementación de directrices de acceso inalámbrico | CMA_0190: Documentar e implementar directrices de acceso inalámbrico | Manual, Deshabilitado | 1.1.0 |
| Protección del acceso inalámbrico | CMA_0411: Proteger el acceso inalámbrico | Manual, Deshabilitado | 1.1.0 |
Se controlan las conexiones de red entre redes de confianza y que no son de confianza
Id.: Propiedad de PCI DSS v4.0 1.4.1: Compartida
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Flujo de la información de control | CMA_0079: Flujo de la información de control | Manual, Deshabilitado | 1.1.0 |
| Usar mecanismos de control de flujo de información cifrada | CMA_0211: Usar mecanismos de control de flujo de información cifrada | Manual, Deshabilitado | 1.1.0 |
| Implementación de una interfaz administrada para cada servicio externo | CMA_C1626: Implementar una interfaz administrada para cada servicio externo | Manual, Deshabilitado | 1.1.0 |
| Implementación de protección de límites del sistema | CMA_0328: Implementar protección de límites del sistema | Manual, Deshabilitado | 1.1.0 |
| Protección de la interfaz contra sistemas externos | CMA_0491: Proteger la interfaz contra sistemas externos | Manual, Deshabilitado | 1.1.0 |
Se controlan las conexiones de red entre redes de confianza y que no son de confianza
Id.: Propiedad de PCI DSS v4.0 1.4.2: Compartida
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Todos los puertos de red deben estar restringidos en los grupos de seguridad de red asociados a la máquina virtual | Azure Security Center identificó que algunas de las reglas de entrada de sus grupos de seguridad de red son demasiado permisivas. Las reglas de entrada no deben permitir el acceso desde los intervalos "Cualquiera" o "Internet". Esto podría permitir que los atacantes pudieran acceder a sus recursos. | AuditIfNotExists, Disabled | 3.0.0 |
| Flujo de la información de control | CMA_0079: Flujo de la información de control | Manual, Deshabilitado | 1.1.0 |
| Usar mecanismos de control de flujo de información cifrada | CMA_0211: Usar mecanismos de control de flujo de información cifrada | Manual, Deshabilitado | 1.1.0 |
| Implementación de una interfaz administrada para cada servicio externo | CMA_C1626: Implementar una interfaz administrada para cada servicio externo | Manual, Deshabilitado | 1.1.0 |
| Implementación de protección de límites del sistema | CMA_0328: Implementar protección de límites del sistema | Manual, Deshabilitado | 1.1.0 |
| Protección de la interfaz contra sistemas externos | CMA_0491: Proteger la interfaz contra sistemas externos | Manual, Deshabilitado | 1.1.0 |
| Se debe restringir el acceso de red a las cuentas de almacenamiento | El acceso de red a las cuentas de almacenamiento debe estar restringido. Configure reglas de red, solo las aplicaciones de redes permitidas pueden acceder a la cuenta de almacenamiento. Para permitir conexiones desde clientes específicos locales o de Internet, se puede conceder acceso al tráfico procedente de redes virtuales de Azure específicas o a intervalos de direcciones IP de Internet públicas. | Audit, Deny, Disabled | 1.1.1 |
Se controlan las conexiones de red entre redes de confianza y que no son de confianza
Id.: Propiedad de PCI DSS v4.0 1.4.3: Compartida
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Flujo de la información de control | CMA_0079: Flujo de la información de control | Manual, Deshabilitado | 1.1.0 |
| Usar mecanismos de control de flujo de información cifrada | CMA_0211: Usar mecanismos de control de flujo de información cifrada | Manual, Deshabilitado | 1.1.0 |
Se controlan las conexiones de red entre redes de confianza y que no son de confianza
Id.: Propiedad de PCI DSS v4.0 1.4.4: Compartida
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Flujo de la información de control | CMA_0079: Flujo de la información de control | Manual, Deshabilitado | 1.1.0 |
| Usar mecanismos de control de flujo de información cifrada | CMA_0211: Usar mecanismos de control de flujo de información cifrada | Manual, Deshabilitado | 1.1.0 |
Se mitigan los riesgos para la CDE de los dispositivos informáticos que pueden conectarse a redes que no son de confianza y a CDE
Id.: Propiedad de PCI DSS v4.0 1.5.1: Compartida
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Autorizar acceso remoto | CMA_0024: Autorizar acceso remoto | Manual, Deshabilitado | 1.1.0 |
| Entrenamiento de movilidad de documentos | CMA_0191: Entrenamiento de movilidad de documentos | Manual, Deshabilitado | 1.1.0 |
| Documentar las directrices de acceso remoto | CMA_0196: Documentar las directrices de acceso remoto | Manual, Deshabilitado | 1.1.0 |
| Implementar controles para proteger sitios de trabajo alternativos | CMA_0315: Implementar controles para proteger sitios de trabajo alternativos | Manual, Deshabilitado | 1.1.0 |
| Proporcionar entrenamiento sobre la privacidad | CMA_0415: Proporcionar entrenamiento sobre la privacidad | Manual, Deshabilitado | 1.1.0 |
Requisito 10: Registrar y supervisar todo el acceso a componentes del sistema y datos de titulares de tarjetas
Se definen y documentan los procesos y mecanismos de registro y control de todos los accesos a los componentes del sistema y a los datos de los titulares de las tarjetas
Id.: Propiedad de PCI DSS v4.0 10.1.1: Compartida
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Desarrollo de directivas y procedimientos de auditoría y responsabilidad | CMA_0154: Desarrollar directivas y procedimientos de auditoría y responsabilidad | Manual, Deshabilitado | 1.1.0 |
| Desarrollo de directivas y procedimientos de seguridad de la información | CMA_0158: Desarrollar directivas y procedimientos de seguridad de la información | Manual, Deshabilitado | 1.1.0 |
| Control de directivas y procedimientos | CMA_0292: Control de directivas y procedimientos | Manual, Deshabilitado | 1.1.0 |
| Actualización de las directivas de seguridad de la información | CMA_0518: Actualizar las directivas de seguridad de la información | Manual, Deshabilitado | 1.1.0 |
Los registros de auditoría se implementan para admitir la detección de anomalías y actividad sospechosa, así como el análisis forense de eventos
Id.: Propiedad de PCI DSS v4.0 10.2.1: Compartida
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Auditar funciones con privilegios | CMA_0019: Auditar funciones con privilegios | Manual, Deshabilitado | 1.1.0 |
| Auditar el estado de la cuenta de usuario | CMA_0020: Auditar el estado de la cuenta de usuario | Manual, Deshabilitado | 1.1.0 |
| Determinar eventos auditables | CMA_0137: Determinar eventos auditables | Manual, Deshabilitado | 1.1.0 |
| Revisar los datos de auditoría | CMA_0466: Revisar los datos de auditoría | Manual, Deshabilitado | 1.1.0 |
Los registros de auditoría se implementan para admitir la detección de anomalías y actividad sospechosa, así como el análisis forense de eventos
Id.: Propiedad de PCI DSS v4.0 10.2.1.1: Compartida
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Determinar eventos auditables | CMA_0137: Determinar eventos auditables | Manual, Deshabilitado | 1.1.0 |
Los registros de auditoría se implementan para admitir la detección de anomalías y actividad sospechosa, así como el análisis forense de eventos
Id: Propiedad de PCI DSS v4.0 10.2.1.2: Compartida
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Auditar funciones con privilegios | CMA_0019: Auditar funciones con privilegios | Manual, Deshabilitado | 1.1.0 |
| Realización de un análisis de texto completo de los comandos con privilegios registrados | CMA_0056: Realizar un análisis de texto completo de los comandos con privilegios registrados | Manual, Deshabilitado | 1.1.0 |
| Supervisión de la actividad de la cuenta | CMA_0377: Supervisar la actividad de la cuenta | Manual, Deshabilitado | 1.1.0 |
| Supervisión de la asignación de roles con privilegios | CMA_0378: Supervisar la asignación de roles con privilegios | Manual, Deshabilitado | 1.1.0 |
| Restringir el acceso a las cuentas con privilegios | CMA_0446: Restringir el acceso a las cuentas con privilegios | Manual, Deshabilitado | 1.1.0 |
| Revocar roles con privilegios según corresponda | CMA_0483: Revocar roles con privilegios según corresponda | Manual, Deshabilitado | 1.1.0 |
| Usar Privileged Identity Management | CMA_0533: Usar Privileged Identity Management | Manual, Deshabilitado | 1.1.0 |
Los registros de auditoría se implementan para admitir la detección de anomalías y actividad sospechosa, así como el análisis forense de eventos
Id: Propiedad de PCI DSS v4.0 10.2.1.3: Compartida
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Auditar funciones con privilegios | CMA_0019: Auditar funciones con privilegios | Manual, Deshabilitado | 1.1.0 |
| Realización de un análisis de texto completo de los comandos con privilegios registrados | CMA_0056: Realizar un análisis de texto completo de los comandos con privilegios registrados | Manual, Deshabilitado | 1.1.0 |
| Determinar eventos auditables | CMA_0137: Determinar eventos auditables | Manual, Deshabilitado | 1.1.0 |
| Supervisión de la actividad de la cuenta | CMA_0377: Supervisar la actividad de la cuenta | Manual, Deshabilitado | 1.1.0 |
| Supervisión de la asignación de roles con privilegios | CMA_0378: Supervisar la asignación de roles con privilegios | Manual, Deshabilitado | 1.1.0 |
| Restringir el acceso a las cuentas con privilegios | CMA_0446: Restringir el acceso a las cuentas con privilegios | Manual, Deshabilitado | 1.1.0 |
| Revocar roles con privilegios según corresponda | CMA_0483: Revocar roles con privilegios según corresponda | Manual, Deshabilitado | 1.1.0 |
| Usar Privileged Identity Management | CMA_0533: Usar Privileged Identity Management | Manual, Deshabilitado | 1.1.0 |
Los registros de auditoría se implementan para admitir la detección de anomalías y actividad sospechosa, así como el análisis forense de eventos
Id: Propiedad de PCI DSS v4.0 10.2.1.4: Compartida
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Determinar eventos auditables | CMA_0137: Determinar eventos auditables | Manual, Deshabilitado | 1.1.0 |
Los registros de auditoría se implementan para admitir la detección de anomalías y actividad sospechosa, así como el análisis forense de eventos
Id: Propiedad de PCI DSS v4.0 10.2.1.5: Compartida
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Auditar funciones con privilegios | CMA_0019: Auditar funciones con privilegios | Manual, Deshabilitado | 1.1.0 |
| Auditar el estado de la cuenta de usuario | CMA_0020: Auditar el estado de la cuenta de usuario | Manual, Deshabilitado | 1.1.0 |
| Automatizar la administración de cuentas | CMA_0026: Automatizar la administración de cuentas | Manual, Deshabilitado | 1.1.0 |
| Realización de un análisis de texto completo de los comandos con privilegios registrados | CMA_0056: Realizar un análisis de texto completo de los comandos con privilegios registrados | Manual, Deshabilitado | 1.1.0 |
| Determinar eventos auditables | CMA_0137: Determinar eventos auditables | Manual, Deshabilitado | 1.1.0 |
| Administrar cuentas de administrador y del sistema | CMA_0368: Administrar cuentas de administrador y del sistema | Manual, Deshabilitado | 1.1.0 |
| Supervisar el acceso en toda la organización | CMA_0376: Supervisar el acceso en toda la organización | Manual, Deshabilitado | 1.1.0 |
| Supervisión de la actividad de la cuenta | CMA_0377: Supervisar la actividad de la cuenta | Manual, Deshabilitado | 1.1.0 |
| Supervisión de la asignación de roles con privilegios | CMA_0378: Supervisar la asignación de roles con privilegios | Manual, Deshabilitado | 1.1.0 |
| Notificar cuando no se necesite la cuenta | CMA_0383: Notificar cuando no se necesite la cuenta | Manual, Deshabilitado | 1.1.0 |
| Restringir el acceso a las cuentas con privilegios | CMA_0446: Restringir el acceso a las cuentas con privilegios | Manual, Deshabilitado | 1.1.0 |
| Revocar roles con privilegios según corresponda | CMA_0483: Revocar roles con privilegios según corresponda | Manual, Deshabilitado | 1.1.0 |
| Usar Privileged Identity Management | CMA_0533: Usar Privileged Identity Management | Manual, Deshabilitado | 1.1.0 |
Los registros de auditoría se implementan para admitir la detección de anomalías y actividad sospechosa, así como el análisis forense de eventos
Id: Propiedad de PCI DSS v4.0 10.2.1.6: Compartida
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Auditar funciones con privilegios | CMA_0019: Auditar funciones con privilegios | Manual, Deshabilitado | 1.1.0 |
| Realización de un análisis de texto completo de los comandos con privilegios registrados | CMA_0056: Realizar un análisis de texto completo de los comandos con privilegios registrados | Manual, Deshabilitado | 1.1.0 |
| Determinar eventos auditables | CMA_0137: Determinar eventos auditables | Manual, Deshabilitado | 1.1.0 |
| Supervisión de la actividad de la cuenta | CMA_0377: Supervisar la actividad de la cuenta | Manual, Deshabilitado | 1.1.0 |
| Supervisión de la asignación de roles con privilegios | CMA_0378: Supervisar la asignación de roles con privilegios | Manual, Deshabilitado | 1.1.0 |
| Restringir el acceso a las cuentas con privilegios | CMA_0446: Restringir el acceso a las cuentas con privilegios | Manual, Deshabilitado | 1.1.0 |
| Revocar roles con privilegios según corresponda | CMA_0483: Revocar roles con privilegios según corresponda | Manual, Deshabilitado | 1.1.0 |
| Usar Privileged Identity Management | CMA_0533: Usar Privileged Identity Management | Manual, Deshabilitado | 1.1.0 |
Los registros de auditoría se implementan para admitir la detección de anomalías y actividad sospechosa, así como el análisis forense de eventos
Id.: Propiedad de PCI DSS v4.0 10.2.1.7: Compartida
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Determinar eventos auditables | CMA_0137: Determinar eventos auditables | Manual, Deshabilitado | 1.1.0 |
Los registros de auditoría se implementan para admitir la detección de anomalías y actividad sospechosa, así como el análisis forense de eventos
Id: Propiedad de PCI DSS v4.0 10.2.2: Compartida
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Audite la configuración de diagnóstico para los tipos de recursos seleccionados. | Audite la configuración de diagnóstico para los tipos de recursos seleccionados. Asegúrese de seleccionar solo los tipos de recursos que admiten la configuración de diagnóstico. | AuditIfNotExists | 2.0.1 |
| La auditoría de SQL Server debe estar habilitada | La auditoría debe estar habilitada en SQL Server para realizar un seguimiento de las actividades de todas las bases de datos del servidor y guardarlas en un registro de auditoría. | AuditIfNotExists, Disabled | 2.0.0 |
| Determinar eventos auditables | CMA_0137: Determinar eventos auditables | Manual, Deshabilitado | 1.1.0 |
| Se deben migrar las cuentas de almacenamiento a los nuevos recursos de Azure Resource Manager | Use el nuevo Azure Resource Manager para las cuentas de almacenamiento a fin de proporcionar mejoras de seguridad como las siguientes: mayor control de acceso (RBAC), mejor auditoría, gobernanza e implementación basados en Azure Resource Manager, acceso a las identidades administradas, acceso a los secretos de Key Vault, autenticación basada en Azure AD y compatibilidad con las etiquetas y los grupos de recursos para facilitar la administración de seguridad. | Audit, Deny, Disabled | 1.0.0 |
| Se deben migrar las máquinas virtuales a nuevos recursos de Azure Resource Manager | Use el nuevo Azure Resource Manager para las máquinas virtuales a fin de proporcionar mejoras de seguridad como las siguientes: mayor control de acceso (RBAC), mejor auditoría, gobernanza e implementación basados en Azure Resource Manager, acceso a identidades administradas, acceso a secretos de Key Vault, autenticación basada en Azure AD y compatibilidad con etiquetas y grupos de recursos para facilitar la administración de seguridad. | Audit, Deny, Disabled | 1.0.0 |
Los registros de auditoría están protegidos contra la destrucción y las modificaciones no autorizadas
Id.: Propiedad de PCI DSS v4.0 10.3.1: Compartida
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Habilitar la autorización doble o conjunta | CMA_0226: Habilitar la autorización doble o conjunta | Manual, Deshabilitado | 1.1.0 |
| Proteger la información de auditoría | CMA_0401: Proteger la información de auditoría | Manual, Deshabilitado | 1.1.0 |
Los registros de auditoría están protegidos contra la destrucción y las modificaciones no autorizadas
Id.: Propiedad de PCI DSS v4.0 10.3.2: Compartida
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Habilitar la autorización doble o conjunta | CMA_0226: Habilitar la autorización doble o conjunta | Manual, Deshabilitado | 1.1.0 |
| Proteger la información de auditoría | CMA_0401: Proteger la información de auditoría | Manual, Deshabilitado | 1.1.0 |
Los registros de auditoría están protegidos contra la destrucción y las modificaciones no autorizadas
Id.: Propiedad de PCI DSS v4.0 10.3.3: Compartida
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Audite la configuración de diagnóstico para los tipos de recursos seleccionados. | Audite la configuración de diagnóstico para los tipos de recursos seleccionados. Asegúrese de seleccionar solo los tipos de recursos que admiten la configuración de diagnóstico. | AuditIfNotExists | 2.0.1 |
| La auditoría de SQL Server debe estar habilitada | La auditoría debe estar habilitada en SQL Server para realizar un seguimiento de las actividades de todas las bases de datos del servidor y guardarlas en un registro de auditoría. | AuditIfNotExists, Disabled | 2.0.0 |
| Establecimiento de las directivas y procedimientos de copia de seguridad | CMA_0268: Establecer las directivas y procedimientos de copia de seguridad | Manual, Deshabilitado | 1.1.0 |
| Se deben migrar las cuentas de almacenamiento a los nuevos recursos de Azure Resource Manager | Use el nuevo Azure Resource Manager para las cuentas de almacenamiento a fin de proporcionar mejoras de seguridad como las siguientes: mayor control de acceso (RBAC), mejor auditoría, gobernanza e implementación basados en Azure Resource Manager, acceso a las identidades administradas, acceso a los secretos de Key Vault, autenticación basada en Azure AD y compatibilidad con las etiquetas y los grupos de recursos para facilitar la administración de seguridad. | Audit, Deny, Disabled | 1.0.0 |
| Se deben migrar las máquinas virtuales a nuevos recursos de Azure Resource Manager | Use el nuevo Azure Resource Manager para las máquinas virtuales a fin de proporcionar mejoras de seguridad como las siguientes: mayor control de acceso (RBAC), mejor auditoría, gobernanza e implementación basados en Azure Resource Manager, acceso a identidades administradas, acceso a secretos de Key Vault, autenticación basada en Azure AD y compatibilidad con etiquetas y grupos de recursos para facilitar la administración de seguridad. | Audit, Deny, Disabled | 1.0.0 |
Los registros de auditoría están protegidos contra la destrucción y las modificaciones no autorizadas
Id.: Propiedad de PCI DSS v4.0 10.3.4: Compartida
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Habilitar la autorización doble o conjunta | CMA_0226: Habilitar la autorización doble o conjunta | Manual, Deshabilitado | 1.1.0 |
| Proteger la información de auditoría | CMA_0401: Proteger la información de auditoría | Manual, Deshabilitado | 1.1.0 |
Los registros de auditoría se revisan para identificar anomalías o actividades sospechosas
Id.: Propiedad de PCI DSS v4.0 10.4.1: Compartida
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Correlación de los registros de auditoría | CMA_0087: Correlacionar los registros de auditoría | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de requisitos para la revisión de auditorías y la creación de informes | CMA_0277: Establecer requisitos para la revisión de auditorías y la creación de informes | Manual, Deshabilitado | 1.1.0 |
| Integración de la revisión, el análisis y la creación de informes de auditoría | CMA_0339: Integrar la revisión, el análisis y la creación de informes de auditoría | Manual, Deshabilitado | 1.1.0 |
| Integración de Cloud App Security con una SIEM | CMA_0340: Integrar Cloud App Security con una SIEM | Manual, Deshabilitado | 1.1.0 |
| Revisar los registros de aprovisionamiento de cuentas | CMA_0460: Revisar los registros de aprovisionamiento de cuentas | Manual, Deshabilitado | 1.1.0 |
| Revisión de las asignaciones del administrador semanalmente | CMA_0461: Revisar las asignaciones del administrador de forma semanal | Manual, Deshabilitado | 1.1.0 |
| Revisar los datos de auditoría | CMA_0466: Revisar los datos de auditoría | Manual, Deshabilitado | 1.1.0 |
| Revisión de la información general del informe de identidad en la nube | CMA_0468: Revisar la información general del informe de identidad en la nube | Manual, Deshabilitado | 1.1.0 |
| Revisión de eventos de acceso controlado a carpetas | CMA_0471: Revisar eventos de acceso controlado a carpetas | Manual, Deshabilitado | 1.1.0 |
| Revisión de la actividad de las carpetas y de los archivos | CMA_0473: Revisar la actividad de las carpetas y de los archivos | Manual, Deshabilitado | 1.1.0 |
| Revisión de los cambios de grupos de roles semanalmente | CMA_0476: Revisar los cambios de grupos de roles semanalmente | Manual, Deshabilitado | 1.1.0 |
Los registros de auditoría se revisan para identificar anomalías o actividades sospechosas
Id.: Propiedad de PCI DSS v4.0 10.4.1.1: Compartida
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Correlación de los registros de auditoría | CMA_0087: Correlacionar los registros de auditoría | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de requisitos para la revisión de auditorías y la creación de informes | CMA_0277: Establecer requisitos para la revisión de auditorías y la creación de informes | Manual, Deshabilitado | 1.1.0 |
| Integración de la revisión, el análisis y la creación de informes de auditoría | CMA_0339: Integrar la revisión, el análisis y la creación de informes de auditoría | Manual, Deshabilitado | 1.1.0 |
| Integración de Cloud App Security con una SIEM | CMA_0340: Integrar Cloud App Security con una SIEM | Manual, Deshabilitado | 1.1.0 |
| Revisar los registros de aprovisionamiento de cuentas | CMA_0460: Revisar los registros de aprovisionamiento de cuentas | Manual, Deshabilitado | 1.1.0 |
| Revisión de las asignaciones del administrador semanalmente | CMA_0461: Revisar las asignaciones del administrador de forma semanal | Manual, Deshabilitado | 1.1.0 |
| Revisar los datos de auditoría | CMA_0466: Revisar los datos de auditoría | Manual, Deshabilitado | 1.1.0 |
| Revisión de la información general del informe de identidad en la nube | CMA_0468: Revisar la información general del informe de identidad en la nube | Manual, Deshabilitado | 1.1.0 |
| Revisión de eventos de acceso controlado a carpetas | CMA_0471: Revisar eventos de acceso controlado a carpetas | Manual, Deshabilitado | 1.1.0 |
| Revisión de la actividad de las carpetas y de los archivos | CMA_0473: Revisar la actividad de las carpetas y de los archivos | Manual, Deshabilitado | 1.1.0 |
| Revisión de los cambios de grupos de roles semanalmente | CMA_0476: Revisar los cambios de grupos de roles semanalmente | Manual, Deshabilitado | 1.1.0 |
Los registros de auditoría se revisan para identificar anomalías o actividades sospechosas
Id.: Propiedad de PCI DSS v4.0 10.4.2: Compartida
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Correlación de los registros de auditoría | CMA_0087: Correlacionar los registros de auditoría | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de requisitos para la revisión de auditorías y la creación de informes | CMA_0277: Establecer requisitos para la revisión de auditorías y la creación de informes | Manual, Deshabilitado | 1.1.0 |
| Integración de la revisión, el análisis y la creación de informes de auditoría | CMA_0339: Integrar la revisión, el análisis y la creación de informes de auditoría | Manual, Deshabilitado | 1.1.0 |
| Integración de Cloud App Security con una SIEM | CMA_0340: Integrar Cloud App Security con una SIEM | Manual, Deshabilitado | 1.1.0 |
| Revisar los registros de aprovisionamiento de cuentas | CMA_0460: Revisar los registros de aprovisionamiento de cuentas | Manual, Deshabilitado | 1.1.0 |
| Revisión de las asignaciones del administrador semanalmente | CMA_0461: Revisar las asignaciones del administrador de forma semanal | Manual, Deshabilitado | 1.1.0 |
| Revisar los datos de auditoría | CMA_0466: Revisar los datos de auditoría | Manual, Deshabilitado | 1.1.0 |
| Revisión de la información general del informe de identidad en la nube | CMA_0468: Revisar la información general del informe de identidad en la nube | Manual, Deshabilitado | 1.1.0 |
| Revisión de eventos de acceso controlado a carpetas | CMA_0471: Revisar eventos de acceso controlado a carpetas | Manual, Deshabilitado | 1.1.0 |
| Revisión de la actividad de las carpetas y de los archivos | CMA_0473: Revisar la actividad de las carpetas y de los archivos | Manual, Deshabilitado | 1.1.0 |
| Revisión de los cambios de grupos de roles semanalmente | CMA_0476: Revisar los cambios de grupos de roles semanalmente | Manual, Deshabilitado | 1.1.0 |
Los registros de auditoría se revisan para identificar anomalías o actividades sospechosas
Id.: Propiedad de PCI DSS v4.0 10.4.2.1: Compartida
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Correlación de los registros de auditoría | CMA_0087: Correlacionar los registros de auditoría | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de requisitos para la revisión de auditorías y la creación de informes | CMA_0277: Establecer requisitos para la revisión de auditorías y la creación de informes | Manual, Deshabilitado | 1.1.0 |
| Integración de la revisión, el análisis y la creación de informes de auditoría | CMA_0339: Integrar la revisión, el análisis y la creación de informes de auditoría | Manual, Deshabilitado | 1.1.0 |
| Integración de Cloud App Security con una SIEM | CMA_0340: Integrar Cloud App Security con una SIEM | Manual, Deshabilitado | 1.1.0 |
| Revisar los registros de aprovisionamiento de cuentas | CMA_0460: Revisar los registros de aprovisionamiento de cuentas | Manual, Deshabilitado | 1.1.0 |
| Revisión de las asignaciones del administrador semanalmente | CMA_0461: Revisar las asignaciones del administrador de forma semanal | Manual, Deshabilitado | 1.1.0 |
| Revisar los datos de auditoría | CMA_0466: Revisar los datos de auditoría | Manual, Deshabilitado | 1.1.0 |
| Revisión de la información general del informe de identidad en la nube | CMA_0468: Revisar la información general del informe de identidad en la nube | Manual, Deshabilitado | 1.1.0 |
| Revisión de eventos de acceso controlado a carpetas | CMA_0471: Revisar eventos de acceso controlado a carpetas | Manual, Deshabilitado | 1.1.0 |
| Revisión de la actividad de las carpetas y de los archivos | CMA_0473: Revisar la actividad de las carpetas y de los archivos | Manual, Deshabilitado | 1.1.0 |
| Revisión de los cambios de grupos de roles semanalmente | CMA_0476: Revisar los cambios de grupos de roles semanalmente | Manual, Deshabilitado | 1.1.0 |
Los registros de auditoría se revisan para identificar anomalías o actividades sospechosas
Id.: Propiedad de PCI DSS v4.0 10.4.3: Compartida
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Correlación de los registros de auditoría | CMA_0087: Correlacionar los registros de auditoría | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de requisitos para la revisión de auditorías y la creación de informes | CMA_0277: Establecer requisitos para la revisión de auditorías y la creación de informes | Manual, Deshabilitado | 1.1.0 |
| Integración de la revisión, el análisis y la creación de informes de auditoría | CMA_0339: Integrar la revisión, el análisis y la creación de informes de auditoría | Manual, Deshabilitado | 1.1.0 |
| Integración de Cloud App Security con una SIEM | CMA_0340: Integrar Cloud App Security con una SIEM | Manual, Deshabilitado | 1.1.0 |
| Revisar los registros de aprovisionamiento de cuentas | CMA_0460: Revisar los registros de aprovisionamiento de cuentas | Manual, Deshabilitado | 1.1.0 |
| Revisión de las asignaciones del administrador semanalmente | CMA_0461: Revisar las asignaciones del administrador de forma semanal | Manual, Deshabilitado | 1.1.0 |
| Revisar los datos de auditoría | CMA_0466: Revisar los datos de auditoría | Manual, Deshabilitado | 1.1.0 |
| Revisión de la información general del informe de identidad en la nube | CMA_0468: Revisar la información general del informe de identidad en la nube | Manual, Deshabilitado | 1.1.0 |
| Revisión de eventos de acceso controlado a carpetas | CMA_0471: Revisar eventos de acceso controlado a carpetas | Manual, Deshabilitado | 1.1.0 |
| Revisión de la actividad de las carpetas y de los archivos | CMA_0473: Revisar la actividad de las carpetas y de los archivos | Manual, Deshabilitado | 1.1.0 |
| Revisión de los cambios de grupos de roles semanalmente | CMA_0476: Revisar los cambios de grupos de roles semanalmente | Manual, Deshabilitado | 1.1.0 |
El historial de registros de auditoría se conserva y está disponible para su análisis
Id.: Propiedad de PCI DSS v4.0 10.5.1: Compartida
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Cumplir con los períodos de retención definidos | CMA_0004: cumplir con los períodos de retención definidos | Manual, Deshabilitado | 1.1.0 |
| Conservar directivas y procedimientos de seguridad | CMA_0454: Conservar directivas y procedimientos de seguridad | Manual, Deshabilitado | 1.1.0 |
| Conservar los datos de usuarios finalizados | CMA_0455: Conservar los datos de usuario finalizados | Manual, Deshabilitado | 1.1.0 |
Los mecanismos de sincronización de hora admiten una configuración de hora coherente en todos los sistemas
Id.: Propiedad de PCI DSS v4.0 10.6.1: Compartida
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Uso de los relojes del sistema para registros de auditoría | CMA_0535: Usar los relojes del sistema para los registros de auditoría | Manual, Deshabilitado | 1.1.0 |
Los mecanismos de sincronización de hora admiten una configuración de hora coherente en todos los sistemas
Id.: Propiedad de PCI DSS v4.0 10.6.2: Compartida
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Uso de los relojes del sistema para registros de auditoría | CMA_0535: Usar los relojes del sistema para los registros de auditoría | Manual, Deshabilitado | 1.1.0 |
Los mecanismos de sincronización de hora admiten una configuración de hora coherente en todos los sistemas
Id.: Propiedad de PCI DSS v4.0 10.6.3: Compartida
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Auditar funciones con privilegios | CMA_0019: Auditar funciones con privilegios | Manual, Deshabilitado | 1.1.0 |
| Autorizar el acceso a las funciones e información de seguridad | CMA_0022: Autorizar el acceso a las funciones e información de seguridad | Manual, Deshabilitado | 1.1.0 |
| Autorización y administración del acceso | CMA_0023: Autorizar y administrar el acceso | Manual, Deshabilitado | 1.1.0 |
| Realización de un análisis de texto completo de los comandos con privilegios registrados | CMA_0056: Realizar un análisis de texto completo de los comandos con privilegios registrados | Manual, Deshabilitado | 1.1.0 |
| Aplicar directivas de control de acceso obligatorias y discrecionales | CMA_0246: Aplicar directivas de control de acceso obligatorias y discrecionales | Manual, Deshabilitado | 1.1.0 |
| Supervisión de la actividad de la cuenta | CMA_0377: Supervisar la actividad de la cuenta | Manual, Deshabilitado | 1.1.0 |
| Supervisión de la asignación de roles con privilegios | CMA_0378: Supervisar la asignación de roles con privilegios | Manual, Deshabilitado | 1.1.0 |
| Restringir el acceso a las cuentas con privilegios | CMA_0446: Restringir el acceso a las cuentas con privilegios | Manual, Deshabilitado | 1.1.0 |
| Revocar roles con privilegios según corresponda | CMA_0483: Revocar roles con privilegios según corresponda | Manual, Deshabilitado | 1.1.0 |
| Usar Privileged Identity Management | CMA_0533: Usar Privileged Identity Management | Manual, Deshabilitado | 1.1.0 |
Los errores de los sistemas de control de seguridad críticos se detectan, notifican y responden rápidamente
Id.: Propiedad de PCI DSS v4.0 10.7.1: Compartida
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Creación de acciones alternativas para las anomalías identificadas | CMA_C1711: Crear acciones alternativas para las anomalías identificadas | Manual, Deshabilitado | 1.1.0 |
| Control y supervisión de las actividades de procesamiento de auditoría | CMA_0289: Controlar y supervisar las actividades de procesamiento de auditoría | Manual, Deshabilitado | 1.1.0 |
| Notificación al personal de cualquier prueba de comprobación de seguridad con errores | CMA_C1710: Notificar al personal cualquier prueba de comprobación de seguridad con errores | Manual, Deshabilitado | 1.1.0 |
| Realización de una comprobación de la función de seguridad con una frecuencia definida | CMA_C1709: Realizar una comprobación de la función de seguridad con una frecuencia definida | Manual, Deshabilitado | 1.1.0 |
| Comprobar las funciones de seguridad | CMA_C1708: Comprobar las funciones de seguridad | Manual, Deshabilitado | 1.1.0 |
Los errores de los sistemas de control de seguridad críticos se detectan, notifican y responden rápidamente
Id.: Propiedad de PCI DSS v4.0 10.7.2: Compartida
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Creación de acciones alternativas para las anomalías identificadas | CMA_C1711: Crear acciones alternativas para las anomalías identificadas | Manual, Deshabilitado | 1.1.0 |
| Control y supervisión de las actividades de procesamiento de auditoría | CMA_0289: Controlar y supervisar las actividades de procesamiento de auditoría | Manual, Deshabilitado | 1.1.0 |
| Notificación al personal de cualquier prueba de comprobación de seguridad con errores | CMA_C1710: Notificar al personal cualquier prueba de comprobación de seguridad con errores | Manual, Deshabilitado | 1.1.0 |
| Realización de una comprobación de la función de seguridad con una frecuencia definida | CMA_C1709: Realizar una comprobación de la función de seguridad con una frecuencia definida | Manual, Deshabilitado | 1.1.0 |
| Comprobar las funciones de seguridad | CMA_C1708: Comprobar las funciones de seguridad | Manual, Deshabilitado | 1.1.0 |
Los errores de los sistemas de control de seguridad críticos se detectan, notifican y responden rápidamente
Id.: Propiedad de PCI DSS v4.0 10.7.3: Compartida
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Creación de acciones alternativas para las anomalías identificadas | CMA_C1711: Crear acciones alternativas para las anomalías identificadas | Manual, Deshabilitado | 1.1.0 |
| Notificación al personal de cualquier prueba de comprobación de seguridad con errores | CMA_C1710: Notificar al personal cualquier prueba de comprobación de seguridad con errores | Manual, Deshabilitado | 1.1.0 |
| Realización de una comprobación de la función de seguridad con una frecuencia definida | CMA_C1709: Realizar una comprobación de la función de seguridad con una frecuencia definida | Manual, Deshabilitado | 1.1.0 |
| Comprobar las funciones de seguridad | CMA_C1708: Comprobar las funciones de seguridad | Manual, Deshabilitado | 1.1.0 |
Requisito 11: Probar periódicamente la seguridad de sistemas y redes
Se definen y entienden los procesos y mecanismos para probar periódicamente la seguridad de los sistemas y las redes
Id.: Propiedad de PCI DSS v4.0 11.1.1: Compartida
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Revisión y actualización de directivas y procedimientos de integridad de la información | CMA_C1667: Revisar y actualizar directivas y procedimientos de integridad de la información | Manual, Deshabilitado | 1.1.0 |
| Revisión y actualización de directivas y procedimientos de protección del sistema y de las comunicaciones | CMA_C1616: Revisar y actualizar directivas y procedimientos de protección del sistema y de las comunicaciones | Manual, Deshabilitado | 1.1.0 |
| Revisión de la evaluación de seguridad y las directivas y procedimientos de autorización | CMA_C1143: Revisar la evaluación de seguridad y las directivas y procedimientos de autorización | Manual, Deshabilitado | 1.1.0 |
Los puntos de acceso inalámbrico se identifican y supervisan, y se abordan los puntos de acceso inalámbrico no autorizados
Id.: Propiedad de PCI DSS v4.0 11.2.2: Compartida
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Documentación e implementación de directrices de acceso inalámbrico | CMA_0190: Documentar e implementar directrices de acceso inalámbrico | Manual, Deshabilitado | 1.1.0 |
| Protección del acceso inalámbrico | CMA_0411: Proteger el acceso inalámbrico | Manual, Deshabilitado | 1.1.0 |
Las vulnerabilidades externas e internas se identifican, priorizan y abordan periódicamente
Id.: Propiedad de PCI DSS v4.0 11.3.1: Compartida
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Debe habilitarse una solución de evaluación de vulnerabilidades en sus máquinas virtuales | Audita las máquinas virtuales para detectar si ejecutan una solución de evaluación de vulnerabilidades admitida. Un componente fundamental de cada programa de seguridad y riesgo cibernético es la identificación y el análisis de las vulnerabilidades. El plan de tarifa estándar de Azure Security Center incluye el análisis de vulnerabilidades de las máquinas virtuales sin costo adicional. Además, Security Center puede implementar automáticamente esta herramienta. | AuditIfNotExists, Disabled | 3.0.0 |
| Supervisar la falta de Endpoint Protection en Azure Security Center | Azure Security Center supervisará los servidores sin un agente de Endpoint Protection instalado como recomendaciones. | AuditIfNotExists, Disabled | 3.0.0 |
| Realizar exámenes de vulnerabilidades | CMA_0393: Realizar exámenes de vulnerabilidades | Manual, Deshabilitado | 1.1.0 |
| Corregir errores del sistema de información | CMA_0427: Corregir los errores del sistema de información | Manual, Deshabilitado | 1.1.0 |
| Las bases de datos SQL deben tener resueltos los hallazgos de vulnerabilidades. | Permite supervisar los resultados del examen de evaluación de puntos vulnerables y las recomendaciones para solucionar los de las bases de datos. | AuditIfNotExists, Disabled | 4.1.0 |
| Se deben instalar actualizaciones del sistema en las máquinas | Azure Security Center supervisará las actualizaciones del sistema de seguridad que faltan en los servidores como recomendaciones. | AuditIfNotExists, Disabled | 4.0.0 |
| Se deben corregir las vulnerabilidades en la configuración de seguridad en las máquinas | Azure Security Center supervisará los servidores que no cumplan la línea de base configurada como recomendaciones. | AuditIfNotExists, Disabled | 3.1.0 |
Las vulnerabilidades externas e internas se identifican, priorizan y abordan periódicamente
Id.: Propiedad de PCI DSS v4.0 11.3.1.1: Compartida
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Realizar exámenes de vulnerabilidades | CMA_0393: Realizar exámenes de vulnerabilidades | Manual, Deshabilitado | 1.1.0 |
| Corregir errores del sistema de información | CMA_0427: Corregir los errores del sistema de información | Manual, Deshabilitado | 1.1.0 |
Las vulnerabilidades externas e internas se identifican, priorizan y abordan periódicamente
Id.: Propiedad de PCI DSS v4.0 11.3.1.3: Compartida
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Realizar exámenes de vulnerabilidades | CMA_0393: Realizar exámenes de vulnerabilidades | Manual, Deshabilitado | 1.1.0 |
| Corregir errores del sistema de información | CMA_0427: Corregir los errores del sistema de información | Manual, Deshabilitado | 1.1.0 |
Las vulnerabilidades externas e internas se identifican, priorizan y abordan periódicamente
Id.: Propiedad de PCI DSS v4.0 11.3.2: Compartida
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Realizar exámenes de vulnerabilidades | CMA_0393: Realizar exámenes de vulnerabilidades | Manual, Deshabilitado | 1.1.0 |
| Corregir errores del sistema de información | CMA_0427: Corregir los errores del sistema de información | Manual, Deshabilitado | 1.1.0 |
Las vulnerabilidades externas e internas se identifican, priorizan y abordan periódicamente
Id.: Propiedad de PCI DSS v4.0 11.3.2.1: Compartida
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Realizar exámenes de vulnerabilidades | CMA_0393: Realizar exámenes de vulnerabilidades | Manual, Deshabilitado | 1.1.0 |
| Corregir errores del sistema de información | CMA_0427: Corregir los errores del sistema de información | Manual, Deshabilitado | 1.1.0 |
Las pruebas de penetración externas e internas se realizan periódicamente, y se corrigen las vulnerabilidades y los puntos débiles de seguridad que se pueden aprovechar
Id.: Propiedad de PCI DSS v4.0 11.4.1: Compartida
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Empleo de un equipo independiente para pruebas de penetración | CMA_C1171: Emplear un equipo independiente para pruebas de penetración | Manual, Deshabilitado | 1.1.0 |
Las pruebas de penetración externas e internas se realizan periódicamente, y se corrigen las vulnerabilidades y los puntos débiles de seguridad que se pueden aprovechar
Id.: Propiedad de PCI DSS v4.0 11.4.3: Compartida
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Empleo de un equipo independiente para pruebas de penetración | CMA_C1171: Emplear un equipo independiente para pruebas de penetración | Manual, Deshabilitado | 1.1.0 |
Las intrusiones de red y los cambios inesperados en los archivos se detectan y responden
Id.: Propiedad de PCI DSS v4.0 11.5.1: Compartida
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Alertar al personal del volcado de información | CMA_0007: alertar al personal del volcado de información | Manual, Deshabilitado | 1.1.0 |
| Desarrollar un plan de respuesta a incidentes | CMA_0145: Desarrollar un plan de respuesta a incidentes | Manual, Deshabilitado | 1.1.0 |
| Realizar un análisis de tendencias sobre amenazas | CMA_0389: Realizar un análisis de tendencias sobre amenazas | Manual, Deshabilitado | 1.1.0 |
| Establecer notificaciones automáticas para las aplicaciones en la nube nuevas y las que están en tendencia en su organización | CMA_0495: Establecer notificaciones automáticas para las aplicaciones en la nube nuevas y las que están en tendencia en su organización | Manual, Deshabilitado | 1.1.0 |
Las intrusiones de red y los cambios inesperados en los archivos se detectan y responden
Id.: Propiedad de PCI DSS v4.0 11.5.1.1: Compartida
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Alertar al personal del volcado de información | CMA_0007: alertar al personal del volcado de información | Manual, Deshabilitado | 1.1.0 |
| Desarrollar un plan de respuesta a incidentes | CMA_0145: Desarrollar un plan de respuesta a incidentes | Manual, Deshabilitado | 1.1.0 |
| Establecer notificaciones automáticas para las aplicaciones en la nube nuevas y las que están en tendencia en su organización | CMA_0495: Establecer notificaciones automáticas para las aplicaciones en la nube nuevas y las que están en tendencia en su organización | Manual, Deshabilitado | 1.1.0 |
Las intrusiones de red y los cambios inesperados en los archivos se detectan y responden
Id.: Propiedad de PCI DSS v4.0 11.5.2: Compartida
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Empleo del apagado o reinicio automático cuando se detectan infracciones | CMA_C1715: Emplear el apagado o reinicio automático cuando se detectan infracciones | Manual, Deshabilitado | 1.1.0 |
| Comprobar el software, el firmware y la integridad de la información | CMA_0542: Comprobar el software, el firmware y la integridad de la información | Manual, Deshabilitado | 1.1.0 |
| Vista y configuración de los datos de diagnóstico del sistema | CMA_0544: Ver y configurar los datos de diagnóstico del sistema | Manual, Deshabilitado | 1.1.0 |
Se detectan los cambios no autorizados en las páginas de pago y se responde a ellos
Id.: Propiedad de PCI DSS v4.0 11.6.1: Compartida
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Empleo del apagado o reinicio automático cuando se detectan infracciones | CMA_C1715: Emplear el apagado o reinicio automático cuando se detectan infracciones | Manual, Deshabilitado | 1.1.0 |
| Comprobar el software, el firmware y la integridad de la información | CMA_0542: Comprobar el software, el firmware y la integridad de la información | Manual, Deshabilitado | 1.1.0 |
| Vista y configuración de los datos de diagnóstico del sistema | CMA_0544: Ver y configurar los datos de diagnóstico del sistema | Manual, Deshabilitado | 1.1.0 |
Requisito 12: Admitir la seguridad de la información con programas y directivas de la organización
Una directiva de seguridad de la información exhaustiva que rige y proporciona orientación para la protección de los recursos de información de la entidad es conocida y actual
Id.: Propiedad de PCI DSS v4.0 12.1.2: Compartida
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Establecer un programa de seguridad de la información | CMA_0263: Establecer un programa de seguridad de la información | Manual, Deshabilitado | 1.1.0 |
| Actualización de las directivas de seguridad de la información | CMA_0518: Actualizar las directivas de seguridad de la información | Manual, Deshabilitado | 1.1.0 |
Una directiva de seguridad de la información exhaustiva que rige y proporciona orientación para la protección de los recursos de información de la entidad es conocida y actual
Id.: Propiedad de PCI DSS v4.0 12.1.4: Compartida
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Designar a un responsable de seguridad de información sénior | CMA_C1733: Designar a un responsable de seguridad de información sénior | Manual, Deshabilitado | 1.1.0 |
Se responde inmediatamente a los incidentes de seguridad sospechosos y confirmados que podrían afectar al CDE
Id.: Propiedad de PCI DSS v4.0 12.10.2: Compartida
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Evaluación de eventos de seguridad de la información | CMA_0013: Evaluar eventos de seguridad de la información | Manual, Deshabilitado | 1.1.0 |
| Desarrollar un plan de respuesta a incidentes | CMA_0145: Desarrollar un plan de respuesta a incidentes | Manual, Deshabilitado | 1.1.0 |
| Implementación del control de incidentes | CMA_0318: Implementar el control de incidentes | Manual, Deshabilitado | 1.1.0 |
| Mantenimiento de registros de vulneración de datos | CMA_0351: Mantener registros de vulneración de datos | Manual, Deshabilitado | 1.1.0 |
| Mantenimiento del plan de respuesta a incidentes | CMA_0352: Mantener el plan de respuesta a incidentes | Manual, Deshabilitado | 1.1.0 |
| Protección del plan de respuesta a incidentes | CMA_0405: Proteger el plan de respuesta a incidentes | Manual, Deshabilitado | 1.1.0 |
Se responde inmediatamente a los incidentes de seguridad sospechosos y confirmados que podrían afectar al CDE
Id: Propiedad de PCI DSS v4.0 12.10.4: Compartida
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Ofrecimiento de formación sobre la pérdida de información | CMA_0413: Proporcionar formación sobre la pérdida de información | Manual, Deshabilitado | 1.1.0 |
Se responde inmediatamente a los incidentes de seguridad sospechosos y confirmados que podrían afectar al CDE
Id.: Propiedad de PCI DSS v4.0 12.10.4.1: Compartida
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Ofrecimiento de formación sobre la pérdida de información | CMA_0413: Proporcionar formación sobre la pérdida de información | Manual, Deshabilitado | 1.1.0 |
Se responde inmediatamente a los incidentes de seguridad sospechosos y confirmados que podrían afectar al CDE
Id.: Propiedad de PCI DSS v4.0 12.10.5: Compartida
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Desarrollar un plan de respuesta a incidentes | CMA_0145: Desarrollar un plan de respuesta a incidentes | Manual, Deshabilitado | 1.1.0 |
| Habilitar la protección de red | CMA_0238: Habilitar la protección de red | Manual, Deshabilitado | 1.1.0 |
| Implementación del control de incidentes | CMA_0318: Implementar el control de incidentes | Manual, Deshabilitado | 1.1.0 |
Se responde inmediatamente a los incidentes de seguridad sospechosos y confirmados que podrían afectar al CDE
Id.: Propiedad de PCI DSS v4.0 12.10.6: Compartida
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Evaluación de eventos de seguridad de la información | CMA_0013: Evaluar eventos de seguridad de la información | Manual, Deshabilitado | 1.1.0 |
| Mantenimiento del plan de respuesta a incidentes | CMA_0352: Mantener el plan de respuesta a incidentes | Manual, Deshabilitado | 1.1.0 |
Se responde inmediatamente a los incidentes de seguridad sospechosos y confirmados que podrían afectar al CDE
Id.: Propiedad de PCI DSS v4.0 12.10.7: Compartida
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Desarrollar un plan de respuesta a incidentes | CMA_0145: Desarrollar un plan de respuesta a incidentes | Manual, Deshabilitado | 1.1.0 |
| Desarrollo de medidas de seguridad | CMA_0161: Desarrollar medidas de seguridad | Manual, Deshabilitado | 1.1.0 |
| Habilitar la protección de red | CMA_0238: Habilitar la protección de red | Manual, Deshabilitado | 1.1.0 |
| Erradicación de la información contaminada | CMA_0253: Erradicar la información contaminada | Manual, Deshabilitado | 1.1.0 |
| Ejecución de acciones en respuesta a los volcados de información | CMA_0281: Ejecutar acciones en respuesta a los volcados de información | Manual, Deshabilitado | 1.1.0 |
| Implementación del control de incidentes | CMA_0318: Implementar el control de incidentes | Manual, Deshabilitado | 1.1.0 |
| Realizar un análisis de tendencias sobre amenazas | CMA_0389: Realizar un análisis de tendencias sobre amenazas | Manual, Deshabilitado | 1.1.0 |
| Vista e investigación de usuarios restringidos | CMA_0545: Ver e investigar usuarios restringidos | Manual, Deshabilitado | 1.1.0 |
Las directivas de uso aceptables para las tecnologías de usuario final se definen e implementan
Id.: Propiedad de PCI DSS v4.0 12.2.1: Compartida
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Desarrollo de directivas y procedimientos de uso aceptables | CMA_0143: Desarrollar directivas y procedimientos de uso aceptables | Manual, Deshabilitado | 1.1.0 |
| Aplicación de reglas de comportamiento y contratos de acceso | CMA_0248: Aplicar reglas de comportamiento y contratos de acceso | Manual, Deshabilitado | 1.1.0 |
| Requerimiento del cumplimiento de los derechos de propiedad intelectual | CMA_0432: Requerir el cumplimiento de los derechos de propiedad intelectual | Manual, Deshabilitado | 1.1.0 |
| Seguimiento del uso de licencias de software | CMA_C1235: Realizar un seguimiento del uso de licencias de software | Manual, Deshabilitado | 1.1.0 |
Los riesgos para el entorno de datos del titular de la tarjeta se identifican, evalúan y administran formalmente
Id.: Propiedad de PCI DSS v4.0 12.3.1: Compartida
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Realización de una evaluación de riesgos | CMA_C1543: Realizar una evaluación de riesgos | Manual, Deshabilitado | 1.1.0 |
| Realización de una evaluación de riesgos y distribuir sus resultados | CMA_C1544: Realizar una evaluación de riesgos y distribuir sus resultados | Manual, Deshabilitado | 1.1.0 |
| Realización de una evaluación de riesgos y documentar sus resultados | CMA_C1542: Realizar una evaluación de riesgos y documentar sus resultados | Manual, Deshabilitado | 1.1.0 |
| Realización de una evaluación de riesgos | CMA_0388: Realizar una evaluación de riesgos | Manual, Deshabilitado | 1.1.0 |
Los riesgos para el entorno de datos del titular de la tarjeta se identifican, evalúan y administran formalmente
Id: Propiedad de PCI DSS v4.0 12.3.2: Compartida
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Realización de una evaluación de riesgos | CMA_C1543: Realizar una evaluación de riesgos | Manual, Deshabilitado | 1.1.0 |
| Realización de una evaluación de riesgos y distribuir sus resultados | CMA_C1544: Realizar una evaluación de riesgos y distribuir sus resultados | Manual, Deshabilitado | 1.1.0 |
| Realización de una evaluación de riesgos y documentar sus resultados | CMA_C1542: Realizar una evaluación de riesgos y documentar sus resultados | Manual, Deshabilitado | 1.1.0 |
| Realización de una evaluación de riesgos | CMA_0388: Realizar una evaluación de riesgos | Manual, Deshabilitado | 1.1.0 |
Los riesgos para el entorno de datos del titular de la tarjeta se identifican, evalúan y administran formalmente
Id.: Propiedad de PCI DSS v4.0 12.3.4: Compartida
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Difusión de alertas de seguridad al personal | CMA_C1705: Difundir alertas de seguridad al personal | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de un programa de inteligencia sobre amenazas | CMA_0260: Establecer un programa de inteligencia sobre amenazas | Manual, Deshabilitado | 1.1.0 |
| Corregir errores del sistema de información | CMA_0427: Corregir los errores del sistema de información | Manual, Deshabilitado | 1.1.0 |
El cumplimiento de PCI DSS se administra
Id.: Propiedad de PCI DSS v4.0 12.4.1: Compartida
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Desarrollar el plan de evaluación de seguridad | CMA_C1144: Desarrollar el plan de evaluación de seguridad | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de un programa de privacidad | CMA_0257: Establecer un programa de privacidad | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de un programa de seguridad de la información | CMA_0263: Establecer un programa de seguridad de la información | Manual, Deshabilitado | 1.1.0 |
| Administrar actividades de cumplimiento | CMA_0358: Administrar actividades de cumplimiento | Manual, Deshabilitado | 1.1.0 |
| Actualizar el plan de privacidad, las directivas y los procedimientos | CMA_C1807: Actualizar el plan de privacidad, las directivas y los procedimientos | Manual, Deshabilitado | 1.1.0 |
El cumplimiento de PCI DSS se administra
Id.: Propiedad de PCI DSS v4.0 12.4.2: Compartida
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Evaluación de los controles de seguridad | CMA_C1145: Evaluar los controles de seguridad | Manual, Deshabilitado | 1.1.0 |
| Configuración de la lista de permitidos para la detección | CMA_0068: Configurar la lista de permitidos para la detección | Manual, Deshabilitado | 1.1.0 |
| Desarrollo del plan de evaluación de seguridad | CMA_C1144: Desarrollar el plan de evaluación de seguridad | Manual, Deshabilitado | 1.1.0 |
| Selección de pruebas adicionales para evaluaciones de control de seguridad | CMA_C1149: Seleccionar pruebas adicionales para las evaluaciones de control de seguridad | Manual, Deshabilitado | 1.1.0 |
| Habilitar sensores para la solución de seguridad de punto de conexión | CMA_0514: Habilitar sensores para la solución de seguridad de punto de conexión | Manual, Deshabilitado | 1.1.0 |
| Sometimiento a una revisión de seguridad independiente | CMA_0515: Someterse a una revisión de seguridad independiente | Manual, Deshabilitado | 1.1.0 |
El cumplimiento de PCI DSS se administra
Id.: Propiedad de PCI DSS v4.0 12.4.2.1: Compartida
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Configuración de la lista de permitidos para la detección | CMA_0068: Configurar la lista de permitidos para la detección | Manual, Deshabilitado | 1.1.0 |
| Entrega de los resultados de la evaluación de seguridad | CMA_C1147: Entregar los resultados de la evaluación de seguridad | Manual, Deshabilitado | 1.1.0 |
| Desarrollo de POA&M | CMA_C1156: Desarrollo de POA&M | Manual, Deshabilitado | 1.1.0 |
| Generación de informe de evaluación de seguridad | CMA_C1146: Generar informe de evaluación de seguridad | Manual, Deshabilitado | 1.1.0 |
| Habilitar sensores para la solución de seguridad de punto de conexión | CMA_0514: Habilitar sensores para la solución de seguridad de punto de conexión | Manual, Deshabilitado | 1.1.0 |
| Sometimiento a una revisión de seguridad independiente | CMA_0515: Someterse a una revisión de seguridad independiente | Manual, Deshabilitado | 1.1.0 |
| Actualización de elementos de POA&M | CMA_C1157: Actualización de elementos de POA&M | Manual, Deshabilitado | 1.1.0 |
El ámbito de PCI DSS se documenta y valida
Id.: Propiedad de PCI DSS v4.0 12.5.2: Compartida
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Mantenimiento de registros de procesamiento de datos personales | CMA_0353: Mantener registros de procesamiento de datos personales | Manual, Deshabilitado | 1.1.0 |
El ámbito de PCI DSS se documenta y valida
Id.: Propiedad de PCI DSS v4.0 12.5.2.1: Compartida
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Creación de un inventario de datos | CMA_0096: Crear un inventario de datos | Manual, Deshabilitado | 1.1.0 |
| Mantenimiento de registros de procesamiento de datos personales | CMA_0353: Mantener registros de procesamiento de datos personales | Manual, Deshabilitado | 1.1.0 |
El ámbito de PCI DSS se documenta y valida
Id.: Propiedad de PCI DSS v4.0 12.5.3: Compartida
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Establecer un programa de seguridad de la información | CMA_0263: Establecer un programa de seguridad de la información | Manual, Deshabilitado | 1.1.0 |
| Actualización de las directivas de seguridad de la información | CMA_0518: Actualizar las directivas de seguridad de la información | Manual, Deshabilitado | 1.1.0 |
La educación para la concienciación sobre la seguridad es una actividad continua
Id.: Propiedad de PCI DSS v4.0 12.6.1: Compartida
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Documentación de las actividades de aprendizaje sobre seguridad y privacidad | CMA_0198: Documentar las actividades de aprendizaje sobre seguridad y privacidad | Manual, Deshabilitado | 1.1.0 |
| Establecer el programa de desarrollo y mejora de personal de seguridad de la información | CMA_C1752: Establecer el programa de desarrollo y mejora de personal de seguridad de la información | Manual, Deshabilitado | 1.1.0 |
La educación para la concienciación sobre la seguridad es una actividad continua
Id.: Propiedad de PCI DSS v4.0 12.6.2: Compartida
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Ofrecimiento de formación actualizada en reconocimiento de la seguridad | CMA_C1090: Proporcionar formación actualizada en reconocimiento de la seguridad | Manual, Deshabilitado | 1.1.0 |
La educación para la concienciación sobre la seguridad es una actividad continua
Id.: Propiedad de PCI DSS v4.0 12.6.3: Compartida
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Documentar la aceptación por parte del personal de los requisitos de privacidad | CMA_0193: Documentar la aceptación por parte del personal de los requisitos de privacidad | Manual, Deshabilitado | 1.1.0 |
| Ofrecimiento de formación periódica de la seguridad basada en roles | CMA_C1095: Proporcionar formación periódica de la seguridad basada en roles | Manual, Deshabilitado | 1.1.0 |
| Ofrecimiento de formación periódica de reconocimiento de seguridad | CMA_C1091: Proporcionar formación periódica de reconocimiento de seguridad | Manual, Deshabilitado | 1.1.0 |
| Proporcionar entrenamiento sobre la privacidad | CMA_0415: Proporcionar entrenamiento sobre la privacidad | Manual, Deshabilitado | 1.1.0 |
| Ofrecimiento de formación de seguridad basada en roles | CMA_C1094: Proporcionar formación de seguridad basada en roles | Manual, Deshabilitado | 1.1.0 |
| Ofrecimiento de formación de seguridad antes de proporcionar acceso | CMA_0418: Proporcionar formación de seguridad antes de proporcionar acceso | Manual, Deshabilitado | 1.1.0 |
| Ofrecimiento de formación de seguridad para usuarios nuevos | CMA_0419: Proporcionar formación de seguridad para usuarios nuevos | Manual, Deshabilitado | 1.1.0 |
| Ofrecimiento de formación actualizada en reconocimiento de la seguridad | CMA_C1090: Proporcionar formación actualizada en reconocimiento de la seguridad | Manual, Deshabilitado | 1.1.0 |
La educación para la concienciación sobre la seguridad es una actividad continua
Id.: Propiedad de PCI DSS v4.0 12.6.3.1: Compartida
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Implementación de un programa de reconocimiento de amenazas | CMA_C1758: implementar un programa de reconocimiento de amenazas | Manual, Deshabilitado | 1.1.0 |
| Implementación de un programa de amenazas internas | CMA_C1751: Implementar un programa de amenazas internas | Manual, Deshabilitado | 1.1.0 |
| Ofrecimiento de formación de seguridad para usuarios nuevos | CMA_0419: Proporcionar formación de seguridad para usuarios nuevos | Manual, Deshabilitado | 1.1.0 |
La educación para la concienciación sobre la seguridad es una actividad continua
Id.: Propiedad de PCI DSS v4.0 12.6.3.2: Compartida
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Ofrecimiento de formación de seguridad antes de proporcionar acceso | CMA_0418: Proporcionar formación de seguridad antes de proporcionar acceso | Manual, Deshabilitado | 1.1.0 |
| Ofrecimiento de formación de seguridad para usuarios nuevos | CMA_0419: Proporcionar formación de seguridad para usuarios nuevos | Manual, Deshabilitado | 1.1.0 |
Se filtra al personal para reducir los riesgos de las amenazas internas
Id.: Propiedad de PCI DSS v4.0 12.7.1: Compartida
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Borrado del personal con acceso a información clasificada | CMA_0054: Borrar al personal con acceso a información clasificada | Manual, Deshabilitado | 1.1.0 |
| Implementación del filtrado de personal | CMA_0322: Implementar el filtrado de personal | Manual, Deshabilitado | 1.1.0 |
| Revisión de individuos con una frecuencia definida | CMA_C1512: Revisar individuos con una frecuencia definida | Manual, Deshabilitado | 1.1.0 |
Se administra el riesgo de los recursos de información asociados a relaciones de proveedores de servicios de terceros (TPSP)
Id.: Propiedad de PCI DSS v4.0 12.8.1: Compartida
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Requerimiento de que los proveedores de servicios externos cumplan los requisitos de seguridad | CMA_C1586: Requerir que los proveedores de servicios externos cumplan los requisitos de seguridad | Manual, Deshabilitado | 1.1.0 |
Se administra el riesgo de los recursos de información asociados a relaciones de proveedores de servicios de terceros (TPSP)
Id.: Propiedad de PCI DSS v4.0 12.8.2: Compartida
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Definir las tareas de los procesadores | CMA_0127: Definir las tareas de los procesadores | Manual, Deshabilitado | 1.1.0 |
| Determinación de las obligaciones del contrato de proveedor | CMA_0140: Determinar las obligaciones del contrato de proveedor | Manual, Deshabilitado | 1.1.0 |
| Criterios de aceptación del contrato de adquisición de documentos | CMA_0187: Criterios de aceptación del contrato de adquisición de documentos | Manual, Deshabilitado | 1.1.0 |
| Protección de documentos de datos personales en contratos de adquisición | CMA_0194: Proteger documentos de datos personales en contratos de adquisición | Manual, Deshabilitado | 1.1.0 |
| Protección de documentos de información de seguridad en contratos de adquisición | CMA_0195: Proteger documentos de información de seguridad en contratos de adquisición | Manual, Deshabilitado | 1.1.0 |
| Documentación de los requisitos para el uso de los datos compartidos en los contratos | CMA_0197: Documentar los requisitos para el uso de los datos compartidos en los contratos | Manual, Deshabilitado | 1.1.0 |
| Documentación de los requisitos de garantía de seguridad en los contratos de adquisición | CMA_0199: Documentar los requisitos de garantía de seguridad en los contratos de adquisición | Manual, Deshabilitado | 1.1.0 |
| Documentación de los requisitos de documentación de seguridad en el contrato de adquisición | CMA_0200: Documentar los requisitos de documentación de seguridad en el contrato de adquisición | Manual, Deshabilitado | 1.1.0 |
| Documentación de los requisitos funcionales de seguridad en los contratos de adquisición | CMA_0201: Documentar los requisitos funcionales de seguridad en los contratos de adquisición | Manual, Deshabilitado | 1.1.0 |
| Documentación de los requisitos de seguridad en los contratos de adquisición | CMA_0203: Documentar los requisitos de seguridad en los contratos de adquisición | Manual, Deshabilitado | 1.1.0 |
| Documentación del entorno del sistema de información en contratos de adquisición | CMA_0205: Documentar el entorno del sistema de información en contratos de adquisición | Manual, Deshabilitado | 1.1.0 |
| Documentación de la protección de los datos de titulares de tarjetas en contratos de terceros | CMA_0207: Documentar la protección de los datos de titulares de tarjetas en contratos de terceros | Manual, Deshabilitado | 1.1.0 |
| Obtención de información de diseño e implementación para los controles de seguridad | CMA_C1576: Obtener información de diseño e implementación para los controles de seguridad | Manual, Deshabilitado | 1.1.1 |
| Obtención de propiedades funcionales de controles de seguridad | CMA_C1575: Obtener propiedades funcionales de controles de seguridad | Manual, Deshabilitado | 1.1.0 |
| Divulgar los registros de información de identificación personal a terceros | CMA_0422: Divulgar los registros de información de identificación personal a terceros | Manual, Deshabilitado | 1.1.0 |
Se administra el riesgo de los recursos de información asociados a relaciones de proveedores de servicios de terceros (TPSP)
Id.: Propiedad de PCI DSS v4.0 12.8.3: Compartida
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Evaluación del riesgo en las relaciones de terceros | CMA_0014: Evaluar el riesgo en las relaciones de terceros | Manual, Deshabilitado | 1.1.0 |
| Definición de los requisitos para el suministro de bienes y servicios | CMA_0126: Definir los requisitos para el suministro de bienes y servicios | Manual, Deshabilitado | 1.1.0 |
| Determinación de las obligaciones del contrato de proveedor | CMA_0140: Determinar las obligaciones del contrato de proveedor | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de las directivas para la administración de riesgos de la cadena de suministro | CMA_0275: Establecer las directivas para la administración de riesgos de la cadena de suministro | Manual, Deshabilitado | 1.1.0 |
| Requerimiento de que los proveedores de servicios externos cumplan los requisitos de seguridad | CMA_C1586: Requerir que los proveedores de servicios externos cumplan los requisitos de seguridad | Manual, Deshabilitado | 1.1.0 |
Se administra el riesgo de los recursos de información asociados a relaciones de proveedores de servicios de terceros (TPSP)
Id.: Propiedad de PCI DSS v4.0 12.8.4: Compartida
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Evaluación del riesgo en las relaciones de terceros | CMA_0014: Evaluar el riesgo en las relaciones de terceros | Manual, Deshabilitado | 1.1.0 |
| Definición de los requisitos para el suministro de bienes y servicios | CMA_0126: Definir los requisitos para el suministro de bienes y servicios | Manual, Deshabilitado | 1.1.0 |
| Determinación de las obligaciones del contrato de proveedor | CMA_0140: Determinar las obligaciones del contrato de proveedor | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de las directivas para la administración de riesgos de la cadena de suministro | CMA_0275: Establecer las directivas para la administración de riesgos de la cadena de suministro | Manual, Deshabilitado | 1.1.0 |
| Obtención de un plan de supervisión continua para los controles de seguridad | CMA_C1577: Obtener un plan de supervisión continua para los controles de seguridad | Manual, Deshabilitado | 1.1.0 |
| Requerimiento de que los proveedores de servicios externos cumplan los requisitos de seguridad | CMA_C1586: Requerir que los proveedores de servicios externos cumplan los requisitos de seguridad | Manual, Deshabilitado | 1.1.0 |
| Revisión del cumplimiento del proveedor de servicios en la nube con las directivas y los contratos | CMA_0469: Revisar el cumplimiento del proveedor de servicios en la nube con las directivas y los contratos | Manual, Deshabilitado | 1.1.0 |
| Sometimiento a una revisión de seguridad independiente | CMA_0515: Someterse a una revisión de seguridad independiente | Manual, Deshabilitado | 1.1.0 |
Se administra el riesgo de los recursos de información asociados a relaciones de proveedores de servicios de terceros (TPSP)
Id.: Propiedad de PCI DSS v4.0 12.8.5: Compartida
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Determinación de las obligaciones del contrato de proveedor | CMA_0140: Determinar las obligaciones del contrato de proveedor | Manual, Deshabilitado | 1.1.0 |
| Criterios de aceptación del contrato de adquisición de documentos | CMA_0187: Criterios de aceptación del contrato de adquisición de documentos | Manual, Deshabilitado | 1.1.0 |
| Protección de documentos de datos personales en contratos de adquisición | CMA_0194: Proteger documentos de datos personales en contratos de adquisición | Manual, Deshabilitado | 1.1.0 |
| Protección de documentos de información de seguridad en contratos de adquisición | CMA_0195: Proteger documentos de información de seguridad en contratos de adquisición | Manual, Deshabilitado | 1.1.0 |
| Documentación de los requisitos para el uso de los datos compartidos en los contratos | CMA_0197: Documentar los requisitos para el uso de los datos compartidos en los contratos | Manual, Deshabilitado | 1.1.0 |
| Documentación de los requisitos de garantía de seguridad en los contratos de adquisición | CMA_0199: Documentar los requisitos de garantía de seguridad en los contratos de adquisición | Manual, Deshabilitado | 1.1.0 |
| Documentación de los requisitos de documentación de seguridad en el contrato de adquisición | CMA_0200: Documentar los requisitos de documentación de seguridad en el contrato de adquisición | Manual, Deshabilitado | 1.1.0 |
| Documentación de los requisitos funcionales de seguridad en los contratos de adquisición | CMA_0201: Documentar los requisitos funcionales de seguridad en los contratos de adquisición | Manual, Deshabilitado | 1.1.0 |
| Documentación de los requisitos de seguridad en los contratos de adquisición | CMA_0203: Documentar los requisitos de seguridad en los contratos de adquisición | Manual, Deshabilitado | 1.1.0 |
| Documentación del entorno del sistema de información en contratos de adquisición | CMA_0205: Documentar el entorno del sistema de información en contratos de adquisición | Manual, Deshabilitado | 1.1.0 |
| Documentación de la protección de los datos de titulares de tarjetas en contratos de terceros | CMA_0207: Documentar la protección de los datos de titulares de tarjetas en contratos de terceros | Manual, Deshabilitado | 1.1.0 |
| Obtención de información de diseño e implementación para los controles de seguridad | CMA_C1576: Obtener información de diseño e implementación para los controles de seguridad | Manual, Deshabilitado | 1.1.1 |
| Obtención de propiedades funcionales de controles de seguridad | CMA_C1575: Obtener propiedades funcionales de controles de seguridad | Manual, Deshabilitado | 1.1.0 |
Los proveedores de servicios de terceros (TPSP) admiten el cumplimiento de PCI DSS de sus clientes
Id.: Propiedad de PCI DSS v4.0 12.9.1: Compartida
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Definir las tareas de los procesadores | CMA_0127: Definir las tareas de los procesadores | Manual, Deshabilitado | 1.1.0 |
| Divulgar los registros de información de identificación personal a terceros | CMA_0422: Divulgar los registros de información de identificación personal a terceros | Manual, Deshabilitado | 1.1.0 |
| Requerimiento de que los proveedores de servicios externos cumplan los requisitos de seguridad | CMA_C1586: Requerir que los proveedores de servicios externos cumplan los requisitos de seguridad | Manual, Deshabilitado | 1.1.0 |
Los proveedores de servicios de terceros (TPSP) admiten el cumplimiento de PCI DSS de sus clientes
Id.: Propiedad de PCI DSS v4.0 12.9.2: Compartida
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Requerimiento de que los proveedores de servicios externos cumplan los requisitos de seguridad | CMA_C1586: Requerir que los proveedores de servicios externos cumplan los requisitos de seguridad | Manual, Deshabilitado | 1.1.0 |
| Revisión del cumplimiento del proveedor de servicios en la nube con las directivas y los contratos | CMA_0469: Revisar el cumplimiento del proveedor de servicios en la nube con las directivas y los contratos | Manual, Deshabilitado | 1.1.0 |
| Sometimiento a una revisión de seguridad independiente | CMA_0515: Someterse a una revisión de seguridad independiente | Manual, Deshabilitado | 1.1.0 |
Requisito 02: Aplicar configuraciones seguras a todos los componentes del sistema
Los procesos y mecanismos para aplicar configuraciones seguras a todos los componentes del sistema se definen y entienden
Id.: Propiedad de PCI DSS v4.0 2.1.1: Compartida
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Revisión y actualización de las directivas y procedimientos de administración de configuración | CMA_C1175: Revisar y actualizar las directivas y procedimientos de administración de configuración | Manual, Deshabilitado | 1.1.0 |
Los componentes del sistema se configuran y administran de forma segura
Id.: Propiedad de PCI DSS v4.0 2.2.1: Compartida
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Configurar las acciones para los dispositivos no conformes | CMA_0062: Configurar las acciones para los dispositivos no conformes | Manual, Deshabilitado | 1.1.0 |
| Desarrollar y mantener las configuraciones de línea base | CMA_0153: Desarrollar y mantener las configuraciones de línea base | Manual, Deshabilitado | 1.1.0 |
| Aplicar opciones de configuración de seguridad | CMA_0249: Aplicar opciones de configuración de seguridad | Manual, Deshabilitado | 1.1.0 |
| Establecer un panel de control de configuración | CMA_0254: Establecer un panel de control de configuración | Manual, Deshabilitado | 1.1.0 |
| Establecer y documentar un plan de administración de configuración | CMA_0264: Establecer y documentar un plan de administración de configuración | Manual, Deshabilitado | 1.1.0 |
| Implementación de una herramienta de administración de configuración automatizada | CMA_0311: Implementar una herramienta de administración de configuración automatizada | Manual, Deshabilitado | 1.1.0 |
Los componentes del sistema se configuran y administran de forma segura
Id.: Propiedad de PCI DSS v4.0 2.2.2: Compartida
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Administración de autenticadores | CMA_C1321: Administrar autenticadores | Manual, Deshabilitado | 1.1.0 |
Los componentes del sistema se configuran y administran de forma segura
Id.: Propiedad de PCI DSS v4.0 2.2.5: Compartida
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Aplicar opciones de configuración de seguridad | CMA_0249: Aplicar opciones de configuración de seguridad | Manual, Deshabilitado | 1.1.0 |
| Corregir errores del sistema de información | CMA_0427: Corregir los errores del sistema de información | Manual, Deshabilitado | 1.1.0 |
Los componentes del sistema se configuran y administran de forma segura
Id.: Propiedad de PCI DSS v4.0 2.2.7: Compartida
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Implementación de mecanismos criptográficos | CMA_C1419: Implementar mecanismos criptográficos | Manual, Deshabilitado | 1.1.0 |
Los entornos inalámbricos se configuran y administran de forma segura
Id.: Propiedad de PCI DSS v4.0 2.3.1: Compartida
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Documentación e implementación de directrices de acceso inalámbrico | CMA_0190: Documentar e implementar directrices de acceso inalámbrico | Manual, Deshabilitado | 1.1.0 |
| Identificación y autenticación de dispositivos de red | CMA_0296: Identificar y autenticar los dispositivos de red | Manual, Deshabilitado | 1.1.0 |
| Protección del acceso inalámbrico | CMA_0411: Proteger el acceso inalámbrico | Manual, Deshabilitado | 1.1.0 |
Los entornos inalámbricos se configuran y administran de forma segura
Id.: Propiedad de PCI DSS v4.0 2.3.2: Compartida
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Documentación e implementación de directrices de acceso inalámbrico | CMA_0190: Documentar e implementar directrices de acceso inalámbrico | Manual, Deshabilitado | 1.1.0 |
| Identificación y autenticación de dispositivos de red | CMA_0296: Identificar y autenticar los dispositivos de red | Manual, Deshabilitado | 1.1.0 |
| Protección del acceso inalámbrico | CMA_0411: Proteger el acceso inalámbrico | Manual, Deshabilitado | 1.1.0 |
Requisito 03: Proteger los datos de la cuenta almacenada
Se definen y entienden los procesos y mecanismos para proteger los datos de las cuentas almacenadas
Id.: Propiedad de PCI DSS v4.0 3.1.1: Compartida
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Establecer un programa de privacidad | CMA_0257: Establecer un programa de privacidad | Manual, Deshabilitado | 1.1.0 |
| Revisión y actualización de directivas y procedimientos de protección del sistema y de las comunicaciones | CMA_C1616: Revisar y actualizar directivas y procedimientos de protección del sistema y de las comunicaciones | Manual, Deshabilitado | 1.1.0 |
| Actualizar el plan de privacidad, las directivas y los procedimientos | CMA_C1807: Actualizar el plan de privacidad, las directivas y los procedimientos | Manual, Deshabilitado | 1.1.0 |
El almacenamiento de los datos de la cuenta se mantiene al mínimo
Id.: Propiedad de PCI DSS v4.0 3.2.1: Compartida
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Cumplir con los períodos de retención definidos | CMA_0004: cumplir con los períodos de retención definidos | Manual, Deshabilitado | 1.1.0 |
| Controlar el acceso físico | CMA_0081: Controlar el acceso físico | Manual, Deshabilitado | 1.1.0 |
| Documentar la base legal para procesar la información personal | CMA_0206: Documentar la base legal para procesar la información personal | Manual, Deshabilitado | 1.1.0 |
| Administrar la entrada, la salida, el procesamiento y el almacenamiento de los datos | CMA_0369: Administrar la entrada, la salida, el procesamiento y el almacenamiento de los datos | Manual, Deshabilitado | 1.1.0 |
| Obtener consentimiento antes de la recopilación o el procesamiento de datos personales | CMA_0385: Obtener consentimiento antes de la recopilación o el procesamiento de datos personales | Manual, Deshabilitado | 1.1.0 |
| Realizar revisión para eliminación | CMA_0391: Realizar revisión para eliminación | Manual, Deshabilitado | 1.1.0 |
| Revisar la actividad y el análisis de etiquetas | CMA_0474: Revisar la actividad y el análisis de etiquetas | Manual, Deshabilitado | 1.1.0 |
| Comprobar que los datos personales se eliminan al final del procesamiento | CMA_0540: Comprobar que los datos personales se eliminan al final del procesamiento | Manual, Deshabilitado | 1.1.0 |
Los datos de autenticación confidencial (SAD) no se almacenan después de la autorización
Id.: Propiedad de PCI DSS v4.0 3.3.1: Compartida
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Cumplir con los períodos de retención definidos | CMA_0004: cumplir con los períodos de retención definidos | Manual, Deshabilitado | 1.1.0 |
| Documentar la base legal para procesar la información personal | CMA_0206: Documentar la base legal para procesar la información personal | Manual, Deshabilitado | 1.1.0 |
| Implementar métodos de entrega de avisos de privacidad | CMA_0324: Implementar métodos de entrega de avisos de privacidad | Manual, Deshabilitado | 1.1.0 |
| Obtener consentimiento antes de la recopilación o el procesamiento de datos personales | CMA_0385: Obtener consentimiento antes de la recopilación o el procesamiento de datos personales | Manual, Deshabilitado | 1.1.0 |
| Realizar revisión para eliminación | CMA_0391: Realizar revisión para eliminación | Manual, Deshabilitado | 1.1.0 |
| Proporcionar aviso de privacidad | CMA_0414: Proporcionar aviso de privacidad | Manual, Deshabilitado | 1.1.0 |
| Restringir las comunicaciones | CMA_0449: Restringir las comunicaciones | Manual, Deshabilitado | 1.1.0 |
| Comprobar que los datos personales se eliminan al final del procesamiento | CMA_0540: Comprobar que los datos personales se eliminan al final del procesamiento | Manual, Deshabilitado | 1.1.0 |
Los datos de autenticación confidencial (SAD) no se almacenan después de la autorización
Id.: Propiedad de PCI DSS v4.0 3.3.1.1: Compartida
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Cumplir con los períodos de retención definidos | CMA_0004: cumplir con los períodos de retención definidos | Manual, Deshabilitado | 1.1.0 |
| Documentar la base legal para procesar la información personal | CMA_0206: Documentar la base legal para procesar la información personal | Manual, Deshabilitado | 1.1.0 |
| Implementar métodos de entrega de avisos de privacidad | CMA_0324: Implementar métodos de entrega de avisos de privacidad | Manual, Deshabilitado | 1.1.0 |
| Obtener consentimiento antes de la recopilación o el procesamiento de datos personales | CMA_0385: Obtener consentimiento antes de la recopilación o el procesamiento de datos personales | Manual, Deshabilitado | 1.1.0 |
| Realizar revisión para eliminación | CMA_0391: Realizar revisión para eliminación | Manual, Deshabilitado | 1.1.0 |
| Proporcionar aviso de privacidad | CMA_0414: Proporcionar aviso de privacidad | Manual, Deshabilitado | 1.1.0 |
| Restringir las comunicaciones | CMA_0449: Restringir las comunicaciones | Manual, Deshabilitado | 1.1.0 |
| Comprobar que los datos personales se eliminan al final del procesamiento | CMA_0540: Comprobar que los datos personales se eliminan al final del procesamiento | Manual, Deshabilitado | 1.1.0 |
Los datos de autenticación confidencial (SAD) no se almacenan después de la autorización
Id.: Propiedad de PCI DSS v4.0 3.3.1.2: Compartida
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Documentar la base legal para procesar la información personal | CMA_0206: Documentar la base legal para procesar la información personal | Manual, Deshabilitado | 1.1.0 |
| Implementar métodos de entrega de avisos de privacidad | CMA_0324: Implementar métodos de entrega de avisos de privacidad | Manual, Deshabilitado | 1.1.0 |
| Obtener consentimiento antes de la recopilación o el procesamiento de datos personales | CMA_0385: Obtener consentimiento antes de la recopilación o el procesamiento de datos personales | Manual, Deshabilitado | 1.1.0 |
| Proporcionar aviso de privacidad | CMA_0414: Proporcionar aviso de privacidad | Manual, Deshabilitado | 1.1.0 |
| Restringir las comunicaciones | CMA_0449: Restringir las comunicaciones | Manual, Deshabilitado | 1.1.0 |
Los datos de autenticación confidencial (SAD) no se almacenan después de la autorización
Id.: Propiedad de PCI DSS v4.0 3.3.1.3: Compartida
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Cumplir con los períodos de retención definidos | CMA_0004: cumplir con los períodos de retención definidos | Manual, Deshabilitado | 1.1.0 |
| Documentar la base legal para procesar la información personal | CMA_0206: Documentar la base legal para procesar la información personal | Manual, Deshabilitado | 1.1.0 |
| Implementar métodos de entrega de avisos de privacidad | CMA_0324: Implementar métodos de entrega de avisos de privacidad | Manual, Deshabilitado | 1.1.0 |
| Obtener consentimiento antes de la recopilación o el procesamiento de datos personales | CMA_0385: Obtener consentimiento antes de la recopilación o el procesamiento de datos personales | Manual, Deshabilitado | 1.1.0 |
| Realizar revisión para eliminación | CMA_0391: Realizar revisión para eliminación | Manual, Deshabilitado | 1.1.0 |
| Proporcionar aviso de privacidad | CMA_0414: Proporcionar aviso de privacidad | Manual, Deshabilitado | 1.1.0 |
| Restringir las comunicaciones | CMA_0449: Restringir las comunicaciones | Manual, Deshabilitado | 1.1.0 |
| Comprobar que los datos personales se eliminan al final del procesamiento | CMA_0540: Comprobar que los datos personales se eliminan al final del procesamiento | Manual, Deshabilitado | 1.1.0 |
Los datos de autenticación confidencial (SAD) no se almacenan después de la autorización
Id.: Propiedad de PCI DSS v4.0 3.3.2: Compartida
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Autenticación para el módulo criptográfico | CMA_0021: Autenticar para el módulo criptográfico | Manual, Deshabilitado | 1.1.0 |
Los datos de autenticación confidencial (SAD) no se almacenan después de la autorización
Id.: Propiedad de PCI DSS v4.0 3.3.3: Compartida
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Deben estar habilitadas para MFA las cuentas con permisos de propietario de los recursos de Azure. | Multi-Factor Authentication (MFA) debe estar habilitada para todas las cuentas de la suscripción que tengan permisos de propietario, a fin de evitar una brecha de seguridad en las cuentas o los recursos. | AuditIfNotExists, Disabled | 1.0.0 |
| Deben estar habilitadas para MFA las cuentas con permisos de escritura de los recursos de Azure. | Multi-Factor Authentication (MFA) debe estar habilitada para todas las cuentas de la suscripción que tengan permisos de escritura, a fin de evitar una brecha de seguridad en las cuentas o los recursos. | AuditIfNotExists, Disabled | 1.0.0 |
| El administrador de Azure Active Directory debe aprovisionarse para servidores SQL Server | Permite aprovisionar un administrador de Azure Active Directory para SQL Server a fin de habilitar la autenticación de Azure AD. La autenticación de Azure AD permite la administración simplificada de permisos y la administración centralizada de identidades de usuarios de base de datos y otros servicios de Microsoft | AuditIfNotExists, Disabled | 1.0.0 |
| Auditar el uso de roles RBAC personalizados | Permite auditar roles integrados, como "propietario, colaborador, lector" en lugar de roles RBAC personalizados, que son propensos a errores de auditoría. El uso de roles personalizados se trata como una excepción y requiere una revisión rigurosa y el modelado de amenazas. | Audit, Disabled | 1.0.1 |
| Autenticación para el módulo criptográfico | CMA_0021: Autenticar para el módulo criptográfico | Manual, Deshabilitado | 1.1.0 |
| Documentar la base legal para procesar la información personal | CMA_0206: Documentar la base legal para procesar la información personal | Manual, Deshabilitado | 1.1.0 |
| Deben quitarse las cuentas de invitado con permisos de propietario de los recursos de Azure. | Las cuentas externas con permisos de propietario deben quitarse de la suscripción a fin de evitar el acceso no supervisado. | AuditIfNotExists, Disabled | 1.0.0 |
| Deben quitarse las cuentas de invitado con permisos de lectura de los recursos de Azure. | Las cuentas externas con privilegios de lectura deben quitarse de la suscripción a fin de evitar el acceso no supervisado. | AuditIfNotExists, Disabled | 1.0.0 |
| Deben quitarse las cuentas de invitado con permisos de escritura de los recursos de Azure. | Las cuentas externas con privilegios de escritura deben quitarse de la suscripción a fin de evitar el acceso no supervisado. | AuditIfNotExists, Disabled | 1.0.0 |
| Implementar métodos de entrega de avisos de privacidad | CMA_0324: Implementar métodos de entrega de avisos de privacidad | Manual, Deshabilitado | 1.1.0 |
| Obtener consentimiento antes de la recopilación o el procesamiento de datos personales | CMA_0385: Obtener consentimiento antes de la recopilación o el procesamiento de datos personales | Manual, Deshabilitado | 1.1.0 |
| Proporcionar aviso de privacidad | CMA_0414: Proporcionar aviso de privacidad | Manual, Deshabilitado | 1.1.0 |
| Restringir las comunicaciones | CMA_0449: Restringir las comunicaciones | Manual, Deshabilitado | 1.1.0 |
El acceso a las pantallas de PAN completa y la capacidad de copiar datos de titulares de tarjetas están restringidos
Id.: Propiedad de PCI DSS v4.0 3.4.1: Compartida
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Implementar métodos de entrega de avisos de privacidad | CMA_0324: Implementar métodos de entrega de avisos de privacidad | Manual, Deshabilitado | 1.1.0 |
| Proporcionar aviso de privacidad | CMA_0414: Proporcionar aviso de privacidad | Manual, Deshabilitado | 1.1.0 |
| Restringir las comunicaciones | CMA_0449: Restringir las comunicaciones | Manual, Deshabilitado | 1.1.0 |
El acceso a las pantallas de PAN completa y la capacidad de copiar datos de titulares de tarjetas están restringidos
Id.: Propiedad de PCI DSS v4.0 3.4.2: Compartida
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Implementar métodos de entrega de avisos de privacidad | CMA_0324: Implementar métodos de entrega de avisos de privacidad | Manual, Deshabilitado | 1.1.0 |
| Proporcionar aviso de privacidad | CMA_0414: Proporcionar aviso de privacidad | Manual, Deshabilitado | 1.1.0 |
| Restringir las comunicaciones | CMA_0449: Restringir las comunicaciones | Manual, Deshabilitado | 1.1.0 |
El número de cuenta principal (PAN) está protegido dondequiera que se almacene
Id.: Propiedad de PCI DSS v4.0 3.5.1: Compartida
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Las aplicaciones de App Service solo deben ser accesibles a través de HTTPS | El uso de HTTPS garantiza la autenticación del servicio y el servidor, y protege los datos en tránsito frente a ataques de intercepción de nivel de red. | Audit, Disabled, Deny | 4.0.0 |
| Las variables de cuenta de Automation deben cifrarse | Es importante habilitar el cifrado de recursos de variables de cuentas de Automation al almacenar datos confidenciales. | Audit, Deny, Disabled | 1.1.0 |
| Establecer un procedimiento de administración de pérdida de datos | CMA_0255: Establecer un procedimiento de administración de pérdida de datos | Manual, Deshabilitado | 1.1.0 |
| Las aplicaciones de funciones solo deberían ser accesibles a través de HTTPS | El uso de HTTPS garantiza la autenticación del servicio y el servidor, y protege los datos en tránsito frente a ataques de intercepción de nivel de red. | Audit, Disabled, Deny | 5.0.0 |
| Implementar controles para proteger todos los medios | CMA_0314: Implementar los controles para proteger todos los medios | Manual, Deshabilitado | 1.1.0 |
| Solo se deben habilitar las conexiones seguras a la instancia de Azure Cache for Redis. | Permite auditar la habilitación solo de conexiones a Azure Cache for Redis a través de SSL. El uso de conexiones seguras garantiza la autenticación entre el servidor y el servicio, y protege los datos en tránsito de ataques de nivel de red, como "man in-the-middle", interceptación y secuestro de sesión | Audit, Deny, Disabled | 1.0.0 |
| Proteger de datos en tránsito mediante cifrado | CMA_0403: Proteger los datos en tránsito mediante el cifrado | Manual, Deshabilitado | 1.1.0 |
| Proteger información especial | CMA_0409: Proteger información especial | Manual, Deshabilitado | 1.1.0 |
| Se debe habilitar la transferencia segura a las cuentas de almacenamiento | Permite auditar el requisito de transferencia segura en la cuenta de almacenamiento. La transferencia segura es una opción que obliga a la cuenta de almacenamiento a aceptar solamente solicitudes de conexiones seguras (HTTPS). El uso de HTTPS garantiza la autenticación entre el servidor y el servicio, y protege los datos en tránsito de ataques de nivel de red, como los de tipo "Man in the middle", interceptación y secuestro de sesión | Audit, Deny, Disabled | 2.0.0 |
| Se debe establecer la propiedad ClusterProtectionLevel en EncryptAndSign en los clústeres de Service Fabric | Service Fabric proporciona tres niveles de protección (None, Sign y EncryptAndSign) para la comunicación de nodo a nodo mediante un certificado de clúster principal. Establezca el nivel de protección para asegurarse de que todos los mensajes de nodo a nodo se cifran y se firman digitalmente. | Audit, Deny, Disabled | 1.1.0 |
| El cifrado de datos transparente en bases de datos SQL debe estar habilitado | El cifrado de datos transparente debe estar habilitado para proteger los datos en reposo y satisfacer los requisitos de cumplimiento. | AuditIfNotExists, Disabled | 2.0.0 |
| Las máquinas virtuales deben cifrar los discos temporales, las cachés y los flujos de datos entre los recursos de Proceso y Almacenamiento | De manera predeterminada, los discos del sistema operativo y de datos de una máquina virtual se cifran en reposo mediante claves administradas por la plataforma. Los discos temporales, las memorias caché de datos y los datos que fluyen entre el proceso y el almacenamiento no se cifran. Ignore esta recomendación si: 1. Se utiliza el cifrado en el host, o 2. El cifrado del lado servidor en Managed Disks cumple sus requisitos de seguridad. Obtenga más información en: Cifrado del lado servidor de Azure Disk Storage: https://aka.ms/disksse, Diferentes ofertas de cifrado de disco: https://aka.ms/diskencryptioncomparison | AuditIfNotExists, Disabled | 2.0.3 |
El número de cuenta principal (PAN) está protegido dondequiera que se almacene
Id.: Propiedad de PCI DSS v4.0 3.5.1.1: Compartida
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Establecer un procedimiento de administración de pérdida de datos | CMA_0255: Establecer un procedimiento de administración de pérdida de datos | Manual, Deshabilitado | 1.1.0 |
| Implementar controles para proteger todos los medios | CMA_0314: Implementar los controles para proteger todos los medios | Manual, Deshabilitado | 1.1.0 |
| Proteger de datos en tránsito mediante cifrado | CMA_0403: Proteger los datos en tránsito mediante el cifrado | Manual, Deshabilitado | 1.1.0 |
| Proteger información especial | CMA_0409: Proteger información especial | Manual, Deshabilitado | 1.1.0 |
El número de cuenta principal (PAN) está protegido dondequiera que se almacene
Id.: Propiedad de PCI DSS v4.0 3.5.1.2: Compartida
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Establecer un procedimiento de administración de pérdida de datos | CMA_0255: Establecer un procedimiento de administración de pérdida de datos | Manual, Deshabilitado | 1.1.0 |
| Implementar controles para proteger todos los medios | CMA_0314: Implementar los controles para proteger todos los medios | Manual, Deshabilitado | 1.1.0 |
| Proteger de datos en tránsito mediante cifrado | CMA_0403: Proteger los datos en tránsito mediante el cifrado | Manual, Deshabilitado | 1.1.0 |
| Proteger información especial | CMA_0409: Proteger información especial | Manual, Deshabilitado | 1.1.0 |
El número de cuenta principal (PAN) está protegido dondequiera que se almacene
Id.: Propiedad de PCI DSS v4.0 3.5.1.3: Compartida
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Establecer un procedimiento de administración de pérdida de datos | CMA_0255: Establecer un procedimiento de administración de pérdida de datos | Manual, Deshabilitado | 1.1.0 |
| Implementar controles para proteger todos los medios | CMA_0314: Implementar los controles para proteger todos los medios | Manual, Deshabilitado | 1.1.0 |
| Proteger de datos en tránsito mediante cifrado | CMA_0403: Proteger los datos en tránsito mediante el cifrado | Manual, Deshabilitado | 1.1.0 |
| Proteger información especial | CMA_0409: Proteger información especial | Manual, Deshabilitado | 1.1.0 |
Las claves criptográficas usadas para proteger los datos de la cuenta almacenada están protegidas
Id.: Propiedad de PCI DSS v4.0 3.6.1: Compartida
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Definir un proceso de administración de claves físicas | CMA_0115: Definir un proceso de administración de claves físicas | Manual, Deshabilitado | 1.1.0 |
| Definir el uso criptográfico | CMA_0120: Definir el uso criptográfico | Manual, Deshabilitado | 1.1.0 |
| Definir los requisitos de la organización para la administración de claves criptográficas | CMA_0123: Definir los requisitos de la organización para la administración de claves criptográficas | Manual, Deshabilitado | 1.1.0 |
| Determinar los requisitos de aserción | CMA_0136: Determinar los requisitos de aserción | Manual, Deshabilitado | 1.1.0 |
| Emisión de certificados de clave pública | CMA_0347: Emitir certificados de clave pública | Manual, Deshabilitado | 1.1.0 |
| Administración de claves criptográficas simétricas | CMA_0367: Administrar las claves criptográficas simétricas | Manual, Deshabilitado | 1.1.0 |
| Restringir el acceso a las claves privadas | CMA_0445: Restringir el acceso a las claves privadas | Manual, Deshabilitado | 1.1.0 |
Las claves criptográficas usadas para proteger los datos de la cuenta almacenada están protegidas
Id.: Propiedad de PCI DSS v4.0 3.6.1.1: Compartida
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Definir un proceso de administración de claves físicas | CMA_0115: Definir un proceso de administración de claves físicas | Manual, Deshabilitado | 1.1.0 |
| Definir el uso criptográfico | CMA_0120: Definir el uso criptográfico | Manual, Deshabilitado | 1.1.0 |
| Definir los requisitos de la organización para la administración de claves criptográficas | CMA_0123: Definir los requisitos de la organización para la administración de claves criptográficas | Manual, Deshabilitado | 1.1.0 |
| Determinar los requisitos de aserción | CMA_0136: Determinar los requisitos de aserción | Manual, Deshabilitado | 1.1.0 |
| Emisión de certificados de clave pública | CMA_0347: Emitir certificados de clave pública | Manual, Deshabilitado | 1.1.0 |
| Administración de claves criptográficas simétricas | CMA_0367: Administrar las claves criptográficas simétricas | Manual, Deshabilitado | 1.1.0 |
| Restringir el acceso a las claves privadas | CMA_0445: Restringir el acceso a las claves privadas | Manual, Deshabilitado | 1.1.0 |
Las claves criptográficas usadas para proteger los datos de la cuenta almacenada están protegidas
Id.: Propiedad de PCI DSS v4.0 3.6.1.2: Compartida
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Definir un proceso de administración de claves físicas | CMA_0115: Definir un proceso de administración de claves físicas | Manual, Deshabilitado | 1.1.0 |
| Definir el uso criptográfico | CMA_0120: Definir el uso criptográfico | Manual, Deshabilitado | 1.1.0 |
| Definir los requisitos de la organización para la administración de claves criptográficas | CMA_0123: Definir los requisitos de la organización para la administración de claves criptográficas | Manual, Deshabilitado | 1.1.0 |
| Determinar los requisitos de aserción | CMA_0136: Determinar los requisitos de aserción | Manual, Deshabilitado | 1.1.0 |
| Emisión de certificados de clave pública | CMA_0347: Emitir certificados de clave pública | Manual, Deshabilitado | 1.1.0 |
| Administración de claves criptográficas simétricas | CMA_0367: Administrar las claves criptográficas simétricas | Manual, Deshabilitado | 1.1.0 |
| Producción, control y distribución de claves criptográficas simétricas | CMA_C1645: Producir, controlar y distribuir claves criptográficas simétricas | Manual, Deshabilitado | 1.1.0 |
| Restringir el acceso a las claves privadas | CMA_0445: Restringir el acceso a las claves privadas | Manual, Deshabilitado | 1.1.0 |
Las claves criptográficas usadas para proteger los datos de la cuenta almacenada están protegidas
Id.: Propiedad de PCI DSS v4.0 3.6.1.3: Compartida
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Definir un proceso de administración de claves físicas | CMA_0115: Definir un proceso de administración de claves físicas | Manual, Deshabilitado | 1.1.0 |
| Definir el uso criptográfico | CMA_0120: Definir el uso criptográfico | Manual, Deshabilitado | 1.1.0 |
| Definir los requisitos de la organización para la administración de claves criptográficas | CMA_0123: Definir los requisitos de la organización para la administración de claves criptográficas | Manual, Deshabilitado | 1.1.0 |
| Determinar los requisitos de aserción | CMA_0136: Determinar los requisitos de aserción | Manual, Deshabilitado | 1.1.0 |
| Emisión de certificados de clave pública | CMA_0347: Emitir certificados de clave pública | Manual, Deshabilitado | 1.1.0 |
| Administración de claves criptográficas simétricas | CMA_0367: Administrar las claves criptográficas simétricas | Manual, Deshabilitado | 1.1.0 |
| Restringir el acceso a las claves privadas | CMA_0445: Restringir el acceso a las claves privadas | Manual, Deshabilitado | 1.1.0 |
Las claves criptográficas usadas para proteger los datos de la cuenta almacenada están protegidas
Id.: Propiedad de PCI DSS v4.0 3.6.1.4: Compartida
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Definir un proceso de administración de claves físicas | CMA_0115: Definir un proceso de administración de claves físicas | Manual, Deshabilitado | 1.1.0 |
| Definir el uso criptográfico | CMA_0120: Definir el uso criptográfico | Manual, Deshabilitado | 1.1.0 |
| Definir los requisitos de la organización para la administración de claves criptográficas | CMA_0123: Definir los requisitos de la organización para la administración de claves criptográficas | Manual, Deshabilitado | 1.1.0 |
| Determinar los requisitos de aserción | CMA_0136: Determinar los requisitos de aserción | Manual, Deshabilitado | 1.1.0 |
| Emisión de certificados de clave pública | CMA_0347: Emitir certificados de clave pública | Manual, Deshabilitado | 1.1.0 |
| Administración de claves criptográficas simétricas | CMA_0367: Administrar las claves criptográficas simétricas | Manual, Deshabilitado | 1.1.0 |
| Restringir el acceso a las claves privadas | CMA_0445: Restringir el acceso a las claves privadas | Manual, Deshabilitado | 1.1.0 |
Cuando se usa criptografía para proteger los datos almacenados de la cuenta, se definen e implementan procesos y procedimientos de administración de claves que abarcan todos los aspectos del ciclo de vida de las claves
Id.: Propiedad de PCI DSS v4.0 3.7.1: Compartida
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Definir un proceso de administración de claves físicas | CMA_0115: Definir un proceso de administración de claves físicas | Manual, Deshabilitado | 1.1.0 |
| Definir el uso criptográfico | CMA_0120: Definir el uso criptográfico | Manual, Deshabilitado | 1.1.0 |
| Definir los requisitos de la organización para la administración de claves criptográficas | CMA_0123: Definir los requisitos de la organización para la administración de claves criptográficas | Manual, Deshabilitado | 1.1.0 |
| Determinar los requisitos de aserción | CMA_0136: Determinar los requisitos de aserción | Manual, Deshabilitado | 1.1.0 |
| Emisión de certificados de clave pública | CMA_0347: Emitir certificados de clave pública | Manual, Deshabilitado | 1.1.0 |
| Administración de claves criptográficas simétricas | CMA_0367: Administrar las claves criptográficas simétricas | Manual, Deshabilitado | 1.1.0 |
| Restringir el acceso a las claves privadas | CMA_0445: Restringir el acceso a las claves privadas | Manual, Deshabilitado | 1.1.0 |
Cuando se usa criptografía para proteger los datos almacenados de la cuenta, se definen e implementan procesos y procedimientos de administración de claves que abarcan todos los aspectos del ciclo de vida de las claves
Id.: Propiedad de PCI DSS v4.0 3.7.2: Compartida
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Definir un proceso de administración de claves físicas | CMA_0115: Definir un proceso de administración de claves físicas | Manual, Deshabilitado | 1.1.0 |
| Definir el uso criptográfico | CMA_0120: Definir el uso criptográfico | Manual, Deshabilitado | 1.1.0 |
| Definir los requisitos de la organización para la administración de claves criptográficas | CMA_0123: Definir los requisitos de la organización para la administración de claves criptográficas | Manual, Deshabilitado | 1.1.0 |
| Determinar los requisitos de aserción | CMA_0136: Determinar los requisitos de aserción | Manual, Deshabilitado | 1.1.0 |
| Emisión de certificados de clave pública | CMA_0347: Emitir certificados de clave pública | Manual, Deshabilitado | 1.1.0 |
| Administración de claves criptográficas simétricas | CMA_0367: Administrar las claves criptográficas simétricas | Manual, Deshabilitado | 1.1.0 |
| Producción, control y distribución de claves criptográficas simétricas | CMA_C1645: Producir, controlar y distribuir claves criptográficas simétricas | Manual, Deshabilitado | 1.1.0 |
| Restringir el acceso a las claves privadas | CMA_0445: Restringir el acceso a las claves privadas | Manual, Deshabilitado | 1.1.0 |
Cuando se usa criptografía para proteger los datos almacenados de la cuenta, se definen e implementan procesos y procedimientos de administración de claves que abarcan todos los aspectos del ciclo de vida de las claves
Id.: Propiedad de PCI DSS v4.0 3.7.3: Compartida
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Definir un proceso de administración de claves físicas | CMA_0115: Definir un proceso de administración de claves físicas | Manual, Deshabilitado | 1.1.0 |
| Definir el uso criptográfico | CMA_0120: Definir el uso criptográfico | Manual, Deshabilitado | 1.1.0 |
| Definir los requisitos de la organización para la administración de claves criptográficas | CMA_0123: Definir los requisitos de la organización para la administración de claves criptográficas | Manual, Deshabilitado | 1.1.0 |
| Determinar los requisitos de aserción | CMA_0136: Determinar los requisitos de aserción | Manual, Deshabilitado | 1.1.0 |
| Emisión de certificados de clave pública | CMA_0347: Emitir certificados de clave pública | Manual, Deshabilitado | 1.1.0 |
| Mantener la disponibilidad de la información | CMA_C1644: Mantener la disponibilidad de la información | Manual, Deshabilitado | 1.1.0 |
| Administración de claves criptográficas simétricas | CMA_0367: Administrar las claves criptográficas simétricas | Manual, Deshabilitado | 1.1.0 |
| Producción, control y distribución de claves criptográficas simétricas | CMA_C1645: Producir, controlar y distribuir claves criptográficas simétricas | Manual, Deshabilitado | 1.1.0 |
| Restringir el acceso a las claves privadas | CMA_0445: Restringir el acceso a las claves privadas | Manual, Deshabilitado | 1.1.0 |
Cuando se usa criptografía para proteger los datos almacenados de la cuenta, se definen e implementan procesos y procedimientos de administración de claves que abarcan todos los aspectos del ciclo de vida de las claves
Id.: Propiedad de PCI DSS v4.0 3.7.4: Compartida
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Definir un proceso de administración de claves físicas | CMA_0115: Definir un proceso de administración de claves físicas | Manual, Deshabilitado | 1.1.0 |
| Definir el uso criptográfico | CMA_0120: Definir el uso criptográfico | Manual, Deshabilitado | 1.1.0 |
| Definir los requisitos de la organización para la administración de claves criptográficas | CMA_0123: Definir los requisitos de la organización para la administración de claves criptográficas | Manual, Deshabilitado | 1.1.0 |
| Determinar los requisitos de aserción | CMA_0136: Determinar los requisitos de aserción | Manual, Deshabilitado | 1.1.0 |
| Emisión de certificados de clave pública | CMA_0347: Emitir certificados de clave pública | Manual, Deshabilitado | 1.1.0 |
| Administración de claves criptográficas simétricas | CMA_0367: Administrar las claves criptográficas simétricas | Manual, Deshabilitado | 1.1.0 |
| Restringir el acceso a las claves privadas | CMA_0445: Restringir el acceso a las claves privadas | Manual, Deshabilitado | 1.1.0 |
Cuando se usa criptografía para proteger los datos almacenados de la cuenta, se definen e implementan procesos y procedimientos de administración de claves que abarcan todos los aspectos del ciclo de vida de las claves
Id.: Propiedad de PCI DSS v4.0 3.7.5: Compartida
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Definir un proceso de administración de claves físicas | CMA_0115: Definir un proceso de administración de claves físicas | Manual, Deshabilitado | 1.1.0 |
| Definir el uso criptográfico | CMA_0120: Definir el uso criptográfico | Manual, Deshabilitado | 1.1.0 |
| Definir los requisitos de la organización para la administración de claves criptográficas | CMA_0123: Definir los requisitos de la organización para la administración de claves criptográficas | Manual, Deshabilitado | 1.1.0 |
| Determinar los requisitos de aserción | CMA_0136: Determinar los requisitos de aserción | Manual, Deshabilitado | 1.1.0 |
| Emisión de certificados de clave pública | CMA_0347: Emitir certificados de clave pública | Manual, Deshabilitado | 1.1.0 |
| Administración de claves criptográficas simétricas | CMA_0367: Administrar las claves criptográficas simétricas | Manual, Deshabilitado | 1.1.0 |
| Restringir el acceso a las claves privadas | CMA_0445: Restringir el acceso a las claves privadas | Manual, Deshabilitado | 1.1.0 |
Cuando se usa criptografía para proteger los datos almacenados de la cuenta, se definen e implementan procesos y procedimientos de administración de claves que abarcan todos los aspectos del ciclo de vida de las claves
Id.: Propiedad de PCI DSS v4.0 3.7.6: Compartida
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Definir un proceso de administración de claves físicas | CMA_0115: Definir un proceso de administración de claves físicas | Manual, Deshabilitado | 1.1.0 |
| Definir el uso criptográfico | CMA_0120: Definir el uso criptográfico | Manual, Deshabilitado | 1.1.0 |
| Definir los requisitos de la organización para la administración de claves criptográficas | CMA_0123: Definir los requisitos de la organización para la administración de claves criptográficas | Manual, Deshabilitado | 1.1.0 |
| Determinar los requisitos de aserción | CMA_0136: Determinar los requisitos de aserción | Manual, Deshabilitado | 1.1.0 |
| Emisión de certificados de clave pública | CMA_0347: Emitir certificados de clave pública | Manual, Deshabilitado | 1.1.0 |
| Administración de claves criptográficas simétricas | CMA_0367: Administrar las claves criptográficas simétricas | Manual, Deshabilitado | 1.1.0 |
| Restringir el acceso a las claves privadas | CMA_0445: Restringir el acceso a las claves privadas | Manual, Deshabilitado | 1.1.0 |
Cuando se usa criptografía para proteger los datos almacenados de la cuenta, se definen e implementan procesos y procedimientos de administración de claves que abarcan todos los aspectos del ciclo de vida de las claves
Id.: Propiedad de PCI DSS v4.0 3.7.7: Compartida
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Definir un proceso de administración de claves físicas | CMA_0115: Definir un proceso de administración de claves físicas | Manual, Deshabilitado | 1.1.0 |
| Definir el uso criptográfico | CMA_0120: Definir el uso criptográfico | Manual, Deshabilitado | 1.1.0 |
| Definir los requisitos de la organización para la administración de claves criptográficas | CMA_0123: Definir los requisitos de la organización para la administración de claves criptográficas | Manual, Deshabilitado | 1.1.0 |
| Determinar los requisitos de aserción | CMA_0136: Determinar los requisitos de aserción | Manual, Deshabilitado | 1.1.0 |
| Emisión de certificados de clave pública | CMA_0347: Emitir certificados de clave pública | Manual, Deshabilitado | 1.1.0 |
| Administración de claves criptográficas simétricas | CMA_0367: Administrar las claves criptográficas simétricas | Manual, Deshabilitado | 1.1.0 |
| Restringir el acceso a las claves privadas | CMA_0445: Restringir el acceso a las claves privadas | Manual, Deshabilitado | 1.1.0 |
Cuando se usa criptografía para proteger los datos almacenados de la cuenta, se definen e implementan procesos y procedimientos de administración de claves que abarcan todos los aspectos del ciclo de vida de las claves
Id.: Propiedad de PCI DSS v4.0 3.7.8: Compartida
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Definir un proceso de administración de claves físicas | CMA_0115: Definir un proceso de administración de claves físicas | Manual, Deshabilitado | 1.1.0 |
| Definir el uso criptográfico | CMA_0120: Definir el uso criptográfico | Manual, Deshabilitado | 1.1.0 |
| Definir los requisitos de la organización para la administración de claves criptográficas | CMA_0123: Definir los requisitos de la organización para la administración de claves criptográficas | Manual, Deshabilitado | 1.1.0 |
| Determinar los requisitos de aserción | CMA_0136: Determinar los requisitos de aserción | Manual, Deshabilitado | 1.1.0 |
| Emisión de certificados de clave pública | CMA_0347: Emitir certificados de clave pública | Manual, Deshabilitado | 1.1.0 |
| Administración de claves criptográficas simétricas | CMA_0367: Administrar las claves criptográficas simétricas | Manual, Deshabilitado | 1.1.0 |
| Restringir el acceso a las claves privadas | CMA_0445: Restringir el acceso a las claves privadas | Manual, Deshabilitado | 1.1.0 |
Cuando se usa criptografía para proteger los datos almacenados de la cuenta, se definen e implementan procesos y procedimientos de administración de claves que abarcan todos los aspectos del ciclo de vida de las claves
Id.: Propiedad de PCI DSS v4.0 3.7.9: Compartida
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Definir un proceso de administración de claves físicas | CMA_0115: Definir un proceso de administración de claves físicas | Manual, Deshabilitado | 1.1.0 |
| Definir el uso criptográfico | CMA_0120: Definir el uso criptográfico | Manual, Deshabilitado | 1.1.0 |
| Definir los requisitos de la organización para la administración de claves criptográficas | CMA_0123: Definir los requisitos de la organización para la administración de claves criptográficas | Manual, Deshabilitado | 1.1.0 |
| Determinar los requisitos de aserción | CMA_0136: Determinar los requisitos de aserción | Manual, Deshabilitado | 1.1.0 |
| Emisión de certificados de clave pública | CMA_0347: Emitir certificados de clave pública | Manual, Deshabilitado | 1.1.0 |
| Administración de claves criptográficas simétricas | CMA_0367: Administrar las claves criptográficas simétricas | Manual, Deshabilitado | 1.1.0 |
| Restringir el acceso a las claves privadas | CMA_0445: Restringir el acceso a las claves privadas | Manual, Deshabilitado | 1.1.0 |
Requisito 04: Proteger los datos del titular de la tarjeta con criptografía segura durante la transmisión a través de redes públicas abiertas
Procesos y mecanismos para proteger los datos de los titulares de tarjetas con criptografía segura durante la transmisión a través de redes públicas abiertas definidas y documentadas
Id.: Propiedad de PCI DSS v4.0 4.1.1: Compartida
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Revisión y actualización de directivas y procedimientos de protección del sistema y de las comunicaciones | CMA_C1616: Revisar y actualizar directivas y procedimientos de protección del sistema y de las comunicaciones | Manual, Deshabilitado | 1.1.0 |
El PAN está protegido con criptografía segura durante la transmisión
Id.: Propiedad de PCI DSS v4.0 4.2.1: Compartida
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Configurar estaciones de trabajo para comprobar si hay certificados digitales | CMA_0073: Configurar estaciones de trabajo para comprobar si hay certificados digitales | Manual, Deshabilitado | 1.1.0 |
| Definir un proceso de administración de claves físicas | CMA_0115: Definir un proceso de administración de claves físicas | Manual, Deshabilitado | 1.1.0 |
| Definir el uso criptográfico | CMA_0120: Definir el uso criptográfico | Manual, Deshabilitado | 1.1.0 |
| Definir los requisitos de la organización para la administración de claves criptográficas | CMA_0123: Definir los requisitos de la organización para la administración de claves criptográficas | Manual, Deshabilitado | 1.1.0 |
| Determinar los requisitos de aserción | CMA_0136: Determinar los requisitos de aserción | Manual, Deshabilitado | 1.1.0 |
| Emisión de certificados de clave pública | CMA_0347: Emitir certificados de clave pública | Manual, Deshabilitado | 1.1.0 |
| Administración de claves criptográficas simétricas | CMA_0367: Administrar las claves criptográficas simétricas | Manual, Deshabilitado | 1.1.0 |
| Producción, control y distribución de claves criptográficas asimétricas | CMA_C1646: Producir, controlar y distribuir claves criptográficas asimétricas | Manual, Deshabilitado | 1.1.0 |
| Producción, control y distribución de claves criptográficas simétricas | CMA_C1645: Producir, controlar y distribuir claves criptográficas simétricas | Manual, Deshabilitado | 1.1.0 |
| Proteger de datos en tránsito mediante cifrado | CMA_0403: Proteger los datos en tránsito mediante el cifrado | Manual, Deshabilitado | 1.1.0 |
| Proteger contraseñas con cifrado | CMA_0408: Proteger contraseñas con cifrado | Manual, Deshabilitado | 1.1.0 |
| Restringir el acceso a las claves privadas | CMA_0445: Restringir el acceso a las claves privadas | Manual, Deshabilitado | 1.1.0 |
El PAN está protegido con criptografía segura durante la transmisión
Id.: Propiedad de PCI DSS v4.0 4.2.1.1: Compartida
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Definir un proceso de administración de claves físicas | CMA_0115: Definir un proceso de administración de claves físicas | Manual, Deshabilitado | 1.1.0 |
| Definir el uso criptográfico | CMA_0120: Definir el uso criptográfico | Manual, Deshabilitado | 1.1.0 |
| Definir los requisitos de la organización para la administración de claves criptográficas | CMA_0123: Definir los requisitos de la organización para la administración de claves criptográficas | Manual, Deshabilitado | 1.1.0 |
| Determinar los requisitos de aserción | CMA_0136: Determinar los requisitos de aserción | Manual, Deshabilitado | 1.1.0 |
| Emisión de certificados de clave pública | CMA_0347: Emitir certificados de clave pública | Manual, Deshabilitado | 1.1.0 |
| Mantener la disponibilidad de la información | CMA_C1644: Mantener la disponibilidad de la información | Manual, Deshabilitado | 1.1.0 |
| Administración de claves criptográficas simétricas | CMA_0367: Administrar las claves criptográficas simétricas | Manual, Deshabilitado | 1.1.0 |
| Restringir el acceso a las claves privadas | CMA_0445: Restringir el acceso a las claves privadas | Manual, Deshabilitado | 1.1.0 |
El PAN está protegido con criptografía segura durante la transmisión
Id.: Propiedad de PCI DSS v4.0 4.2.1.2: Compartida
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Documentación e implementación de directrices de acceso inalámbrico | CMA_0190: Documentar e implementar directrices de acceso inalámbrico | Manual, Deshabilitado | 1.1.0 |
| Identificación y autenticación de dispositivos de red | CMA_0296: Identificar y autenticar los dispositivos de red | Manual, Deshabilitado | 1.1.0 |
| Protección del acceso inalámbrico | CMA_0411: Proteger el acceso inalámbrico | Manual, Deshabilitado | 1.1.0 |
El PAN está protegido con criptografía segura durante la transmisión
Id.: Propiedad de PCI DSS v4.0 4.2.2: Compartida
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Configurar estaciones de trabajo para comprobar si hay certificados digitales | CMA_0073: Configurar estaciones de trabajo para comprobar si hay certificados digitales | Manual, Deshabilitado | 1.1.0 |
| Proteger de datos en tránsito mediante cifrado | CMA_0403: Proteger los datos en tránsito mediante el cifrado | Manual, Deshabilitado | 1.1.0 |
| Proteger contraseñas con cifrado | CMA_0408: Proteger contraseñas con cifrado | Manual, Deshabilitado | 1.1.0 |
Requisito 05: Proteger todos los sistemas y redes de software malintencionado
Se definen y entienden los procesos y mecanismos para proteger todos los sistemas y redes de software malintencionado
Id.: Propiedad de PCI DSS v4.0 5.1.1: Compartida
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Revisión y actualización de directivas y procedimientos de integridad de la información | CMA_C1667: Revisar y actualizar directivas y procedimientos de integridad de la información | Manual, Deshabilitado | 1.1.0 |
El software malintencionado (malware) se evita, se detecta y se soluciona
Id.: Propiedad de PCI DSS v4.0 5.2.1: Compartida
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Debe habilitarse una solución de evaluación de vulnerabilidades en sus máquinas virtuales | Audita las máquinas virtuales para detectar si ejecutan una solución de evaluación de vulnerabilidades admitida. Un componente fundamental de cada programa de seguridad y riesgo cibernético es la identificación y el análisis de las vulnerabilidades. El plan de tarifa estándar de Azure Security Center incluye el análisis de vulnerabilidades de las máquinas virtuales sin costo adicional. Además, Security Center puede implementar automáticamente esta herramienta. | AuditIfNotExists, Disabled | 3.0.0 |
| Bloquear la ejecución desde USB de procesos que no sean de confianza y estén sin firmar | CMA_0050: Bloquear los procesos sin firma y que no son de confianza ejecutados desde USB | Manual, Deshabilitado | 1.1.0 |
| Administración de puertas de enlace | CMA_0363: Administrar puertas de enlace | Manual, Deshabilitado | 1.1.0 |
| Supervisar la falta de Endpoint Protection en Azure Security Center | Azure Security Center supervisará los servidores sin un agente de Endpoint Protection instalado como recomendaciones. | AuditIfNotExists, Disabled | 3.0.0 |
| Realizar un análisis de tendencias sobre amenazas | CMA_0389: Realizar un análisis de tendencias sobre amenazas | Manual, Deshabilitado | 1.1.0 |
| Realizar exámenes de vulnerabilidades | CMA_0393: Realizar exámenes de vulnerabilidades | Manual, Deshabilitado | 1.1.0 |
| Revisar semanalmente el informe de detecciones de malware | CMA_0475: Revisar semanalmente el informe de detecciones de malware | Manual, Deshabilitado | 1.1.0 |
| Revisar semanalmente el estado de protección contra amenazas | CMA_0479: Revisar semanalmente el estado de protección contra amenazas | Manual, Deshabilitado | 1.1.0 |
| Las bases de datos SQL deben tener resueltos los hallazgos de vulnerabilidades. | Permite supervisar los resultados del examen de evaluación de puntos vulnerables y las recomendaciones para solucionar los de las bases de datos. | AuditIfNotExists, Disabled | 4.1.0 |
| Se deben instalar actualizaciones del sistema en las máquinas | Azure Security Center supervisará las actualizaciones del sistema de seguridad que faltan en los servidores como recomendaciones. | AuditIfNotExists, Disabled | 4.0.0 |
| Actualizar las definiciones de antivirus | CMA_0517: Actualizar las definiciones de antivirus | Manual, Deshabilitado | 1.1.0 |
| Se deben corregir las vulnerabilidades en la configuración de seguridad en las máquinas | Azure Security Center supervisará los servidores que no cumplan la línea de base configurada como recomendaciones. | AuditIfNotExists, Disabled | 3.1.0 |
El software malintencionado (malware) se evita, se detecta y se soluciona
Id.: Propiedad de PCI DSS v4.0 5.2.2: Compartida
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Debe habilitarse una solución de evaluación de vulnerabilidades en sus máquinas virtuales | Audita las máquinas virtuales para detectar si ejecutan una solución de evaluación de vulnerabilidades admitida. Un componente fundamental de cada programa de seguridad y riesgo cibernético es la identificación y el análisis de las vulnerabilidades. El plan de tarifa estándar de Azure Security Center incluye el análisis de vulnerabilidades de las máquinas virtuales sin costo adicional. Además, Security Center puede implementar automáticamente esta herramienta. | AuditIfNotExists, Disabled | 3.0.0 |
| Bloquear la ejecución desde USB de procesos que no sean de confianza y estén sin firmar | CMA_0050: Bloquear los procesos sin firma y que no son de confianza ejecutados desde USB | Manual, Deshabilitado | 1.1.0 |
| Administración de puertas de enlace | CMA_0363: Administrar puertas de enlace | Manual, Deshabilitado | 1.1.0 |
| Supervisar la falta de Endpoint Protection en Azure Security Center | Azure Security Center supervisará los servidores sin un agente de Endpoint Protection instalado como recomendaciones. | AuditIfNotExists, Disabled | 3.0.0 |
| Realizar un análisis de tendencias sobre amenazas | CMA_0389: Realizar un análisis de tendencias sobre amenazas | Manual, Deshabilitado | 1.1.0 |
| Realizar exámenes de vulnerabilidades | CMA_0393: Realizar exámenes de vulnerabilidades | Manual, Deshabilitado | 1.1.0 |
| Revisar semanalmente el informe de detecciones de malware | CMA_0475: Revisar semanalmente el informe de detecciones de malware | Manual, Deshabilitado | 1.1.0 |
| Revisar semanalmente el estado de protección contra amenazas | CMA_0479: Revisar semanalmente el estado de protección contra amenazas | Manual, Deshabilitado | 1.1.0 |
| Las bases de datos SQL deben tener resueltos los hallazgos de vulnerabilidades. | Permite supervisar los resultados del examen de evaluación de puntos vulnerables y las recomendaciones para solucionar los de las bases de datos. | AuditIfNotExists, Disabled | 4.1.0 |
| Se deben instalar actualizaciones del sistema en las máquinas | Azure Security Center supervisará las actualizaciones del sistema de seguridad que faltan en los servidores como recomendaciones. | AuditIfNotExists, Disabled | 4.0.0 |
| Actualizar las definiciones de antivirus | CMA_0517: Actualizar las definiciones de antivirus | Manual, Deshabilitado | 1.1.0 |
| Se deben corregir las vulnerabilidades en la configuración de seguridad en las máquinas | Azure Security Center supervisará los servidores que no cumplan la línea de base configurada como recomendaciones. | AuditIfNotExists, Disabled | 3.1.0 |
El software malintencionado (malware) se evita, se detecta y se soluciona
Id.: Propiedad de PCI DSS v4.0 5.2.3: Compartida
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Debe habilitarse una solución de evaluación de vulnerabilidades en sus máquinas virtuales | Audita las máquinas virtuales para detectar si ejecutan una solución de evaluación de vulnerabilidades admitida. Un componente fundamental de cada programa de seguridad y riesgo cibernético es la identificación y el análisis de las vulnerabilidades. El plan de tarifa estándar de Azure Security Center incluye el análisis de vulnerabilidades de las máquinas virtuales sin costo adicional. Además, Security Center puede implementar automáticamente esta herramienta. | AuditIfNotExists, Disabled | 3.0.0 |
| Bloquear la ejecución desde USB de procesos que no sean de confianza y estén sin firmar | CMA_0050: Bloquear los procesos sin firma y que no son de confianza ejecutados desde USB | Manual, Deshabilitado | 1.1.0 |
| Administración de puertas de enlace | CMA_0363: Administrar puertas de enlace | Manual, Deshabilitado | 1.1.0 |
| Supervisar la falta de Endpoint Protection en Azure Security Center | Azure Security Center supervisará los servidores sin un agente de Endpoint Protection instalado como recomendaciones. | AuditIfNotExists, Disabled | 3.0.0 |
| Realizar un análisis de tendencias sobre amenazas | CMA_0389: Realizar un análisis de tendencias sobre amenazas | Manual, Deshabilitado | 1.1.0 |
| Realizar exámenes de vulnerabilidades | CMA_0393: Realizar exámenes de vulnerabilidades | Manual, Deshabilitado | 1.1.0 |
| Revisar semanalmente el informe de detecciones de malware | CMA_0475: Revisar semanalmente el informe de detecciones de malware | Manual, Deshabilitado | 1.1.0 |
| Revisar semanalmente el estado de protección contra amenazas | CMA_0479: Revisar semanalmente el estado de protección contra amenazas | Manual, Deshabilitado | 1.1.0 |
| Las bases de datos SQL deben tener resueltos los hallazgos de vulnerabilidades. | Permite supervisar los resultados del examen de evaluación de puntos vulnerables y las recomendaciones para solucionar los de las bases de datos. | AuditIfNotExists, Disabled | 4.1.0 |
| Se deben instalar actualizaciones del sistema en las máquinas | Azure Security Center supervisará las actualizaciones del sistema de seguridad que faltan en los servidores como recomendaciones. | AuditIfNotExists, Disabled | 4.0.0 |
| Actualizar las definiciones de antivirus | CMA_0517: Actualizar las definiciones de antivirus | Manual, Deshabilitado | 1.1.0 |
| Se deben corregir las vulnerabilidades en la configuración de seguridad en las máquinas | Azure Security Center supervisará los servidores que no cumplan la línea de base configurada como recomendaciones. | AuditIfNotExists, Disabled | 3.1.0 |
El software malintencionado (malware) se evita, se detecta y se soluciona
Id.: Propiedad de PCI DSS v4.0 5.2.3.1: Compartida
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Realización de una evaluación de riesgos | CMA_C1543: Realizar una evaluación de riesgos | Manual, Deshabilitado | 1.1.0 |
| Realización de una evaluación de riesgos y documentar sus resultados | CMA_C1542: Realizar una evaluación de riesgos y documentar sus resultados | Manual, Deshabilitado | 1.1.0 |
| Realización de una evaluación de riesgos | CMA_0388: Realizar una evaluación de riesgos | Manual, Deshabilitado | 1.1.0 |
Los mecanismos y procesos antimalware están activos, mantenidos y supervisados
Id.: Propiedad de PCI DSS v4.0 5.3.1: Compartida
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Bloquear la ejecución desde USB de procesos que no sean de confianza y estén sin firmar | CMA_0050: Bloquear los procesos sin firma y que no son de confianza ejecutados desde USB | Manual, Deshabilitado | 1.1.0 |
| Administración de puertas de enlace | CMA_0363: Administrar puertas de enlace | Manual, Deshabilitado | 1.1.0 |
| Realizar un análisis de tendencias sobre amenazas | CMA_0389: Realizar un análisis de tendencias sobre amenazas | Manual, Deshabilitado | 1.1.0 |
| Realizar exámenes de vulnerabilidades | CMA_0393: Realizar exámenes de vulnerabilidades | Manual, Deshabilitado | 1.1.0 |
| Revisar semanalmente el informe de detecciones de malware | CMA_0475: Revisar semanalmente el informe de detecciones de malware | Manual, Deshabilitado | 1.1.0 |
| Actualizar las definiciones de antivirus | CMA_0517: Actualizar las definiciones de antivirus | Manual, Deshabilitado | 1.1.0 |
Los mecanismos y procesos antimalware están activos, mantenidos y supervisados
Id.: Propiedad de PCI DSS v4.0 5.3.3: Compartida
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Bloquear la ejecución desde USB de procesos que no sean de confianza y estén sin firmar | CMA_0050: Bloquear los procesos sin firma y que no son de confianza ejecutados desde USB | Manual, Deshabilitado | 1.1.0 |
| Administración de puertas de enlace | CMA_0363: Administrar puertas de enlace | Manual, Deshabilitado | 1.1.0 |
| Realizar un análisis de tendencias sobre amenazas | CMA_0389: Realizar un análisis de tendencias sobre amenazas | Manual, Deshabilitado | 1.1.0 |
| Realizar exámenes de vulnerabilidades | CMA_0393: Realizar exámenes de vulnerabilidades | Manual, Deshabilitado | 1.1.0 |
| Revisar semanalmente el informe de detecciones de malware | CMA_0475: Revisar semanalmente el informe de detecciones de malware | Manual, Deshabilitado | 1.1.0 |
| Revisar semanalmente el estado de protección contra amenazas | CMA_0479: Revisar semanalmente el estado de protección contra amenazas | Manual, Deshabilitado | 1.1.0 |
| Actualizar las definiciones de antivirus | CMA_0517: Actualizar las definiciones de antivirus | Manual, Deshabilitado | 1.1.0 |
Los mecanismos y procesos antimalware están activos, mantenidos y supervisados
Id.: Propiedad de PCI DSS v4.0 5.3.4: Compartida
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Cumplir con los períodos de retención definidos | CMA_0004: cumplir con los períodos de retención definidos | Manual, Deshabilitado | 1.1.0 |
| Determinar eventos auditables | CMA_0137: Determinar eventos auditables | Manual, Deshabilitado | 1.1.0 |
| Conservar directivas y procedimientos de seguridad | CMA_0454: Conservar directivas y procedimientos de seguridad | Manual, Deshabilitado | 1.1.0 |
| Conservar los datos de usuarios finalizados | CMA_0455: Conservar los datos de usuario finalizados | Manual, Deshabilitado | 1.1.0 |
Los mecanismos y procesos antimalware están activos, mantenidos y supervisados
Id.: Propiedad de PCI DSS v4.0 5.3.5: Compartida
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Realización de un análisis de impacto en la seguridad | CMA_0057: Realizar un análisis de impacto en la seguridad | Manual, Deshabilitado | 1.1.0 |
| Desarrollo y mantenimiento del estándar de administración de vulnerabilidades | CMA_0152: Desarrollar y mantener el estándar de administración de vulnerabilidades | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de una estrategia de administración de riesgos | CMA_0258: Establecer una estrategia de administración de riesgos | Manual, Deshabilitado | 1.1.0 |
| Establecer y documentar los procesos de control de cambios | CMA_0265: Establecer y documentar los procesos de control de cambios | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de los requisitos de administración de configuración para desarrolladores | CMA_0270: Establecer los requisitos de administración de configuración para desarrolladores | Manual, Deshabilitado | 1.1.0 |
| Realización de una evaluación de impacto en la privacidad | CMA_0387: Realizar una evaluación de impacto en la privacidad | Manual, Deshabilitado | 1.1.0 |
| Realización de una evaluación de riesgos | CMA_0388: Realizar una evaluación de riesgos | Manual, Deshabilitado | 1.1.0 |
| Realización de una auditoría para el control de cambios de configuración | CMA_0390: Realizar auditoría para el control de cambios de configuración | Manual, Deshabilitado | 1.1.0 |
Los mecanismos contra la suplantación de identidad protegen a los usuarios frente a ataques de suplantación de identidad (phishing)
Id.: Propiedad de PCI DSS v4.0 5.4.1: Compartida
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Bloquear la ejecución desde USB de procesos que no sean de confianza y estén sin firmar | CMA_0050: Bloquear los procesos sin firma y que no son de confianza ejecutados desde USB | Manual, Deshabilitado | 1.1.0 |
| Administración de puertas de enlace | CMA_0363: Administrar puertas de enlace | Manual, Deshabilitado | 1.1.0 |
| Realizar un análisis de tendencias sobre amenazas | CMA_0389: Realizar un análisis de tendencias sobre amenazas | Manual, Deshabilitado | 1.1.0 |
| Realizar exámenes de vulnerabilidades | CMA_0393: Realizar exámenes de vulnerabilidades | Manual, Deshabilitado | 1.1.0 |
| Revisar semanalmente el informe de detecciones de malware | CMA_0475: Revisar semanalmente el informe de detecciones de malware | Manual, Deshabilitado | 1.1.0 |
| Revisar semanalmente el estado de protección contra amenazas | CMA_0479: Revisar semanalmente el estado de protección contra amenazas | Manual, Deshabilitado | 1.1.0 |
| Actualizar las definiciones de antivirus | CMA_0517: Actualizar las definiciones de antivirus | Manual, Deshabilitado | 1.1.0 |
Requisito 06: Desarrollar y mantener sistemas y software seguros
Los procesos y mecanismos para desarrollar y mantener sistemas y software seguros se definen y entienden
Id.: Propiedad de PCI DSS v4.0 6.1.1: Compartida
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Revisión y actualización de las directivas y procedimientos de administración de configuración | CMA_C1175: Revisar y actualizar las directivas y procedimientos de administración de configuración | Manual, Deshabilitado | 1.1.0 |
| Revisión y actualización de directivas y procedimientos de adquisición de sistemas y servicios | CMA_C1560: Revisar y actualizar directivas y procedimientos de adquisición de sistemas y servicios | Manual, Deshabilitado | 1.1.0 |
El software personalizado y a medida se desarrolla de forma segura
Id.: Propiedad de PCI DSS v4.0 6.2.2: Compartida
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Ofrecimiento de formación periódica de la seguridad basada en roles | CMA_C1095: Proporcionar formación periódica de la seguridad basada en roles | Manual, Deshabilitado | 1.1.0 |
| Ofrecimiento de formación de seguridad antes de proporcionar acceso | CMA_0418: Proporcionar formación de seguridad antes de proporcionar acceso | Manual, Deshabilitado | 1.1.0 |
El software personalizado y a medida se desarrolla de forma segura
Id.: Propiedad de PCI DSS v4.0 6.2.3.1: Compartida
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Separación de las obligaciones de las personas | CMA_0492: Separar las obligaciones de las personas | Manual, Deshabilitado | 1.1.0 |
El software personalizado y a medida se desarrolla de forma segura
Id.: Propiedad de PCI DSS v4.0 6.2.4: Compartida
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Las aplicaciones de App Service solo deben ser accesibles a través de HTTPS | El uso de HTTPS garantiza la autenticación del servicio y el servidor, y protege los datos en tránsito frente a ataques de intercepción de nivel de red. | Audit, Disabled, Deny | 4.0.0 |
| Las variables de cuenta de Automation deben cifrarse | Es importante habilitar el cifrado de recursos de variables de cuentas de Automation al almacenar datos confidenciales. | Audit, Deny, Disabled | 1.1.0 |
| Las aplicaciones de funciones solo deberían ser accesibles a través de HTTPS | El uso de HTTPS garantiza la autenticación del servicio y el servidor, y protege los datos en tránsito frente a ataques de intercepción de nivel de red. | Audit, Disabled, Deny | 5.0.0 |
| Solo se deben habilitar las conexiones seguras a la instancia de Azure Cache for Redis. | Permite auditar la habilitación solo de conexiones a Azure Cache for Redis a través de SSL. El uso de conexiones seguras garantiza la autenticación entre el servidor y el servicio, y protege los datos en tránsito de ataques de nivel de red, como "man in-the-middle", interceptación y secuestro de sesión | Audit, Deny, Disabled | 1.0.0 |
| Se debe habilitar la transferencia segura a las cuentas de almacenamiento | Permite auditar el requisito de transferencia segura en la cuenta de almacenamiento. La transferencia segura es una opción que obliga a la cuenta de almacenamiento a aceptar solamente solicitudes de conexiones seguras (HTTPS). El uso de HTTPS garantiza la autenticación entre el servidor y el servicio, y protege los datos en tránsito de ataques de nivel de red, como los de tipo "Man in the middle", interceptación y secuestro de sesión | Audit, Deny, Disabled | 2.0.0 |
| Se debe establecer la propiedad ClusterProtectionLevel en EncryptAndSign en los clústeres de Service Fabric | Service Fabric proporciona tres niveles de protección (None, Sign y EncryptAndSign) para la comunicación de nodo a nodo mediante un certificado de clúster principal. Establezca el nivel de protección para asegurarse de que todos los mensajes de nodo a nodo se cifran y se firman digitalmente. | Audit, Deny, Disabled | 1.1.0 |
| El cifrado de datos transparente en bases de datos SQL debe estar habilitado | El cifrado de datos transparente debe estar habilitado para proteger los datos en reposo y satisfacer los requisitos de cumplimiento. | AuditIfNotExists, Disabled | 2.0.0 |
| Las máquinas virtuales deben cifrar los discos temporales, las cachés y los flujos de datos entre los recursos de Proceso y Almacenamiento | De manera predeterminada, los discos del sistema operativo y de datos de una máquina virtual se cifran en reposo mediante claves administradas por la plataforma. Los discos temporales, las memorias caché de datos y los datos que fluyen entre el proceso y el almacenamiento no se cifran. Ignore esta recomendación si: 1. Se utiliza el cifrado en el host, o 2. El cifrado del lado servidor en Managed Disks cumple sus requisitos de seguridad. Obtenga más información en: Cifrado del lado servidor de Azure Disk Storage: https://aka.ms/disksse, Diferentes ofertas de cifrado de disco: https://aka.ms/diskencryptioncomparison | AuditIfNotExists, Disabled | 2.0.3 |
Las vulnerabilidades de seguridad se identifican y se abordan
Id.: Propiedad de PCI DSS v4.0 6.3.1: Compartida
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Difusión de alertas de seguridad al personal | CMA_C1705: Difundir alertas de seguridad al personal | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de un programa de inteligencia sobre amenazas | CMA_0260: Establecer un programa de inteligencia sobre amenazas | Manual, Deshabilitado | 1.1.0 |
| Implementación de directivas de seguridad | CMA_C1706: Implementar directivas de seguridad | Manual, Deshabilitado | 1.1.0 |
| Corregir errores del sistema de información | CMA_0427: Corregir los errores del sistema de información | Manual, Deshabilitado | 1.1.0 |
Las vulnerabilidades de seguridad se identifican y se abordan
Id.: Propiedad de PCI DSS v4.0 6.3.2: Compartida
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Obtención de documentación para administradores | CMA_C1580: Obtener documentación para administradores | Manual, Deshabilitado | 1.1.0 |
Las vulnerabilidades de seguridad se identifican y se abordan
Id.: Propiedad de PCI DSS v4.0 6.3.3: Compartida
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Debe habilitarse una solución de evaluación de vulnerabilidades en sus máquinas virtuales | Audita las máquinas virtuales para detectar si ejecutan una solución de evaluación de vulnerabilidades admitida. Un componente fundamental de cada programa de seguridad y riesgo cibernético es la identificación y el análisis de las vulnerabilidades. El plan de tarifa estándar de Azure Security Center incluye el análisis de vulnerabilidades de las máquinas virtuales sin costo adicional. Además, Security Center puede implementar automáticamente esta herramienta. | AuditIfNotExists, Disabled | 3.0.0 |
| Supervisar la falta de Endpoint Protection en Azure Security Center | Azure Security Center supervisará los servidores sin un agente de Endpoint Protection instalado como recomendaciones. | AuditIfNotExists, Disabled | 3.0.0 |
| Las bases de datos SQL deben tener resueltos los hallazgos de vulnerabilidades. | Permite supervisar los resultados del examen de evaluación de puntos vulnerables y las recomendaciones para solucionar los de las bases de datos. | AuditIfNotExists, Disabled | 4.1.0 |
| Se deben instalar actualizaciones del sistema en las máquinas | Azure Security Center supervisará las actualizaciones del sistema de seguridad que faltan en los servidores como recomendaciones. | AuditIfNotExists, Disabled | 4.0.0 |
| Se deben corregir las vulnerabilidades en la configuración de seguridad en las máquinas | Azure Security Center supervisará los servidores que no cumplan la línea de base configurada como recomendaciones. | AuditIfNotExists, Disabled | 3.1.0 |
Las aplicaciones web de acceso público están protegidas contra ataques
Id.: Propiedad de PCI DSS v4.0 6.4.1: Compartida
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Debe habilitarse una solución de evaluación de vulnerabilidades en sus máquinas virtuales | Audita las máquinas virtuales para detectar si ejecutan una solución de evaluación de vulnerabilidades admitida. Un componente fundamental de cada programa de seguridad y riesgo cibernético es la identificación y el análisis de las vulnerabilidades. El plan de tarifa estándar de Azure Security Center incluye el análisis de vulnerabilidades de las máquinas virtuales sin costo adicional. Además, Security Center puede implementar automáticamente esta herramienta. | AuditIfNotExists, Disabled | 3.0.0 |
| Supervisar la falta de Endpoint Protection en Azure Security Center | Azure Security Center supervisará los servidores sin un agente de Endpoint Protection instalado como recomendaciones. | AuditIfNotExists, Disabled | 3.0.0 |
| Realizar exámenes de vulnerabilidades | CMA_0393: Realizar exámenes de vulnerabilidades | Manual, Deshabilitado | 1.1.0 |
| Corregir errores del sistema de información | CMA_0427: Corregir los errores del sistema de información | Manual, Deshabilitado | 1.1.0 |
| Las bases de datos SQL deben tener resueltos los hallazgos de vulnerabilidades. | Permite supervisar los resultados del examen de evaluación de puntos vulnerables y las recomendaciones para solucionar los de las bases de datos. | AuditIfNotExists, Disabled | 4.1.0 |
| Se deben instalar actualizaciones del sistema en las máquinas | Azure Security Center supervisará las actualizaciones del sistema de seguridad que faltan en los servidores como recomendaciones. | AuditIfNotExists, Disabled | 4.0.0 |
| Se deben corregir las vulnerabilidades en la configuración de seguridad en las máquinas | Azure Security Center supervisará los servidores que no cumplan la línea de base configurada como recomendaciones. | AuditIfNotExists, Disabled | 3.1.0 |
Las aplicaciones web de acceso público están protegidas contra ataques
Id.: Propiedad de PCI DSS v4.0 6.4.3: Compartida
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Comprobar el software, el firmware y la integridad de la información | CMA_0542: Comprobar el software, el firmware y la integridad de la información | Manual, Deshabilitado | 1.1.0 |
| Vista y configuración de los datos de diagnóstico del sistema | CMA_0544: Ver y configurar los datos de diagnóstico del sistema | Manual, Deshabilitado | 1.1.0 |
Los cambios en todos los componentes del sistema se administran de forma segura
Id.: Propiedad de PCI DSS v4.0 6.5.1: Compartida
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Realización de un análisis de impacto en la seguridad | CMA_0057: Realizar un análisis de impacto en la seguridad | Manual, Deshabilitado | 1.1.0 |
| Desarrollo y mantenimiento del estándar de administración de vulnerabilidades | CMA_0152: Desarrollar y mantener el estándar de administración de vulnerabilidades | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de una estrategia de administración de riesgos | CMA_0258: Establecer una estrategia de administración de riesgos | Manual, Deshabilitado | 1.1.0 |
| Establecer y documentar los procesos de control de cambios | CMA_0265: Establecer y documentar los procesos de control de cambios | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de los requisitos de administración de configuración para desarrolladores | CMA_0270: Establecer los requisitos de administración de configuración para desarrolladores | Manual, Deshabilitado | 1.1.0 |
| Realización de una evaluación de impacto en la privacidad | CMA_0387: Realizar una evaluación de impacto en la privacidad | Manual, Deshabilitado | 1.1.0 |
| Realización de una evaluación de riesgos | CMA_0388: Realizar una evaluación de riesgos | Manual, Deshabilitado | 1.1.0 |
| Realización de una auditoría para el control de cambios de configuración | CMA_0390: Realizar auditoría para el control de cambios de configuración | Manual, Deshabilitado | 1.1.0 |
Los cambios en todos los componentes del sistema se administran de forma segura
Id.: Propiedad de PCI DSS v4.0 6.5.2: Compartida
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Requerimiento de que los desarrolladores administren la integridad de los cambios | CMA_C1595: Requerir que los desarrolladores administren la integridad de los cambios | Manual, Deshabilitado | 1.1.0 |
Los cambios en todos los componentes del sistema se administran de forma segura
Id.: Propiedad de PCI DSS v4.0 6.5.3: Compartida
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Realización de un análisis de impacto en la seguridad | CMA_0057: Realizar un análisis de impacto en la seguridad | Manual, Deshabilitado | 1.1.0 |
| Establecer y documentar los procesos de control de cambios | CMA_0265: Establecer y documentar los procesos de control de cambios | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de los requisitos de administración de configuración para desarrolladores | CMA_0270: Establecer los requisitos de administración de configuración para desarrolladores | Manual, Deshabilitado | 1.1.0 |
| Limitación de los privilegios para realizar cambios en el entorno de producción | CMA_C1206: Limitar los privilegios para realizar cambios en el entorno de producción | Manual, Deshabilitado | 1.1.0 |
| Realización de una evaluación de impacto en la privacidad | CMA_0387: Realizar una evaluación de impacto en la privacidad | Manual, Deshabilitado | 1.1.0 |
| Realización de una auditoría para el control de cambios de configuración | CMA_0390: Realizar auditoría para el control de cambios de configuración | Manual, Deshabilitado | 1.1.0 |
Los cambios en todos los componentes del sistema se administran de forma segura
Id.: Propiedad de PCI DSS v4.0 6.5.4: Compartida
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Realización de un análisis de impacto en la seguridad | CMA_0057: Realizar un análisis de impacto en la seguridad | Manual, Deshabilitado | 1.1.0 |
| Establecer y documentar los procesos de control de cambios | CMA_0265: Establecer y documentar los procesos de control de cambios | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de los requisitos de administración de configuración para desarrolladores | CMA_0270: Establecer los requisitos de administración de configuración para desarrolladores | Manual, Deshabilitado | 1.1.0 |
| Limitación de los privilegios para realizar cambios en el entorno de producción | CMA_C1206: Limitar los privilegios para realizar cambios en el entorno de producción | Manual, Deshabilitado | 1.1.0 |
| Realización de una evaluación de impacto en la privacidad | CMA_0387: Realizar una evaluación de impacto en la privacidad | Manual, Deshabilitado | 1.1.0 |
| Realización de una auditoría para el control de cambios de configuración | CMA_0390: Realizar auditoría para el control de cambios de configuración | Manual, Deshabilitado | 1.1.0 |
Los cambios en todos los componentes del sistema se administran de forma segura
Id.: Propiedad de PCI DSS v4.0 6.5.5: Compartida
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Incorporar prácticas de seguridad y privacidad de datos en el procesamiento de investigación | CMA_0331: Incorporar prácticas de seguridad y privacidad de datos en el procesamiento de investigación | Manual, Deshabilitado | 1.1.0 |
Los cambios en todos los componentes del sistema se administran de forma segura
Id.: Propiedad de PCI DSS v4.0 6.5.6: Compartida
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Realización de un análisis de impacto en la seguridad | CMA_0057: Realizar un análisis de impacto en la seguridad | Manual, Deshabilitado | 1.1.0 |
| Establecer y documentar los procesos de control de cambios | CMA_0265: Establecer y documentar los procesos de control de cambios | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de los requisitos de administración de configuración para desarrolladores | CMA_0270: Establecer los requisitos de administración de configuración para desarrolladores | Manual, Deshabilitado | 1.1.0 |
| Realización de una evaluación de impacto en la privacidad | CMA_0387: Realizar una evaluación de impacto en la privacidad | Manual, Deshabilitado | 1.1.0 |
| Realización de una auditoría para el control de cambios de configuración | CMA_0390: Realizar auditoría para el control de cambios de configuración | Manual, Deshabilitado | 1.1.0 |
Requisito 07: Restringir el acceso a los componentes del sistema y a los datos de titulares de tarjetas por necesidad empresarial
Los procesos y mecanismos para restringir el acceso a los componentes del sistema y a los datos de los titulares de las tarjetas solo por necesidad de la empresa están definidos y comprendidos
Id.: Propiedad de PCI DSS v4.0 7.1.1: Compartida
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Desarrollo de directivas y procedimientos de control de acceso | CMA_0144: Desarrollar directivas y procedimientos de control de acceso | Manual, Deshabilitado | 1.1.0 |
| Aplicar directivas de control de acceso obligatorias y discrecionales | CMA_0246: Aplicar directivas de control de acceso obligatorias y discrecionales | Manual, Deshabilitado | 1.1.0 |
| Control de directivas y procedimientos | CMA_0292: Control de directivas y procedimientos | Manual, Deshabilitado | 1.1.0 |
| Revisión de directivas y procedimientos de control de acceso | CMA_0457: Revisar las directivas y procedimientos de control de acceso | Manual, Deshabilitado | 1.1.0 |
Los procesos y mecanismos para restringir el acceso a los componentes del sistema y a los datos de los titulares de las tarjetas solo por necesidad de la empresa están definidos y comprendidos
Id.: Propiedad de PCI DSS v4.0 7.1.2: Compartida
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Desarrollo de directivas y procedimientos de control de acceso | CMA_0144: Desarrollar directivas y procedimientos de control de acceso | Manual, Deshabilitado | 1.1.0 |
| Aplicar directivas de control de acceso obligatorias y discrecionales | CMA_0246: Aplicar directivas de control de acceso obligatorias y discrecionales | Manual, Deshabilitado | 1.1.0 |
| Control de directivas y procedimientos | CMA_0292: Control de directivas y procedimientos | Manual, Deshabilitado | 1.1.0 |
El acceso a los componentes y datos del sistema se define y asigna correctamente
Id.: Propiedad de PCI DSS v4.0 7.2.1: Compartida
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Debe designar un máximo de tres propietarios para la suscripción | Se recomienda que designe a un máximo de tres propietarios de suscripción para reducir el riesgo de una brecha de seguridad por parte de un propietario en peligro. | AuditIfNotExists, Disabled | 3.0.0 |
| Autorizar el acceso a las funciones e información de seguridad | CMA_0022: Autorizar el acceso a las funciones e información de seguridad | Manual, Deshabilitado | 1.1.0 |
| Autorización y administración del acceso | CMA_0023: Autorizar y administrar el acceso | Manual, Deshabilitado | 1.1.0 |
| Diseñar un modelo de control de acceso | CMA_0129: Diseñar un modelo de control de acceso | Manual, Deshabilitado | 1.1.0 |
| Emplear el acceso con privilegios mínimos | CMA_0212: Emplear el acceso con privilegios mínimos | Manual, Deshabilitado | 1.1.0 |
| Aplicar el acceso lógico | CMA_0245: Aplicar el acceso lógico | Manual, Deshabilitado | 1.1.0 |
| Aplicar directivas de control de acceso obligatorias y discrecionales | CMA_0246: Aplicar directivas de control de acceso obligatorias y discrecionales | Manual, Deshabilitado | 1.1.0 |
| Requerir aprobación para la creación de cuentas | CMA_0431: Requerir aprobación para la creación de cuentas | Manual, Deshabilitado | 1.1.0 |
| Revisar grupos de usuarios y aplicaciones con acceso a datos confidenciales | CMA_0481: Revisar grupos de usuarios y aplicaciones con acceso a datos confidenciales | Manual, Deshabilitado | 1.1.0 |
| Debe haber más de un propietario asignado a la suscripción | Se recomienda que designe a más de un propietario de la suscripción para tener redundancia de acceso de administrador. | AuditIfNotExists, Disabled | 3.0.0 |
El acceso a los componentes y datos del sistema se define y asigna correctamente
Id.: Propiedad de PCI DSS v4.0 7.2.2: Compartida
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Debe designar un máximo de tres propietarios para la suscripción | Se recomienda que designe a un máximo de tres propietarios de suscripción para reducir el riesgo de una brecha de seguridad por parte de un propietario en peligro. | AuditIfNotExists, Disabled | 3.0.0 |
| Autorizar el acceso a las funciones e información de seguridad | CMA_0022: Autorizar el acceso a las funciones e información de seguridad | Manual, Deshabilitado | 1.1.0 |
| Autorización y administración del acceso | CMA_0023: Autorizar y administrar el acceso | Manual, Deshabilitado | 1.1.0 |
| Diseñar un modelo de control de acceso | CMA_0129: Diseñar un modelo de control de acceso | Manual, Deshabilitado | 1.1.0 |
| Emplear el acceso con privilegios mínimos | CMA_0212: Emplear el acceso con privilegios mínimos | Manual, Deshabilitado | 1.1.0 |
| Aplicar directivas de control de acceso obligatorias y discrecionales | CMA_0246: Aplicar directivas de control de acceso obligatorias y discrecionales | Manual, Deshabilitado | 1.1.0 |
| Debe haber más de un propietario asignado a la suscripción | Se recomienda que designe a más de un propietario de la suscripción para tener redundancia de acceso de administrador. | AuditIfNotExists, Disabled | 3.0.0 |
El acceso a los componentes y datos del sistema se define y asigna correctamente
Id.: Propiedad de PCI DSS v4.0 7.2.3: Compartida
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Autorizar el acceso a las funciones e información de seguridad | CMA_0022: Autorizar el acceso a las funciones e información de seguridad | Manual, Deshabilitado | 1.1.0 |
| Autorización y administración del acceso | CMA_0023: Autorizar y administrar el acceso | Manual, Deshabilitado | 1.1.0 |
| Diseñar un modelo de control de acceso | CMA_0129: Diseñar un modelo de control de acceso | Manual, Deshabilitado | 1.1.0 |
| Emplear el acceso con privilegios mínimos | CMA_0212: Emplear el acceso con privilegios mínimos | Manual, Deshabilitado | 1.1.0 |
| Aplicar el acceso lógico | CMA_0245: Aplicar el acceso lógico | Manual, Deshabilitado | 1.1.0 |
| Aplicar directivas de control de acceso obligatorias y discrecionales | CMA_0246: Aplicar directivas de control de acceso obligatorias y discrecionales | Manual, Deshabilitado | 1.1.0 |
| Requerir aprobación para la creación de cuentas | CMA_0431: Requerir aprobación para la creación de cuentas | Manual, Deshabilitado | 1.1.0 |
| Revisar grupos de usuarios y aplicaciones con acceso a datos confidenciales | CMA_0481: Revisar grupos de usuarios y aplicaciones con acceso a datos confidenciales | Manual, Deshabilitado | 1.1.0 |
El acceso a los componentes y datos del sistema se define y asigna correctamente
Id.: Propiedad de PCI DSS v4.0 7.2.4: Compartida
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Auditar el estado de la cuenta de usuario | CMA_0020: Auditar el estado de la cuenta de usuario | Manual, Deshabilitado | 1.1.0 |
| Revisar los registros de aprovisionamiento de cuentas | CMA_0460: Revisar los registros de aprovisionamiento de cuentas | Manual, Deshabilitado | 1.1.0 |
| Revisar las cuentas de usuario | CMA_0480: Revisar cuentas de usuario | Manual, Deshabilitado | 1.1.0 |
| Revisar privilegios de usuario | CMA_C1039: Revisar privilegios de usuario | Manual, Deshabilitado | 1.1.0 |
El acceso a los componentes y datos del sistema se define y asigna correctamente
Id.: Propiedad de PCI DSS v4.0 7.2.5: Compartida
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Definición de tipos de cuenta del sistema de información | CMA_0121: Definir tipos de cuenta del sistema de información | Manual, Deshabilitado | 1.1.0 |
El acceso a los componentes y datos del sistema se define y asigna correctamente
Id.: Propiedad de PCI DSS v4.0 7.2.5.1: Compartida
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Supervisión de la actividad de la cuenta | CMA_0377: Supervisar la actividad de la cuenta | Manual, Deshabilitado | 1.1.0 |
El acceso a los componentes y datos del sistema se define y asigna correctamente
Id.: Propiedad de PCI DSS v4.0 7.2.6: Compartida
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Autorizar el acceso a las funciones e información de seguridad | CMA_0022: Autorizar el acceso a las funciones e información de seguridad | Manual, Deshabilitado | 1.1.0 |
| Autorización y administración del acceso | CMA_0023: Autorizar y administrar el acceso | Manual, Deshabilitado | 1.1.0 |
| Diseñar un modelo de control de acceso | CMA_0129: Diseñar un modelo de control de acceso | Manual, Deshabilitado | 1.1.0 |
| Emplear el acceso con privilegios mínimos | CMA_0212: Emplear el acceso con privilegios mínimos | Manual, Deshabilitado | 1.1.0 |
| Aplicar el acceso lógico | CMA_0245: Aplicar el acceso lógico | Manual, Deshabilitado | 1.1.0 |
| Aplicar directivas de control de acceso obligatorias y discrecionales | CMA_0246: Aplicar directivas de control de acceso obligatorias y discrecionales | Manual, Deshabilitado | 1.1.0 |
| Requerir aprobación para la creación de cuentas | CMA_0431: Requerir aprobación para la creación de cuentas | Manual, Deshabilitado | 1.1.0 |
| Revisar grupos de usuarios y aplicaciones con acceso a datos confidenciales | CMA_0481: Revisar grupos de usuarios y aplicaciones con acceso a datos confidenciales | Manual, Deshabilitado | 1.1.0 |
El acceso a los componentes y datos del sistema se administra a través de un sistema de control de acceso
Id.: Propiedad de PCI DSS v4.0 7.3.1: Compartida
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Deben estar habilitadas para MFA las cuentas con permisos de propietario de los recursos de Azure. | Multi-Factor Authentication (MFA) debe estar habilitada para todas las cuentas de la suscripción que tengan permisos de propietario, a fin de evitar una brecha de seguridad en las cuentas o los recursos. | AuditIfNotExists, Disabled | 1.0.0 |
| Deben estar habilitadas para MFA las cuentas con permisos de escritura de los recursos de Azure. | Multi-Factor Authentication (MFA) debe estar habilitada para todas las cuentas de la suscripción que tengan permisos de escritura, a fin de evitar una brecha de seguridad en las cuentas o los recursos. | AuditIfNotExists, Disabled | 1.0.0 |
| El administrador de Azure Active Directory debe aprovisionarse para servidores SQL Server | Permite aprovisionar un administrador de Azure Active Directory para SQL Server a fin de habilitar la autenticación de Azure AD. La autenticación de Azure AD permite la administración simplificada de permisos y la administración centralizada de identidades de usuarios de base de datos y otros servicios de Microsoft | AuditIfNotExists, Disabled | 1.0.0 |
| Auditar el uso de roles RBAC personalizados | Permite auditar roles integrados, como "propietario, colaborador, lector" en lugar de roles RBAC personalizados, que son propensos a errores de auditoría. El uso de roles personalizados se trata como una excepción y requiere una revisión rigurosa y el modelado de amenazas. | Audit, Disabled | 1.0.1 |
| Autorizar el acceso a las funciones e información de seguridad | CMA_0022: Autorizar el acceso a las funciones e información de seguridad | Manual, Deshabilitado | 1.1.0 |
| Autorización y administración del acceso | CMA_0023: Autorizar y administrar el acceso | Manual, Deshabilitado | 1.1.0 |
| Automatizar la administración de cuentas | CMA_0026: Automatizar la administración de cuentas | Manual, Deshabilitado | 1.1.0 |
| Aplicar el acceso lógico | CMA_0245: Aplicar el acceso lógico | Manual, Deshabilitado | 1.1.0 |
| Aplicar directivas de control de acceso obligatorias y discrecionales | CMA_0246: Aplicar directivas de control de acceso obligatorias y discrecionales | Manual, Deshabilitado | 1.1.0 |
| Deben quitarse las cuentas de invitado con permisos de propietario de los recursos de Azure. | Las cuentas externas con permisos de propietario deben quitarse de la suscripción a fin de evitar el acceso no supervisado. | AuditIfNotExists, Disabled | 1.0.0 |
| Deben quitarse las cuentas de invitado con permisos de lectura de los recursos de Azure. | Las cuentas externas con privilegios de lectura deben quitarse de la suscripción a fin de evitar el acceso no supervisado. | AuditIfNotExists, Disabled | 1.0.0 |
| Deben quitarse las cuentas de invitado con permisos de escritura de los recursos de Azure. | Las cuentas externas con privilegios de escritura deben quitarse de la suscripción a fin de evitar el acceso no supervisado. | AuditIfNotExists, Disabled | 1.0.0 |
| Administrar cuentas de administrador y del sistema | CMA_0368: Administrar cuentas de administrador y del sistema | Manual, Deshabilitado | 1.1.0 |
| Supervisar el acceso en toda la organización | CMA_0376: Supervisar el acceso en toda la organización | Manual, Deshabilitado | 1.1.0 |
| Notificar cuando no se necesite la cuenta | CMA_0383: Notificar cuando no se necesite la cuenta | Manual, Deshabilitado | 1.1.0 |
| Requerir aprobación para la creación de cuentas | CMA_0431: Requerir aprobación para la creación de cuentas | Manual, Deshabilitado | 1.1.0 |
| Revisar grupos de usuarios y aplicaciones con acceso a datos confidenciales | CMA_0481: Revisar grupos de usuarios y aplicaciones con acceso a datos confidenciales | Manual, Deshabilitado | 1.1.0 |
El acceso a los componentes y datos del sistema se administra a través de un sistema de control de acceso
Id.: Propiedad de PCI DSS v4.0 7.3.2: Compartida
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Autorizar el acceso a las funciones e información de seguridad | CMA_0022: Autorizar el acceso a las funciones e información de seguridad | Manual, Deshabilitado | 1.1.0 |
| Autorización y administración del acceso | CMA_0023: Autorizar y administrar el acceso | Manual, Deshabilitado | 1.1.0 |
| Automatizar la administración de cuentas | CMA_0026: Automatizar la administración de cuentas | Manual, Deshabilitado | 1.1.0 |
| Aplicar el acceso lógico | CMA_0245: Aplicar el acceso lógico | Manual, Deshabilitado | 1.1.0 |
| Aplicar directivas de control de acceso obligatorias y discrecionales | CMA_0246: Aplicar directivas de control de acceso obligatorias y discrecionales | Manual, Deshabilitado | 1.1.0 |
| Administrar cuentas de administrador y del sistema | CMA_0368: Administrar cuentas de administrador y del sistema | Manual, Deshabilitado | 1.1.0 |
| Supervisar el acceso en toda la organización | CMA_0376: Supervisar el acceso en toda la organización | Manual, Deshabilitado | 1.1.0 |
| Notificar cuando no se necesite la cuenta | CMA_0383: Notificar cuando no se necesite la cuenta | Manual, Deshabilitado | 1.1.0 |
| Requerir aprobación para la creación de cuentas | CMA_0431: Requerir aprobación para la creación de cuentas | Manual, Deshabilitado | 1.1.0 |
| Revisar grupos de usuarios y aplicaciones con acceso a datos confidenciales | CMA_0481: Revisar grupos de usuarios y aplicaciones con acceso a datos confidenciales | Manual, Deshabilitado | 1.1.0 |
El acceso a los componentes y datos del sistema se administra a través de un sistema de control de acceso
Id.: Propiedad de PCI DSS v4.0 7.3.3: Compartida
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Autorizar el acceso a las funciones e información de seguridad | CMA_0022: Autorizar el acceso a las funciones e información de seguridad | Manual, Deshabilitado | 1.1.0 |
| Autorización y administración del acceso | CMA_0023: Autorizar y administrar el acceso | Manual, Deshabilitado | 1.1.0 |
| Aplicar el acceso lógico | CMA_0245: Aplicar el acceso lógico | Manual, Deshabilitado | 1.1.0 |
| Aplicar directivas de control de acceso obligatorias y discrecionales | CMA_0246: Aplicar directivas de control de acceso obligatorias y discrecionales | Manual, Deshabilitado | 1.1.0 |
| Requerir aprobación para la creación de cuentas | CMA_0431: Requerir aprobación para la creación de cuentas | Manual, Deshabilitado | 1.1.0 |
| Revisar grupos de usuarios y aplicaciones con acceso a datos confidenciales | CMA_0481: Revisar grupos de usuarios y aplicaciones con acceso a datos confidenciales | Manual, Deshabilitado | 1.1.0 |
Requisito 08: Identificar usuarios y autenticar el acceso a los componentes del sistema
Se definen y entienden los procesos y mecanismos para identificar a los usuarios y autenticar el acceso a los componentes del sistema
Id.: Propiedad de PCI DSS v4.0 8.1.1: Compartida
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Revisión y actualización de directivas y procedimientos de identificación y autenticación | CMA_C1299: Revisar y actualizar directivas y procedimientos de identificación y autenticación | Manual, Deshabilitado | 1.1.0 |
La identificación del usuario y las cuentas relacionadas para usuarios y administradores se administran estrictamente durante el ciclo de vida de una cuenta
Id.: Propiedad de PCI DSS v4.0 8.2.1: Compartida
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Asignación de identificadores del sistema | CMA_0018: Asignar identificadores del sistema | Manual, Deshabilitado | 1.1.0 |
| Exigir la existencia de usuario único | CMA_0250: Exigir la existencia de usuario único | Manual, Deshabilitado | 1.1.0 |
| Admitir credenciales de comprobación personal emitidas por autoridades legales | CMA_0507: Admitir credenciales de comprobación personal emitidas por autoridades legales | Manual, Deshabilitado | 1.1.0 |
La identificación del usuario y las cuentas relacionadas para usuarios y administradores se administran estrictamente durante el ciclo de vida de una cuenta
Id.: Propiedad de PCI DSS v4.0 8.2.2: Compartida
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Definición y aplicación de condiciones para las cuentas de grupo y compartidas | CMA_0117: Definir y aplicar condiciones para las cuentas de grupo y compartidas | Manual, Deshabilitado | 1.1.0 |
| Emisión de nuevo de los autenticadores de las cuentas y los grupos modificados | CMA_0426: Volver a emitir los autenticadores de las cuentas y los grupos modificados | Manual, Deshabilitado | 1.1.0 |
| Requerimiento del uso de autenticadores individuales | CMA_C1305: Requerir el uso de autenticadores individuales | Manual, Deshabilitado | 1.1.0 |
| Finalización de credenciales de cuenta controladas por el cliente | CMA_C1022: Finalizar credenciales de cuenta controladas por el cliente | Manual, Deshabilitado | 1.1.0 |
La identificación del usuario y las cuentas relacionadas para usuarios y administradores se administran estrictamente durante el ciclo de vida de una cuenta
Id.: Propiedad de PCI DSS v4.0 8.2.3: Compartida
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Adopción de mecanismos de autenticación biométrica | CMA_0005: adopción de mecanismos de autenticación biométrica | Manual, Deshabilitado | 1.1.0 |
| Identificación y autenticación de dispositivos de red | CMA_0296: Identificar y autenticar los dispositivos de red | Manual, Deshabilitado | 1.1.0 |
| Satisfacer los requisitos de calidad del token | CMA_0487: Satisfacer los requisitos de calidad del token | Manual, Deshabilitado | 1.1.0 |
La identificación del usuario y las cuentas relacionadas para usuarios y administradores se administran estrictamente durante el ciclo de vida de una cuenta
Id.: Propiedad de PCI DSS v4.0 8.2.4: Compartida
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Asignación de identificadores del sistema | CMA_0018: Asignar identificadores del sistema | Manual, Deshabilitado | 1.1.0 |
| Deben quitarse las cuentas bloqueadas con permisos de propietario de los recursos de Azure. | Quitar de la suscripción las cuentas en desuso con permisos de propietario Las cuentas en desuso son cuentas en las que se ha bloqueado el inicio de sesión. | AuditIfNotExists, Disabled | 1.0.0 |
| Deben quitarse las cuentas bloqueadas con permisos de lectura y escritura de los recursos de Azure. | Convendría eliminar las cuentas en desuso de las suscripciones. Las cuentas en desuso son cuentas en las que se ha bloqueado el inicio de sesión. | AuditIfNotExists, Disabled | 1.0.0 |
| Deben quitarse las cuentas de invitado con permisos de propietario de los recursos de Azure. | Las cuentas externas con permisos de propietario deben quitarse de la suscripción a fin de evitar el acceso no supervisado. | AuditIfNotExists, Disabled | 1.0.0 |
| Deben quitarse las cuentas de invitado con permisos de lectura de los recursos de Azure. | Las cuentas externas con privilegios de lectura deben quitarse de la suscripción a fin de evitar el acceso no supervisado. | AuditIfNotExists, Disabled | 1.0.0 |
| Deben quitarse las cuentas de invitado con permisos de escritura de los recursos de Azure. | Las cuentas externas con privilegios de escritura deben quitarse de la suscripción a fin de evitar el acceso no supervisado. | AuditIfNotExists, Disabled | 1.0.0 |
| Requerir aprobación para la creación de cuentas | CMA_0431: Requerir aprobación para la creación de cuentas | Manual, Deshabilitado | 1.1.0 |
La identificación del usuario y las cuentas relacionadas para usuarios y administradores se administran estrictamente durante el ciclo de vida de una cuenta
Id.: Propiedad de PCI DSS v4.0 8.2.5: Compartida
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Deben quitarse las cuentas bloqueadas con permisos de propietario de los recursos de Azure. | Quitar de la suscripción las cuentas en desuso con permisos de propietario Las cuentas en desuso son cuentas en las que se ha bloqueado el inicio de sesión. | AuditIfNotExists, Disabled | 1.0.0 |
| Deben quitarse las cuentas bloqueadas con permisos de lectura y escritura de los recursos de Azure. | Convendría eliminar las cuentas en desuso de las suscripciones. Las cuentas en desuso son cuentas en las que se ha bloqueado el inicio de sesión. | AuditIfNotExists, Disabled | 1.0.0 |
La identificación del usuario y las cuentas relacionadas para usuarios y administradores se administran estrictamente durante el ciclo de vida de una cuenta
Id.: Propiedad de PCI DSS v4.0 8.2.6: Compartida
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Deshabilitar autenticadores tras la finalización | CMA_0169: Deshabilitar los autenticadores tras la finalización | Manual, Deshabilitado | 1.1.0 |
| Revocar roles con privilegios según corresponda | CMA_0483: Revocar roles con privilegios según corresponda | Manual, Deshabilitado | 1.1.0 |
La identificación del usuario y las cuentas relacionadas para usuarios y administradores se administran estrictamente durante el ciclo de vida de una cuenta
Id.: Propiedad de PCI DSS v4.0 8.2.7: Compartida
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Deben quitarse las cuentas bloqueadas con permisos de propietario de los recursos de Azure. | Quitar de la suscripción las cuentas en desuso con permisos de propietario Las cuentas en desuso son cuentas en las que se ha bloqueado el inicio de sesión. | AuditIfNotExists, Disabled | 1.0.0 |
| Deben quitarse las cuentas bloqueadas con permisos de lectura y escritura de los recursos de Azure. | Convendría eliminar las cuentas en desuso de las suscripciones. Las cuentas en desuso son cuentas en las que se ha bloqueado el inicio de sesión. | AuditIfNotExists, Disabled | 1.0.0 |
| Deben quitarse las cuentas de invitado con permisos de propietario de los recursos de Azure. | Las cuentas externas con permisos de propietario deben quitarse de la suscripción a fin de evitar el acceso no supervisado. | AuditIfNotExists, Disabled | 1.0.0 |
| Deben quitarse las cuentas de invitado con permisos de lectura de los recursos de Azure. | Las cuentas externas con privilegios de lectura deben quitarse de la suscripción a fin de evitar el acceso no supervisado. | AuditIfNotExists, Disabled | 1.0.0 |
| Deben quitarse las cuentas de invitado con permisos de escritura de los recursos de Azure. | Las cuentas externas con privilegios de escritura deben quitarse de la suscripción a fin de evitar el acceso no supervisado. | AuditIfNotExists, Disabled | 1.0.0 |
| Identificar y autenticar usuarios que no son de la organización | CMA_C1346: Identificar y autenticar usuarios que no son de la organización | Manual, Deshabilitado | 1.1.0 |
La identificación del usuario y las cuentas relacionadas para usuarios y administradores se administran estrictamente durante el ciclo de vida de una cuenta
Id.: Propiedad de PCI DSS v4.0 8.2.8: Compartida
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Definición y aplicación de la directiva de registro de inactividad | CMA_C1017: Definir y aplicar la directiva de registro de inactividad | Manual, Deshabilitado | 1.1.0 |
| Finalizar sesión de usuario automáticamente | CMA_C1054: Finalizar la sesión de usuario automáticamente | Manual, Deshabilitado | 1.1.0 |
La autenticación segura para usuarios y administradores está establecida y administrada
Id.: Propiedad de PCI DSS v4.0 8.3.1: Compartida
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Adopción de mecanismos de autenticación biométrica | CMA_0005: adopción de mecanismos de autenticación biométrica | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de los tipos y procesos de autenticador | CMA_0267: Establecer los tipos y procesos de autenticador | Manual, Deshabilitado | 1.1.0 |
| Identificación y autenticación de dispositivos de red | CMA_0296: Identificar y autenticar los dispositivos de red | Manual, Deshabilitado | 1.1.0 |
| Satisfacer los requisitos de calidad del token | CMA_0487: Satisfacer los requisitos de calidad del token | Manual, Deshabilitado | 1.1.0 |
La autenticación segura para usuarios y administradores está establecida y administrada
Id.: Propiedad de PCI DSS v4.0 8.3.10: Compartida
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Administración de la duración y reutilización del autenticador | CMA_0355: Administrar la duración y reutilización del autenticador | Manual, Deshabilitado | 1.1.0 |
| Actualización de autenticadores | CMA_0425: Actualizar autenticadores | Manual, Deshabilitado | 1.1.0 |
La autenticación segura para usuarios y administradores está establecida y administrada
Id.: Propiedad de PCI DSS v4.0 8.3.10.1: Compartida
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Administración de la duración y reutilización del autenticador | CMA_0355: Administrar la duración y reutilización del autenticador | Manual, Deshabilitado | 1.1.0 |
| Actualización de autenticadores | CMA_0425: Actualizar autenticadores | Manual, Deshabilitado | 1.1.0 |
La autenticación segura para usuarios y administradores está establecida y administrada
Id.: Propiedad de PCI DSS v4.0 8.3.11: Compartida
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Adopción de mecanismos de autenticación biométrica | CMA_0005: adopción de mecanismos de autenticación biométrica | Manual, Deshabilitado | 1.1.0 |
| Distribución de autenticadores | CMA_0184: Distribuir autenticadores | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de los tipos y procesos de autenticador | CMA_0267: Establecer los tipos y procesos de autenticador | Manual, Deshabilitado | 1.1.0 |
| Identificación y autenticación de dispositivos de red | CMA_0296: Identificar y autenticar los dispositivos de red | Manual, Deshabilitado | 1.1.0 |
| Satisfacer los requisitos de calidad del token | CMA_0487: Satisfacer los requisitos de calidad del token | Manual, Deshabilitado | 1.1.0 |
| Comprobación de la identidad antes de distribuir autenticadores | CMA_0538: Comprobar la identidad antes de distribuir autenticadores | Manual, Deshabilitado | 1.1.0 |
La autenticación segura para usuarios y administradores está establecida y administrada
Id.: Propiedad de PCI DSS v4.0 8.3.2: Compartida
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Garantía de que los usuarios autorizados protejan los autenticadores proporcionados | CMA_C1339: Garantizar que los usuarios autorizados protejan los autenticadores proporcionados | Manual, Deshabilitado | 1.1.0 |
| Proteger contraseñas con cifrado | CMA_0408: Proteger contraseñas con cifrado | Manual, Deshabilitado | 1.1.0 |
La autenticación segura para usuarios y administradores está establecida y administrada
Id.: Propiedad de PCI DSS v4.0 8.3.4: Compartida
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Aplicación de un límite de intentos de inicio de sesión erróneos consecutivos | CMA_C1044: Aplicar un límite de intentos de inicio de sesión erróneos consecutivos | Manual, Deshabilitado | 1.1.0 |
La autenticación segura para usuarios y administradores está establecida y administrada
Id.: Propiedad de PCI DSS v4.0 8.3.5: Compartida
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Establecimiento de los tipos y procesos de autenticador | CMA_0267: Establecer los tipos y procesos de autenticador | Manual, Deshabilitado | 1.1.0 |
La autenticación segura para usuarios y administradores está establecida y administrada
Id.: Propiedad de PCI DSS v4.0 8.3.6: Compartida
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Agregar una identidad administrada asignada por el sistema para habilitar las asignaciones de configuración de invitado en máquinas virtuales sin identidades | Esta directiva agrega una identidad administrada asignada por el sistema a las máquinas virtuales hospedadas en Azure que son compatibles con la configuración de invitado pero no tienen identidades administradas. Una identidad administrada asignada por el sistema es un requisito previo para todas las asignaciones de configuración de invitado y debe agregarse a los equipos antes de usar las definiciones de directiva de la configuración de invitado. Para más información sobre la configuración de invitado, visite https://aka.ms/gcpol. | modify | 4.1.0 |
| Agregar una identidad administrada asignada por el sistema para habilitar las asignaciones de configuración de invitado en máquinas virtuales con una identidad asignada por el usuario | Esta directiva agrega una identidad administrada asignada por el sistema a las máquinas virtuales hospedadas en Azure que son compatibles con la configuración de invitado y que tienen al menos una identidad asignada por el usuario, pero no tienen ninguna identidad administrada asignada por el sistema. Una identidad administrada asignada por el sistema es un requisito previo para todas las asignaciones de configuración de invitado y debe agregarse a los equipos antes de usar las definiciones de directiva de la configuración de invitado. Para más información sobre la configuración de invitado, visite https://aka.ms/gcpol. | modify | 4.1.0 |
| Auditar las máquinas de Windows que permiten volver a usar las contraseñas después del número especificado de contraseñas únicas | Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. Las máquinas no son conformes si las máquinas de Windows permiten volver a usar las contraseñas después del número especificado de contraseñas únicas. El valor predeterminado para contraseñas únicas es 24 | AuditIfNotExists, Disabled | 2.1.0 |
| Auditar las máquinas de Windows que no tengan la antigüedad máxima de la contraseña establecida en el número de días especificado | Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. Las máquinas no son conformes si las máquinas de Windows no tienen la antigüedad máxima de contraseña establecida con el número de días especificado. El valor predeterminado para la antigüedad máxima de la contraseña es de 70 días | AuditIfNotExists, Disabled | 2.1.0 |
| Auditar las máquinas Windows que no restrinjan la longitud mínima de las contraseñas a un número específico de caracteres | Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. Las máquinas no son conformes si las máquinas de Windows no restringen la longitud mínima de caracteres de la contraseña. El valor predeterminado para la longitud mínima de la contraseña es de 14 caracteres | AuditIfNotExists, Disabled | 2.1.0 |
| Implementar la extensión de configuración de invitado de Windows para permitir las asignaciones de configuración de invitado en máquinas virtuales Windows | Esta directiva implementa la extensión de configuración de invitado de Windows en las máquinas virtuales Windows hospedadas en Azure que son compatibles con la configuración de invitado. La extensión de configuración de invitado de Windows es un requisito previo para todas las asignaciones de configuración de invitado de Windows y debe implementarse en las máquinas antes de usar cualquier definición de directiva de configuración de invitado de Windows. Para más información sobre la configuración de invitado, visite https://aka.ms/gcpol. | deployIfNotExists | 1.2.0 |
| Documentación de los requisitos de seguridad en los contratos de adquisición | CMA_0203: Documentar los requisitos de seguridad en los contratos de adquisición | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de una directiva de contraseñas | CMA_0256: Establecer una directiva de contraseñas | Manual, Deshabilitado | 1.1.0 |
| Implementación de los parámetros para los comprobadores de secretos memorizados | CMA_0321: Implementar los parámetros para los comprobadores de secretos memorizados | Manual, Deshabilitado | 1.1.0 |
La autenticación segura para usuarios y administradores está establecida y administrada
Id.: Propiedad de PCI DSS v4.0 8.3.8: Compartida
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Implementación del entrenamiento para proteger los autenticadores | CMA_0329: Implementar el entrenamiento para proteger los autenticadores | Manual, Deshabilitado | 1.1.0 |
La autenticación segura para usuarios y administradores está establecida y administrada
Id.: Propiedad de PCI DSS v4.0 8.3.9: Compartida
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Administración de la duración y reutilización del autenticador | CMA_0355: Administrar la duración y reutilización del autenticador | Manual, Deshabilitado | 1.1.0 |
| Actualización de autenticadores | CMA_0425: Actualizar autenticadores | Manual, Deshabilitado | 1.1.0 |
La autenticación multifactor (MFA) se implementa para proteger el acceso a CDE
Id.: Propiedad de PCI DSS v4.0 8.4.1: Compartida
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Deben estar habilitadas para MFA las cuentas con permisos de propietario de los recursos de Azure. | Multi-Factor Authentication (MFA) debe estar habilitada para todas las cuentas de la suscripción que tengan permisos de propietario, a fin de evitar una brecha de seguridad en las cuentas o los recursos. | AuditIfNotExists, Disabled | 1.0.0 |
| Deben estar habilitadas para MFA las cuentas con permisos de escritura de los recursos de Azure. | Multi-Factor Authentication (MFA) debe estar habilitada para todas las cuentas de la suscripción que tengan permisos de escritura, a fin de evitar una brecha de seguridad en las cuentas o los recursos. | AuditIfNotExists, Disabled | 1.0.0 |
| Adopción de mecanismos de autenticación biométrica | CMA_0005: adopción de mecanismos de autenticación biométrica | Manual, Deshabilitado | 1.1.0 |
| El administrador de Azure Active Directory debe aprovisionarse para servidores SQL Server | Permite aprovisionar un administrador de Azure Active Directory para SQL Server a fin de habilitar la autenticación de Azure AD. La autenticación de Azure AD permite la administración simplificada de permisos y la administración centralizada de identidades de usuarios de base de datos y otros servicios de Microsoft | AuditIfNotExists, Disabled | 1.0.0 |
| Auditar el uso de roles RBAC personalizados | Permite auditar roles integrados, como "propietario, colaborador, lector" en lugar de roles RBAC personalizados, que son propensos a errores de auditoría. El uso de roles personalizados se trata como una excepción y requiere una revisión rigurosa y el modelado de amenazas. | Audit, Disabled | 1.0.1 |
| Deben quitarse las cuentas de invitado con permisos de propietario de los recursos de Azure. | Las cuentas externas con permisos de propietario deben quitarse de la suscripción a fin de evitar el acceso no supervisado. | AuditIfNotExists, Disabled | 1.0.0 |
| Deben quitarse las cuentas de invitado con permisos de lectura de los recursos de Azure. | Las cuentas externas con privilegios de lectura deben quitarse de la suscripción a fin de evitar el acceso no supervisado. | AuditIfNotExists, Disabled | 1.0.0 |
| Deben quitarse las cuentas de invitado con permisos de escritura de los recursos de Azure. | Las cuentas externas con privilegios de escritura deben quitarse de la suscripción a fin de evitar el acceso no supervisado. | AuditIfNotExists, Disabled | 1.0.0 |
La autenticación multifactor (MFA) se implementa para proteger el acceso a CDE
Id.: Propiedad de PCI DSS v4.0 8.4.2: Compartida
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Adopción de mecanismos de autenticación biométrica | CMA_0005: adopción de mecanismos de autenticación biométrica | Manual, Deshabilitado | 1.1.0 |
| Autorizar acceso remoto | CMA_0024: Autorizar acceso remoto | Manual, Deshabilitado | 1.1.0 |
| Entrenamiento de movilidad de documentos | CMA_0191: Entrenamiento de movilidad de documentos | Manual, Deshabilitado | 1.1.0 |
| Documentar las directrices de acceso remoto | CMA_0196: Documentar las directrices de acceso remoto | Manual, Deshabilitado | 1.1.0 |
| Identificación y autenticación de dispositivos de red | CMA_0296: Identificar y autenticar los dispositivos de red | Manual, Deshabilitado | 1.1.0 |
| Implementar controles para proteger sitios de trabajo alternativos | CMA_0315: Implementar controles para proteger sitios de trabajo alternativos | Manual, Deshabilitado | 1.1.0 |
| Proporcionar entrenamiento sobre la privacidad | CMA_0415: Proporcionar entrenamiento sobre la privacidad | Manual, Deshabilitado | 1.1.0 |
| Satisfacer los requisitos de calidad del token | CMA_0487: Satisfacer los requisitos de calidad del token | Manual, Deshabilitado | 1.1.0 |
La autenticación multifactor (MFA) se implementa para proteger el acceso a CDE
Id,: Propiedad de PCI DSS v4.0 8.4.3: Compartida
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Adopción de mecanismos de autenticación biométrica | CMA_0005: adopción de mecanismos de autenticación biométrica | Manual, Deshabilitado | 1.1.0 |
| Autorizar acceso remoto | CMA_0024: Autorizar acceso remoto | Manual, Deshabilitado | 1.1.0 |
| Entrenamiento de movilidad de documentos | CMA_0191: Entrenamiento de movilidad de documentos | Manual, Deshabilitado | 1.1.0 |
| Documentar las directrices de acceso remoto | CMA_0196: Documentar las directrices de acceso remoto | Manual, Deshabilitado | 1.1.0 |
| Identificación y autenticación de dispositivos de red | CMA_0296: Identificar y autenticar los dispositivos de red | Manual, Deshabilitado | 1.1.0 |
| Implementar controles para proteger sitios de trabajo alternativos | CMA_0315: Implementar controles para proteger sitios de trabajo alternativos | Manual, Deshabilitado | 1.1.0 |
| Proporcionar entrenamiento sobre la privacidad | CMA_0415: Proporcionar entrenamiento sobre la privacidad | Manual, Deshabilitado | 1.1.0 |
| Satisfacer los requisitos de calidad del token | CMA_0487: Satisfacer los requisitos de calidad del token | Manual, Deshabilitado | 1.1.0 |
Los sistemas de autenticación multifactor (MFA) están configurados para evitar el uso incorrecto
Id.: Propiedad de PCI DSS v4.0 8.5.1: Compartida
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Adopción de mecanismos de autenticación biométrica | CMA_0005: adopción de mecanismos de autenticación biométrica | Manual, Deshabilitado | 1.1.0 |
| Autorizar acceso remoto | CMA_0024: Autorizar acceso remoto | Manual, Deshabilitado | 1.1.0 |
| Entrenamiento de movilidad de documentos | CMA_0191: Entrenamiento de movilidad de documentos | Manual, Deshabilitado | 1.1.0 |
| Documentar las directrices de acceso remoto | CMA_0196: Documentar las directrices de acceso remoto | Manual, Deshabilitado | 1.1.0 |
| Identificación y autenticación de dispositivos de red | CMA_0296: Identificar y autenticar los dispositivos de red | Manual, Deshabilitado | 1.1.0 |
| Implementar controles para proteger sitios de trabajo alternativos | CMA_0315: Implementar controles para proteger sitios de trabajo alternativos | Manual, Deshabilitado | 1.1.0 |
| Proporcionar entrenamiento sobre la privacidad | CMA_0415: Proporcionar entrenamiento sobre la privacidad | Manual, Deshabilitado | 1.1.0 |
| Satisfacer los requisitos de calidad del token | CMA_0487: Satisfacer los requisitos de calidad del token | Manual, Deshabilitado | 1.1.0 |
El uso de las cuentas de aplicación y del sistema, y los factores de autenticación asociados se administran estrictamente
Id.: Propiedad de PCI DSS v4.0 8.6.1: Compartida
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Definición de tipos de cuenta del sistema de información | CMA_0121: Definir tipos de cuenta del sistema de información | Manual, Deshabilitado | 1.1.0 |
| Requerir aprobación para la creación de cuentas | CMA_0431: Requerir aprobación para la creación de cuentas | Manual, Deshabilitado | 1.1.0 |
El uso de las cuentas de aplicación y del sistema, y los factores de autenticación asociados se administran estrictamente
Id.: Propiedad de PCI DSS v4.0 8.6.2: Compartida
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Implementación del entrenamiento para proteger los autenticadores | CMA_0329: Implementar el entrenamiento para proteger los autenticadores | Manual, Deshabilitado | 1.1.0 |
El uso de las cuentas de aplicación y del sistema, y los factores de autenticación asociados se administran estrictamente
Id.: Propiedad de PCI DSS v4.0 8.6.3: Compartida
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Documentación de los requisitos de seguridad en los contratos de adquisición | CMA_0203: Documentar los requisitos de seguridad en los contratos de adquisición | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de una directiva de contraseñas | CMA_0256: Establecer una directiva de contraseñas | Manual, Deshabilitado | 1.1.0 |
| Implementación de los parámetros para los comprobadores de secretos memorizados | CMA_0321: Implementar los parámetros para los comprobadores de secretos memorizados | Manual, Deshabilitado | 1.1.0 |
| Implementación del entrenamiento para proteger los autenticadores | CMA_0329: Implementar el entrenamiento para proteger los autenticadores | Manual, Deshabilitado | 1.1.0 |
| Administración de la duración y reutilización del autenticador | CMA_0355: Administrar la duración y reutilización del autenticador | Manual, Deshabilitado | 1.1.0 |
| Actualización de autenticadores | CMA_0425: Actualizar autenticadores | Manual, Deshabilitado | 1.1.0 |
Requisito 09: Restricción del acceso físico a datos de los titulares de las tarjetas
Se definen y entienden los procesos y mecanismos para restringir el acceso físico a los datos de los titulares de tarjetas
Id.: Propiedad de PCI DSS v4.0 9.1.1: Compartida
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Revisión y actualización de directivas y procedimientos de protección de elementos multimedia | CMA_C1427: Revisar y actualizar directivas y procedimientos de protección de elementos multimedia | Manual, Deshabilitado | 1.1.0 |
| Revisión y actualización de directivas y procedimientos físicos y ambientales | CMA_C1446: Revisar y actualizar directivas y procedimientos físicos y ambientales | Manual, Deshabilitado | 1.1.0 |
Los controles de acceso físico administran la entrada en instalaciones y sistemas que contienen datos de titulares de tarjetas
Id.: Propiedad de PCI DSS v4.0 9.2.2: Compartida
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Controlar el acceso físico | CMA_0081: Controlar el acceso físico | Manual, Deshabilitado | 1.1.0 |
Los controles de acceso físico administran la entrada en instalaciones y sistemas que contienen datos de titulares de tarjetas
Id.: Propiedad de PCI DSS v4.0 9.2.3: Compartida
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Controlar el acceso físico | CMA_0081: Controlar el acceso físico | Manual, Deshabilitado | 1.1.0 |
| Implementación de la seguridad física para las oficinas, áreas de trabajo y áreas seguras | CMA_0323: Implementar la seguridad física para las oficinas, áreas de trabajo y áreas seguras | Manual, Deshabilitado | 1.1.0 |
Los controles de acceso físico administran la entrada en instalaciones y sistemas que contienen datos de titulares de tarjetas
Id.: Propiedad de PCI DSS v4.0 9.2.4: Compartida
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Controlar el acceso físico | CMA_0081: Controlar el acceso físico | Manual, Deshabilitado | 1.1.0 |
| Implementación de la seguridad física para las oficinas, áreas de trabajo y áreas seguras | CMA_0323: Implementar la seguridad física para las oficinas, áreas de trabajo y áreas seguras | Manual, Deshabilitado | 1.1.0 |
El acceso físico para el personal y los visitantes está autorizado y administrado
Id.: Propiedad de PCI DSS v4.0 9.3.1: Compartida
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Controlar el acceso físico | CMA_0081: Controlar el acceso físico | Manual, Deshabilitado | 1.1.0 |
El acceso físico para el personal y los visitantes está autorizado y administrado
Id.: Propiedad de PCI DSS v4.0 9.3.1.1: Compartida
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Controlar el acceso físico | CMA_0081: Controlar el acceso físico | Manual, Deshabilitado | 1.1.0 |
El acceso físico para el personal y los visitantes está autorizado y administrado
Id.: Propiedad de PCI DSS v4.0 9.3.2: Compartida
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Controlar el acceso físico | CMA_0081: Controlar el acceso físico | Manual, Deshabilitado | 1.1.0 |
| Implementación de la seguridad física para las oficinas, áreas de trabajo y áreas seguras | CMA_0323: Implementar la seguridad física para las oficinas, áreas de trabajo y áreas seguras | Manual, Deshabilitado | 1.1.0 |
El acceso físico para el personal y los visitantes está autorizado y administrado
Id.: Propiedad de PCI DSS v4.0 9.3.3: Compartida
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Controlar el acceso físico | CMA_0081: Controlar el acceso físico | Manual, Deshabilitado | 1.1.0 |
| Implementación de la seguridad física para las oficinas, áreas de trabajo y áreas seguras | CMA_0323: Implementar la seguridad física para las oficinas, áreas de trabajo y áreas seguras | Manual, Deshabilitado | 1.1.0 |
El acceso físico para el personal y los visitantes está autorizado y administrado
Id.: Propiedad de PCI DSS v4.0 9.3.4: Compartida
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Controlar el acceso físico | CMA_0081: Controlar el acceso físico | Manual, Deshabilitado | 1.1.0 |
| Implementación de la seguridad física para las oficinas, áreas de trabajo y áreas seguras | CMA_0323: Implementar la seguridad física para las oficinas, áreas de trabajo y áreas seguras | Manual, Deshabilitado | 1.1.0 |
Los soportes físicos con datos de titulares de tarjetas se almacenan, acceden, distribuyen y destruyen de forma segura
Id.: Propiedad de PCI DSS v4.0 9.4.1: Compartida
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Implementar controles para proteger todos los medios | CMA_0314: Implementar los controles para proteger todos los medios | Manual, Deshabilitado | 1.1.0 |
Los soportes físicos con datos de titulares de tarjetas se almacenan, acceden, distribuyen y destruyen de forma segura
Id.: Propiedad de PCI DSS v4.0 9.4.1.1: Compartida
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Implementar controles para proteger todos los medios | CMA_0314: Implementar los controles para proteger todos los medios | Manual, Deshabilitado | 1.1.0 |
Los soportes físicos con datos de titulares de tarjetas se almacenan, acceden, distribuyen y destruyen de forma segura
Id.: Propiedad de PCI DSS v4.0 9.4.2: Compartida
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Implementar controles para proteger todos los medios | CMA_0314: Implementar los controles para proteger todos los medios | Manual, Deshabilitado | 1.1.0 |
Los soportes físicos con datos de titulares de tarjetas se almacenan, acceden, distribuyen y destruyen de forma segura
Id.: Propiedad de PCI DSS v4.0 9.4.3: Compartida
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Implementar controles para proteger todos los medios | CMA_0314: Implementar los controles para proteger todos los medios | Manual, Deshabilitado | 1.1.0 |
| Administración del transporte de recursos | CMA_0370: Administrar el transporte de recursos | Manual, Deshabilitado | 1.1.0 |
Los soportes físicos con datos de titulares de tarjetas se almacenan, acceden, distribuyen y destruyen de forma segura
Id.: Propiedad de PCI DSS v4.0 9.4.4: Compartida
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Implementar controles para proteger todos los medios | CMA_0314: Implementar los controles para proteger todos los medios | Manual, Deshabilitado | 1.1.0 |
| Administración del transporte de recursos | CMA_0370: Administrar el transporte de recursos | Manual, Deshabilitado | 1.1.0 |
Los soportes físicos con datos de titulares de tarjetas se almacenan, acceden, distribuyen y destruyen de forma segura
Id.: Propiedad de PCI DSS v4.0 9.4.5.1: Compartida
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Creación de un inventario de datos | CMA_0096: Crear un inventario de datos | Manual, Deshabilitado | 1.1.0 |
| Mantenimiento de registros de procesamiento de datos personales | CMA_0353: Mantener registros de procesamiento de datos personales | Manual, Deshabilitado | 1.1.0 |
Los soportes físicos con datos de titulares de tarjetas se almacenan, acceden, distribuyen y destruyen de forma segura
Id.: Propiedad de PCI DSS v4.0 9.4.6: Compartida
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Uso de un mecanismo de saneamiento de elementos multimedia | CMA_0208: Usar un mecanismo de saneamiento de elementos multimedia | Manual, Deshabilitado | 1.1.0 |
| Implementar controles para proteger todos los medios | CMA_0314: Implementar los controles para proteger todos los medios | Manual, Deshabilitado | 1.1.0 |
| Realizar revisión para eliminación | CMA_0391: Realizar revisión para eliminación | Manual, Deshabilitado | 1.1.0 |
| Comprobar que los datos personales se eliminan al final del procesamiento | CMA_0540: Comprobar que los datos personales se eliminan al final del procesamiento | Manual, Deshabilitado | 1.1.0 |
Los soportes físicos con datos de titulares de tarjetas se almacenan, acceden, distribuyen y destruyen de forma segura
Id.: Propiedad de PCI DSS v4.0 9.4.7: Compartida
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Uso de un mecanismo de saneamiento de elementos multimedia | CMA_0208: Usar un mecanismo de saneamiento de elementos multimedia | Manual, Deshabilitado | 1.1.0 |
| Implementar controles para proteger todos los medios | CMA_0314: Implementar los controles para proteger todos los medios | Manual, Deshabilitado | 1.1.0 |
| Realizar revisión para eliminación | CMA_0391: Realizar revisión para eliminación | Manual, Deshabilitado | 1.1.0 |
| Comprobar que los datos personales se eliminan al final del procesamiento | CMA_0540: Comprobar que los datos personales se eliminan al final del procesamiento | Manual, Deshabilitado | 1.1.0 |
Los dispositivos de punto de interacción (POI) están protegidos contra la manipulación y la sustitución no autorizada
Id.: Propiedad de PCI DSS v4.0 9.5.1: Compartida
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Controlar el acceso físico | CMA_0081: Controlar el acceso físico | Manual, Deshabilitado | 1.1.0 |
| Implementación de la seguridad física para las oficinas, áreas de trabajo y áreas seguras | CMA_0323: Implementar la seguridad física para las oficinas, áreas de trabajo y áreas seguras | Manual, Deshabilitado | 1.1.0 |
| Administrar la entrada, la salida, el procesamiento y el almacenamiento de los datos | CMA_0369: Administrar la entrada, la salida, el procesamiento y el almacenamiento de los datos | Manual, Deshabilitado | 1.1.0 |
Los dispositivos de punto de interacción (POI) están protegidos contra la manipulación y la sustitución no autorizada
Id.: Propiedad de PCI DSS v4.0 9.5.1.2: Compartida
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Controlar el acceso físico | CMA_0081: Controlar el acceso físico | Manual, Deshabilitado | 1.1.0 |
| Implementación de la seguridad física para las oficinas, áreas de trabajo y áreas seguras | CMA_0323: Implementar la seguridad física para las oficinas, áreas de trabajo y áreas seguras | Manual, Deshabilitado | 1.1.0 |
| Administrar la entrada, la salida, el procesamiento y el almacenamiento de los datos | CMA_0369: Administrar la entrada, la salida, el procesamiento y el almacenamiento de los datos | Manual, Deshabilitado | 1.1.0 |
Los dispositivos de punto de interacción (POI) están protegidos contra la manipulación y la sustitución no autorizada
Id.: Propiedad de PCI DSS v4.0 9.5.1.2.1: Compartida
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Controlar el acceso físico | CMA_0081: Controlar el acceso físico | Manual, Deshabilitado | 1.1.0 |
| Implementación de la seguridad física para las oficinas, áreas de trabajo y áreas seguras | CMA_0323: Implementar la seguridad física para las oficinas, áreas de trabajo y áreas seguras | Manual, Deshabilitado | 1.1.0 |
| Administrar la entrada, la salida, el procesamiento y el almacenamiento de los datos | CMA_0369: Administrar la entrada, la salida, el procesamiento y el almacenamiento de los datos | Manual, Deshabilitado | 1.1.0 |
Los dispositivos de punto de interacción (POI) están protegidos contra la manipulación y la sustitución no autorizada
Id.: Propiedad de PCI DSS v4.0 9.5.1.3: Compartida
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Ofrecimiento de formación de seguridad antes de proporcionar acceso | CMA_0418: Proporcionar formación de seguridad antes de proporcionar acceso | Manual, Deshabilitado | 1.1.0 |
Pasos siguientes
Artículos adicionales sobre Azure Policy:
- Introducción al Cumplimiento normativo.
- Consulte la estructura de definición de la iniciativa.
- Consulte más ejemplos en Ejemplos de Azure Policy.
- Vea la Descripción de los efectos de directivas.
- Obtenga información sobre cómo corregir recursos no compatibles.