Detalhes da iniciativa integrada de conformidade regulatória PCI DSS v4.0
O artigo a seguir detalha como a definição de iniciativa interna de Conformidade Regulatória da Política do Azure mapeia para domínios e controles de conformidade no PCI DSS v4.0. Para obter mais informações sobre esse padrão de conformidade, consulte PCI DSS v4.0. Para entender a Propriedade, consulte Definição da política do Azure e Responsabilidade compartilhada na nuvem.
Os mapeamentos a seguir são para os controles PCI DSS v4.0 . Muitos dos controles são implementados com uma definição de iniciativa de Política do Azure. Para rever a definição completa da iniciativa, abra Política no portal do Azure e selecione a página Definições . Em seguida, localize e selecione a definição de iniciativa interna de conformidade regulatória PCI DSS v4 .
Importante
Cada controle abaixo está associado a uma ou mais definições de Política do Azure. Essas políticas podem ajudá-lo a avaliar a conformidade com o controle, no entanto, muitas vezes não há uma correspondência individual ou completa entre um controle e uma ou mais políticas. Como tal, Compatível na Política do Azure refere-se apenas às próprias definições de política, o que não garante que esteja totalmente em conformidade com todos os requisitos de um controlo. Além disso, o padrão de conformidade inclui controles que não são abordados por nenhuma definição de Política do Azure no momento. Portanto, a conformidade na Política do Azure é apenas uma exibição parcial do seu status geral de conformidade. As associações entre domínios de conformidade, controles e definições de Política do Azure para esse padrão de conformidade podem mudar ao longo do tempo. Para visualizar o histórico de alterações, consulte o Histórico de confirmação do GitHub.
Requisito 01: Instalar e manter controles de segurança de rede
Os processos e mecanismos de instalação e manutenção de controles de segurança de rede são definidos e compreendidos
ID: PCI DSS v4.0 1.1.1 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Revisar e atualizar políticas e procedimentos de gerenciamento de configuração | CMA_C1175 - Revisar e atualizar políticas e procedimentos de gerenciamento de configuração | Manual, Desativado | 1.1.0 |
| Rever e atualizar as políticas e procedimentos de proteção do sistema e das comunicações | CMA_C1616 - Rever e atualizar as políticas e procedimentos de proteção do sistema e das comunicações | Manual, Desativado | 1.1.0 |
Os controles de segurança de rede (NSCs) são configurados e mantidos
ID: PCI DSS v4.0 1.2.1 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Configurar ações para dispositivos não compatíveis | CMA_0062 - Configurar ações para dispositivos não compatíveis | Manual, Desativado | 1.1.0 |
| Desenvolver e manter configurações de linha de base | CMA_0153 - Desenvolver e manter configurações de linha de base | Manual, Desativado | 1.1.0 |
| Impor definições de configuração de segurança | CMA_0249 - Impor definições de configuração de segurança | Manual, Desativado | 1.1.0 |
| Estabelecer uma placa de controle de configuração | CMA_0254 - Estabelecer uma placa de controle de configuração | Manual, Desativado | 1.1.0 |
| Estabelecer e documentar um plano de gerenciamento de configuração | CMA_0264 - Estabelecer e documentar um plano de gerenciamento de configuração | Manual, Desativado | 1.1.0 |
| Implementar uma ferramenta automatizada de gerenciamento de configuração | CMA_0311 - Implementar uma ferramenta automatizada de gerenciamento de configuração | Manual, Desativado | 1.1.0 |
Os controles de segurança de rede (NSCs) são configurados e mantidos
ID: PCI DSS v4.0 1.2.2 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Realizar uma análise de impacto na segurança | CMA_0057 - Realizar uma análise de impacto na segurança | Manual, Desativado | 1.1.0 |
| Desenvolver e manter um padrão de gerenciamento de vulnerabilidades | CMA_0152 - Desenvolver e manter um padrão de gerenciamento de vulnerabilidades | Manual, Desativado | 1.1.0 |
| Estabelecer uma estratégia de gestão de riscos | CMA_0258 - Estabelecer uma estratégia de gestão de riscos | Manual, Desativado | 1.1.0 |
| Estabelecer e documentar processos de controle de alterações | CMA_0265 - Estabelecer e documentar processos de controlo de alterações | Manual, Desativado | 1.1.0 |
| Estabelecer requisitos de gerenciamento de configuração para desenvolvedores | CMA_0270 - Estabelecer requisitos de gerenciamento de configuração para desenvolvedores | Manual, Desativado | 1.1.0 |
| Realizar uma avaliação de impacto na privacidade | CMA_0387 - Realizar uma avaliação de impacto na privacidade | Manual, Desativado | 1.1.0 |
| Realizar uma avaliação de risco | CMA_0388 - Realizar uma avaliação de risco | Manual, Desativado | 1.1.0 |
| Realizar auditoria para controle de alterações de configuração | CMA_0390 - Realizar auditoria para controle de alterações de configuração | Manual, Desativado | 1.1.0 |
Os controles de segurança de rede (NSCs) são configurados e mantidos
ID: PCI DSS v4.0 1.2.3 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Verifique a conformidade de privacidade e segurança antes de estabelecer conexões internas | CMA_0053 - Verifique a conformidade de privacidade e segurança antes de estabelecer conexões internas | Manual, Desativado | 1.1.0 |
Os controles de segurança de rede (NSCs) são configurados e mantidos
ID: PCI DSS v4.0 1.2.4 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Manter registos do tratamento de dados pessoais | CMA_0353 - Manter registos do tratamento de dados pessoais | Manual, Desativado | 1.1.0 |
Os controles de segurança de rede (NSCs) são configurados e mantidos
ID: PCI DSS v4.0 1.2.5 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Identificar fornecedores de serviços externos | CMA_C1591 - Identificar prestadores de serviços externos | Manual, Desativado | 1.1.0 |
| Exigir que o desenvolvedor identifique portas, protocolos e serviços SDLC | CMA_C1578 - Exigir que o desenvolvedor identifique portas, protocolos e serviços SDLC | Manual, Desativado | 1.1.0 |
Os controles de segurança de rede (NSCs) são configurados e mantidos
ID: PCI DSS v4.0 1.2.8 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Aplicar e auditar restrições de acesso | CMA_C1203 - Aplicar e auditar restrições de acesso | Manual, Desativado | 1.1.0 |
| Estabelecer e documentar processos de controle de alterações | CMA_0265 - Estabelecer e documentar processos de controlo de alterações | Manual, Desativado | 1.1.0 |
| Rever as alterações para verificar se há alterações não autorizadas | CMA_C1204 - Revise as alterações para quaisquer alterações não autorizadas | Manual, Desativado | 1.1.0 |
O acesso à rede de e para o ambiente de dados do titular do cartão é restrito
ID: PCI DSS v4.0 1.3.2 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Todas as portas de rede devem ser restritas em grupos de segurança de rede associados à sua máquina virtual | A Central de Segurança do Azure identificou que algumas das regras de entrada dos seus grupos de segurança de rede são muito permissivas. As regras de entrada não devem permitir o acesso a partir de intervalos de «Qualquer» ou «Internet». Isso pode potencialmente permitir que os invasores direcionem seus recursos. | AuditIfNotExists, desativado | 3.0.0 |
| As contas de armazenamento devem restringir o acesso à rede | O acesso à rede para contas de armazenamento deve ser restrito. Configure regras de rede para que apenas aplicativos de redes permitidas possam acessar a conta de armazenamento. Para permitir conexões de clientes específicos da Internet ou locais, o acesso pode ser concedido ao tráfego de redes virtuais específicas do Azure ou a intervalos de endereços IP da Internet pública | Auditoria, Negar, Desativado | 1.1.1 |
O acesso à rede de e para o ambiente de dados do titular do cartão é restrito
ID: PCI DSS v4.0 1.3.3 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Documentar e implementar diretrizes de acesso sem fio | CMA_0190 - Documentar e implementar diretrizes de acesso sem fio | Manual, Desativado | 1.1.0 |
| Proteja o acesso sem fio | CMA_0411 - Proteja o acesso sem fio | Manual, Desativado | 1.1.0 |
As conexões de rede entre redes confiáveis e não confiáveis são controladas
ID: PCI DSS v4.0 1.4.1 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controlar o fluxo de informações | CMA_0079 - Controlar o fluxo de informações | Manual, Desativado | 1.1.0 |
| Empregar mecanismos de controle de fluxo de informações criptografadas | CMA_0211 - Empregar mecanismos de controle de fluxo de informações criptografadas | Manual, Desativado | 1.1.0 |
| Implementar interface gerenciada para cada serviço externo | CMA_C1626 - Implementar interface gerenciada para cada serviço externo | Manual, Desativado | 1.1.0 |
| Implementar a proteção de limites do sistema | CMA_0328 - Implementar a proteção de limites do sistema | Manual, Desativado | 1.1.0 |
| Proteja a interface para sistemas externos | CMA_0491 - Proteger a interface para sistemas externos | Manual, Desativado | 1.1.0 |
As conexões de rede entre redes confiáveis e não confiáveis são controladas
ID: PCI DSS v4.0 1.4.2 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Todas as portas de rede devem ser restritas em grupos de segurança de rede associados à sua máquina virtual | A Central de Segurança do Azure identificou que algumas das regras de entrada dos seus grupos de segurança de rede são muito permissivas. As regras de entrada não devem permitir o acesso a partir de intervalos de «Qualquer» ou «Internet». Isso pode potencialmente permitir que os invasores direcionem seus recursos. | AuditIfNotExists, desativado | 3.0.0 |
| Controlar o fluxo de informações | CMA_0079 - Controlar o fluxo de informações | Manual, Desativado | 1.1.0 |
| Empregar mecanismos de controle de fluxo de informações criptografadas | CMA_0211 - Empregar mecanismos de controle de fluxo de informações criptografadas | Manual, Desativado | 1.1.0 |
| Implementar interface gerenciada para cada serviço externo | CMA_C1626 - Implementar interface gerenciada para cada serviço externo | Manual, Desativado | 1.1.0 |
| Implementar a proteção de limites do sistema | CMA_0328 - Implementar a proteção de limites do sistema | Manual, Desativado | 1.1.0 |
| Proteja a interface para sistemas externos | CMA_0491 - Proteger a interface para sistemas externos | Manual, Desativado | 1.1.0 |
| As contas de armazenamento devem restringir o acesso à rede | O acesso à rede para contas de armazenamento deve ser restrito. Configure regras de rede para que apenas aplicativos de redes permitidas possam acessar a conta de armazenamento. Para permitir conexões de clientes específicos da Internet ou locais, o acesso pode ser concedido ao tráfego de redes virtuais específicas do Azure ou a intervalos de endereços IP da Internet pública | Auditoria, Negar, Desativado | 1.1.1 |
As conexões de rede entre redes confiáveis e não confiáveis são controladas
ID: PCI DSS v4.0 1.4.3 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controlar o fluxo de informações | CMA_0079 - Controlar o fluxo de informações | Manual, Desativado | 1.1.0 |
| Empregar mecanismos de controle de fluxo de informações criptografadas | CMA_0211 - Empregar mecanismos de controle de fluxo de informações criptografadas | Manual, Desativado | 1.1.0 |
As conexões de rede entre redes confiáveis e não confiáveis são controladas
ID: PCI DSS v4.0 1.4.4 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controlar o fluxo de informações | CMA_0079 - Controlar o fluxo de informações | Manual, Desativado | 1.1.0 |
| Empregar mecanismos de controle de fluxo de informações criptografadas | CMA_0211 - Empregar mecanismos de controle de fluxo de informações criptografadas | Manual, Desativado | 1.1.0 |
Os riscos para o CDE de dispositivos de computação que são capazes de se conectar a redes não confiáveis e ao CDE são mitigados
ID: PCI DSS v4.0 1.5.1 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Autorizar acesso remoto | CMA_0024 - Autorizar acesso remoto | Manual, Desativado | 1.1.0 |
| Formação em mobilidade documental | CMA_0191 - Formação em mobilidade documental | Manual, Desativado | 1.1.0 |
| Documentar diretrizes de acesso remoto | CMA_0196 - Documentar diretrizes de acesso remoto | Manual, Desativado | 1.1.0 |
| Implementar controles para proteger locais de trabalho alternativos | CMA_0315 - Implementar controles para proteger locais de trabalho alternativos | Manual, Desativado | 1.1.0 |
| Fornecer treinamento de privacidade | CMA_0415 - Fornecer treinamento de privacidade | Manual, Desativado | 1.1.0 |
Requisito 10: Registar e monitorizar todo o acesso aos componentes do sistema e aos dados do titular do cartão
São definidos e documentados processos e mecanismos para registar e monitorizar todo o acesso aos componentes do sistema e aos dados do titular do cartão
ID: PCI DSS v4.0 10.1.1 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Desenvolver políticas e procedimentos de auditoria e prestação de contas | CMA_0154 - Desenvolver políticas e procedimentos de auditoria e prestação de contas | Manual, Desativado | 1.1.0 |
| Desenvolver políticas e procedimentos de segurança da informação | CMA_0158 - Desenvolver políticas e procedimentos de segurança da informação | Manual, Desativado | 1.1.0 |
| Governar políticas e procedimentos | CMA_0292 - Governar políticas e procedimentos | Manual, Desativado | 1.1.0 |
| Atualizar políticas de segurança da informação | CMA_0518 - Atualizar as políticas de segurança da informação | Manual, Desativado | 1.1.0 |
Os logs de auditoria são implementados para apoiar a deteção de anomalias e atividades suspeitas, e a análise forense de eventos
ID: PCI DSS v4.0 10.2.1 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Funções privilegiadas de auditoria | CMA_0019 - Funções privilegiadas de auditoria | Manual, Desativado | 1.1.0 |
| Auditar o status da conta de usuário | CMA_0020 - Auditar o status da conta de usuário | Manual, Desativado | 1.1.0 |
| Determinar eventos auditáveis | CMA_0137 - Determinar eventos auditáveis | Manual, Desativado | 1.1.0 |
| Rever os dados de auditoria | CMA_0466 - Rever os dados de auditoria | Manual, Desativado | 1.1.0 |
Os logs de auditoria são implementados para apoiar a deteção de anomalias e atividades suspeitas, e a análise forense de eventos
ID: PCI DSS v4.0 10.2.1.1 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Determinar eventos auditáveis | CMA_0137 - Determinar eventos auditáveis | Manual, Desativado | 1.1.0 |
Os logs de auditoria são implementados para apoiar a deteção de anomalias e atividades suspeitas, e a análise forense de eventos
ID: PCI DSS v4.0 10.2.1.2 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Funções privilegiadas de auditoria | CMA_0019 - Funções privilegiadas de auditoria | Manual, Desativado | 1.1.0 |
| Conduzir uma análise de texto completo de comandos privilegiados registrados | CMA_0056 - Realizar uma análise de texto completo de comandos privilegiados registrados | Manual, Desativado | 1.1.0 |
| Monitorar a atividade da conta | CMA_0377 - Monitore a atividade da conta | Manual, Desativado | 1.1.0 |
| Monitorar atribuição de função privilegiada | CMA_0378 - Monitorar atribuição de função privilegiada | Manual, Desativado | 1.1.0 |
| Restringir o acesso a contas privilegiadas | CMA_0446 - Restringir o acesso a contas privilegiadas | Manual, Desativado | 1.1.0 |
| Revogar funções privilegiadas conforme apropriado | CMA_0483 - Revogar funções privilegiadas conforme apropriado | Manual, Desativado | 1.1.0 |
| Usar o gerenciamento privilegiado de identidades | CMA_0533 - Use o gerenciamento privilegiado de identidades | Manual, Desativado | 1.1.0 |
Os logs de auditoria são implementados para apoiar a deteção de anomalias e atividades suspeitas, e a análise forense de eventos
ID: PCI DSS v4.0 10.2.1.3 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Funções privilegiadas de auditoria | CMA_0019 - Funções privilegiadas de auditoria | Manual, Desativado | 1.1.0 |
| Conduzir uma análise de texto completo de comandos privilegiados registrados | CMA_0056 - Realizar uma análise de texto completo de comandos privilegiados registrados | Manual, Desativado | 1.1.0 |
| Determinar eventos auditáveis | CMA_0137 - Determinar eventos auditáveis | Manual, Desativado | 1.1.0 |
| Monitorar a atividade da conta | CMA_0377 - Monitore a atividade da conta | Manual, Desativado | 1.1.0 |
| Monitorar atribuição de função privilegiada | CMA_0378 - Monitorar atribuição de função privilegiada | Manual, Desativado | 1.1.0 |
| Restringir o acesso a contas privilegiadas | CMA_0446 - Restringir o acesso a contas privilegiadas | Manual, Desativado | 1.1.0 |
| Revogar funções privilegiadas conforme apropriado | CMA_0483 - Revogar funções privilegiadas conforme apropriado | Manual, Desativado | 1.1.0 |
| Usar o gerenciamento privilegiado de identidades | CMA_0533 - Use o gerenciamento privilegiado de identidades | Manual, Desativado | 1.1.0 |
Os logs de auditoria são implementados para apoiar a deteção de anomalias e atividades suspeitas, e a análise forense de eventos
ID: PCI DSS v4.0 10.2.1.4 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Determinar eventos auditáveis | CMA_0137 - Determinar eventos auditáveis | Manual, Desativado | 1.1.0 |
Os logs de auditoria são implementados para apoiar a deteção de anomalias e atividades suspeitas, e a análise forense de eventos
ID: PCI DSS v4.0 10.2.1.5 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Funções privilegiadas de auditoria | CMA_0019 - Funções privilegiadas de auditoria | Manual, Desativado | 1.1.0 |
| Auditar o status da conta de usuário | CMA_0020 - Auditar o status da conta de usuário | Manual, Desativado | 1.1.0 |
| Automatize o gerenciamento de contas | CMA_0026 - Automatize o gerenciamento de contas | Manual, Desativado | 1.1.0 |
| Conduzir uma análise de texto completo de comandos privilegiados registrados | CMA_0056 - Realizar uma análise de texto completo de comandos privilegiados registrados | Manual, Desativado | 1.1.0 |
| Determinar eventos auditáveis | CMA_0137 - Determinar eventos auditáveis | Manual, Desativado | 1.1.0 |
| Gerenciar contas de sistema e de administrador | CMA_0368 - Gerenciar contas de sistema e de administrador | Manual, Desativado | 1.1.0 |
| Monitore o acesso em toda a organização | CMA_0376 - Monitorar o acesso em toda a organização | Manual, Desativado | 1.1.0 |
| Monitorar a atividade da conta | CMA_0377 - Monitore a atividade da conta | Manual, Desativado | 1.1.0 |
| Monitorar atribuição de função privilegiada | CMA_0378 - Monitorar atribuição de função privilegiada | Manual, Desativado | 1.1.0 |
| Notificar quando a conta não for necessária | CMA_0383 - Notificar quando a conta não for necessária | Manual, Desativado | 1.1.0 |
| Restringir o acesso a contas privilegiadas | CMA_0446 - Restringir o acesso a contas privilegiadas | Manual, Desativado | 1.1.0 |
| Revogar funções privilegiadas conforme apropriado | CMA_0483 - Revogar funções privilegiadas conforme apropriado | Manual, Desativado | 1.1.0 |
| Usar o gerenciamento privilegiado de identidades | CMA_0533 - Use o gerenciamento privilegiado de identidades | Manual, Desativado | 1.1.0 |
Os logs de auditoria são implementados para apoiar a deteção de anomalias e atividades suspeitas, e a análise forense de eventos
ID: PCI DSS v4.0 10.2.1.6 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Funções privilegiadas de auditoria | CMA_0019 - Funções privilegiadas de auditoria | Manual, Desativado | 1.1.0 |
| Conduzir uma análise de texto completo de comandos privilegiados registrados | CMA_0056 - Realizar uma análise de texto completo de comandos privilegiados registrados | Manual, Desativado | 1.1.0 |
| Determinar eventos auditáveis | CMA_0137 - Determinar eventos auditáveis | Manual, Desativado | 1.1.0 |
| Monitorar a atividade da conta | CMA_0377 - Monitore a atividade da conta | Manual, Desativado | 1.1.0 |
| Monitorar atribuição de função privilegiada | CMA_0378 - Monitorar atribuição de função privilegiada | Manual, Desativado | 1.1.0 |
| Restringir o acesso a contas privilegiadas | CMA_0446 - Restringir o acesso a contas privilegiadas | Manual, Desativado | 1.1.0 |
| Revogar funções privilegiadas conforme apropriado | CMA_0483 - Revogar funções privilegiadas conforme apropriado | Manual, Desativado | 1.1.0 |
| Usar o gerenciamento privilegiado de identidades | CMA_0533 - Use o gerenciamento privilegiado de identidades | Manual, Desativado | 1.1.0 |
Os logs de auditoria são implementados para apoiar a deteção de anomalias e atividades suspeitas, e a análise forense de eventos
ID: PCI DSS v4.0 10.2.1.7 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Determinar eventos auditáveis | CMA_0137 - Determinar eventos auditáveis | Manual, Desativado | 1.1.0 |
Os logs de auditoria são implementados para apoiar a deteção de anomalias e atividades suspeitas, e a análise forense de eventos
ID: PCI DSS v4.0 10.2.2 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Configuração de diagnóstico de auditoria para tipos de recursos selecionados | Configuração de diagnóstico de auditoria para tipos de recursos selecionados. Certifique-se de selecionar apenas os tipos de recursos que suportam configurações de diagnóstico. | AuditIfNotExists | 2.0.1 |
| A auditoria no SQL Server deve ser habilitada | A auditoria no SQL Server deve ser habilitada para controlar as atividades do banco de dados em todos os bancos de dados no servidor e salvá-las em um log de auditoria. | AuditIfNotExists, desativado | 2.0.0 |
| Determinar eventos auditáveis | CMA_0137 - Determinar eventos auditáveis | Manual, Desativado | 1.1.0 |
| As contas de armazenamento devem ser migradas para novos recursos do Azure Resource Manager | Use o novo Azure Resource Manager para suas contas de armazenamento para fornecer aprimoramentos de segurança, como: RBAC (controle de acesso mais forte), melhor auditoria, implantação e governança baseadas no Azure Resource Manager, acesso a identidades gerenciadas, acesso ao cofre de chaves para segredos, autenticação baseada no Azure AD e suporte para tags e grupos de recursos para facilitar o gerenciamento de segurança | Auditoria, Negar, Desativado | 1.0.0 |
| As máquinas virtuais devem ser migradas para novos recursos do Azure Resource Manager | Use o novo Azure Resource Manager para suas máquinas virtuais para fornecer aprimoramentos de segurança, como: RBAC (controle de acesso mais forte), melhor auditoria, implantação e governança baseadas no Azure Resource Manager, acesso a identidades gerenciadas, acesso ao cofre de chaves para segredos, autenticação baseada no Azure AD e suporte para tags e grupos de recursos para facilitar o gerenciamento de segurança | Auditoria, Negar, Desativado | 1.0.0 |
Os logs de auditoria são protegidos contra destruição e modificações não autorizadas
ID: PCI DSS v4.0 10.3.1 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Habilitar autorização dupla ou conjunta | CMA_0226 - Permitir autorização dupla ou conjunta | Manual, Desativado | 1.1.0 |
| Proteger as informações de auditoria | CMA_0401 - Proteger as informações de auditoria | Manual, Desativado | 1.1.0 |
Os logs de auditoria são protegidos contra destruição e modificações não autorizadas
ID: PCI DSS v4.0 10.3.2 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Habilitar autorização dupla ou conjunta | CMA_0226 - Permitir autorização dupla ou conjunta | Manual, Desativado | 1.1.0 |
| Proteger as informações de auditoria | CMA_0401 - Proteger as informações de auditoria | Manual, Desativado | 1.1.0 |
Os logs de auditoria são protegidos contra destruição e modificações não autorizadas
ID: PCI DSS v4.0 10.3.3 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Configuração de diagnóstico de auditoria para tipos de recursos selecionados | Configuração de diagnóstico de auditoria para tipos de recursos selecionados. Certifique-se de selecionar apenas os tipos de recursos que suportam configurações de diagnóstico. | AuditIfNotExists | 2.0.1 |
| A auditoria no SQL Server deve ser habilitada | A auditoria no SQL Server deve ser habilitada para controlar as atividades do banco de dados em todos os bancos de dados no servidor e salvá-las em um log de auditoria. | AuditIfNotExists, desativado | 2.0.0 |
| Estabeleça políticas e procedimentos de backup | CMA_0268 - Estabelecer políticas e procedimentos de backup | Manual, Desativado | 1.1.0 |
| As contas de armazenamento devem ser migradas para novos recursos do Azure Resource Manager | Use o novo Azure Resource Manager para suas contas de armazenamento para fornecer aprimoramentos de segurança, como: RBAC (controle de acesso mais forte), melhor auditoria, implantação e governança baseadas no Azure Resource Manager, acesso a identidades gerenciadas, acesso ao cofre de chaves para segredos, autenticação baseada no Azure AD e suporte para tags e grupos de recursos para facilitar o gerenciamento de segurança | Auditoria, Negar, Desativado | 1.0.0 |
| As máquinas virtuais devem ser migradas para novos recursos do Azure Resource Manager | Use o novo Azure Resource Manager para suas máquinas virtuais para fornecer aprimoramentos de segurança, como: RBAC (controle de acesso mais forte), melhor auditoria, implantação e governança baseadas no Azure Resource Manager, acesso a identidades gerenciadas, acesso ao cofre de chaves para segredos, autenticação baseada no Azure AD e suporte para tags e grupos de recursos para facilitar o gerenciamento de segurança | Auditoria, Negar, Desativado | 1.0.0 |
Os logs de auditoria são protegidos contra destruição e modificações não autorizadas
ID: PCI DSS v4.0 10.3.4 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Habilitar autorização dupla ou conjunta | CMA_0226 - Permitir autorização dupla ou conjunta | Manual, Desativado | 1.1.0 |
| Proteger as informações de auditoria | CMA_0401 - Proteger as informações de auditoria | Manual, Desativado | 1.1.0 |
Os logs de auditoria são revisados para identificar anomalias ou atividades suspeitas
ID: PCI DSS v4.0 10.4.1 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Correlacione registros de auditoria | CMA_0087 - Correlacionar registos de auditoria | Manual, Desativado | 1.1.0 |
| Estabelecer requisitos para revisão de auditoria e relatórios | CMA_0277 - Estabelecer requisitos para revisão de auditoria e relatórios | Manual, Desativado | 1.1.0 |
| Integre a revisão, análise e emissão de relatórios de auditoria | CMA_0339 - Integre a revisão, análise e relatórios de auditoria | Manual, Desativado | 1.1.0 |
| Integre a segurança de aplicativos na nuvem com um siem | CMA_0340 - Integre a segurança de aplicativos na nuvem com um siem | Manual, Desativado | 1.1.0 |
| Revisar logs de provisionamento de conta | CMA_0460 - Revisar logs de provisionamento de conta | Manual, Desativado | 1.1.0 |
| Revise as atribuições do administrador semanalmente | CMA_0461 - Revisar as atribuições do administrador semanalmente | Manual, Desativado | 1.1.0 |
| Rever os dados de auditoria | CMA_0466 - Rever os dados de auditoria | Manual, Desativado | 1.1.0 |
| Revise a visão geral do relatório de identidade na nuvem | CMA_0468 - Revisar a visão geral do relatório de identidade na nuvem | Manual, Desativado | 1.1.0 |
| Rever eventos de acesso controlado a pastas | CMA_0471 - Revisar eventos de acesso controlado a pastas | Manual, Desativado | 1.1.0 |
| Rever a atividade de ficheiros e pastas | CMA_0473 - Revisar a atividade de arquivos e pastas | Manual, Desativado | 1.1.0 |
| Revisar as alterações do grupo de funções semanalmente | CMA_0476 - Revisar as mudanças do grupo de funções semanalmente | Manual, Desativado | 1.1.0 |
Os logs de auditoria são revisados para identificar anomalias ou atividades suspeitas
ID: PCI DSS v4.0 10.4.1.1 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Correlacione registros de auditoria | CMA_0087 - Correlacionar registos de auditoria | Manual, Desativado | 1.1.0 |
| Estabelecer requisitos para revisão de auditoria e relatórios | CMA_0277 - Estabelecer requisitos para revisão de auditoria e relatórios | Manual, Desativado | 1.1.0 |
| Integre a revisão, análise e emissão de relatórios de auditoria | CMA_0339 - Integre a revisão, análise e relatórios de auditoria | Manual, Desativado | 1.1.0 |
| Integre a segurança de aplicativos na nuvem com um siem | CMA_0340 - Integre a segurança de aplicativos na nuvem com um siem | Manual, Desativado | 1.1.0 |
| Revisar logs de provisionamento de conta | CMA_0460 - Revisar logs de provisionamento de conta | Manual, Desativado | 1.1.0 |
| Revise as atribuições do administrador semanalmente | CMA_0461 - Revisar as atribuições do administrador semanalmente | Manual, Desativado | 1.1.0 |
| Rever os dados de auditoria | CMA_0466 - Rever os dados de auditoria | Manual, Desativado | 1.1.0 |
| Revise a visão geral do relatório de identidade na nuvem | CMA_0468 - Revisar a visão geral do relatório de identidade na nuvem | Manual, Desativado | 1.1.0 |
| Rever eventos de acesso controlado a pastas | CMA_0471 - Revisar eventos de acesso controlado a pastas | Manual, Desativado | 1.1.0 |
| Rever a atividade de ficheiros e pastas | CMA_0473 - Revisar a atividade de arquivos e pastas | Manual, Desativado | 1.1.0 |
| Revisar as alterações do grupo de funções semanalmente | CMA_0476 - Revisar as mudanças do grupo de funções semanalmente | Manual, Desativado | 1.1.0 |
Os logs de auditoria são revisados para identificar anomalias ou atividades suspeitas
ID: PCI DSS v4.0 10.4.2 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Correlacione registros de auditoria | CMA_0087 - Correlacionar registos de auditoria | Manual, Desativado | 1.1.0 |
| Estabelecer requisitos para revisão de auditoria e relatórios | CMA_0277 - Estabelecer requisitos para revisão de auditoria e relatórios | Manual, Desativado | 1.1.0 |
| Integre a revisão, análise e emissão de relatórios de auditoria | CMA_0339 - Integre a revisão, análise e relatórios de auditoria | Manual, Desativado | 1.1.0 |
| Integre a segurança de aplicativos na nuvem com um siem | CMA_0340 - Integre a segurança de aplicativos na nuvem com um siem | Manual, Desativado | 1.1.0 |
| Revisar logs de provisionamento de conta | CMA_0460 - Revisar logs de provisionamento de conta | Manual, Desativado | 1.1.0 |
| Revise as atribuições do administrador semanalmente | CMA_0461 - Revisar as atribuições do administrador semanalmente | Manual, Desativado | 1.1.0 |
| Rever os dados de auditoria | CMA_0466 - Rever os dados de auditoria | Manual, Desativado | 1.1.0 |
| Revise a visão geral do relatório de identidade na nuvem | CMA_0468 - Revisar a visão geral do relatório de identidade na nuvem | Manual, Desativado | 1.1.0 |
| Rever eventos de acesso controlado a pastas | CMA_0471 - Revisar eventos de acesso controlado a pastas | Manual, Desativado | 1.1.0 |
| Rever a atividade de ficheiros e pastas | CMA_0473 - Revisar a atividade de arquivos e pastas | Manual, Desativado | 1.1.0 |
| Revisar as alterações do grupo de funções semanalmente | CMA_0476 - Revisar as mudanças do grupo de funções semanalmente | Manual, Desativado | 1.1.0 |
Os logs de auditoria são revisados para identificar anomalias ou atividades suspeitas
ID: PCI DSS v4.0 10.4.2.1 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Correlacione registros de auditoria | CMA_0087 - Correlacionar registos de auditoria | Manual, Desativado | 1.1.0 |
| Estabelecer requisitos para revisão de auditoria e relatórios | CMA_0277 - Estabelecer requisitos para revisão de auditoria e relatórios | Manual, Desativado | 1.1.0 |
| Integre a revisão, análise e emissão de relatórios de auditoria | CMA_0339 - Integre a revisão, análise e relatórios de auditoria | Manual, Desativado | 1.1.0 |
| Integre a segurança de aplicativos na nuvem com um siem | CMA_0340 - Integre a segurança de aplicativos na nuvem com um siem | Manual, Desativado | 1.1.0 |
| Revisar logs de provisionamento de conta | CMA_0460 - Revisar logs de provisionamento de conta | Manual, Desativado | 1.1.0 |
| Revise as atribuições do administrador semanalmente | CMA_0461 - Revisar as atribuições do administrador semanalmente | Manual, Desativado | 1.1.0 |
| Rever os dados de auditoria | CMA_0466 - Rever os dados de auditoria | Manual, Desativado | 1.1.0 |
| Revise a visão geral do relatório de identidade na nuvem | CMA_0468 - Revisar a visão geral do relatório de identidade na nuvem | Manual, Desativado | 1.1.0 |
| Rever eventos de acesso controlado a pastas | CMA_0471 - Revisar eventos de acesso controlado a pastas | Manual, Desativado | 1.1.0 |
| Rever a atividade de ficheiros e pastas | CMA_0473 - Revisar a atividade de arquivos e pastas | Manual, Desativado | 1.1.0 |
| Revisar as alterações do grupo de funções semanalmente | CMA_0476 - Revisar as mudanças do grupo de funções semanalmente | Manual, Desativado | 1.1.0 |
Os logs de auditoria são revisados para identificar anomalias ou atividades suspeitas
ID: PCI DSS v4.0 10.4.3 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Correlacione registros de auditoria | CMA_0087 - Correlacionar registos de auditoria | Manual, Desativado | 1.1.0 |
| Estabelecer requisitos para revisão de auditoria e relatórios | CMA_0277 - Estabelecer requisitos para revisão de auditoria e relatórios | Manual, Desativado | 1.1.0 |
| Integre a revisão, análise e emissão de relatórios de auditoria | CMA_0339 - Integre a revisão, análise e relatórios de auditoria | Manual, Desativado | 1.1.0 |
| Integre a segurança de aplicativos na nuvem com um siem | CMA_0340 - Integre a segurança de aplicativos na nuvem com um siem | Manual, Desativado | 1.1.0 |
| Revisar logs de provisionamento de conta | CMA_0460 - Revisar logs de provisionamento de conta | Manual, Desativado | 1.1.0 |
| Revise as atribuições do administrador semanalmente | CMA_0461 - Revisar as atribuições do administrador semanalmente | Manual, Desativado | 1.1.0 |
| Rever os dados de auditoria | CMA_0466 - Rever os dados de auditoria | Manual, Desativado | 1.1.0 |
| Revise a visão geral do relatório de identidade na nuvem | CMA_0468 - Revisar a visão geral do relatório de identidade na nuvem | Manual, Desativado | 1.1.0 |
| Rever eventos de acesso controlado a pastas | CMA_0471 - Revisar eventos de acesso controlado a pastas | Manual, Desativado | 1.1.0 |
| Rever a atividade de ficheiros e pastas | CMA_0473 - Revisar a atividade de arquivos e pastas | Manual, Desativado | 1.1.0 |
| Revisar as alterações do grupo de funções semanalmente | CMA_0476 - Revisar as mudanças do grupo de funções semanalmente | Manual, Desativado | 1.1.0 |
O histórico do log de auditoria é mantido e está disponível para análise
ID: PCI DSS v4.0 10.5.1 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Aderir aos períodos de retenção definidos | CMA_0004 - Respeitar os períodos de retenção definidos | Manual, Desativado | 1.1.0 |
| Manter políticas e procedimentos de segurança | CMA_0454 - Reter políticas e procedimentos de segurança | Manual, Desativado | 1.1.0 |
| Reter dados de usuários encerrados | CMA_0455 - Reter dados de usuários encerrados | Manual, Desativado | 1.1.0 |
Os mecanismos de sincronização de tempo suportam configurações de tempo consistentes em todos os sistemas
ID: PCI DSS v4.0 10.6.1 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Usar relógios do sistema para registros de auditoria | CMA_0535 - Usar relógios do sistema para registros de auditoria | Manual, Desativado | 1.1.0 |
Os mecanismos de sincronização de tempo suportam configurações de tempo consistentes em todos os sistemas
ID: PCI DSS v4.0 10.6.2 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Usar relógios do sistema para registros de auditoria | CMA_0535 - Usar relógios do sistema para registros de auditoria | Manual, Desativado | 1.1.0 |
Os mecanismos de sincronização de tempo suportam configurações de tempo consistentes em todos os sistemas
ID: PCI DSS v4.0 10.6.3 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Funções privilegiadas de auditoria | CMA_0019 - Funções privilegiadas de auditoria | Manual, Desativado | 1.1.0 |
| Autorizar o acesso a funções e informações de segurança | CMA_0022 - Autorizar o acesso a funções e informações de segurança | Manual, Desativado | 1.1.0 |
| Autorizar e gerenciar o acesso | CMA_0023 - Autorizar e gerir o acesso | Manual, Desativado | 1.1.0 |
| Conduzir uma análise de texto completo de comandos privilegiados registrados | CMA_0056 - Realizar uma análise de texto completo de comandos privilegiados registrados | Manual, Desativado | 1.1.0 |
| Aplicar políticas de controle de acesso obrigatórias e discricionárias | CMA_0246 - Aplicar políticas de controle de acesso obrigatórias e discricionárias | Manual, Desativado | 1.1.0 |
| Monitorar a atividade da conta | CMA_0377 - Monitore a atividade da conta | Manual, Desativado | 1.1.0 |
| Monitorar atribuição de função privilegiada | CMA_0378 - Monitorar atribuição de função privilegiada | Manual, Desativado | 1.1.0 |
| Restringir o acesso a contas privilegiadas | CMA_0446 - Restringir o acesso a contas privilegiadas | Manual, Desativado | 1.1.0 |
| Revogar funções privilegiadas conforme apropriado | CMA_0483 - Revogar funções privilegiadas conforme apropriado | Manual, Desativado | 1.1.0 |
| Usar o gerenciamento privilegiado de identidades | CMA_0533 - Use o gerenciamento privilegiado de identidades | Manual, Desativado | 1.1.0 |
Falhas de sistemas críticos de controle de segurança são detetadas, relatadas e respondidas prontamente
ID: PCI DSS v4.0 10.7.1 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Criar ações alternativas para anomalias identificadas | CMA_C1711 - Criar ações alternativas para anomalias identificadas | Manual, Desativado | 1.1.0 |
| Governar e monitorar as atividades de processamento de auditoria | CMA_0289 - Governar e monitorar as atividades de processamento de auditoria | Manual, Desativado | 1.1.0 |
| Notificar o pessoal de qualquer falha nos testes de verificação de segurança | CMA_C1710 - Notificar o pessoal de qualquer falha nos testes de verificação de segurança | Manual, Desativado | 1.1.0 |
| Executar a verificação da função de segurança com uma frequência definida | CMA_C1709 - Realizar a verificação da função de segurança com uma frequência definida | Manual, Desativado | 1.1.0 |
| Verificar funções de segurança | CMA_C1708 - Verificar funções de segurança | Manual, Desativado | 1.1.0 |
Falhas de sistemas críticos de controle de segurança são detetadas, relatadas e respondidas prontamente
ID: PCI DSS v4.0 10.7.2 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Criar ações alternativas para anomalias identificadas | CMA_C1711 - Criar ações alternativas para anomalias identificadas | Manual, Desativado | 1.1.0 |
| Governar e monitorar as atividades de processamento de auditoria | CMA_0289 - Governar e monitorar as atividades de processamento de auditoria | Manual, Desativado | 1.1.0 |
| Notificar o pessoal de qualquer falha nos testes de verificação de segurança | CMA_C1710 - Notificar o pessoal de qualquer falha nos testes de verificação de segurança | Manual, Desativado | 1.1.0 |
| Executar a verificação da função de segurança com uma frequência definida | CMA_C1709 - Realizar a verificação da função de segurança com uma frequência definida | Manual, Desativado | 1.1.0 |
| Verificar funções de segurança | CMA_C1708 - Verificar funções de segurança | Manual, Desativado | 1.1.0 |
Falhas de sistemas críticos de controle de segurança são detetadas, relatadas e respondidas prontamente
ID: PCI DSS v4.0 10.7.3 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Criar ações alternativas para anomalias identificadas | CMA_C1711 - Criar ações alternativas para anomalias identificadas | Manual, Desativado | 1.1.0 |
| Notificar o pessoal de qualquer falha nos testes de verificação de segurança | CMA_C1710 - Notificar o pessoal de qualquer falha nos testes de verificação de segurança | Manual, Desativado | 1.1.0 |
| Executar a verificação da função de segurança com uma frequência definida | CMA_C1709 - Realizar a verificação da função de segurança com uma frequência definida | Manual, Desativado | 1.1.0 |
| Verificar funções de segurança | CMA_C1708 - Verificar funções de segurança | Manual, Desativado | 1.1.0 |
Requisito 11: Testar regularmente a segurança dos sistemas e redes
São definidos e compreendidos processos e mecanismos para testar regularmente a segurança dos sistemas e redes
ID: PCI DSS v4.0 11.1.1 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Revisar e atualizar políticas e procedimentos de integridade das informações | CMA_C1667 - Revisar e atualizar políticas e procedimentos de integridade da informação | Manual, Desativado | 1.1.0 |
| Rever e atualizar as políticas e procedimentos de proteção do sistema e das comunicações | CMA_C1616 - Rever e atualizar as políticas e procedimentos de proteção do sistema e das comunicações | Manual, Desativado | 1.1.0 |
| Rever as políticas e procedimentos de avaliação de segurança e autorização | CMA_C1143 - Rever as políticas e procedimentos de avaliação de segurança e autorização | Manual, Desativado | 1.1.0 |
Os pontos de acesso sem fio são identificados e monitorados, e os pontos de acesso sem fio não autorizados são abordados
ID: PCI DSS v4.0 11.2.2 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Documentar e implementar diretrizes de acesso sem fio | CMA_0190 - Documentar e implementar diretrizes de acesso sem fio | Manual, Desativado | 1.1.0 |
| Proteja o acesso sem fio | CMA_0411 - Proteja o acesso sem fio | Manual, Desativado | 1.1.0 |
As vulnerabilidades externas e internas são regularmente identificadas, priorizadas e abordadas
ID: PCI DSS v4.0 11.3.1 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Uma solução de avaliação de vulnerabilidade deve ser habilitada em suas máquinas virtuais | Audita máquinas virtuais para detetar se elas estão executando uma solução de avaliação de vulnerabilidade suportada. Um componente central de cada programa de segurança e risco cibernético é a identificação e análise de vulnerabilidades. O nível de preços padrão da Central de Segurança do Azure inclui a verificação de vulnerabilidades para suas máquinas virtuais sem custo extra. Além disso, a Central de Segurança pode implantar automaticamente essa ferramenta para você. | AuditIfNotExists, desativado | 3.0.0 |
| Monitorar o Endpoint Protection ausente na Central de Segurança do Azure | Os servidores sem um agente do Endpoint Protection instalado serão monitorados pela Central de Segurança do Azure como recomendações | AuditIfNotExists, desativado | 3.0.0 |
| Executar verificações de vulnerabilidade | CMA_0393 - Executar verificações de vulnerabilidade | Manual, Desativado | 1.1.0 |
| Remediar falhas no sistema de informação | CMA_0427 - Remediar falhas no sistema de informação | Manual, Desativado | 1.1.0 |
| Os bancos de dados SQL devem ter as descobertas de vulnerabilidade resolvidas | Monitore a avaliação de vulnerabilidades, os resultados da verificação e as recomendações sobre como corrigir vulnerabilidades do banco de dados. | AuditIfNotExists, desativado | 4.1.0 |
| As atualizações do sistema devem ser instaladas em suas máquinas | As atualizações de sistema de segurança ausentes em seus servidores serão monitoradas pela Central de Segurança do Azure como recomendações | AuditIfNotExists, desativado | 4.0.0 |
| As vulnerabilidades na configuração de segurança em suas máquinas devem ser corrigidas | Os servidores que não satisfizerem a linha de base configurada serão monitorados pela Central de Segurança do Azure como recomendações | AuditIfNotExists, desativado | 3.1.0 |
As vulnerabilidades externas e internas são regularmente identificadas, priorizadas e abordadas
ID: PCI DSS v4.0 11.3.1.1 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Executar verificações de vulnerabilidade | CMA_0393 - Executar verificações de vulnerabilidade | Manual, Desativado | 1.1.0 |
| Remediar falhas no sistema de informação | CMA_0427 - Remediar falhas no sistema de informação | Manual, Desativado | 1.1.0 |
As vulnerabilidades externas e internas são regularmente identificadas, priorizadas e abordadas
ID: PCI DSS v4.0 11.3.1.3 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Executar verificações de vulnerabilidade | CMA_0393 - Executar verificações de vulnerabilidade | Manual, Desativado | 1.1.0 |
| Remediar falhas no sistema de informação | CMA_0427 - Remediar falhas no sistema de informação | Manual, Desativado | 1.1.0 |
As vulnerabilidades externas e internas são regularmente identificadas, priorizadas e abordadas
ID: PCI DSS v4.0 11.3.2 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Executar verificações de vulnerabilidade | CMA_0393 - Executar verificações de vulnerabilidade | Manual, Desativado | 1.1.0 |
| Remediar falhas no sistema de informação | CMA_0427 - Remediar falhas no sistema de informação | Manual, Desativado | 1.1.0 |
As vulnerabilidades externas e internas são regularmente identificadas, priorizadas e abordadas
ID: PCI DSS v4.0 11.3.2.1 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Executar verificações de vulnerabilidade | CMA_0393 - Executar verificações de vulnerabilidade | Manual, Desativado | 1.1.0 |
| Remediar falhas no sistema de informação | CMA_0427 - Remediar falhas no sistema de informação | Manual, Desativado | 1.1.0 |
Testes de penetração externa e interna são realizados regularmente e vulnerabilidades exploráveis e fraquezas de segurança são corrigidas
ID: PCI DSS v4.0 11.4.1 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Empregar equipe independente para testes de penetração | CMA_C1171 - Empregar equipe independente para testes de penetração | Manual, Desativado | 1.1.0 |
Testes de penetração externa e interna são realizados regularmente e vulnerabilidades exploráveis e fraquezas de segurança são corrigidas
ID: PCI DSS v4.0 11.4.3 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Empregar equipe independente para testes de penetração | CMA_C1171 - Empregar equipe independente para testes de penetração | Manual, Desativado | 1.1.0 |
Intrusões de rede e alterações inesperadas de arquivos são detetadas e respondidas
ID: PCI DSS v4.0 11.5.1 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Pessoal de alerta sobre derrames de informação | CMA_0007 - Pessoal de alerta sobre derrames de informação | Manual, Desativado | 1.1.0 |
| Desenvolver um plano de resposta a incidentes | CMA_0145 - Desenvolver um plano de resposta a incidentes | Manual, Desativado | 1.1.0 |
| Realizar uma análise de tendência sobre ameaças | CMA_0389 - Realizar uma análise de tendência sobre ameaças | Manual, Desativado | 1.1.0 |
| Definir notificações automatizadas para aplicativos de nuvem novos e em alta em sua organização | CMA_0495 - Defina notificações automatizadas para aplicativos de nuvem novos e em alta em sua organização | Manual, Desativado | 1.1.0 |
Intrusões de rede e alterações inesperadas de arquivos são detetadas e respondidas
ID: PCI DSS v4.0 11.5.1.1 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Pessoal de alerta sobre derrames de informação | CMA_0007 - Pessoal de alerta sobre derrames de informação | Manual, Desativado | 1.1.0 |
| Desenvolver um plano de resposta a incidentes | CMA_0145 - Desenvolver um plano de resposta a incidentes | Manual, Desativado | 1.1.0 |
| Definir notificações automatizadas para aplicativos de nuvem novos e em alta em sua organização | CMA_0495 - Defina notificações automatizadas para aplicativos de nuvem novos e em alta em sua organização | Manual, Desativado | 1.1.0 |
Intrusões de rede e alterações inesperadas de arquivos são detetadas e respondidas
ID: PCI DSS v4.0 11.5.2 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Empregar desligamento/reinício automático quando violações forem detetadas | CMA_C1715 - Empregar desligamento/reinício automático quando violações são detetadas | Manual, Desativado | 1.1.0 |
| Verificar a integridade do software, firmware e informações | CMA_0542 - Verificar a integridade do software, firmware e informação | Manual, Desativado | 1.1.0 |
| Exibir e configurar dados de diagnóstico do sistema | CMA_0544 - Exibir e configurar dados de diagnóstico do sistema | Manual, Desativado | 1.1.0 |
Alterações não autorizadas em páginas de pagamento são detetadas e respondidas
ID: PCI DSS v4.0 11.6.1 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Empregar desligamento/reinício automático quando violações forem detetadas | CMA_C1715 - Empregar desligamento/reinício automático quando violações são detetadas | Manual, Desativado | 1.1.0 |
| Verificar a integridade do software, firmware e informações | CMA_0542 - Verificar a integridade do software, firmware e informação | Manual, Desativado | 1.1.0 |
| Exibir e configurar dados de diagnóstico do sistema | CMA_0544 - Exibir e configurar dados de diagnóstico do sistema | Manual, Desativado | 1.1.0 |
Requisito 12: Apoiar a Segurança da Informação com Políticas e Programas Organizacionais
Uma política abrangente de segurança da informação que rege e fornece orientação para a proteção dos ativos de informação da entidade é conhecida e atual
ID: PCI DSS v4.0 12.1.2 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Estabeleça um programa de segurança da informação | CMA_0263 - Estabelecer um programa de segurança da informação | Manual, Desativado | 1.1.0 |
| Atualizar políticas de segurança da informação | CMA_0518 - Atualizar as políticas de segurança da informação | Manual, Desativado | 1.1.0 |
Uma política abrangente de segurança da informação que rege e fornece orientação para a proteção dos ativos de informação da entidade é conhecida e atual
ID: PCI DSS v4.0 12.1.4 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Nomear um responsável superior pela segurança da informação | CMA_C1733 - Nomear um responsável superior pela segurança da informação | Manual, Desativado | 1.1.0 |
Incidentes de segurança suspeitos e confirmados que possam afetar o CDE são respondidos imediatamente
ID: PCI DSS v4.0 12.10.2 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Avaliar eventos de segurança da informação | CMA_0013 - Avaliar eventos de segurança da informação | Manual, Desativado | 1.1.0 |
| Desenvolver um plano de resposta a incidentes | CMA_0145 - Desenvolver um plano de resposta a incidentes | Manual, Desativado | 1.1.0 |
| Implementar o tratamento de incidentes | CMA_0318 - Implementar o tratamento de incidentes | Manual, Desativado | 1.1.0 |
| Manter registros de violação de dados | CMA_0351 - Manter registos de violação de dados | Manual, Desativado | 1.1.0 |
| Manter o plano de resposta a incidentes | CMA_0352 - Manter o plano de resposta a incidentes | Manual, Desativado | 1.1.0 |
| Proteja o plano de resposta a incidentes | CMA_0405 - Proteger o plano de resposta a incidentes | Manual, Desativado | 1.1.0 |
Incidentes de segurança suspeitos e confirmados que possam afetar o CDE são respondidos imediatamente
ID: PCI DSS v4.0 12.10.4 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Fornecer treinamento de derramamento de informações | CMA_0413 - Fornecer treinamento de derramamento de informações | Manual, Desativado | 1.1.0 |
Incidentes de segurança suspeitos e confirmados que possam afetar o CDE são respondidos imediatamente
ID: PCI DSS v4.0 12.10.4.1 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Fornecer treinamento de derramamento de informações | CMA_0413 - Fornecer treinamento de derramamento de informações | Manual, Desativado | 1.1.0 |
Incidentes de segurança suspeitos e confirmados que possam afetar o CDE são respondidos imediatamente
ID: PCI DSS v4.0 12.10.5 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Desenvolver um plano de resposta a incidentes | CMA_0145 - Desenvolver um plano de resposta a incidentes | Manual, Desativado | 1.1.0 |
| Ativar a proteção de rede | CMA_0238 - Ativar a proteção de rede | Manual, Desativado | 1.1.0 |
| Implementar o tratamento de incidentes | CMA_0318 - Implementar o tratamento de incidentes | Manual, Desativado | 1.1.0 |
Incidentes de segurança suspeitos e confirmados que possam afetar o CDE são respondidos imediatamente
ID: PCI DSS v4.0 12.10.6 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Avaliar eventos de segurança da informação | CMA_0013 - Avaliar eventos de segurança da informação | Manual, Desativado | 1.1.0 |
| Manter o plano de resposta a incidentes | CMA_0352 - Manter o plano de resposta a incidentes | Manual, Desativado | 1.1.0 |
Incidentes de segurança suspeitos e confirmados que possam afetar o CDE são respondidos imediatamente
ID: PCI DSS v4.0 12.10.7 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Desenvolver um plano de resposta a incidentes | CMA_0145 - Desenvolver um plano de resposta a incidentes | Manual, Desativado | 1.1.0 |
| Desenvolver proteções de segurança | CMA_0161 - Desenvolver salvaguardas de segurança | Manual, Desativado | 1.1.0 |
| Ativar a proteção de rede | CMA_0238 - Ativar a proteção de rede | Manual, Desativado | 1.1.0 |
| Erradicar a informação contaminada | CMA_0253 - Erradicar a informação contaminada | Manual, Desativado | 1.1.0 |
| Executar ações em resposta a vazamentos de informações | CMA_0281 - Executar ações em resposta a vazamentos de informações | Manual, Desativado | 1.1.0 |
| Implementar o tratamento de incidentes | CMA_0318 - Implementar o tratamento de incidentes | Manual, Desativado | 1.1.0 |
| Realizar uma análise de tendência sobre ameaças | CMA_0389 - Realizar uma análise de tendência sobre ameaças | Manual, Desativado | 1.1.0 |
| Exibir e investigar usuários restritos | CMA_0545 - Ver e investigar utilizadores restritos | Manual, Desativado | 1.1.0 |
São definidas e implementadas políticas de utilização aceitáveis para as tecnologias dos utilizadores finais
ID: PCI DSS v4.0 12.2.1 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Desenvolver políticas e procedimentos de uso aceitável | CMA_0143 - Desenvolver políticas e procedimentos de uso aceitável | Manual, Desativado | 1.1.0 |
| Aplicar regras de comportamento e acordos de acesso | CMA_0248 - Fazer cumprir regras de comportamento e acordos de acesso | Manual, Desativado | 1.1.0 |
| Exigir o cumprimento dos direitos de propriedade intelectual | CMA_0432 - Exigir o cumprimento dos direitos de propriedade intelectual | Manual, Desativado | 1.1.0 |
| Rastreie o uso da licença de software | CMA_C1235 - Rastreie o uso da licença de software | Manual, Desativado | 1.1.0 |
Os riscos para o ambiente de dados do titular do cartão são formalmente identificados, avaliados e geridos
ID: PCI DSS v4.0 12.3.1 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Realizar Avaliação de Risco | CMA_C1543 - Realizar Avaliação de Risco | Manual, Desativado | 1.1.0 |
| Realizar a avaliação de riscos e distribuir os seus resultados | CMA_C1544 - Realizar a avaliação de riscos e distribuir os seus resultados | Manual, Desativado | 1.1.0 |
| Realizar avaliações de risco e documentar seus resultados | CMA_C1542 - Realizar a avaliação de riscos e documentar os seus resultados | Manual, Desativado | 1.1.0 |
| Realizar uma avaliação de risco | CMA_0388 - Realizar uma avaliação de risco | Manual, Desativado | 1.1.0 |
Os riscos para o ambiente de dados do titular do cartão são formalmente identificados, avaliados e geridos
ID: PCI DSS v4.0 12.3.2 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Realizar Avaliação de Risco | CMA_C1543 - Realizar Avaliação de Risco | Manual, Desativado | 1.1.0 |
| Realizar a avaliação de riscos e distribuir os seus resultados | CMA_C1544 - Realizar a avaliação de riscos e distribuir os seus resultados | Manual, Desativado | 1.1.0 |
| Realizar avaliações de risco e documentar seus resultados | CMA_C1542 - Realizar a avaliação de riscos e documentar os seus resultados | Manual, Desativado | 1.1.0 |
| Realizar uma avaliação de risco | CMA_0388 - Realizar uma avaliação de risco | Manual, Desativado | 1.1.0 |
Os riscos para o ambiente de dados do titular do cartão são formalmente identificados, avaliados e geridos
ID: PCI DSS v4.0 12.3.4 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Disseminar alertas de segurança para o pessoal | CMA_C1705 - Divulgar alertas de segurança ao pessoal | Manual, Desativado | 1.1.0 |
| Estabeleça um programa de inteligência contra ameaças | CMA_0260 - Estabelecer um programa de inteligência de ameaças | Manual, Desativado | 1.1.0 |
| Remediar falhas no sistema de informação | CMA_0427 - Remediar falhas no sistema de informação | Manual, Desativado | 1.1.0 |
A conformidade com PCI DSS é gerenciada
ID: PCI DSS v4.0 12.4.1 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Desenvolver um plano de avaliação de segurança | CMA_C1144 - Desenvolver plano de avaliação de segurança | Manual, Desativado | 1.1.0 |
| Estabeleça um programa de privacidade | CMA_0257 - Estabelecer um programa de privacidade | Manual, Desativado | 1.1.0 |
| Estabeleça um programa de segurança da informação | CMA_0263 - Estabelecer um programa de segurança da informação | Manual, Desativado | 1.1.0 |
| Gerenciar atividades de conformidade | CMA_0358 - Gerenciar atividades de conformidade | Manual, Desativado | 1.1.0 |
| Atualizar plano, políticas e procedimentos de privacidade | CMA_C1807 - Atualizar planos, políticas e procedimentos de privacidade | Manual, Desativado | 1.1.0 |
A conformidade com PCI DSS é gerenciada
ID: PCI DSS v4.0 12.4.2 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Avaliar os controlos de segurança | CMA_C1145 - Avaliar os Controlos de Segurança | Manual, Desativado | 1.1.0 |
| Configurar a lista de permissões de deteção | CMA_0068 - Configurar a lista branca de deteção | Manual, Desativado | 1.1.0 |
| Desenvolver um plano de avaliação de segurança | CMA_C1144 - Desenvolver plano de avaliação de segurança | Manual, Desativado | 1.1.0 |
| Selecionar testes adicionais para avaliações de controle de segurança | CMA_C1149 - Selecione testes adicionais para avaliações de controle de segurança | Manual, Desativado | 1.1.0 |
| Ligue sensores para solução de segurança de endpoint | CMA_0514 - Ligue sensores para solução de segurança de endpoint | Manual, Desativado | 1.1.0 |
| Passar por uma revisão de segurança independente | CMA_0515 - Passar por uma revisão de segurança independente | Manual, Desativado | 1.1.0 |
A conformidade com PCI DSS é gerenciada
ID: PCI DSS v4.0 12.4.2.1 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Configurar a lista de permissões de deteção | CMA_0068 - Configurar a lista branca de deteção | Manual, Desativado | 1.1.0 |
| Forneça resultados de avaliação de segurança | CMA_C1147 - Fornecer resultados de avaliação de segurança | Manual, Desativado | 1.1.0 |
| Desenvolver POA&M | CMA_C1156 - Desenvolver POA&M | Manual, Desativado | 1.1.0 |
| Produzir relatório de avaliação de segurança | CMA_C1146 - Produzir relatório de avaliação de segurança | Manual, Desativado | 1.1.0 |
| Ligue sensores para solução de segurança de endpoint | CMA_0514 - Ligue sensores para solução de segurança de endpoint | Manual, Desativado | 1.1.0 |
| Passar por uma revisão de segurança independente | CMA_0515 - Passar por uma revisão de segurança independente | Manual, Desativado | 1.1.0 |
| Atualizar itens POA&M | CMA_C1157 - Atualizar itens POA&M | Manual, Desativado | 1.1.0 |
O escopo do PCI DSS é documentado e validado
ID: PCI DSS v4.0 12.5.2 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Manter registos do tratamento de dados pessoais | CMA_0353 - Manter registos do tratamento de dados pessoais | Manual, Desativado | 1.1.0 |
O escopo do PCI DSS é documentado e validado
ID: PCI DSS v4.0 12.5.2.1 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Criar um inventário de dados | CMA_0096 - Criar um inventário de dados | Manual, Desativado | 1.1.0 |
| Manter registos do tratamento de dados pessoais | CMA_0353 - Manter registos do tratamento de dados pessoais | Manual, Desativado | 1.1.0 |
O escopo do PCI DSS é documentado e validado
ID: PCI DSS v4.0 12.5.3 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Estabeleça um programa de segurança da informação | CMA_0263 - Estabelecer um programa de segurança da informação | Manual, Desativado | 1.1.0 |
| Atualizar políticas de segurança da informação | CMA_0518 - Atualizar as políticas de segurança da informação | Manual, Desativado | 1.1.0 |
A educação de sensibilização para a segurança é uma atividade contínua
ID: PCI DSS v4.0 12.6.1 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Atividades de formação em segurança e privacidade de documentos | CMA_0198 - Atividades de formação em segurança documental e privacidade | Manual, Desativado | 1.1.0 |
| Estabelecer um programa de desenvolvimento e melhoria da força de trabalho de segurança da informação | CMA_C1752 - Estabelecer programa de desenvolvimento e melhoria da força de trabalho de segurança da informação | Manual, Desativado | 1.1.0 |
A educação de sensibilização para a segurança é uma atividade contínua
ID: PCI DSS v4.0 12.6.2 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Fornecer treinamento atualizado de conscientização sobre segurança | CMA_C1090 - Fornecer treinamento atualizado de conscientização sobre segurança | Manual, Desativado | 1.1.0 |
A educação de sensibilização para a segurança é uma atividade contínua
ID: PCI DSS v4.0 12.6.3 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Documentar a aceitação dos requisitos de privacidade pelo pessoal | CMA_0193 - Documentar a aceitação dos requisitos de privacidade pelo pessoal | Manual, Desativado | 1.1.0 |
| Fornecer treinamento periódico de segurança baseado em funções | CMA_C1095 - Fornecer treinamento periódico de segurança baseado em funções | Manual, Desativado | 1.1.0 |
| Fornecer treinamento periódico de conscientização sobre segurança | CMA_C1091 - Fornecer treinamento periódico de conscientização sobre segurança | Manual, Desativado | 1.1.0 |
| Fornecer treinamento de privacidade | CMA_0415 - Fornecer treinamento de privacidade | Manual, Desativado | 1.1.0 |
| Fornecer treinamento de segurança baseado em funções | CMA_C1094 - Fornecer treinamento de segurança baseado em funções | Manual, Desativado | 1.1.0 |
| Fornecer treinamento de segurança antes de fornecer acesso | CMA_0418 - Fornecer treinamento de segurança antes de fornecer acesso | Manual, Desativado | 1.1.0 |
| Fornecer treinamento de segurança para novos usuários | CMA_0419 - Fornecer treinamento de segurança para novos usuários | Manual, Desativado | 1.1.0 |
| Fornecer treinamento atualizado de conscientização sobre segurança | CMA_C1090 - Fornecer treinamento atualizado de conscientização sobre segurança | Manual, Desativado | 1.1.0 |
A educação de sensibilização para a segurança é uma atividade contínua
ID: PCI DSS v4.0 12.6.3.1 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Implementar um programa de conscientização sobre ameaças | CMA_C1758 - Implementar um programa de sensibilização para ameaças | Manual, Desativado | 1.1.0 |
| Implementar um programa de ameaças internas | CMA_C1751 - Implementar um programa de ameaças internas | Manual, Desativado | 1.1.0 |
| Fornecer treinamento de segurança para novos usuários | CMA_0419 - Fornecer treinamento de segurança para novos usuários | Manual, Desativado | 1.1.0 |
A educação de sensibilização para a segurança é uma atividade contínua
ID: PCI DSS v4.0 12.6.3.2 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Fornecer treinamento de segurança antes de fornecer acesso | CMA_0418 - Fornecer treinamento de segurança antes de fornecer acesso | Manual, Desativado | 1.1.0 |
| Fornecer treinamento de segurança para novos usuários | CMA_0419 - Fornecer treinamento de segurança para novos usuários | Manual, Desativado | 1.1.0 |
O pessoal é examinado para reduzir os riscos de ameaças internas
ID: PCI DSS v4.0 12.7.1 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Pessoal claro com acesso a informações classificadas | CMA_0054 - Pessoal claro com acesso a informação classificada | Manual, Desativado | 1.1.0 |
| Implementar a triagem de pessoal | CMA_0322 - Implementar a triagem de pessoal | Manual, Desativado | 1.1.0 |
| Retriagem de indivíduos em uma frequência definida | CMA_C1512 - Retriagem de indivíduos em uma frequência definida | Manual, Desativado | 1.1.0 |
O risco para os ativos de informação associados a relações de provedor de serviços terceirizados (TPSP) é gerenciado
ID: PCI DSS v4.0 12.8.1 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Exigir que os prestadores de serviços externos cumpram os requisitos de segurança | CMA_C1586 - Exigir que os prestadores de serviços externos cumpram os requisitos de segurança | Manual, Desativado | 1.1.0 |
O risco para os ativos de informação associados a relações de provedor de serviços terceirizados (TPSP) é gerenciado
ID: PCI DSS v4.0 12.8.2 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Definir as funções dos transformadores | CMA_0127 - Definir as funções dos transformadores | Manual, Desativado | 1.1.0 |
| Determinar as obrigações contratuais do fornecedor | CMA_0140 - Determinar as obrigações contratuais do fornecedor | Manual, Desativado | 1.1.0 |
| Critérios de aceitação do contrato de aquisição de documentos | CMA_0187 - Critérios de aceitação do contrato de aquisição de documentos | Manual, Desativado | 1.1.0 |
| Proteção documental de dados pessoais em contratos de aquisição | CMA_0194 - Proteção documental de dados pessoais em contratos de aquisição | Manual, Desativado | 1.1.0 |
| Proteção de documentos de informações de segurança em contratos de aquisição | CMA_0195 - Proteção documental de informações de segurança em contratos de aquisição | Manual, Desativado | 1.1.0 |
| Documentar os requisitos para a utilização de dados partilhados em contratos | CMA_0197 - Requisitos documentais para a utilização de dados partilhados em contratos | Manual, Desativado | 1.1.0 |
| Documentar os requisitos de garantia de segurança nos contratos de aquisição | CMA_0199 - Documentar requisitos de garantia de segurança em contratos de aquisição | Manual, Desativado | 1.1.0 |
| Documentar os requisitos de documentação de segurança no contrato de aquisição | CMA_0200 - Documentar requisitos de documentação de segurança no contrato de aquisição | Manual, Desativado | 1.1.0 |
| Requisitos funcionais de segurança documental em contratos de aquisição | CMA_0201 - Requisitos funcionais de segurança documental em contratos de aquisição | Manual, Desativado | 1.1.0 |
| Documentar os requisitos de segurança nos contratos de aquisição | CMA_0203 - Documentar requisitos de segurança em contratos de aquisição | Manual, Desativado | 1.1.0 |
| Documentar o ambiente do sistema de informação nos contratos de aquisição | CMA_0205 - Documentar o ambiente do sistema de informação em contratos de aquisição | Manual, Desativado | 1.1.0 |
| Documentar a proteção dos dados do titular do cartão em contratos com terceiros | CMA_0207 - Documentar a proteção dos dados do titular do cartão em contratos de terceiros | Manual, Desativado | 1.1.0 |
| Obter informações de projeto e implementação para os controles de segurança | CMA_C1576 - Obter informações de projeto e implementação para os controles de segurança | Manual, Desativado | 1.1.1 |
| Obter propriedades funcionais dos controles de segurança | CMA_C1575 - Obter propriedades funcionais dos controlos de segurança | Manual, Desativado | 1.1.0 |
| Registrar divulgações de PII a terceiros | CMA_0422 - Registro de divulgações de PII a terceiros | Manual, Desativado | 1.1.0 |
O risco para os ativos de informação associados a relações de provedor de serviços terceirizados (TPSP) é gerenciado
ID: PCI DSS v4.0 12.8.3 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Avaliar o risco em relações com terceiros | CMA_0014 - Avaliar o risco nas relações com terceiros | Manual, Desativado | 1.1.0 |
| Definir requisitos para o fornecimento de bens e serviços | CMA_0126 - Definir requisitos para o fornecimento de bens e serviços | Manual, Desativado | 1.1.0 |
| Determinar as obrigações contratuais do fornecedor | CMA_0140 - Determinar as obrigações contratuais do fornecedor | Manual, Desativado | 1.1.0 |
| Estabelecer políticas para a gestão de riscos da cadeia de valor | CMA_0275 - Estabelecer políticas para a gestão de riscos da cadeia de abastecimento | Manual, Desativado | 1.1.0 |
| Exigir que os prestadores de serviços externos cumpram os requisitos de segurança | CMA_C1586 - Exigir que os prestadores de serviços externos cumpram os requisitos de segurança | Manual, Desativado | 1.1.0 |
O risco para os ativos de informação associados a relações de provedor de serviços terceirizados (TPSP) é gerenciado
ID: PCI DSS v4.0 12.8.4 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Avaliar o risco em relações com terceiros | CMA_0014 - Avaliar o risco nas relações com terceiros | Manual, Desativado | 1.1.0 |
| Definir requisitos para o fornecimento de bens e serviços | CMA_0126 - Definir requisitos para o fornecimento de bens e serviços | Manual, Desativado | 1.1.0 |
| Determinar as obrigações contratuais do fornecedor | CMA_0140 - Determinar as obrigações contratuais do fornecedor | Manual, Desativado | 1.1.0 |
| Estabelecer políticas para a gestão de riscos da cadeia de valor | CMA_0275 - Estabelecer políticas para a gestão de riscos da cadeia de abastecimento | Manual, Desativado | 1.1.0 |
| Obter um plano de monitoramento contínuo para controles de segurança | CMA_C1577 - Obter um plano de monitorização contínua dos controlos de segurança | Manual, Desativado | 1.1.0 |
| Exigir que os prestadores de serviços externos cumpram os requisitos de segurança | CMA_C1586 - Exigir que os prestadores de serviços externos cumpram os requisitos de segurança | Manual, Desativado | 1.1.0 |
| Analisar a conformidade do provedor de serviços de nuvem com políticas e contratos | CMA_0469 - Analisar a conformidade do fornecedor de serviços na nuvem com políticas e acordos | Manual, Desativado | 1.1.0 |
| Passar por uma revisão de segurança independente | CMA_0515 - Passar por uma revisão de segurança independente | Manual, Desativado | 1.1.0 |
O risco para os ativos de informação associados a relações de provedor de serviços terceirizados (TPSP) é gerenciado
ID: PCI DSS v4.0 12.8.5 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Determinar as obrigações contratuais do fornecedor | CMA_0140 - Determinar as obrigações contratuais do fornecedor | Manual, Desativado | 1.1.0 |
| Critérios de aceitação do contrato de aquisição de documentos | CMA_0187 - Critérios de aceitação do contrato de aquisição de documentos | Manual, Desativado | 1.1.0 |
| Proteção documental de dados pessoais em contratos de aquisição | CMA_0194 - Proteção documental de dados pessoais em contratos de aquisição | Manual, Desativado | 1.1.0 |
| Proteção de documentos de informações de segurança em contratos de aquisição | CMA_0195 - Proteção documental de informações de segurança em contratos de aquisição | Manual, Desativado | 1.1.0 |
| Documentar os requisitos para a utilização de dados partilhados em contratos | CMA_0197 - Requisitos documentais para a utilização de dados partilhados em contratos | Manual, Desativado | 1.1.0 |
| Documentar os requisitos de garantia de segurança nos contratos de aquisição | CMA_0199 - Documentar requisitos de garantia de segurança em contratos de aquisição | Manual, Desativado | 1.1.0 |
| Documentar os requisitos de documentação de segurança no contrato de aquisição | CMA_0200 - Documentar requisitos de documentação de segurança no contrato de aquisição | Manual, Desativado | 1.1.0 |
| Requisitos funcionais de segurança documental em contratos de aquisição | CMA_0201 - Requisitos funcionais de segurança documental em contratos de aquisição | Manual, Desativado | 1.1.0 |
| Documentar os requisitos de segurança nos contratos de aquisição | CMA_0203 - Documentar requisitos de segurança em contratos de aquisição | Manual, Desativado | 1.1.0 |
| Documentar o ambiente do sistema de informação nos contratos de aquisição | CMA_0205 - Documentar o ambiente do sistema de informação em contratos de aquisição | Manual, Desativado | 1.1.0 |
| Documentar a proteção dos dados do titular do cartão em contratos com terceiros | CMA_0207 - Documentar a proteção dos dados do titular do cartão em contratos de terceiros | Manual, Desativado | 1.1.0 |
| Obter informações de projeto e implementação para os controles de segurança | CMA_C1576 - Obter informações de projeto e implementação para os controles de segurança | Manual, Desativado | 1.1.1 |
| Obter propriedades funcionais dos controles de segurança | CMA_C1575 - Obter propriedades funcionais dos controlos de segurança | Manual, Desativado | 1.1.0 |
Provedores de serviços terceirizados (TPSPs) oferecem suporte à conformidade com PCI DSS de seus clientes
ID: PCI DSS v4.0 12.9.1 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Definir as funções dos transformadores | CMA_0127 - Definir as funções dos transformadores | Manual, Desativado | 1.1.0 |
| Registrar divulgações de PII a terceiros | CMA_0422 - Registro de divulgações de PII a terceiros | Manual, Desativado | 1.1.0 |
| Exigir que os prestadores de serviços externos cumpram os requisitos de segurança | CMA_C1586 - Exigir que os prestadores de serviços externos cumpram os requisitos de segurança | Manual, Desativado | 1.1.0 |
Provedores de serviços terceirizados (TPSPs) oferecem suporte à conformidade com PCI DSS de seus clientes
ID: PCI DSS v4.0 12.9.2 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Exigir que os prestadores de serviços externos cumpram os requisitos de segurança | CMA_C1586 - Exigir que os prestadores de serviços externos cumpram os requisitos de segurança | Manual, Desativado | 1.1.0 |
| Analisar a conformidade do provedor de serviços de nuvem com políticas e contratos | CMA_0469 - Analisar a conformidade do fornecedor de serviços na nuvem com políticas e acordos | Manual, Desativado | 1.1.0 |
| Passar por uma revisão de segurança independente | CMA_0515 - Passar por uma revisão de segurança independente | Manual, Desativado | 1.1.0 |
Requisito 02: Aplicar configurações seguras a todos os componentes do sistema
Os processos e mecanismos para aplicar configurações seguras a todos os componentes do sistema são definidos e compreendidos
ID: PCI DSS v4.0 2.1.1 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Revisar e atualizar políticas e procedimentos de gerenciamento de configuração | CMA_C1175 - Revisar e atualizar políticas e procedimentos de gerenciamento de configuração | Manual, Desativado | 1.1.0 |
Os componentes do sistema são configurados e gerenciados com segurança
ID: PCI DSS v4.0 2.2.1 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Configurar ações para dispositivos não compatíveis | CMA_0062 - Configurar ações para dispositivos não compatíveis | Manual, Desativado | 1.1.0 |
| Desenvolver e manter configurações de linha de base | CMA_0153 - Desenvolver e manter configurações de linha de base | Manual, Desativado | 1.1.0 |
| Impor definições de configuração de segurança | CMA_0249 - Impor definições de configuração de segurança | Manual, Desativado | 1.1.0 |
| Estabelecer uma placa de controle de configuração | CMA_0254 - Estabelecer uma placa de controle de configuração | Manual, Desativado | 1.1.0 |
| Estabelecer e documentar um plano de gerenciamento de configuração | CMA_0264 - Estabelecer e documentar um plano de gerenciamento de configuração | Manual, Desativado | 1.1.0 |
| Implementar uma ferramenta automatizada de gerenciamento de configuração | CMA_0311 - Implementar uma ferramenta automatizada de gerenciamento de configuração | Manual, Desativado | 1.1.0 |
Os componentes do sistema são configurados e gerenciados com segurança
ID: PCI DSS v4.0 2.2.2 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Gerenciar autenticadores | CMA_C1321 - Gerenciar autenticadores | Manual, Desativado | 1.1.0 |
Os componentes do sistema são configurados e gerenciados com segurança
ID: PCI DSS v4.0 2.2.5 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Impor definições de configuração de segurança | CMA_0249 - Impor definições de configuração de segurança | Manual, Desativado | 1.1.0 |
| Remediar falhas no sistema de informação | CMA_0427 - Remediar falhas no sistema de informação | Manual, Desativado | 1.1.0 |
Os componentes do sistema são configurados e gerenciados com segurança
ID: PCI DSS v4.0 2.2.7 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Implementar mecanismos criptográficos | CMA_C1419 - Implementar mecanismos criptográficos | Manual, Desativado | 1.1.0 |
Os ambientes sem fio são configurados e gerenciados com segurança
ID: PCI DSS v4.0 2.3.1 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Documentar e implementar diretrizes de acesso sem fio | CMA_0190 - Documentar e implementar diretrizes de acesso sem fio | Manual, Desativado | 1.1.0 |
| Identificar e autenticar dispositivos de rede | CMA_0296 - Identificar e autenticar dispositivos de rede | Manual, Desativado | 1.1.0 |
| Proteja o acesso sem fio | CMA_0411 - Proteja o acesso sem fio | Manual, Desativado | 1.1.0 |
Os ambientes sem fio são configurados e gerenciados com segurança
ID: PCI DSS v4.0 2.3.2 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Documentar e implementar diretrizes de acesso sem fio | CMA_0190 - Documentar e implementar diretrizes de acesso sem fio | Manual, Desativado | 1.1.0 |
| Identificar e autenticar dispositivos de rede | CMA_0296 - Identificar e autenticar dispositivos de rede | Manual, Desativado | 1.1.0 |
| Proteja o acesso sem fio | CMA_0411 - Proteja o acesso sem fio | Manual, Desativado | 1.1.0 |
Requisito 03: Proteger os dados armazenados da conta
Os processos e mecanismos para proteger os dados de contas armazenados são definidos e compreendidos
ID: PCI DSS v4.0 3.1.1 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Estabeleça um programa de privacidade | CMA_0257 - Estabelecer um programa de privacidade | Manual, Desativado | 1.1.0 |
| Rever e atualizar as políticas e procedimentos de proteção do sistema e das comunicações | CMA_C1616 - Rever e atualizar as políticas e procedimentos de proteção do sistema e das comunicações | Manual, Desativado | 1.1.0 |
| Atualizar plano, políticas e procedimentos de privacidade | CMA_C1807 - Atualizar planos, políticas e procedimentos de privacidade | Manual, Desativado | 1.1.0 |
O armazenamento dos dados da conta é reduzido ao mínimo
ID: PCI DSS v4.0 3.2.1 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Aderir aos períodos de retenção definidos | CMA_0004 - Respeitar os períodos de retenção definidos | Manual, Desativado | 1.1.0 |
| Controlar o acesso físico | CMA_0081 - Controle o acesso físico | Manual, Desativado | 1.1.0 |
| Documentar a base jurídica para o processamento de informações pessoais | CMA_0206 - Documentar a base jurídica para o processamento de informações pessoais | Manual, Desativado | 1.1.0 |
| Gerencie a entrada, saída, processamento e armazenamento de dados | CMA_0369 - Gerenciar a entrada, saída, processamento e armazenamento de dados | Manual, Desativado | 1.1.0 |
| Obter consentimento antes da recolha ou tratamento de dados pessoais | CMA_0385 - Obter consentimento prévio à recolha ou tratamento de dados pessoais | Manual, Desativado | 1.1.0 |
| Realizar revisão de disposição | CMA_0391 - Realizar revisão de disposição | Manual, Desativado | 1.1.0 |
| Revisar a atividade e a análise de rótulos | CMA_0474 - Revisar a atividade e a análise de rótulos | Manual, Desativado | 1.1.0 |
| Verificar se os dados pessoais são apagados no final do processamento | CMA_0540 - Verificar se os dados pessoais são apagados no final do tratamento | Manual, Desativado | 1.1.0 |
Dados de autenticação confidenciais (SAD) não são armazenados após a autorização
ID: PCI DSS v4.0 3.3.1 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Aderir aos períodos de retenção definidos | CMA_0004 - Respeitar os períodos de retenção definidos | Manual, Desativado | 1.1.0 |
| Documentar a base jurídica para o processamento de informações pessoais | CMA_0206 - Documentar a base jurídica para o processamento de informações pessoais | Manual, Desativado | 1.1.0 |
| Implementar métodos de entrega de aviso de privacidade | CMA_0324 - Implementar métodos de entrega de avisos de privacidade | Manual, Desativado | 1.1.0 |
| Obter consentimento antes da recolha ou tratamento de dados pessoais | CMA_0385 - Obter consentimento prévio à recolha ou tratamento de dados pessoais | Manual, Desativado | 1.1.0 |
| Realizar revisão de disposição | CMA_0391 - Realizar revisão de disposição | Manual, Desativado | 1.1.0 |
| Fornecer aviso de privacidade | CMA_0414 - Fornecer aviso de privacidade | Manual, Desativado | 1.1.0 |
| Restringir comunicações | CMA_0449 - Restringir comunicações | Manual, Desativado | 1.1.0 |
| Verificar se os dados pessoais são apagados no final do processamento | CMA_0540 - Verificar se os dados pessoais são apagados no final do tratamento | Manual, Desativado | 1.1.0 |
Dados de autenticação confidenciais (SAD) não são armazenados após a autorização
ID: PCI DSS v4.0 3.3.1.1 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Aderir aos períodos de retenção definidos | CMA_0004 - Respeitar os períodos de retenção definidos | Manual, Desativado | 1.1.0 |
| Documentar a base jurídica para o processamento de informações pessoais | CMA_0206 - Documentar a base jurídica para o processamento de informações pessoais | Manual, Desativado | 1.1.0 |
| Implementar métodos de entrega de aviso de privacidade | CMA_0324 - Implementar métodos de entrega de avisos de privacidade | Manual, Desativado | 1.1.0 |
| Obter consentimento antes da recolha ou tratamento de dados pessoais | CMA_0385 - Obter consentimento prévio à recolha ou tratamento de dados pessoais | Manual, Desativado | 1.1.0 |
| Realizar revisão de disposição | CMA_0391 - Realizar revisão de disposição | Manual, Desativado | 1.1.0 |
| Fornecer aviso de privacidade | CMA_0414 - Fornecer aviso de privacidade | Manual, Desativado | 1.1.0 |
| Restringir comunicações | CMA_0449 - Restringir comunicações | Manual, Desativado | 1.1.0 |
| Verificar se os dados pessoais são apagados no final do processamento | CMA_0540 - Verificar se os dados pessoais são apagados no final do tratamento | Manual, Desativado | 1.1.0 |
Dados de autenticação confidenciais (SAD) não são armazenados após a autorização
ID: PCI DSS v4.0 3.3.1.2 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Documentar a base jurídica para o processamento de informações pessoais | CMA_0206 - Documentar a base jurídica para o processamento de informações pessoais | Manual, Desativado | 1.1.0 |
| Implementar métodos de entrega de aviso de privacidade | CMA_0324 - Implementar métodos de entrega de avisos de privacidade | Manual, Desativado | 1.1.0 |
| Obter consentimento antes da recolha ou tratamento de dados pessoais | CMA_0385 - Obter consentimento prévio à recolha ou tratamento de dados pessoais | Manual, Desativado | 1.1.0 |
| Fornecer aviso de privacidade | CMA_0414 - Fornecer aviso de privacidade | Manual, Desativado | 1.1.0 |
| Restringir comunicações | CMA_0449 - Restringir comunicações | Manual, Desativado | 1.1.0 |
Dados de autenticação confidenciais (SAD) não são armazenados após a autorização
ID: PCI DSS v4.0 3.3.1.3 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Aderir aos períodos de retenção definidos | CMA_0004 - Respeitar os períodos de retenção definidos | Manual, Desativado | 1.1.0 |
| Documentar a base jurídica para o processamento de informações pessoais | CMA_0206 - Documentar a base jurídica para o processamento de informações pessoais | Manual, Desativado | 1.1.0 |
| Implementar métodos de entrega de aviso de privacidade | CMA_0324 - Implementar métodos de entrega de avisos de privacidade | Manual, Desativado | 1.1.0 |
| Obter consentimento antes da recolha ou tratamento de dados pessoais | CMA_0385 - Obter consentimento prévio à recolha ou tratamento de dados pessoais | Manual, Desativado | 1.1.0 |
| Realizar revisão de disposição | CMA_0391 - Realizar revisão de disposição | Manual, Desativado | 1.1.0 |
| Fornecer aviso de privacidade | CMA_0414 - Fornecer aviso de privacidade | Manual, Desativado | 1.1.0 |
| Restringir comunicações | CMA_0449 - Restringir comunicações | Manual, Desativado | 1.1.0 |
| Verificar se os dados pessoais são apagados no final do processamento | CMA_0540 - Verificar se os dados pessoais são apagados no final do tratamento | Manual, Desativado | 1.1.0 |
Dados de autenticação confidenciais (SAD) não são armazenados após a autorização
ID: PCI DSS v4.0 3.3.2 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Autenticar no módulo criptográfico | CMA_0021 - Autenticar no módulo criptográfico | Manual, Desativado | 1.1.0 |
Dados de autenticação confidenciais (SAD) não são armazenados após a autorização
ID: PCI DSS v4.0 3.3.3 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Contas com permissões de proprietário em recursos do Azure devem ser habilitadas para MFA | A autenticação multifator (MFA) deve ser habilitada para todas as contas de assinatura com permissões de proprietário para evitar uma violação de contas ou recursos. | AuditIfNotExists, desativado | 1.0.0 |
| Contas com permissões de gravação em recursos do Azure devem ser habilitadas para MFA | A autenticação multifator (MFA) deve ser habilitada para todas as contas de assinatura com privilégios de gravação para evitar uma violação de contas ou recursos. | AuditIfNotExists, desativado | 1.0.0 |
| Um administrador do Ative Directory do Azure deve ser provisionado para servidores SQL | Provisionamento de auditoria de um administrador do Azure Ative Directory para seu servidor SQL para habilitar a autenticação do Azure AD. A autenticação do Azure AD permite o gerenciamento simplificado de permissões e o gerenciamento centralizado de identidades de usuários de banco de dados e outros serviços da Microsoft | AuditIfNotExists, desativado | 1.0.0 |
| Auditar o uso de funções RBAC personalizadas | Audite funções internas, como 'Proprietário, Contribuinte, Leitor' em vez de funções RBAC personalizadas, que são propensas a erros. O uso de funções personalizadas é tratado como uma exceção e requer uma revisão rigorosa e modelagem de ameaças | Auditoria, Desativado | 1.0.1 |
| Autenticar no módulo criptográfico | CMA_0021 - Autenticar no módulo criptográfico | Manual, Desativado | 1.1.0 |
| Documentar a base jurídica para o processamento de informações pessoais | CMA_0206 - Documentar a base jurídica para o processamento de informações pessoais | Manual, Desativado | 1.1.0 |
| Contas de convidado com permissões de proprietário em recursos do Azure devem ser removidas | As contas externas com permissões de proprietário devem ser removidas da sua subscrição para evitar o acesso não monitorizado. | AuditIfNotExists, desativado | 1.0.0 |
| Contas de convidado com permissões de leitura em recursos do Azure devem ser removidas | As contas externas com privilégios de leitura devem ser removidas da sua subscrição para evitar o acesso não monitorizado. | AuditIfNotExists, desativado | 1.0.0 |
| Contas de convidado com permissões de gravação em recursos do Azure devem ser removidas | As contas externas com privilégios de escrita devem ser removidas da sua subscrição para evitar o acesso não monitorizado. | AuditIfNotExists, desativado | 1.0.0 |
| Implementar métodos de entrega de aviso de privacidade | CMA_0324 - Implementar métodos de entrega de avisos de privacidade | Manual, Desativado | 1.1.0 |
| Obter consentimento antes da recolha ou tratamento de dados pessoais | CMA_0385 - Obter consentimento prévio à recolha ou tratamento de dados pessoais | Manual, Desativado | 1.1.0 |
| Fornecer aviso de privacidade | CMA_0414 - Fornecer aviso de privacidade | Manual, Desativado | 1.1.0 |
| Restringir comunicações | CMA_0449 - Restringir comunicações | Manual, Desativado | 1.1.0 |
O acesso aos ecrãs do PAN completo e a capacidade de copiar os dados do titular do cartão são restritos
ID: PCI DSS v4.0 3.4.1 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Implementar métodos de entrega de aviso de privacidade | CMA_0324 - Implementar métodos de entrega de avisos de privacidade | Manual, Desativado | 1.1.0 |
| Fornecer aviso de privacidade | CMA_0414 - Fornecer aviso de privacidade | Manual, Desativado | 1.1.0 |
| Restringir comunicações | CMA_0449 - Restringir comunicações | Manual, Desativado | 1.1.0 |
O acesso aos ecrãs do PAN completo e a capacidade de copiar os dados do titular do cartão são restritos
ID: PCI DSS v4.0 3.4.2 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Implementar métodos de entrega de aviso de privacidade | CMA_0324 - Implementar métodos de entrega de avisos de privacidade | Manual, Desativado | 1.1.0 |
| Fornecer aviso de privacidade | CMA_0414 - Fornecer aviso de privacidade | Manual, Desativado | 1.1.0 |
| Restringir comunicações | CMA_0449 - Restringir comunicações | Manual, Desativado | 1.1.0 |
O número de conta principal (PAN) é protegido onde quer que esteja armazenado
ID: PCI DSS v4.0 3.5.1 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Os aplicativos do Serviço de Aplicativo só devem ser acessíveis por HTTPS | O uso de HTTPS garante a autenticação do servidor/serviço e protege os dados em trânsito contra ataques de espionagem da camada de rede. | Auditar, Desabilitar, Negar | 4.0.0 |
| As variáveis de conta de automação devem ser criptografadas | É importante habilitar a criptografia de ativos variáveis de conta de automação ao armazenar dados confidenciais | Auditoria, Negar, Desativado | 1.1.0 |
| Estabelecer um procedimento de gestão de fugas de dados | CMA_0255 - Estabelecer um procedimento de gestão de fugas de dados | Manual, Desativado | 1.1.0 |
| Os aplicativos de função só devem ser acessíveis por HTTPS | O uso de HTTPS garante a autenticação do servidor/serviço e protege os dados em trânsito contra ataques de espionagem da camada de rede. | Auditar, Desabilitar, Negar | 5.0.0 |
| Implementar controles para proteger todas as mídias | CMA_0314 - Implementar controles para proteger todas as mídias | Manual, Desativado | 1.1.0 |
| Somente conexões seguras com seu Cache Redis do Azure devem ser habilitadas | Ativação de auditoria apenas de conexões via SSL para o Cache do Azure para Redis. O uso de conexões seguras garante a autenticação entre o servidor e o serviço e protege os dados em trânsito contra ataques da camada de rede, como man-in-the-middle, escutas e sequestro de sessão | Auditoria, Negar, Desativado | 1.0.0 |
| Proteja os dados em trânsito usando criptografia | CMA_0403 - Proteja os dados em trânsito usando criptografia | Manual, Desativado | 1.1.0 |
| Proteja informações especiais | CMA_0409 - Proteja informações especiais | Manual, Desativado | 1.1.0 |
| A transferência segura para contas de armazenamento deve ser ativada | Requisito de auditoria de transferência segura em sua conta de armazenamento. A transferência segura é uma opção que força sua conta de armazenamento a aceitar solicitações somente de conexões seguras (HTTPS). O uso de HTTPS garante a autenticação entre o servidor e o serviço e protege os dados em trânsito contra ataques da camada de rede, como man-in-the-middle, escutas e sequestro de sessão | Auditoria, Negar, Desativado | 2.0.0 |
| Os clusters do Service Fabric devem ter a propriedade ClusterProtectionLevel definida como EncryptAndSign | O Service Fabric fornece três níveis de proteção (Nenhum, Assinar e EncryptAndSign) para comunicação nó a nó usando um certificado de cluster primário. Defina o nível de proteção para garantir que todas as mensagens nó a nó sejam criptografadas e assinadas digitalmente | Auditoria, Negar, Desativado | 1.1.0 |
| A criptografia de dados transparente em bancos de dados SQL deve ser habilitada | A criptografia de dados transparente deve ser habilitada para proteger os dados em repouso e atender aos requisitos de conformidade | AuditIfNotExists, desativado | 2.0.0 |
| As máquinas virtuais devem criptografar discos temporários, caches e fluxos de dados entre recursos de computação e armazenamento | Por padrão, o sistema operacional e os discos de dados de uma máquina virtual são criptografados em repouso usando chaves gerenciadas pela plataforma. Discos temporários, caches de dados e dados que fluem entre computação e armazenamento não são criptografados. Não tenha em conta esta recomendação se: 1. usando criptografia no host ou 2. A criptografia do lado do servidor em Managed Disks atende aos seus requisitos de segurança. Saiba mais em: Criptografia do lado do servidor do Armazenamento em Disco do Azure: https://aka.ms/disksse, Diferentes ofertas de criptografia de disco: https://aka.ms/diskencryptioncomparison | AuditIfNotExists, desativado | 2.0.3 |
O número de conta principal (PAN) é protegido onde quer que esteja armazenado
ID: PCI DSS v4.0 3.5.1.1 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Estabelecer um procedimento de gestão de fugas de dados | CMA_0255 - Estabelecer um procedimento de gestão de fugas de dados | Manual, Desativado | 1.1.0 |
| Implementar controles para proteger todas as mídias | CMA_0314 - Implementar controles para proteger todas as mídias | Manual, Desativado | 1.1.0 |
| Proteja os dados em trânsito usando criptografia | CMA_0403 - Proteja os dados em trânsito usando criptografia | Manual, Desativado | 1.1.0 |
| Proteja informações especiais | CMA_0409 - Proteja informações especiais | Manual, Desativado | 1.1.0 |
O número de conta principal (PAN) é protegido onde quer que esteja armazenado
ID: PCI DSS v4.0 3.5.1.2 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Estabelecer um procedimento de gestão de fugas de dados | CMA_0255 - Estabelecer um procedimento de gestão de fugas de dados | Manual, Desativado | 1.1.0 |
| Implementar controles para proteger todas as mídias | CMA_0314 - Implementar controles para proteger todas as mídias | Manual, Desativado | 1.1.0 |
| Proteja os dados em trânsito usando criptografia | CMA_0403 - Proteja os dados em trânsito usando criptografia | Manual, Desativado | 1.1.0 |
| Proteja informações especiais | CMA_0409 - Proteja informações especiais | Manual, Desativado | 1.1.0 |
O número de conta principal (PAN) é protegido onde quer que esteja armazenado
ID: PCI DSS v4.0 3.5.1.3 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Estabelecer um procedimento de gestão de fugas de dados | CMA_0255 - Estabelecer um procedimento de gestão de fugas de dados | Manual, Desativado | 1.1.0 |
| Implementar controles para proteger todas as mídias | CMA_0314 - Implementar controles para proteger todas as mídias | Manual, Desativado | 1.1.0 |
| Proteja os dados em trânsito usando criptografia | CMA_0403 - Proteja os dados em trânsito usando criptografia | Manual, Desativado | 1.1.0 |
| Proteja informações especiais | CMA_0409 - Proteja informações especiais | Manual, Desativado | 1.1.0 |
As chaves criptográficas usadas para proteger os dados armazenados da conta são protegidas
ID: PCI DSS v4.0 3.6.1 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Definir um processo de gerenciamento de chaves físicas | CMA_0115 - Definir um processo de gestão de chaves físicas | Manual, Desativado | 1.1.0 |
| Definir cryptographic use | CMA_0120 - Definir uso criptográfico | Manual, Desativado | 1.1.0 |
| Definir requisitos organizacionais para gerenciamento de chaves criptográficas | CMA_0123 - Definir requisitos organizacionais para o gerenciamento de chaves criptográficas | Manual, Desativado | 1.1.0 |
| Determinar requisitos de asserção | CMA_0136 - Determinar os requisitos de asserção | Manual, Desativado | 1.1.0 |
| Emitir certificados de chave pública | CMA_0347 - Emitir certificados de chave pública | Manual, Desativado | 1.1.0 |
| Gerenciar chaves criptográficas simétricas | CMA_0367 - Gerenciar chaves criptográficas simétricas | Manual, Desativado | 1.1.0 |
| Restringir o acesso a chaves privadas | CMA_0445 - Restringir o acesso a chaves privadas | Manual, Desativado | 1.1.0 |
As chaves criptográficas usadas para proteger os dados armazenados da conta são protegidas
ID: PCI DSS v4.0 3.6.1.1 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Definir um processo de gerenciamento de chaves físicas | CMA_0115 - Definir um processo de gestão de chaves físicas | Manual, Desativado | 1.1.0 |
| Definir cryptographic use | CMA_0120 - Definir uso criptográfico | Manual, Desativado | 1.1.0 |
| Definir requisitos organizacionais para gerenciamento de chaves criptográficas | CMA_0123 - Definir requisitos organizacionais para o gerenciamento de chaves criptográficas | Manual, Desativado | 1.1.0 |
| Determinar requisitos de asserção | CMA_0136 - Determinar os requisitos de asserção | Manual, Desativado | 1.1.0 |
| Emitir certificados de chave pública | CMA_0347 - Emitir certificados de chave pública | Manual, Desativado | 1.1.0 |
| Gerenciar chaves criptográficas simétricas | CMA_0367 - Gerenciar chaves criptográficas simétricas | Manual, Desativado | 1.1.0 |
| Restringir o acesso a chaves privadas | CMA_0445 - Restringir o acesso a chaves privadas | Manual, Desativado | 1.1.0 |
As chaves criptográficas usadas para proteger os dados armazenados da conta são protegidas
ID: PCI DSS v4.0 3.6.1.2 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Definir um processo de gerenciamento de chaves físicas | CMA_0115 - Definir um processo de gestão de chaves físicas | Manual, Desativado | 1.1.0 |
| Definir cryptographic use | CMA_0120 - Definir uso criptográfico | Manual, Desativado | 1.1.0 |
| Definir requisitos organizacionais para gerenciamento de chaves criptográficas | CMA_0123 - Definir requisitos organizacionais para o gerenciamento de chaves criptográficas | Manual, Desativado | 1.1.0 |
| Determinar requisitos de asserção | CMA_0136 - Determinar os requisitos de asserção | Manual, Desativado | 1.1.0 |
| Emitir certificados de chave pública | CMA_0347 - Emitir certificados de chave pública | Manual, Desativado | 1.1.0 |
| Gerenciar chaves criptográficas simétricas | CMA_0367 - Gerenciar chaves criptográficas simétricas | Manual, Desativado | 1.1.0 |
| Produzir, controlar e distribuir chaves criptográficas simétricas | CMA_C1645 - Produzir, controlar e distribuir chaves criptográficas simétricas | Manual, Desativado | 1.1.0 |
| Restringir o acesso a chaves privadas | CMA_0445 - Restringir o acesso a chaves privadas | Manual, Desativado | 1.1.0 |
As chaves criptográficas usadas para proteger os dados armazenados da conta são protegidas
ID: PCI DSS v4.0 3.6.1.3 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Definir um processo de gerenciamento de chaves físicas | CMA_0115 - Definir um processo de gestão de chaves físicas | Manual, Desativado | 1.1.0 |
| Definir cryptographic use | CMA_0120 - Definir uso criptográfico | Manual, Desativado | 1.1.0 |
| Definir requisitos organizacionais para gerenciamento de chaves criptográficas | CMA_0123 - Definir requisitos organizacionais para o gerenciamento de chaves criptográficas | Manual, Desativado | 1.1.0 |
| Determinar requisitos de asserção | CMA_0136 - Determinar os requisitos de asserção | Manual, Desativado | 1.1.0 |
| Emitir certificados de chave pública | CMA_0347 - Emitir certificados de chave pública | Manual, Desativado | 1.1.0 |
| Gerenciar chaves criptográficas simétricas | CMA_0367 - Gerenciar chaves criptográficas simétricas | Manual, Desativado | 1.1.0 |
| Restringir o acesso a chaves privadas | CMA_0445 - Restringir o acesso a chaves privadas | Manual, Desativado | 1.1.0 |
As chaves criptográficas usadas para proteger os dados armazenados da conta são protegidas
ID: PCI DSS v4.0 3.6.1.4 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Definir um processo de gerenciamento de chaves físicas | CMA_0115 - Definir um processo de gestão de chaves físicas | Manual, Desativado | 1.1.0 |
| Definir cryptographic use | CMA_0120 - Definir uso criptográfico | Manual, Desativado | 1.1.0 |
| Definir requisitos organizacionais para gerenciamento de chaves criptográficas | CMA_0123 - Definir requisitos organizacionais para o gerenciamento de chaves criptográficas | Manual, Desativado | 1.1.0 |
| Determinar requisitos de asserção | CMA_0136 - Determinar os requisitos de asserção | Manual, Desativado | 1.1.0 |
| Emitir certificados de chave pública | CMA_0347 - Emitir certificados de chave pública | Manual, Desativado | 1.1.0 |
| Gerenciar chaves criptográficas simétricas | CMA_0367 - Gerenciar chaves criptográficas simétricas | Manual, Desativado | 1.1.0 |
| Restringir o acesso a chaves privadas | CMA_0445 - Restringir o acesso a chaves privadas | Manual, Desativado | 1.1.0 |
Quando a criptografia é usada para proteger os dados da conta armazenada, os processos e procedimentos de gerenciamento de chaves que abrangem todos os aspetos do ciclo de vida da chave são definidos e implementados
ID: PCI DSS v4.0 3.7.1 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Definir um processo de gerenciamento de chaves físicas | CMA_0115 - Definir um processo de gestão de chaves físicas | Manual, Desativado | 1.1.0 |
| Definir cryptographic use | CMA_0120 - Definir uso criptográfico | Manual, Desativado | 1.1.0 |
| Definir requisitos organizacionais para gerenciamento de chaves criptográficas | CMA_0123 - Definir requisitos organizacionais para o gerenciamento de chaves criptográficas | Manual, Desativado | 1.1.0 |
| Determinar requisitos de asserção | CMA_0136 - Determinar os requisitos de asserção | Manual, Desativado | 1.1.0 |
| Emitir certificados de chave pública | CMA_0347 - Emitir certificados de chave pública | Manual, Desativado | 1.1.0 |
| Gerenciar chaves criptográficas simétricas | CMA_0367 - Gerenciar chaves criptográficas simétricas | Manual, Desativado | 1.1.0 |
| Restringir o acesso a chaves privadas | CMA_0445 - Restringir o acesso a chaves privadas | Manual, Desativado | 1.1.0 |
Quando a criptografia é usada para proteger os dados da conta armazenada, os processos e procedimentos de gerenciamento de chaves que abrangem todos os aspetos do ciclo de vida da chave são definidos e implementados
ID: PCI DSS v4.0 3.7.2 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Definir um processo de gerenciamento de chaves físicas | CMA_0115 - Definir um processo de gestão de chaves físicas | Manual, Desativado | 1.1.0 |
| Definir cryptographic use | CMA_0120 - Definir uso criptográfico | Manual, Desativado | 1.1.0 |
| Definir requisitos organizacionais para gerenciamento de chaves criptográficas | CMA_0123 - Definir requisitos organizacionais para o gerenciamento de chaves criptográficas | Manual, Desativado | 1.1.0 |
| Determinar requisitos de asserção | CMA_0136 - Determinar os requisitos de asserção | Manual, Desativado | 1.1.0 |
| Emitir certificados de chave pública | CMA_0347 - Emitir certificados de chave pública | Manual, Desativado | 1.1.0 |
| Gerenciar chaves criptográficas simétricas | CMA_0367 - Gerenciar chaves criptográficas simétricas | Manual, Desativado | 1.1.0 |
| Produzir, controlar e distribuir chaves criptográficas simétricas | CMA_C1645 - Produzir, controlar e distribuir chaves criptográficas simétricas | Manual, Desativado | 1.1.0 |
| Restringir o acesso a chaves privadas | CMA_0445 - Restringir o acesso a chaves privadas | Manual, Desativado | 1.1.0 |
Quando a criptografia é usada para proteger os dados da conta armazenada, os processos e procedimentos de gerenciamento de chaves que abrangem todos os aspetos do ciclo de vida da chave são definidos e implementados
ID: PCI DSS v4.0 3.7.3 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Definir um processo de gerenciamento de chaves físicas | CMA_0115 - Definir um processo de gestão de chaves físicas | Manual, Desativado | 1.1.0 |
| Definir cryptographic use | CMA_0120 - Definir uso criptográfico | Manual, Desativado | 1.1.0 |
| Definir requisitos organizacionais para gerenciamento de chaves criptográficas | CMA_0123 - Definir requisitos organizacionais para o gerenciamento de chaves criptográficas | Manual, Desativado | 1.1.0 |
| Determinar requisitos de asserção | CMA_0136 - Determinar os requisitos de asserção | Manual, Desativado | 1.1.0 |
| Emitir certificados de chave pública | CMA_0347 - Emitir certificados de chave pública | Manual, Desativado | 1.1.0 |
| Manter a disponibilidade das informações | CMA_C1644 - Manter a disponibilidade da informação | Manual, Desativado | 1.1.0 |
| Gerenciar chaves criptográficas simétricas | CMA_0367 - Gerenciar chaves criptográficas simétricas | Manual, Desativado | 1.1.0 |
| Produzir, controlar e distribuir chaves criptográficas simétricas | CMA_C1645 - Produzir, controlar e distribuir chaves criptográficas simétricas | Manual, Desativado | 1.1.0 |
| Restringir o acesso a chaves privadas | CMA_0445 - Restringir o acesso a chaves privadas | Manual, Desativado | 1.1.0 |
Quando a criptografia é usada para proteger os dados da conta armazenada, os processos e procedimentos de gerenciamento de chaves que abrangem todos os aspetos do ciclo de vida da chave são definidos e implementados
ID: PCI DSS v4.0 3.7.4 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Definir um processo de gerenciamento de chaves físicas | CMA_0115 - Definir um processo de gestão de chaves físicas | Manual, Desativado | 1.1.0 |
| Definir cryptographic use | CMA_0120 - Definir uso criptográfico | Manual, Desativado | 1.1.0 |
| Definir requisitos organizacionais para gerenciamento de chaves criptográficas | CMA_0123 - Definir requisitos organizacionais para o gerenciamento de chaves criptográficas | Manual, Desativado | 1.1.0 |
| Determinar requisitos de asserção | CMA_0136 - Determinar os requisitos de asserção | Manual, Desativado | 1.1.0 |
| Emitir certificados de chave pública | CMA_0347 - Emitir certificados de chave pública | Manual, Desativado | 1.1.0 |
| Gerenciar chaves criptográficas simétricas | CMA_0367 - Gerenciar chaves criptográficas simétricas | Manual, Desativado | 1.1.0 |
| Restringir o acesso a chaves privadas | CMA_0445 - Restringir o acesso a chaves privadas | Manual, Desativado | 1.1.0 |
Quando a criptografia é usada para proteger os dados da conta armazenada, os processos e procedimentos de gerenciamento de chaves que abrangem todos os aspetos do ciclo de vida da chave são definidos e implementados
ID: PCI DSS v4.0 3.7.5 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Definir um processo de gerenciamento de chaves físicas | CMA_0115 - Definir um processo de gestão de chaves físicas | Manual, Desativado | 1.1.0 |
| Definir cryptographic use | CMA_0120 - Definir uso criptográfico | Manual, Desativado | 1.1.0 |
| Definir requisitos organizacionais para gerenciamento de chaves criptográficas | CMA_0123 - Definir requisitos organizacionais para o gerenciamento de chaves criptográficas | Manual, Desativado | 1.1.0 |
| Determinar requisitos de asserção | CMA_0136 - Determinar os requisitos de asserção | Manual, Desativado | 1.1.0 |
| Emitir certificados de chave pública | CMA_0347 - Emitir certificados de chave pública | Manual, Desativado | 1.1.0 |
| Gerenciar chaves criptográficas simétricas | CMA_0367 - Gerenciar chaves criptográficas simétricas | Manual, Desativado | 1.1.0 |
| Restringir o acesso a chaves privadas | CMA_0445 - Restringir o acesso a chaves privadas | Manual, Desativado | 1.1.0 |
Quando a criptografia é usada para proteger os dados da conta armazenada, os processos e procedimentos de gerenciamento de chaves que abrangem todos os aspetos do ciclo de vida da chave são definidos e implementados
ID: PCI DSS v4.0 3.7.6 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Definir um processo de gerenciamento de chaves físicas | CMA_0115 - Definir um processo de gestão de chaves físicas | Manual, Desativado | 1.1.0 |
| Definir cryptographic use | CMA_0120 - Definir uso criptográfico | Manual, Desativado | 1.1.0 |
| Definir requisitos organizacionais para gerenciamento de chaves criptográficas | CMA_0123 - Definir requisitos organizacionais para o gerenciamento de chaves criptográficas | Manual, Desativado | 1.1.0 |
| Determinar requisitos de asserção | CMA_0136 - Determinar os requisitos de asserção | Manual, Desativado | 1.1.0 |
| Emitir certificados de chave pública | CMA_0347 - Emitir certificados de chave pública | Manual, Desativado | 1.1.0 |
| Gerenciar chaves criptográficas simétricas | CMA_0367 - Gerenciar chaves criptográficas simétricas | Manual, Desativado | 1.1.0 |
| Restringir o acesso a chaves privadas | CMA_0445 - Restringir o acesso a chaves privadas | Manual, Desativado | 1.1.0 |
Quando a criptografia é usada para proteger os dados da conta armazenada, os processos e procedimentos de gerenciamento de chaves que abrangem todos os aspetos do ciclo de vida da chave são definidos e implementados
ID: PCI DSS v4.0 3.7.7 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Definir um processo de gerenciamento de chaves físicas | CMA_0115 - Definir um processo de gestão de chaves físicas | Manual, Desativado | 1.1.0 |
| Definir cryptographic use | CMA_0120 - Definir uso criptográfico | Manual, Desativado | 1.1.0 |
| Definir requisitos organizacionais para gerenciamento de chaves criptográficas | CMA_0123 - Definir requisitos organizacionais para o gerenciamento de chaves criptográficas | Manual, Desativado | 1.1.0 |
| Determinar requisitos de asserção | CMA_0136 - Determinar os requisitos de asserção | Manual, Desativado | 1.1.0 |
| Emitir certificados de chave pública | CMA_0347 - Emitir certificados de chave pública | Manual, Desativado | 1.1.0 |
| Gerenciar chaves criptográficas simétricas | CMA_0367 - Gerenciar chaves criptográficas simétricas | Manual, Desativado | 1.1.0 |
| Restringir o acesso a chaves privadas | CMA_0445 - Restringir o acesso a chaves privadas | Manual, Desativado | 1.1.0 |
Quando a criptografia é usada para proteger os dados da conta armazenada, os processos e procedimentos de gerenciamento de chaves que abrangem todos os aspetos do ciclo de vida da chave são definidos e implementados
ID: PCI DSS v4.0 3.7.8 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Definir um processo de gerenciamento de chaves físicas | CMA_0115 - Definir um processo de gestão de chaves físicas | Manual, Desativado | 1.1.0 |
| Definir cryptographic use | CMA_0120 - Definir uso criptográfico | Manual, Desativado | 1.1.0 |
| Definir requisitos organizacionais para gerenciamento de chaves criptográficas | CMA_0123 - Definir requisitos organizacionais para o gerenciamento de chaves criptográficas | Manual, Desativado | 1.1.0 |
| Determinar requisitos de asserção | CMA_0136 - Determinar os requisitos de asserção | Manual, Desativado | 1.1.0 |
| Emitir certificados de chave pública | CMA_0347 - Emitir certificados de chave pública | Manual, Desativado | 1.1.0 |
| Gerenciar chaves criptográficas simétricas | CMA_0367 - Gerenciar chaves criptográficas simétricas | Manual, Desativado | 1.1.0 |
| Restringir o acesso a chaves privadas | CMA_0445 - Restringir o acesso a chaves privadas | Manual, Desativado | 1.1.0 |
Quando a criptografia é usada para proteger os dados da conta armazenada, os processos e procedimentos de gerenciamento de chaves que abrangem todos os aspetos do ciclo de vida da chave são definidos e implementados
ID: PCI DSS v4.0 3.7.9 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Definir um processo de gerenciamento de chaves físicas | CMA_0115 - Definir um processo de gestão de chaves físicas | Manual, Desativado | 1.1.0 |
| Definir cryptographic use | CMA_0120 - Definir uso criptográfico | Manual, Desativado | 1.1.0 |
| Definir requisitos organizacionais para gerenciamento de chaves criptográficas | CMA_0123 - Definir requisitos organizacionais para o gerenciamento de chaves criptográficas | Manual, Desativado | 1.1.0 |
| Determinar requisitos de asserção | CMA_0136 - Determinar os requisitos de asserção | Manual, Desativado | 1.1.0 |
| Emitir certificados de chave pública | CMA_0347 - Emitir certificados de chave pública | Manual, Desativado | 1.1.0 |
| Gerenciar chaves criptográficas simétricas | CMA_0367 - Gerenciar chaves criptográficas simétricas | Manual, Desativado | 1.1.0 |
| Restringir o acesso a chaves privadas | CMA_0445 - Restringir o acesso a chaves privadas | Manual, Desativado | 1.1.0 |
Requisito 04: Proteja os dados do titular do cartão com criptografia forte durante a transmissão em redes públicas abertas
São definidos e documentados processos e mecanismos para proteger os dados do titular do cartão com forte criptografia durante a transmissão através de redes abertas e públicas
ID: PCI DSS v4.0 4.1.1 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Rever e atualizar as políticas e procedimentos de proteção do sistema e das comunicações | CMA_C1616 - Rever e atualizar as políticas e procedimentos de proteção do sistema e das comunicações | Manual, Desativado | 1.1.0 |
O PAN é protegido com criptografia forte durante a transmissão
ID: PCI DSS v4.0 4.2.1 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Configurar estações de trabalho para verificar certificados digitais | CMA_0073 - Configurar estações de trabalho para verificar certificados digitais | Manual, Desativado | 1.1.0 |
| Definir um processo de gerenciamento de chaves físicas | CMA_0115 - Definir um processo de gestão de chaves físicas | Manual, Desativado | 1.1.0 |
| Definir cryptographic use | CMA_0120 - Definir uso criptográfico | Manual, Desativado | 1.1.0 |
| Definir requisitos organizacionais para gerenciamento de chaves criptográficas | CMA_0123 - Definir requisitos organizacionais para o gerenciamento de chaves criptográficas | Manual, Desativado | 1.1.0 |
| Determinar requisitos de asserção | CMA_0136 - Determinar os requisitos de asserção | Manual, Desativado | 1.1.0 |
| Emitir certificados de chave pública | CMA_0347 - Emitir certificados de chave pública | Manual, Desativado | 1.1.0 |
| Gerenciar chaves criptográficas simétricas | CMA_0367 - Gerenciar chaves criptográficas simétricas | Manual, Desativado | 1.1.0 |
| Produzir, controlar e distribuir chaves criptográficas assimétricas | CMA_C1646 - Produzir, controlar e distribuir chaves criptográficas assimétricas | Manual, Desativado | 1.1.0 |
| Produzir, controlar e distribuir chaves criptográficas simétricas | CMA_C1645 - Produzir, controlar e distribuir chaves criptográficas simétricas | Manual, Desativado | 1.1.0 |
| Proteja os dados em trânsito usando criptografia | CMA_0403 - Proteja os dados em trânsito usando criptografia | Manual, Desativado | 1.1.0 |
| Proteja senhas com criptografia | CMA_0408 - Proteja senhas com criptografia | Manual, Desativado | 1.1.0 |
| Restringir o acesso a chaves privadas | CMA_0445 - Restringir o acesso a chaves privadas | Manual, Desativado | 1.1.0 |
O PAN é protegido com criptografia forte durante a transmissão
ID: PCI DSS v4.0 4.2.1.1 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Definir um processo de gerenciamento de chaves físicas | CMA_0115 - Definir um processo de gestão de chaves físicas | Manual, Desativado | 1.1.0 |
| Definir cryptographic use | CMA_0120 - Definir uso criptográfico | Manual, Desativado | 1.1.0 |
| Definir requisitos organizacionais para gerenciamento de chaves criptográficas | CMA_0123 - Definir requisitos organizacionais para o gerenciamento de chaves criptográficas | Manual, Desativado | 1.1.0 |
| Determinar requisitos de asserção | CMA_0136 - Determinar os requisitos de asserção | Manual, Desativado | 1.1.0 |
| Emitir certificados de chave pública | CMA_0347 - Emitir certificados de chave pública | Manual, Desativado | 1.1.0 |
| Manter a disponibilidade das informações | CMA_C1644 - Manter a disponibilidade da informação | Manual, Desativado | 1.1.0 |
| Gerenciar chaves criptográficas simétricas | CMA_0367 - Gerenciar chaves criptográficas simétricas | Manual, Desativado | 1.1.0 |
| Restringir o acesso a chaves privadas | CMA_0445 - Restringir o acesso a chaves privadas | Manual, Desativado | 1.1.0 |
O PAN é protegido com criptografia forte durante a transmissão
ID: PCI DSS v4.0 4.2.1.2 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Documentar e implementar diretrizes de acesso sem fio | CMA_0190 - Documentar e implementar diretrizes de acesso sem fio | Manual, Desativado | 1.1.0 |
| Identificar e autenticar dispositivos de rede | CMA_0296 - Identificar e autenticar dispositivos de rede | Manual, Desativado | 1.1.0 |
| Proteja o acesso sem fio | CMA_0411 - Proteja o acesso sem fio | Manual, Desativado | 1.1.0 |
O PAN é protegido com criptografia forte durante a transmissão
ID: PCI DSS v4.0 4.2.2 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Configurar estações de trabalho para verificar certificados digitais | CMA_0073 - Configurar estações de trabalho para verificar certificados digitais | Manual, Desativado | 1.1.0 |
| Proteja os dados em trânsito usando criptografia | CMA_0403 - Proteja os dados em trânsito usando criptografia | Manual, Desativado | 1.1.0 |
| Proteja senhas com criptografia | CMA_0408 - Proteja senhas com criptografia | Manual, Desativado | 1.1.0 |
Requisito 05: Proteger todos os sistemas e redes contra software mal-intencionado
Os processos e mecanismos para proteger todos os sistemas e redes de software malicioso são definidos e compreendidos
ID: PCI DSS v4.0 5.1.1 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Revisar e atualizar políticas e procedimentos de integridade das informações | CMA_C1667 - Revisar e atualizar políticas e procedimentos de integridade da informação | Manual, Desativado | 1.1.0 |
O software mal-intencionado (malware) é prevenido ou detetado e abordado
ID: PCI DSS v4.0 5.2.1 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Uma solução de avaliação de vulnerabilidade deve ser habilitada em suas máquinas virtuais | Audita máquinas virtuais para detetar se elas estão executando uma solução de avaliação de vulnerabilidade suportada. Um componente central de cada programa de segurança e risco cibernético é a identificação e análise de vulnerabilidades. O nível de preços padrão da Central de Segurança do Azure inclui a verificação de vulnerabilidades para suas máquinas virtuais sem custo extra. Além disso, a Central de Segurança pode implantar automaticamente essa ferramenta para você. | AuditIfNotExists, desativado | 3.0.0 |
| Bloqueie processos não confiáveis e não assinados que são executados a partir de USB | CMA_0050 - Bloqueie processos não confiáveis e não assinados que são executados a partir de USB | Manual, Desativado | 1.1.0 |
| Gerenciar gateways | CMA_0363 - Gerenciar gateways | Manual, Desativado | 1.1.0 |
| Monitorar o Endpoint Protection ausente na Central de Segurança do Azure | Os servidores sem um agente do Endpoint Protection instalado serão monitorados pela Central de Segurança do Azure como recomendações | AuditIfNotExists, desativado | 3.0.0 |
| Realizar uma análise de tendência sobre ameaças | CMA_0389 - Realizar uma análise de tendência sobre ameaças | Manual, Desativado | 1.1.0 |
| Executar verificações de vulnerabilidade | CMA_0393 - Executar verificações de vulnerabilidade | Manual, Desativado | 1.1.0 |
| Revise o relatório de deteções de malware semanalmente | CMA_0475 - Revise o relatório de deteções de malware semanalmente | Manual, Desativado | 1.1.0 |
| Revise o status de proteção contra ameaças semanalmente | CMA_0479 - Revise o status de proteção contra ameaças semanalmente | Manual, Desativado | 1.1.0 |
| Os bancos de dados SQL devem ter as descobertas de vulnerabilidade resolvidas | Monitore a avaliação de vulnerabilidades, os resultados da verificação e as recomendações sobre como corrigir vulnerabilidades do banco de dados. | AuditIfNotExists, desativado | 4.1.0 |
| As atualizações do sistema devem ser instaladas em suas máquinas | As atualizações de sistema de segurança ausentes em seus servidores serão monitoradas pela Central de Segurança do Azure como recomendações | AuditIfNotExists, desativado | 4.0.0 |
| Atualizar definições de antivírus | CMA_0517 - Atualizar definições de antivírus | Manual, Desativado | 1.1.0 |
| As vulnerabilidades na configuração de segurança em suas máquinas devem ser corrigidas | Os servidores que não satisfizerem a linha de base configurada serão monitorados pela Central de Segurança do Azure como recomendações | AuditIfNotExists, desativado | 3.1.0 |
O software mal-intencionado (malware) é prevenido ou detetado e abordado
ID: PCI DSS v4.0 5.2.2 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Uma solução de avaliação de vulnerabilidade deve ser habilitada em suas máquinas virtuais | Audita máquinas virtuais para detetar se elas estão executando uma solução de avaliação de vulnerabilidade suportada. Um componente central de cada programa de segurança e risco cibernético é a identificação e análise de vulnerabilidades. O nível de preços padrão da Central de Segurança do Azure inclui a verificação de vulnerabilidades para suas máquinas virtuais sem custo extra. Além disso, a Central de Segurança pode implantar automaticamente essa ferramenta para você. | AuditIfNotExists, desativado | 3.0.0 |
| Bloqueie processos não confiáveis e não assinados que são executados a partir de USB | CMA_0050 - Bloqueie processos não confiáveis e não assinados que são executados a partir de USB | Manual, Desativado | 1.1.0 |
| Gerenciar gateways | CMA_0363 - Gerenciar gateways | Manual, Desativado | 1.1.0 |
| Monitorar o Endpoint Protection ausente na Central de Segurança do Azure | Os servidores sem um agente do Endpoint Protection instalado serão monitorados pela Central de Segurança do Azure como recomendações | AuditIfNotExists, desativado | 3.0.0 |
| Realizar uma análise de tendência sobre ameaças | CMA_0389 - Realizar uma análise de tendência sobre ameaças | Manual, Desativado | 1.1.0 |
| Executar verificações de vulnerabilidade | CMA_0393 - Executar verificações de vulnerabilidade | Manual, Desativado | 1.1.0 |
| Revise o relatório de deteções de malware semanalmente | CMA_0475 - Revise o relatório de deteções de malware semanalmente | Manual, Desativado | 1.1.0 |
| Revise o status de proteção contra ameaças semanalmente | CMA_0479 - Revise o status de proteção contra ameaças semanalmente | Manual, Desativado | 1.1.0 |
| Os bancos de dados SQL devem ter as descobertas de vulnerabilidade resolvidas | Monitore a avaliação de vulnerabilidades, os resultados da verificação e as recomendações sobre como corrigir vulnerabilidades do banco de dados. | AuditIfNotExists, desativado | 4.1.0 |
| As atualizações do sistema devem ser instaladas em suas máquinas | As atualizações de sistema de segurança ausentes em seus servidores serão monitoradas pela Central de Segurança do Azure como recomendações | AuditIfNotExists, desativado | 4.0.0 |
| Atualizar definições de antivírus | CMA_0517 - Atualizar definições de antivírus | Manual, Desativado | 1.1.0 |
| As vulnerabilidades na configuração de segurança em suas máquinas devem ser corrigidas | Os servidores que não satisfizerem a linha de base configurada serão monitorados pela Central de Segurança do Azure como recomendações | AuditIfNotExists, desativado | 3.1.0 |
O software mal-intencionado (malware) é prevenido ou detetado e abordado
ID: PCI DSS v4.0 5.2.3 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Uma solução de avaliação de vulnerabilidade deve ser habilitada em suas máquinas virtuais | Audita máquinas virtuais para detetar se elas estão executando uma solução de avaliação de vulnerabilidade suportada. Um componente central de cada programa de segurança e risco cibernético é a identificação e análise de vulnerabilidades. O nível de preços padrão da Central de Segurança do Azure inclui a verificação de vulnerabilidades para suas máquinas virtuais sem custo extra. Além disso, a Central de Segurança pode implantar automaticamente essa ferramenta para você. | AuditIfNotExists, desativado | 3.0.0 |
| Bloqueie processos não confiáveis e não assinados que são executados a partir de USB | CMA_0050 - Bloqueie processos não confiáveis e não assinados que são executados a partir de USB | Manual, Desativado | 1.1.0 |
| Gerenciar gateways | CMA_0363 - Gerenciar gateways | Manual, Desativado | 1.1.0 |
| Monitorar o Endpoint Protection ausente na Central de Segurança do Azure | Os servidores sem um agente do Endpoint Protection instalado serão monitorados pela Central de Segurança do Azure como recomendações | AuditIfNotExists, desativado | 3.0.0 |
| Realizar uma análise de tendência sobre ameaças | CMA_0389 - Realizar uma análise de tendência sobre ameaças | Manual, Desativado | 1.1.0 |
| Executar verificações de vulnerabilidade | CMA_0393 - Executar verificações de vulnerabilidade | Manual, Desativado | 1.1.0 |
| Revise o relatório de deteções de malware semanalmente | CMA_0475 - Revise o relatório de deteções de malware semanalmente | Manual, Desativado | 1.1.0 |
| Revise o status de proteção contra ameaças semanalmente | CMA_0479 - Revise o status de proteção contra ameaças semanalmente | Manual, Desativado | 1.1.0 |
| Os bancos de dados SQL devem ter as descobertas de vulnerabilidade resolvidas | Monitore a avaliação de vulnerabilidades, os resultados da verificação e as recomendações sobre como corrigir vulnerabilidades do banco de dados. | AuditIfNotExists, desativado | 4.1.0 |
| As atualizações do sistema devem ser instaladas em suas máquinas | As atualizações de sistema de segurança ausentes em seus servidores serão monitoradas pela Central de Segurança do Azure como recomendações | AuditIfNotExists, desativado | 4.0.0 |
| Atualizar definições de antivírus | CMA_0517 - Atualizar definições de antivírus | Manual, Desativado | 1.1.0 |
| As vulnerabilidades na configuração de segurança em suas máquinas devem ser corrigidas | Os servidores que não satisfizerem a linha de base configurada serão monitorados pela Central de Segurança do Azure como recomendações | AuditIfNotExists, desativado | 3.1.0 |
O software mal-intencionado (malware) é prevenido ou detetado e abordado
ID: PCI DSS v4.0 5.2.3.1 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Realizar Avaliação de Risco | CMA_C1543 - Realizar Avaliação de Risco | Manual, Desativado | 1.1.0 |
| Realizar avaliações de risco e documentar seus resultados | CMA_C1542 - Realizar a avaliação de riscos e documentar os seus resultados | Manual, Desativado | 1.1.0 |
| Realizar uma avaliação de risco | CMA_0388 - Realizar uma avaliação de risco | Manual, Desativado | 1.1.0 |
Os mecanismos e processos antimalware são ativos, mantidos e monitorados
ID: PCI DSS v4.0 5.3.1 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Bloqueie processos não confiáveis e não assinados que são executados a partir de USB | CMA_0050 - Bloqueie processos não confiáveis e não assinados que são executados a partir de USB | Manual, Desativado | 1.1.0 |
| Gerenciar gateways | CMA_0363 - Gerenciar gateways | Manual, Desativado | 1.1.0 |
| Realizar uma análise de tendência sobre ameaças | CMA_0389 - Realizar uma análise de tendência sobre ameaças | Manual, Desativado | 1.1.0 |
| Executar verificações de vulnerabilidade | CMA_0393 - Executar verificações de vulnerabilidade | Manual, Desativado | 1.1.0 |
| Revise o relatório de deteções de malware semanalmente | CMA_0475 - Revise o relatório de deteções de malware semanalmente | Manual, Desativado | 1.1.0 |
| Atualizar definições de antivírus | CMA_0517 - Atualizar definições de antivírus | Manual, Desativado | 1.1.0 |
Os mecanismos e processos antimalware são ativos, mantidos e monitorados
ID: PCI DSS v4.0 5.3.3 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Bloqueie processos não confiáveis e não assinados que são executados a partir de USB | CMA_0050 - Bloqueie processos não confiáveis e não assinados que são executados a partir de USB | Manual, Desativado | 1.1.0 |
| Gerenciar gateways | CMA_0363 - Gerenciar gateways | Manual, Desativado | 1.1.0 |
| Realizar uma análise de tendência sobre ameaças | CMA_0389 - Realizar uma análise de tendência sobre ameaças | Manual, Desativado | 1.1.0 |
| Executar verificações de vulnerabilidade | CMA_0393 - Executar verificações de vulnerabilidade | Manual, Desativado | 1.1.0 |
| Revise o relatório de deteções de malware semanalmente | CMA_0475 - Revise o relatório de deteções de malware semanalmente | Manual, Desativado | 1.1.0 |
| Revise o status de proteção contra ameaças semanalmente | CMA_0479 - Revise o status de proteção contra ameaças semanalmente | Manual, Desativado | 1.1.0 |
| Atualizar definições de antivírus | CMA_0517 - Atualizar definições de antivírus | Manual, Desativado | 1.1.0 |
Os mecanismos e processos antimalware são ativos, mantidos e monitorados
ID: PCI DSS v4.0 5.3.4 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Aderir aos períodos de retenção definidos | CMA_0004 - Respeitar os períodos de retenção definidos | Manual, Desativado | 1.1.0 |
| Determinar eventos auditáveis | CMA_0137 - Determinar eventos auditáveis | Manual, Desativado | 1.1.0 |
| Manter políticas e procedimentos de segurança | CMA_0454 - Reter políticas e procedimentos de segurança | Manual, Desativado | 1.1.0 |
| Reter dados de usuários encerrados | CMA_0455 - Reter dados de usuários encerrados | Manual, Desativado | 1.1.0 |
Os mecanismos e processos antimalware são ativos, mantidos e monitorados
ID: PCI DSS v4.0 5.3.5 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Realizar uma análise de impacto na segurança | CMA_0057 - Realizar uma análise de impacto na segurança | Manual, Desativado | 1.1.0 |
| Desenvolver e manter um padrão de gerenciamento de vulnerabilidades | CMA_0152 - Desenvolver e manter um padrão de gerenciamento de vulnerabilidades | Manual, Desativado | 1.1.0 |
| Estabelecer uma estratégia de gestão de riscos | CMA_0258 - Estabelecer uma estratégia de gestão de riscos | Manual, Desativado | 1.1.0 |
| Estabelecer e documentar processos de controle de alterações | CMA_0265 - Estabelecer e documentar processos de controlo de alterações | Manual, Desativado | 1.1.0 |
| Estabelecer requisitos de gerenciamento de configuração para desenvolvedores | CMA_0270 - Estabelecer requisitos de gerenciamento de configuração para desenvolvedores | Manual, Desativado | 1.1.0 |
| Realizar uma avaliação de impacto na privacidade | CMA_0387 - Realizar uma avaliação de impacto na privacidade | Manual, Desativado | 1.1.0 |
| Realizar uma avaliação de risco | CMA_0388 - Realizar uma avaliação de risco | Manual, Desativado | 1.1.0 |
| Realizar auditoria para controle de alterações de configuração | CMA_0390 - Realizar auditoria para controle de alterações de configuração | Manual, Desativado | 1.1.0 |
Os mecanismos antiphishing protegem os utilizadores contra ataques de phishing
ID: PCI DSS v4.0 5.4.1 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Bloqueie processos não confiáveis e não assinados que são executados a partir de USB | CMA_0050 - Bloqueie processos não confiáveis e não assinados que são executados a partir de USB | Manual, Desativado | 1.1.0 |
| Gerenciar gateways | CMA_0363 - Gerenciar gateways | Manual, Desativado | 1.1.0 |
| Realizar uma análise de tendência sobre ameaças | CMA_0389 - Realizar uma análise de tendência sobre ameaças | Manual, Desativado | 1.1.0 |
| Executar verificações de vulnerabilidade | CMA_0393 - Executar verificações de vulnerabilidade | Manual, Desativado | 1.1.0 |
| Revise o relatório de deteções de malware semanalmente | CMA_0475 - Revise o relatório de deteções de malware semanalmente | Manual, Desativado | 1.1.0 |
| Revise o status de proteção contra ameaças semanalmente | CMA_0479 - Revise o status de proteção contra ameaças semanalmente | Manual, Desativado | 1.1.0 |
| Atualizar definições de antivírus | CMA_0517 - Atualizar definições de antivírus | Manual, Desativado | 1.1.0 |
Requisito 06: Desenvolver e manter sistemas e software seguros
Os processos e mecanismos para desenvolver e manter sistemas e software seguros são definidos e compreendidos
ID: PCI DSS v4.0 6.1.1 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Revisar e atualizar políticas e procedimentos de gerenciamento de configuração | CMA_C1175 - Revisar e atualizar políticas e procedimentos de gerenciamento de configuração | Manual, Desativado | 1.1.0 |
| Rever e atualizar políticas e procedimentos de aquisição de sistemas e serviços | CMA_C1560 - Rever e atualizar políticas e procedimentos de aquisição de sistemas e serviços | Manual, Desativado | 1.1.0 |
Software personalizado e personalizado é desenvolvido com segurança
ID: PCI DSS v4.0 6.2.2 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Fornecer treinamento periódico de segurança baseado em funções | CMA_C1095 - Fornecer treinamento periódico de segurança baseado em funções | Manual, Desativado | 1.1.0 |
| Fornecer treinamento de segurança antes de fornecer acesso | CMA_0418 - Fornecer treinamento de segurança antes de fornecer acesso | Manual, Desativado | 1.1.0 |
Software personalizado e personalizado é desenvolvido com segurança
ID: PCI DSS v4.0 6.2.3.1 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Deveres distintos dos indivíduos | CMA_0492 - Deveres distintos dos indivíduos | Manual, Desativado | 1.1.0 |
Software personalizado e personalizado é desenvolvido com segurança
ID: PCI DSS v4.0 6.2.4 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Os aplicativos do Serviço de Aplicativo só devem ser acessíveis por HTTPS | O uso de HTTPS garante a autenticação do servidor/serviço e protege os dados em trânsito contra ataques de espionagem da camada de rede. | Auditar, Desabilitar, Negar | 4.0.0 |
| As variáveis de conta de automação devem ser criptografadas | É importante habilitar a criptografia de ativos variáveis de conta de automação ao armazenar dados confidenciais | Auditoria, Negar, Desativado | 1.1.0 |
| Os aplicativos de função só devem ser acessíveis por HTTPS | O uso de HTTPS garante a autenticação do servidor/serviço e protege os dados em trânsito contra ataques de espionagem da camada de rede. | Auditar, Desabilitar, Negar | 5.0.0 |
| Somente conexões seguras com seu Cache Redis do Azure devem ser habilitadas | Ativação de auditoria apenas de conexões via SSL para o Cache do Azure para Redis. O uso de conexões seguras garante a autenticação entre o servidor e o serviço e protege os dados em trânsito contra ataques da camada de rede, como man-in-the-middle, escutas e sequestro de sessão | Auditoria, Negar, Desativado | 1.0.0 |
| A transferência segura para contas de armazenamento deve ser ativada | Requisito de auditoria de transferência segura em sua conta de armazenamento. A transferência segura é uma opção que força sua conta de armazenamento a aceitar solicitações somente de conexões seguras (HTTPS). O uso de HTTPS garante a autenticação entre o servidor e o serviço e protege os dados em trânsito contra ataques da camada de rede, como man-in-the-middle, escutas e sequestro de sessão | Auditoria, Negar, Desativado | 2.0.0 |
| Os clusters do Service Fabric devem ter a propriedade ClusterProtectionLevel definida como EncryptAndSign | O Service Fabric fornece três níveis de proteção (Nenhum, Assinar e EncryptAndSign) para comunicação nó a nó usando um certificado de cluster primário. Defina o nível de proteção para garantir que todas as mensagens nó a nó sejam criptografadas e assinadas digitalmente | Auditoria, Negar, Desativado | 1.1.0 |
| A criptografia de dados transparente em bancos de dados SQL deve ser habilitada | A criptografia de dados transparente deve ser habilitada para proteger os dados em repouso e atender aos requisitos de conformidade | AuditIfNotExists, desativado | 2.0.0 |
| As máquinas virtuais devem criptografar discos temporários, caches e fluxos de dados entre recursos de computação e armazenamento | Por padrão, o sistema operacional e os discos de dados de uma máquina virtual são criptografados em repouso usando chaves gerenciadas pela plataforma. Discos temporários, caches de dados e dados que fluem entre computação e armazenamento não são criptografados. Não tenha em conta esta recomendação se: 1. usando criptografia no host ou 2. A criptografia do lado do servidor em Managed Disks atende aos seus requisitos de segurança. Saiba mais em: Criptografia do lado do servidor do Armazenamento em Disco do Azure: https://aka.ms/disksse, Diferentes ofertas de criptografia de disco: https://aka.ms/diskencryptioncomparison | AuditIfNotExists, desativado | 2.0.3 |
As vulnerabilidades de segurança são identificadas e abordadas
ID: PCI DSS v4.0 6.3.1 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Disseminar alertas de segurança para o pessoal | CMA_C1705 - Divulgar alertas de segurança ao pessoal | Manual, Desativado | 1.1.0 |
| Estabeleça um programa de inteligência contra ameaças | CMA_0260 - Estabelecer um programa de inteligência de ameaças | Manual, Desativado | 1.1.0 |
| Implementar diretivas de segurança | CMA_C1706 - Implementar diretivas de segurança | Manual, Desativado | 1.1.0 |
| Remediar falhas no sistema de informação | CMA_0427 - Remediar falhas no sistema de informação | Manual, Desativado | 1.1.0 |
As vulnerabilidades de segurança são identificadas e abordadas
ID: PCI DSS v4.0 6.3.2 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Obter documentação do administrador | CMA_C1580 - Obter documentação do administrador | Manual, Desativado | 1.1.0 |
As vulnerabilidades de segurança são identificadas e abordadas
ID: PCI DSS v4.0 6.3.3 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Uma solução de avaliação de vulnerabilidade deve ser habilitada em suas máquinas virtuais | Audita máquinas virtuais para detetar se elas estão executando uma solução de avaliação de vulnerabilidade suportada. Um componente central de cada programa de segurança e risco cibernético é a identificação e análise de vulnerabilidades. O nível de preços padrão da Central de Segurança do Azure inclui a verificação de vulnerabilidades para suas máquinas virtuais sem custo extra. Além disso, a Central de Segurança pode implantar automaticamente essa ferramenta para você. | AuditIfNotExists, desativado | 3.0.0 |
| Monitorar o Endpoint Protection ausente na Central de Segurança do Azure | Os servidores sem um agente do Endpoint Protection instalado serão monitorados pela Central de Segurança do Azure como recomendações | AuditIfNotExists, desativado | 3.0.0 |
| Os bancos de dados SQL devem ter as descobertas de vulnerabilidade resolvidas | Monitore a avaliação de vulnerabilidades, os resultados da verificação e as recomendações sobre como corrigir vulnerabilidades do banco de dados. | AuditIfNotExists, desativado | 4.1.0 |
| As atualizações do sistema devem ser instaladas em suas máquinas | As atualizações de sistema de segurança ausentes em seus servidores serão monitoradas pela Central de Segurança do Azure como recomendações | AuditIfNotExists, desativado | 4.0.0 |
| As vulnerabilidades na configuração de segurança em suas máquinas devem ser corrigidas | Os servidores que não satisfizerem a linha de base configurada serão monitorados pela Central de Segurança do Azure como recomendações | AuditIfNotExists, desativado | 3.1.0 |
As aplicações Web voltadas para o público estão protegidas contra ataques
ID: PCI DSS v4.0 6.4.1 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Uma solução de avaliação de vulnerabilidade deve ser habilitada em suas máquinas virtuais | Audita máquinas virtuais para detetar se elas estão executando uma solução de avaliação de vulnerabilidade suportada. Um componente central de cada programa de segurança e risco cibernético é a identificação e análise de vulnerabilidades. O nível de preços padrão da Central de Segurança do Azure inclui a verificação de vulnerabilidades para suas máquinas virtuais sem custo extra. Além disso, a Central de Segurança pode implantar automaticamente essa ferramenta para você. | AuditIfNotExists, desativado | 3.0.0 |
| Monitorar o Endpoint Protection ausente na Central de Segurança do Azure | Os servidores sem um agente do Endpoint Protection instalado serão monitorados pela Central de Segurança do Azure como recomendações | AuditIfNotExists, desativado | 3.0.0 |
| Executar verificações de vulnerabilidade | CMA_0393 - Executar verificações de vulnerabilidade | Manual, Desativado | 1.1.0 |
| Remediar falhas no sistema de informação | CMA_0427 - Remediar falhas no sistema de informação | Manual, Desativado | 1.1.0 |
| Os bancos de dados SQL devem ter as descobertas de vulnerabilidade resolvidas | Monitore a avaliação de vulnerabilidades, os resultados da verificação e as recomendações sobre como corrigir vulnerabilidades do banco de dados. | AuditIfNotExists, desativado | 4.1.0 |
| As atualizações do sistema devem ser instaladas em suas máquinas | As atualizações de sistema de segurança ausentes em seus servidores serão monitoradas pela Central de Segurança do Azure como recomendações | AuditIfNotExists, desativado | 4.0.0 |
| As vulnerabilidades na configuração de segurança em suas máquinas devem ser corrigidas | Os servidores que não satisfizerem a linha de base configurada serão monitorados pela Central de Segurança do Azure como recomendações | AuditIfNotExists, desativado | 3.1.0 |
As aplicações Web voltadas para o público estão protegidas contra ataques
ID: PCI DSS v4.0 6.4.3 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Verificar a integridade do software, firmware e informações | CMA_0542 - Verificar a integridade do software, firmware e informação | Manual, Desativado | 1.1.0 |
| Exibir e configurar dados de diagnóstico do sistema | CMA_0544 - Exibir e configurar dados de diagnóstico do sistema | Manual, Desativado | 1.1.0 |
As alterações em todos os componentes do sistema são gerenciadas com segurança
ID: PCI DSS v4.0 6.5.1 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Realizar uma análise de impacto na segurança | CMA_0057 - Realizar uma análise de impacto na segurança | Manual, Desativado | 1.1.0 |
| Desenvolver e manter um padrão de gerenciamento de vulnerabilidades | CMA_0152 - Desenvolver e manter um padrão de gerenciamento de vulnerabilidades | Manual, Desativado | 1.1.0 |
| Estabelecer uma estratégia de gestão de riscos | CMA_0258 - Estabelecer uma estratégia de gestão de riscos | Manual, Desativado | 1.1.0 |
| Estabelecer e documentar processos de controle de alterações | CMA_0265 - Estabelecer e documentar processos de controlo de alterações | Manual, Desativado | 1.1.0 |
| Estabelecer requisitos de gerenciamento de configuração para desenvolvedores | CMA_0270 - Estabelecer requisitos de gerenciamento de configuração para desenvolvedores | Manual, Desativado | 1.1.0 |
| Realizar uma avaliação de impacto na privacidade | CMA_0387 - Realizar uma avaliação de impacto na privacidade | Manual, Desativado | 1.1.0 |
| Realizar uma avaliação de risco | CMA_0388 - Realizar uma avaliação de risco | Manual, Desativado | 1.1.0 |
| Realizar auditoria para controle de alterações de configuração | CMA_0390 - Realizar auditoria para controle de alterações de configuração | Manual, Desativado | 1.1.0 |
As alterações em todos os componentes do sistema são gerenciadas com segurança
ID: PCI DSS v4.0 6.5.2 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Exigir que os desenvolvedores gerenciem a integridade das alterações | CMA_C1595 - Exigir que os desenvolvedores gerenciem a integridade das alterações | Manual, Desativado | 1.1.0 |
As alterações em todos os componentes do sistema são gerenciadas com segurança
ID: PCI DSS v4.0 6.5.3 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Realizar uma análise de impacto na segurança | CMA_0057 - Realizar uma análise de impacto na segurança | Manual, Desativado | 1.1.0 |
| Estabelecer e documentar processos de controle de alterações | CMA_0265 - Estabelecer e documentar processos de controlo de alterações | Manual, Desativado | 1.1.0 |
| Estabelecer requisitos de gerenciamento de configuração para desenvolvedores | CMA_0270 - Estabelecer requisitos de gerenciamento de configuração para desenvolvedores | Manual, Desativado | 1.1.0 |
| Limitar privilégios para fazer alterações no ambiente de produção | CMA_C1206 - Limitar privilégios para fazer alterações no ambiente de produção | Manual, Desativado | 1.1.0 |
| Realizar uma avaliação de impacto na privacidade | CMA_0387 - Realizar uma avaliação de impacto na privacidade | Manual, Desativado | 1.1.0 |
| Realizar auditoria para controle de alterações de configuração | CMA_0390 - Realizar auditoria para controle de alterações de configuração | Manual, Desativado | 1.1.0 |
As alterações em todos os componentes do sistema são gerenciadas com segurança
ID: PCI DSS v4.0 6.5.4 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Realizar uma análise de impacto na segurança | CMA_0057 - Realizar uma análise de impacto na segurança | Manual, Desativado | 1.1.0 |
| Estabelecer e documentar processos de controle de alterações | CMA_0265 - Estabelecer e documentar processos de controlo de alterações | Manual, Desativado | 1.1.0 |
| Estabelecer requisitos de gerenciamento de configuração para desenvolvedores | CMA_0270 - Estabelecer requisitos de gerenciamento de configuração para desenvolvedores | Manual, Desativado | 1.1.0 |
| Limitar privilégios para fazer alterações no ambiente de produção | CMA_C1206 - Limitar privilégios para fazer alterações no ambiente de produção | Manual, Desativado | 1.1.0 |
| Realizar uma avaliação de impacto na privacidade | CMA_0387 - Realizar uma avaliação de impacto na privacidade | Manual, Desativado | 1.1.0 |
| Realizar auditoria para controle de alterações de configuração | CMA_0390 - Realizar auditoria para controle de alterações de configuração | Manual, Desativado | 1.1.0 |
As alterações em todos os componentes do sistema são gerenciadas com segurança
ID: PCI DSS v4.0 6.5.5 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Incorporar práticas de segurança e privacidade de dados no processamento de pesquisas | CMA_0331 - Incorporar práticas de segurança e privacidade de dados no processamento de pesquisas | Manual, Desativado | 1.1.0 |
As alterações em todos os componentes do sistema são gerenciadas com segurança
ID: PCI DSS v4.0 6.5.6 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Realizar uma análise de impacto na segurança | CMA_0057 - Realizar uma análise de impacto na segurança | Manual, Desativado | 1.1.0 |
| Estabelecer e documentar processos de controle de alterações | CMA_0265 - Estabelecer e documentar processos de controlo de alterações | Manual, Desativado | 1.1.0 |
| Estabelecer requisitos de gerenciamento de configuração para desenvolvedores | CMA_0270 - Estabelecer requisitos de gerenciamento de configuração para desenvolvedores | Manual, Desativado | 1.1.0 |
| Realizar uma avaliação de impacto na privacidade | CMA_0387 - Realizar uma avaliação de impacto na privacidade | Manual, Desativado | 1.1.0 |
| Realizar auditoria para controle de alterações de configuração | CMA_0390 - Realizar auditoria para controle de alterações de configuração | Manual, Desativado | 1.1.0 |
Requisito 07: Restringir o acesso aos componentes do sistema e aos dados do titular do cartão por necessidade de conhecimento da empresa
Os processos e mecanismos para restringir o acesso aos componentes do sistema e aos dados do titular do cartão por necessidade de conhecimento da empresa são definidos e compreendidos
ID: PCI DSS v4.0 7.1.1 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Desenvolver políticas e procedimentos de controle de acesso | CMA_0144 - Desenvolver políticas e procedimentos de controle de acesso | Manual, Desativado | 1.1.0 |
| Aplicar políticas de controle de acesso obrigatórias e discricionárias | CMA_0246 - Aplicar políticas de controle de acesso obrigatórias e discricionárias | Manual, Desativado | 1.1.0 |
| Governar políticas e procedimentos | CMA_0292 - Governar políticas e procedimentos | Manual, Desativado | 1.1.0 |
| Revisar políticas e procedimentos de controle de acesso | CMA_0457 - Revisar políticas e procedimentos de controle de acesso | Manual, Desativado | 1.1.0 |
Os processos e mecanismos para restringir o acesso aos componentes do sistema e aos dados do titular do cartão por necessidade de conhecimento da empresa são definidos e compreendidos
ID: PCI DSS v4.0 7.1.2 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Desenvolver políticas e procedimentos de controle de acesso | CMA_0144 - Desenvolver políticas e procedimentos de controle de acesso | Manual, Desativado | 1.1.0 |
| Aplicar políticas de controle de acesso obrigatórias e discricionárias | CMA_0246 - Aplicar políticas de controle de acesso obrigatórias e discricionárias | Manual, Desativado | 1.1.0 |
| Governar políticas e procedimentos | CMA_0292 - Governar políticas e procedimentos | Manual, Desativado | 1.1.0 |
O acesso aos componentes e dados do sistema é adequadamente definido e atribuído
ID: PCI DSS v4.0 7.2.1 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Um máximo de 3 proprietários devem ser designados para a sua subscrição | Recomenda-se designar até 3 proprietários de assinatura para reduzir o potencial de violação por um proprietário comprometido. | AuditIfNotExists, desativado | 3.0.0 |
| Autorizar o acesso a funções e informações de segurança | CMA_0022 - Autorizar o acesso a funções e informações de segurança | Manual, Desativado | 1.1.0 |
| Autorizar e gerenciar o acesso | CMA_0023 - Autorizar e gerir o acesso | Manual, Desativado | 1.1.0 |
| Projetar um modelo de controle de acesso | CMA_0129 - Projetar um modelo de controle de acesso | Manual, Desativado | 1.1.0 |
| Empregar acesso com privilégios mínimos | CMA_0212 - Empregar acesso com privilégios mínimos | Manual, Desativado | 1.1.0 |
| Impor acesso lógico | CMA_0245 - Impor acesso lógico | Manual, Desativado | 1.1.0 |
| Aplicar políticas de controle de acesso obrigatórias e discricionárias | CMA_0246 - Aplicar políticas de controle de acesso obrigatórias e discricionárias | Manual, Desativado | 1.1.0 |
| Exigir aprovação para a criação de conta | CMA_0431 - Requer aprovação para a criação de conta | Manual, Desativado | 1.1.0 |
| Revisar grupos de usuários e aplicativos com acesso a dados confidenciais | CMA_0481 - Revisar grupos de usuários e aplicativos com acesso a dados confidenciais | Manual, Desativado | 1.1.0 |
| Deve haver mais de um proprietário atribuído à sua assinatura | É recomendável designar mais de um proprietário de assinatura para ter redundância de acesso de administrador. | AuditIfNotExists, desativado | 3.0.0 |
O acesso aos componentes e dados do sistema é adequadamente definido e atribuído
ID: PCI DSS v4.0 7.2.2 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Um máximo de 3 proprietários devem ser designados para a sua subscrição | Recomenda-se designar até 3 proprietários de assinatura para reduzir o potencial de violação por um proprietário comprometido. | AuditIfNotExists, desativado | 3.0.0 |
| Autorizar o acesso a funções e informações de segurança | CMA_0022 - Autorizar o acesso a funções e informações de segurança | Manual, Desativado | 1.1.0 |
| Autorizar e gerenciar o acesso | CMA_0023 - Autorizar e gerir o acesso | Manual, Desativado | 1.1.0 |
| Projetar um modelo de controle de acesso | CMA_0129 - Projetar um modelo de controle de acesso | Manual, Desativado | 1.1.0 |
| Empregar acesso com privilégios mínimos | CMA_0212 - Empregar acesso com privilégios mínimos | Manual, Desativado | 1.1.0 |
| Aplicar políticas de controle de acesso obrigatórias e discricionárias | CMA_0246 - Aplicar políticas de controle de acesso obrigatórias e discricionárias | Manual, Desativado | 1.1.0 |
| Deve haver mais de um proprietário atribuído à sua assinatura | É recomendável designar mais de um proprietário de assinatura para ter redundância de acesso de administrador. | AuditIfNotExists, desativado | 3.0.0 |
O acesso aos componentes e dados do sistema é adequadamente definido e atribuído
ID: PCI DSS v4.0 7.2.3 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Autorizar o acesso a funções e informações de segurança | CMA_0022 - Autorizar o acesso a funções e informações de segurança | Manual, Desativado | 1.1.0 |
| Autorizar e gerenciar o acesso | CMA_0023 - Autorizar e gerir o acesso | Manual, Desativado | 1.1.0 |
| Projetar um modelo de controle de acesso | CMA_0129 - Projetar um modelo de controle de acesso | Manual, Desativado | 1.1.0 |
| Empregar acesso com privilégios mínimos | CMA_0212 - Empregar acesso com privilégios mínimos | Manual, Desativado | 1.1.0 |
| Impor acesso lógico | CMA_0245 - Impor acesso lógico | Manual, Desativado | 1.1.0 |
| Aplicar políticas de controle de acesso obrigatórias e discricionárias | CMA_0246 - Aplicar políticas de controle de acesso obrigatórias e discricionárias | Manual, Desativado | 1.1.0 |
| Exigir aprovação para a criação de conta | CMA_0431 - Requer aprovação para a criação de conta | Manual, Desativado | 1.1.0 |
| Revisar grupos de usuários e aplicativos com acesso a dados confidenciais | CMA_0481 - Revisar grupos de usuários e aplicativos com acesso a dados confidenciais | Manual, Desativado | 1.1.0 |
O acesso aos componentes e dados do sistema é adequadamente definido e atribuído
ID: PCI DSS v4.0 7.2.4 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Auditar o status da conta de usuário | CMA_0020 - Auditar o status da conta de usuário | Manual, Desativado | 1.1.0 |
| Revisar logs de provisionamento de conta | CMA_0460 - Revisar logs de provisionamento de conta | Manual, Desativado | 1.1.0 |
| Rever contas de utilizador | CMA_0480 - Rever contas de utilizador | Manual, Desativado | 1.1.0 |
| Rever os privilégios de utilizador | CMA_C1039 - Rever os privilégios do utilizador | Manual, Desativado | 1.1.0 |
O acesso aos componentes e dados do sistema é adequadamente definido e atribuído
ID: PCI DSS v4.0 7.2.5 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Definir tipos de conta do sistema de informação | CMA_0121 - Definir tipos de conta do sistema de informação | Manual, Desativado | 1.1.0 |
O acesso aos componentes e dados do sistema é adequadamente definido e atribuído
ID: PCI DSS v4.0 7.2.5.1 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Monitorar a atividade da conta | CMA_0377 - Monitore a atividade da conta | Manual, Desativado | 1.1.0 |
O acesso aos componentes e dados do sistema é adequadamente definido e atribuído
ID: PCI DSS v4.0 7.2.6 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Autorizar o acesso a funções e informações de segurança | CMA_0022 - Autorizar o acesso a funções e informações de segurança | Manual, Desativado | 1.1.0 |
| Autorizar e gerenciar o acesso | CMA_0023 - Autorizar e gerir o acesso | Manual, Desativado | 1.1.0 |
| Projetar um modelo de controle de acesso | CMA_0129 - Projetar um modelo de controle de acesso | Manual, Desativado | 1.1.0 |
| Empregar acesso com privilégios mínimos | CMA_0212 - Empregar acesso com privilégios mínimos | Manual, Desativado | 1.1.0 |
| Impor acesso lógico | CMA_0245 - Impor acesso lógico | Manual, Desativado | 1.1.0 |
| Aplicar políticas de controle de acesso obrigatórias e discricionárias | CMA_0246 - Aplicar políticas de controle de acesso obrigatórias e discricionárias | Manual, Desativado | 1.1.0 |
| Exigir aprovação para a criação de conta | CMA_0431 - Requer aprovação para a criação de conta | Manual, Desativado | 1.1.0 |
| Revisar grupos de usuários e aplicativos com acesso a dados confidenciais | CMA_0481 - Revisar grupos de usuários e aplicativos com acesso a dados confidenciais | Manual, Desativado | 1.1.0 |
O acesso aos componentes e dados do sistema é gerido através de um ou mais sistemas de controlo de acesso
ID: PCI DSS v4.0 7.3.1 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Contas com permissões de proprietário em recursos do Azure devem ser habilitadas para MFA | A autenticação multifator (MFA) deve ser habilitada para todas as contas de assinatura com permissões de proprietário para evitar uma violação de contas ou recursos. | AuditIfNotExists, desativado | 1.0.0 |
| Contas com permissões de gravação em recursos do Azure devem ser habilitadas para MFA | A autenticação multifator (MFA) deve ser habilitada para todas as contas de assinatura com privilégios de gravação para evitar uma violação de contas ou recursos. | AuditIfNotExists, desativado | 1.0.0 |
| Um administrador do Ative Directory do Azure deve ser provisionado para servidores SQL | Provisionamento de auditoria de um administrador do Azure Ative Directory para seu servidor SQL para habilitar a autenticação do Azure AD. A autenticação do Azure AD permite o gerenciamento simplificado de permissões e o gerenciamento centralizado de identidades de usuários de banco de dados e outros serviços da Microsoft | AuditIfNotExists, desativado | 1.0.0 |
| Auditar o uso de funções RBAC personalizadas | Audite funções internas, como 'Proprietário, Contribuinte, Leitor' em vez de funções RBAC personalizadas, que são propensas a erros. O uso de funções personalizadas é tratado como uma exceção e requer uma revisão rigorosa e modelagem de ameaças | Auditoria, Desativado | 1.0.1 |
| Autorizar o acesso a funções e informações de segurança | CMA_0022 - Autorizar o acesso a funções e informações de segurança | Manual, Desativado | 1.1.0 |
| Autorizar e gerenciar o acesso | CMA_0023 - Autorizar e gerir o acesso | Manual, Desativado | 1.1.0 |
| Automatize o gerenciamento de contas | CMA_0026 - Automatize o gerenciamento de contas | Manual, Desativado | 1.1.0 |
| Impor acesso lógico | CMA_0245 - Impor acesso lógico | Manual, Desativado | 1.1.0 |
| Aplicar políticas de controle de acesso obrigatórias e discricionárias | CMA_0246 - Aplicar políticas de controle de acesso obrigatórias e discricionárias | Manual, Desativado | 1.1.0 |
| Contas de convidado com permissões de proprietário em recursos do Azure devem ser removidas | As contas externas com permissões de proprietário devem ser removidas da sua subscrição para evitar o acesso não monitorizado. | AuditIfNotExists, desativado | 1.0.0 |
| Contas de convidado com permissões de leitura em recursos do Azure devem ser removidas | As contas externas com privilégios de leitura devem ser removidas da sua subscrição para evitar o acesso não monitorizado. | AuditIfNotExists, desativado | 1.0.0 |
| Contas de convidado com permissões de gravação em recursos do Azure devem ser removidas | As contas externas com privilégios de escrita devem ser removidas da sua subscrição para evitar o acesso não monitorizado. | AuditIfNotExists, desativado | 1.0.0 |
| Gerenciar contas de sistema e de administrador | CMA_0368 - Gerenciar contas de sistema e de administrador | Manual, Desativado | 1.1.0 |
| Monitore o acesso em toda a organização | CMA_0376 - Monitorar o acesso em toda a organização | Manual, Desativado | 1.1.0 |
| Notificar quando a conta não for necessária | CMA_0383 - Notificar quando a conta não for necessária | Manual, Desativado | 1.1.0 |
| Exigir aprovação para a criação de conta | CMA_0431 - Requer aprovação para a criação de conta | Manual, Desativado | 1.1.0 |
| Revisar grupos de usuários e aplicativos com acesso a dados confidenciais | CMA_0481 - Revisar grupos de usuários e aplicativos com acesso a dados confidenciais | Manual, Desativado | 1.1.0 |
O acesso aos componentes e dados do sistema é gerido através de um ou mais sistemas de controlo de acesso
ID: PCI DSS v4.0 7.3.2 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Autorizar o acesso a funções e informações de segurança | CMA_0022 - Autorizar o acesso a funções e informações de segurança | Manual, Desativado | 1.1.0 |
| Autorizar e gerenciar o acesso | CMA_0023 - Autorizar e gerir o acesso | Manual, Desativado | 1.1.0 |
| Automatize o gerenciamento de contas | CMA_0026 - Automatize o gerenciamento de contas | Manual, Desativado | 1.1.0 |
| Impor acesso lógico | CMA_0245 - Impor acesso lógico | Manual, Desativado | 1.1.0 |
| Aplicar políticas de controle de acesso obrigatórias e discricionárias | CMA_0246 - Aplicar políticas de controle de acesso obrigatórias e discricionárias | Manual, Desativado | 1.1.0 |
| Gerenciar contas de sistema e de administrador | CMA_0368 - Gerenciar contas de sistema e de administrador | Manual, Desativado | 1.1.0 |
| Monitore o acesso em toda a organização | CMA_0376 - Monitorar o acesso em toda a organização | Manual, Desativado | 1.1.0 |
| Notificar quando a conta não for necessária | CMA_0383 - Notificar quando a conta não for necessária | Manual, Desativado | 1.1.0 |
| Exigir aprovação para a criação de conta | CMA_0431 - Requer aprovação para a criação de conta | Manual, Desativado | 1.1.0 |
| Revisar grupos de usuários e aplicativos com acesso a dados confidenciais | CMA_0481 - Revisar grupos de usuários e aplicativos com acesso a dados confidenciais | Manual, Desativado | 1.1.0 |
O acesso aos componentes e dados do sistema é gerido através de um ou mais sistemas de controlo de acesso
ID: PCI DSS v4.0 7.3.3 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Autorizar o acesso a funções e informações de segurança | CMA_0022 - Autorizar o acesso a funções e informações de segurança | Manual, Desativado | 1.1.0 |
| Autorizar e gerenciar o acesso | CMA_0023 - Autorizar e gerir o acesso | Manual, Desativado | 1.1.0 |
| Impor acesso lógico | CMA_0245 - Impor acesso lógico | Manual, Desativado | 1.1.0 |
| Aplicar políticas de controle de acesso obrigatórias e discricionárias | CMA_0246 - Aplicar políticas de controle de acesso obrigatórias e discricionárias | Manual, Desativado | 1.1.0 |
| Exigir aprovação para a criação de conta | CMA_0431 - Requer aprovação para a criação de conta | Manual, Desativado | 1.1.0 |
| Revisar grupos de usuários e aplicativos com acesso a dados confidenciais | CMA_0481 - Revisar grupos de usuários e aplicativos com acesso a dados confidenciais | Manual, Desativado | 1.1.0 |
Requisito 08: Identificar usuários e autenticar o acesso aos componentes do sistema
Processos e mecanismos para identificar usuários e autenticar o acesso aos componentes do sistema são definidos e compreendidos
ID: PCI DSS v4.0 8.1.1 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Rever e atualizar políticas e procedimentos de identificação e autenticação | CMA_C1299 - Rever e atualizar políticas e procedimentos de identificação e autenticação | Manual, Desativado | 1.1.0 |
A identificação do usuário e as contas relacionadas para usuários e administradores são rigorosamente gerenciadas durante todo o ciclo de vida de uma conta
ID: PCI DSS v4.0 8.2.1 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Atribuir identificadores do sistema | CMA_0018 - Atribuir identificadores do sistema | Manual, Desativado | 1.1.0 |
| Impor a exclusividade do usuário | CMA_0250 - Reforçar a exclusividade do utilizador | Manual, Desativado | 1.1.0 |
| Suporte a credenciais de verificação pessoal emitidas por autoridades legais | CMA_0507 - Apoiar credenciais de verificação pessoal emitidas por autoridades legais | Manual, Desativado | 1.1.0 |
A identificação do usuário e as contas relacionadas para usuários e administradores são rigorosamente gerenciadas durante todo o ciclo de vida de uma conta
ID: PCI DSS v4.0 8.2.2 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Definir e impor condições para contas compartilhadas e de grupo | CMA_0117 - Definir e impor condições para contas compartilhadas e de grupo | Manual, Desativado | 1.1.0 |
| Reemitir autenticadores para grupos e contas alterados | CMA_0426 - Reemitir autenticadores para grupos e contas alterados | Manual, Desativado | 1.1.0 |
| Exigir o uso de autenticadores individuais | CMA_C1305 - Exigir o uso de autenticadores individuais | Manual, Desativado | 1.1.0 |
| Encerrar credenciais de conta controladas pelo cliente | CMA_C1022 - Encerrar credenciais de conta controladas pelo cliente | Manual, Desativado | 1.1.0 |
A identificação do usuário e as contas relacionadas para usuários e administradores são rigorosamente gerenciadas durante todo o ciclo de vida de uma conta
ID: PCI DSS v4.0 8.2.3 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Adotar mecanismos de autenticação biométrica | CMA_0005 - Adotar mecanismos de autenticação biométrica | Manual, Desativado | 1.1.0 |
| Identificar e autenticar dispositivos de rede | CMA_0296 - Identificar e autenticar dispositivos de rede | Manual, Desativado | 1.1.0 |
| Satisfazer os requisitos de qualidade do token | CMA_0487 - Satisfazer os requisitos de qualidade do token | Manual, Desativado | 1.1.0 |
A identificação do usuário e as contas relacionadas para usuários e administradores são rigorosamente gerenciadas durante todo o ciclo de vida de uma conta
ID: PCI DSS v4.0 8.2.4 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Atribuir identificadores do sistema | CMA_0018 - Atribuir identificadores do sistema | Manual, Desativado | 1.1.0 |
| Contas bloqueadas com permissões de proprietário em recursos do Azure devem ser removidas | Contas preteridas com permissões de proprietário devem ser removidas da sua assinatura. Contas preteridas são contas que foram bloqueadas para entrar. | AuditIfNotExists, desativado | 1.0.0 |
| Contas bloqueadas com permissões de leitura e gravação em recursos do Azure devem ser removidas | As contas preteridas devem ser removidas das suas subscrições. Contas preteridas são contas que foram bloqueadas para entrar. | AuditIfNotExists, desativado | 1.0.0 |
| Contas de convidado com permissões de proprietário em recursos do Azure devem ser removidas | As contas externas com permissões de proprietário devem ser removidas da sua subscrição para evitar o acesso não monitorizado. | AuditIfNotExists, desativado | 1.0.0 |
| Contas de convidado com permissões de leitura em recursos do Azure devem ser removidas | As contas externas com privilégios de leitura devem ser removidas da sua subscrição para evitar o acesso não monitorizado. | AuditIfNotExists, desativado | 1.0.0 |
| Contas de convidado com permissões de gravação em recursos do Azure devem ser removidas | As contas externas com privilégios de escrita devem ser removidas da sua subscrição para evitar o acesso não monitorizado. | AuditIfNotExists, desativado | 1.0.0 |
| Exigir aprovação para a criação de conta | CMA_0431 - Requer aprovação para a criação de conta | Manual, Desativado | 1.1.0 |
A identificação do usuário e as contas relacionadas para usuários e administradores são rigorosamente gerenciadas durante todo o ciclo de vida de uma conta
ID: PCI DSS v4.0 8.2.5 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Contas bloqueadas com permissões de proprietário em recursos do Azure devem ser removidas | Contas preteridas com permissões de proprietário devem ser removidas da sua assinatura. Contas preteridas são contas que foram bloqueadas para entrar. | AuditIfNotExists, desativado | 1.0.0 |
| Contas bloqueadas com permissões de leitura e gravação em recursos do Azure devem ser removidas | As contas preteridas devem ser removidas das suas subscrições. Contas preteridas são contas que foram bloqueadas para entrar. | AuditIfNotExists, desativado | 1.0.0 |
A identificação do usuário e as contas relacionadas para usuários e administradores são rigorosamente gerenciadas durante todo o ciclo de vida de uma conta
ID: PCI DSS v4.0 8.2.6 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Desativar autenticadores após a rescisão | CMA_0169 - Desativar autenticadores após a rescisão | Manual, Desativado | 1.1.0 |
| Revogar funções privilegiadas conforme apropriado | CMA_0483 - Revogar funções privilegiadas conforme apropriado | Manual, Desativado | 1.1.0 |
A identificação do usuário e as contas relacionadas para usuários e administradores são rigorosamente gerenciadas durante todo o ciclo de vida de uma conta
ID: PCI DSS v4.0 8.2.7 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Contas bloqueadas com permissões de proprietário em recursos do Azure devem ser removidas | Contas preteridas com permissões de proprietário devem ser removidas da sua assinatura. Contas preteridas são contas que foram bloqueadas para entrar. | AuditIfNotExists, desativado | 1.0.0 |
| Contas bloqueadas com permissões de leitura e gravação em recursos do Azure devem ser removidas | As contas preteridas devem ser removidas das suas subscrições. Contas preteridas são contas que foram bloqueadas para entrar. | AuditIfNotExists, desativado | 1.0.0 |
| Contas de convidado com permissões de proprietário em recursos do Azure devem ser removidas | As contas externas com permissões de proprietário devem ser removidas da sua subscrição para evitar o acesso não monitorizado. | AuditIfNotExists, desativado | 1.0.0 |
| Contas de convidado com permissões de leitura em recursos do Azure devem ser removidas | As contas externas com privilégios de leitura devem ser removidas da sua subscrição para evitar o acesso não monitorizado. | AuditIfNotExists, desativado | 1.0.0 |
| Contas de convidado com permissões de gravação em recursos do Azure devem ser removidas | As contas externas com privilégios de escrita devem ser removidas da sua subscrição para evitar o acesso não monitorizado. | AuditIfNotExists, desativado | 1.0.0 |
| Identificar e autenticar usuários não organizacionais | CMA_C1346 - Identificar e autenticar usuários não organizacionais | Manual, Desativado | 1.1.0 |
A identificação do usuário e as contas relacionadas para usuários e administradores são rigorosamente gerenciadas durante todo o ciclo de vida de uma conta
ID: PCI DSS v4.0 8.2.8 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Definir e aplicar a política de log de inatividade | CMA_C1017 - Definir e aplicar a política de log de inatividade | Manual, Desativado | 1.1.0 |
| Encerrar sessão de usuário automaticamente | CMA_C1054 - Encerrar sessão de usuário automaticamente | Manual, Desativado | 1.1.0 |
A autenticação forte para usuários e administradores é estabelecida e gerenciada
ID: PCI DSS v4.0 8.3.1 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Adotar mecanismos de autenticação biométrica | CMA_0005 - Adotar mecanismos de autenticação biométrica | Manual, Desativado | 1.1.0 |
| Estabelecer tipos e processos de autenticador | CMA_0267 - Estabelecer tipos e processos de autenticadores | Manual, Desativado | 1.1.0 |
| Identificar e autenticar dispositivos de rede | CMA_0296 - Identificar e autenticar dispositivos de rede | Manual, Desativado | 1.1.0 |
| Satisfazer os requisitos de qualidade do token | CMA_0487 - Satisfazer os requisitos de qualidade do token | Manual, Desativado | 1.1.0 |
A autenticação forte para usuários e administradores é estabelecida e gerenciada
ID: PCI DSS v4.0 8.3.10 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Gerencie o tempo de vida e a reutilização do autenticador | CMA_0355 - Gerencie o tempo de vida e a reutilização do autenticador | Manual, Desativado | 1.1.0 |
| Atualizar autenticadores | CMA_0425 - Atualizar autenticadores | Manual, Desativado | 1.1.0 |
A autenticação forte para usuários e administradores é estabelecida e gerenciada
ID: PCI DSS v4.0 8.3.10.1 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Gerencie o tempo de vida e a reutilização do autenticador | CMA_0355 - Gerencie o tempo de vida e a reutilização do autenticador | Manual, Desativado | 1.1.0 |
| Atualizar autenticadores | CMA_0425 - Atualizar autenticadores | Manual, Desativado | 1.1.0 |
A autenticação forte para usuários e administradores é estabelecida e gerenciada
ID: PCI DSS v4.0 8.3.11 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Adotar mecanismos de autenticação biométrica | CMA_0005 - Adotar mecanismos de autenticação biométrica | Manual, Desativado | 1.1.0 |
| Distribuir autenticadores | CMA_0184 - Distribuir autenticadores | Manual, Desativado | 1.1.0 |
| Estabelecer tipos e processos de autenticador | CMA_0267 - Estabelecer tipos e processos de autenticadores | Manual, Desativado | 1.1.0 |
| Identificar e autenticar dispositivos de rede | CMA_0296 - Identificar e autenticar dispositivos de rede | Manual, Desativado | 1.1.0 |
| Satisfazer os requisitos de qualidade do token | CMA_0487 - Satisfazer os requisitos de qualidade do token | Manual, Desativado | 1.1.0 |
| Verificar a identidade antes de distribuir autenticadores | CMA_0538 - Verificar a identidade antes de distribuir autenticadores | Manual, Desativado | 1.1.0 |
A autenticação forte para usuários e administradores é estabelecida e gerenciada
ID: PCI DSS v4.0 8.3.2 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Garantir que os usuários autorizados protejam os autenticadores fornecidos | CMA_C1339 - Garantir que os usuários autorizados protejam os autenticadores fornecidos | Manual, Desativado | 1.1.0 |
| Proteja senhas com criptografia | CMA_0408 - Proteja senhas com criptografia | Manual, Desativado | 1.1.0 |
A autenticação forte para usuários e administradores é estabelecida e gerenciada
ID: PCI DSS v4.0 8.3.4 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Impor um limite de tentativas consecutivas de login com falha | CMA_C1044 - Impor um limite de tentativas de login falhadas consecutivas | Manual, Desativado | 1.1.0 |
A autenticação forte para usuários e administradores é estabelecida e gerenciada
ID: PCI DSS v4.0 8.3.5 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Estabelecer tipos e processos de autenticador | CMA_0267 - Estabelecer tipos e processos de autenticadores | Manual, Desativado | 1.1.0 |
A autenticação forte para usuários e administradores é estabelecida e gerenciada
ID: PCI DSS v4.0 8.3.6 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Adicionar identidade gerenciada atribuída ao sistema para habilitar atribuições de Configuração de Convidado em máquinas virtuais sem identidades | Esta política adiciona uma identidade gerenciada atribuída pelo sistema a máquinas virtuais hospedadas no Azure que são suportadas pela Configuração de Convidado, mas não têm identidades gerenciadas. Uma identidade gerenciada atribuída ao sistema é um pré-requisito para todas as atribuições de Configuração de Convidado e deve ser adicionada às máquinas antes de usar qualquer definição de política de Configuração de Convidado. Para obter mais informações sobre Configuração de convidado, visite https://aka.ms/gcpol. | modificar | 4.1.0 |
| Adicionar identidade gerenciada atribuída pelo sistema para habilitar atribuições de Configuração de Convidado em VMs com uma identidade atribuída pelo usuário | Esta política adiciona uma identidade gerenciada atribuída pelo sistema a máquinas virtuais hospedadas no Azure que são suportadas pela Configuração de Convidado e têm pelo menos uma identidade atribuída pelo usuário, mas não têm uma identidade gerenciada atribuída pelo sistema. Uma identidade gerenciada atribuída ao sistema é um pré-requisito para todas as atribuições de Configuração de Convidado e deve ser adicionada às máquinas antes de usar qualquer definição de política de Configuração de Convidado. Para obter mais informações sobre Configuração de convidado, visite https://aka.ms/gcpol. | modificar | 4.1.0 |
| Auditar máquinas Windows que permitem a reutilização das senhas após o número especificado de senhas exclusivas | Requer que os pré-requisitos sejam implantados no escopo da atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. As máquinas não são compatíveis se as máquinas Windows que permitem a reutilização das senhas após o número especificado de senhas exclusivas. O valor padrão para senhas exclusivas é 24 | AuditIfNotExists, desativado | 2.1.0 |
| Auditar máquinas Windows que não têm a idade máxima da senha definida para o número especificado de dias | Requer que os pré-requisitos sejam implantados no escopo da atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. As máquinas não são compatíveis se as máquinas Windows que não têm a idade máxima da senha definida para o número especificado de dias. O valor padrão para a idade máxima da senha é 70 dias | AuditIfNotExists, desativado | 2.1.0 |
| Auditar máquinas Windows que não restringem o comprimento mínimo da senha ao número especificado de caracteres | Requer que os pré-requisitos sejam implantados no escopo da atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. As máquinas não são compatíveis se as máquinas Windows que não restringem o comprimento mínimo da senha ao número especificado de caracteres. O valor padrão para o comprimento mínimo da senha é de 14 caracteres | AuditIfNotExists, desativado | 2.1.0 |
| Implantar a extensão Configuração de Convidado do Windows para habilitar atribuições de Configuração de Convidado em VMs do Windows | Esta política implanta a extensão Configuração de Convidado do Windows em máquinas virtuais do Windows hospedadas no Azure que são suportadas pela Configuração de Convidado. A extensão de Configuração de Convidado do Windows é um pré-requisito para todas as atribuições de Configuração de Convidado do Windows e deve ser implantada em máquinas antes de usar qualquer definição de política de Configuração de Convidado do Windows. Para obter mais informações sobre Configuração de convidado, visite https://aka.ms/gcpol. | deployIfNotExists | 1.2.0 |
| Documentar os requisitos de segurança nos contratos de aquisição | CMA_0203 - Documentar requisitos de segurança em contratos de aquisição | Manual, Desativado | 1.1.0 |
| Estabelecer uma política de senha | CMA_0256 - Estabeleça uma política de senha | Manual, Desativado | 1.1.0 |
| Implementar parâmetros para verificadores secretos memorizados | CMA_0321 - Implementar parâmetros para verificadores secretos memorizados | Manual, Desativado | 1.1.0 |
A autenticação forte para usuários e administradores é estabelecida e gerenciada
ID: PCI DSS v4.0 8.3.8 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Implementar treinamento para proteger autenticadores | CMA_0329 - Implementar treinamento para proteger autenticadores | Manual, Desativado | 1.1.0 |
A autenticação forte para usuários e administradores é estabelecida e gerenciada
ID: PCI DSS v4.0 8.3.9 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Gerencie o tempo de vida e a reutilização do autenticador | CMA_0355 - Gerencie o tempo de vida e a reutilização do autenticador | Manual, Desativado | 1.1.0 |
| Atualizar autenticadores | CMA_0425 - Atualizar autenticadores | Manual, Desativado | 1.1.0 |
A autenticação multifator (MFA) é implementada para proteger o acesso ao CDE
ID: PCI DSS v4.0 8.4.1 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Contas com permissões de proprietário em recursos do Azure devem ser habilitadas para MFA | A autenticação multifator (MFA) deve ser habilitada para todas as contas de assinatura com permissões de proprietário para evitar uma violação de contas ou recursos. | AuditIfNotExists, desativado | 1.0.0 |
| Contas com permissões de gravação em recursos do Azure devem ser habilitadas para MFA | A autenticação multifator (MFA) deve ser habilitada para todas as contas de assinatura com privilégios de gravação para evitar uma violação de contas ou recursos. | AuditIfNotExists, desativado | 1.0.0 |
| Adotar mecanismos de autenticação biométrica | CMA_0005 - Adotar mecanismos de autenticação biométrica | Manual, Desativado | 1.1.0 |
| Um administrador do Ative Directory do Azure deve ser provisionado para servidores SQL | Provisionamento de auditoria de um administrador do Azure Ative Directory para seu servidor SQL para habilitar a autenticação do Azure AD. A autenticação do Azure AD permite o gerenciamento simplificado de permissões e o gerenciamento centralizado de identidades de usuários de banco de dados e outros serviços da Microsoft | AuditIfNotExists, desativado | 1.0.0 |
| Auditar o uso de funções RBAC personalizadas | Audite funções internas, como 'Proprietário, Contribuinte, Leitor' em vez de funções RBAC personalizadas, que são propensas a erros. O uso de funções personalizadas é tratado como uma exceção e requer uma revisão rigorosa e modelagem de ameaças | Auditoria, Desativado | 1.0.1 |
| Contas de convidado com permissões de proprietário em recursos do Azure devem ser removidas | As contas externas com permissões de proprietário devem ser removidas da sua subscrição para evitar o acesso não monitorizado. | AuditIfNotExists, desativado | 1.0.0 |
| Contas de convidado com permissões de leitura em recursos do Azure devem ser removidas | As contas externas com privilégios de leitura devem ser removidas da sua subscrição para evitar o acesso não monitorizado. | AuditIfNotExists, desativado | 1.0.0 |
| Contas de convidado com permissões de gravação em recursos do Azure devem ser removidas | As contas externas com privilégios de escrita devem ser removidas da sua subscrição para evitar o acesso não monitorizado. | AuditIfNotExists, desativado | 1.0.0 |
A autenticação multifator (MFA) é implementada para proteger o acesso ao CDE
ID: PCI DSS v4.0 8.4.2 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Adotar mecanismos de autenticação biométrica | CMA_0005 - Adotar mecanismos de autenticação biométrica | Manual, Desativado | 1.1.0 |
| Autorizar acesso remoto | CMA_0024 - Autorizar acesso remoto | Manual, Desativado | 1.1.0 |
| Formação em mobilidade documental | CMA_0191 - Formação em mobilidade documental | Manual, Desativado | 1.1.0 |
| Documentar diretrizes de acesso remoto | CMA_0196 - Documentar diretrizes de acesso remoto | Manual, Desativado | 1.1.0 |
| Identificar e autenticar dispositivos de rede | CMA_0296 - Identificar e autenticar dispositivos de rede | Manual, Desativado | 1.1.0 |
| Implementar controles para proteger locais de trabalho alternativos | CMA_0315 - Implementar controles para proteger locais de trabalho alternativos | Manual, Desativado | 1.1.0 |
| Fornecer treinamento de privacidade | CMA_0415 - Fornecer treinamento de privacidade | Manual, Desativado | 1.1.0 |
| Satisfazer os requisitos de qualidade do token | CMA_0487 - Satisfazer os requisitos de qualidade do token | Manual, Desativado | 1.1.0 |
A autenticação multifator (MFA) é implementada para proteger o acesso ao CDE
ID: PCI DSS v4.0 8.4.3 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Adotar mecanismos de autenticação biométrica | CMA_0005 - Adotar mecanismos de autenticação biométrica | Manual, Desativado | 1.1.0 |
| Autorizar acesso remoto | CMA_0024 - Autorizar acesso remoto | Manual, Desativado | 1.1.0 |
| Formação em mobilidade documental | CMA_0191 - Formação em mobilidade documental | Manual, Desativado | 1.1.0 |
| Documentar diretrizes de acesso remoto | CMA_0196 - Documentar diretrizes de acesso remoto | Manual, Desativado | 1.1.0 |
| Identificar e autenticar dispositivos de rede | CMA_0296 - Identificar e autenticar dispositivos de rede | Manual, Desativado | 1.1.0 |
| Implementar controles para proteger locais de trabalho alternativos | CMA_0315 - Implementar controles para proteger locais de trabalho alternativos | Manual, Desativado | 1.1.0 |
| Fornecer treinamento de privacidade | CMA_0415 - Fornecer treinamento de privacidade | Manual, Desativado | 1.1.0 |
| Satisfazer os requisitos de qualidade do token | CMA_0487 - Satisfazer os requisitos de qualidade do token | Manual, Desativado | 1.1.0 |
Os sistemas de autenticação multifator (MFA) são configurados para evitar uso indevido
ID: PCI DSS v4.0 8.5.1 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Adotar mecanismos de autenticação biométrica | CMA_0005 - Adotar mecanismos de autenticação biométrica | Manual, Desativado | 1.1.0 |
| Autorizar acesso remoto | CMA_0024 - Autorizar acesso remoto | Manual, Desativado | 1.1.0 |
| Formação em mobilidade documental | CMA_0191 - Formação em mobilidade documental | Manual, Desativado | 1.1.0 |
| Documentar diretrizes de acesso remoto | CMA_0196 - Documentar diretrizes de acesso remoto | Manual, Desativado | 1.1.0 |
| Identificar e autenticar dispositivos de rede | CMA_0296 - Identificar e autenticar dispositivos de rede | Manual, Desativado | 1.1.0 |
| Implementar controles para proteger locais de trabalho alternativos | CMA_0315 - Implementar controles para proteger locais de trabalho alternativos | Manual, Desativado | 1.1.0 |
| Fornecer treinamento de privacidade | CMA_0415 - Fornecer treinamento de privacidade | Manual, Desativado | 1.1.0 |
| Satisfazer os requisitos de qualidade do token | CMA_0487 - Satisfazer os requisitos de qualidade do token | Manual, Desativado | 1.1.0 |
O uso de contas de aplicativo e sistema e fatores de autenticação associados é estritamente gerenciado
ID: PCI DSS v4.0 8.6.1 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Definir tipos de conta do sistema de informação | CMA_0121 - Definir tipos de conta do sistema de informação | Manual, Desativado | 1.1.0 |
| Exigir aprovação para a criação de conta | CMA_0431 - Requer aprovação para a criação de conta | Manual, Desativado | 1.1.0 |
O uso de contas de aplicativo e sistema e fatores de autenticação associados é estritamente gerenciado
ID: PCI DSS v4.0 8.6.2 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Implementar treinamento para proteger autenticadores | CMA_0329 - Implementar treinamento para proteger autenticadores | Manual, Desativado | 1.1.0 |
O uso de contas de aplicativo e sistema e fatores de autenticação associados é estritamente gerenciado
ID: PCI DSS v4.0 8.6.3 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Documentar os requisitos de segurança nos contratos de aquisição | CMA_0203 - Documentar requisitos de segurança em contratos de aquisição | Manual, Desativado | 1.1.0 |
| Estabelecer uma política de senha | CMA_0256 - Estabeleça uma política de senha | Manual, Desativado | 1.1.0 |
| Implementar parâmetros para verificadores secretos memorizados | CMA_0321 - Implementar parâmetros para verificadores secretos memorizados | Manual, Desativado | 1.1.0 |
| Implementar treinamento para proteger autenticadores | CMA_0329 - Implementar treinamento para proteger autenticadores | Manual, Desativado | 1.1.0 |
| Gerencie o tempo de vida e a reutilização do autenticador | CMA_0355 - Gerencie o tempo de vida e a reutilização do autenticador | Manual, Desativado | 1.1.0 |
| Atualizar autenticadores | CMA_0425 - Atualizar autenticadores | Manual, Desativado | 1.1.0 |
Requisito 09: Restringir o acesso físico aos dados do titular do cartão
Os processos e mecanismos para restringir o acesso físico aos dados do titular do cartão são definidos e compreendidos
ID: PCI DSS v4.0 9.1.1 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Revisar e atualizar políticas e procedimentos de proteção de mídia | CMA_C1427 - Rever e atualizar políticas e procedimentos de proteção de mídia | Manual, Desativado | 1.1.0 |
| Rever e atualizar políticas e procedimentos físicos e ambientais | CMA_C1446 - Rever e atualizar políticas e procedimentos físicos e ambientais | Manual, Desativado | 1.1.0 |
Os controles de acesso físico gerenciam a entrada em instalações e sistemas que contêm dados do titular do cartão
ID: PCI DSS v4.0 9.2.2 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controlar o acesso físico | CMA_0081 - Controle o acesso físico | Manual, Desativado | 1.1.0 |
Os controles de acesso físico gerenciam a entrada em instalações e sistemas que contêm dados do titular do cartão
ID: PCI DSS v4.0 9.2.3 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controlar o acesso físico | CMA_0081 - Controle o acesso físico | Manual, Desativado | 1.1.0 |
| Implementar segurança física para escritórios, áreas de trabalho e áreas seguras | CMA_0323 - Implementar segurança física para escritórios, áreas de trabalho e áreas seguras | Manual, Desativado | 1.1.0 |
Os controles de acesso físico gerenciam a entrada em instalações e sistemas que contêm dados do titular do cartão
ID: PCI DSS v4.0 9.2.4 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controlar o acesso físico | CMA_0081 - Controle o acesso físico | Manual, Desativado | 1.1.0 |
| Implementar segurança física para escritórios, áreas de trabalho e áreas seguras | CMA_0323 - Implementar segurança física para escritórios, áreas de trabalho e áreas seguras | Manual, Desativado | 1.1.0 |
O acesso físico para pessoal e visitantes é autorizado e gerido
ID: PCI DSS v4.0 9.3.1 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controlar o acesso físico | CMA_0081 - Controle o acesso físico | Manual, Desativado | 1.1.0 |
O acesso físico para pessoal e visitantes é autorizado e gerido
ID: PCI DSS v4.0 9.3.1.1 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controlar o acesso físico | CMA_0081 - Controle o acesso físico | Manual, Desativado | 1.1.0 |
O acesso físico para pessoal e visitantes é autorizado e gerido
ID: PCI DSS v4.0 9.3.2 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controlar o acesso físico | CMA_0081 - Controle o acesso físico | Manual, Desativado | 1.1.0 |
| Implementar segurança física para escritórios, áreas de trabalho e áreas seguras | CMA_0323 - Implementar segurança física para escritórios, áreas de trabalho e áreas seguras | Manual, Desativado | 1.1.0 |
O acesso físico para pessoal e visitantes é autorizado e gerido
ID: PCI DSS v4.0 9.3.3 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controlar o acesso físico | CMA_0081 - Controle o acesso físico | Manual, Desativado | 1.1.0 |
| Implementar segurança física para escritórios, áreas de trabalho e áreas seguras | CMA_0323 - Implementar segurança física para escritórios, áreas de trabalho e áreas seguras | Manual, Desativado | 1.1.0 |
O acesso físico para pessoal e visitantes é autorizado e gerido
ID: PCI DSS v4.0 9.3.4 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controlar o acesso físico | CMA_0081 - Controle o acesso físico | Manual, Desativado | 1.1.0 |
| Implementar segurança física para escritórios, áreas de trabalho e áreas seguras | CMA_0323 - Implementar segurança física para escritórios, áreas de trabalho e áreas seguras | Manual, Desativado | 1.1.0 |
A mídia com dados do titular do cartão é armazenada, acessada, distribuída e destruída com segurança
ID: PCI DSS v4.0 9.4.1 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Implementar controles para proteger todas as mídias | CMA_0314 - Implementar controles para proteger todas as mídias | Manual, Desativado | 1.1.0 |
A mídia com dados do titular do cartão é armazenada, acessada, distribuída e destruída com segurança
ID: PCI DSS v4.0 9.4.1.1 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Implementar controles para proteger todas as mídias | CMA_0314 - Implementar controles para proteger todas as mídias | Manual, Desativado | 1.1.0 |
A mídia com dados do titular do cartão é armazenada, acessada, distribuída e destruída com segurança
ID: PCI DSS v4.0 9.4.2 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Implementar controles para proteger todas as mídias | CMA_0314 - Implementar controles para proteger todas as mídias | Manual, Desativado | 1.1.0 |
A mídia com dados do titular do cartão é armazenada, acessada, distribuída e destruída com segurança
ID: PCI DSS v4.0 9.4.3 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Implementar controles para proteger todas as mídias | CMA_0314 - Implementar controles para proteger todas as mídias | Manual, Desativado | 1.1.0 |
| Gerir o transporte de ativos | CMA_0370 - Gerir o transporte de ativos | Manual, Desativado | 1.1.0 |
A mídia com dados do titular do cartão é armazenada, acessada, distribuída e destruída com segurança
ID: PCI DSS v4.0 9.4.4 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Implementar controles para proteger todas as mídias | CMA_0314 - Implementar controles para proteger todas as mídias | Manual, Desativado | 1.1.0 |
| Gerir o transporte de ativos | CMA_0370 - Gerir o transporte de ativos | Manual, Desativado | 1.1.0 |
A mídia com dados do titular do cartão é armazenada, acessada, distribuída e destruída com segurança
ID: PCI DSS v4.0 9.4.5.1 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Criar um inventário de dados | CMA_0096 - Criar um inventário de dados | Manual, Desativado | 1.1.0 |
| Manter registos do tratamento de dados pessoais | CMA_0353 - Manter registos do tratamento de dados pessoais | Manual, Desativado | 1.1.0 |
A mídia com dados do titular do cartão é armazenada, acessada, distribuída e destruída com segurança
ID: PCI DSS v4.0 9.4.6 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Empregar um mecanismo de higienização de mídia | CMA_0208 - Empregar um mecanismo de higienização de mídia | Manual, Desativado | 1.1.0 |
| Implementar controles para proteger todas as mídias | CMA_0314 - Implementar controles para proteger todas as mídias | Manual, Desativado | 1.1.0 |
| Realizar revisão de disposição | CMA_0391 - Realizar revisão de disposição | Manual, Desativado | 1.1.0 |
| Verificar se os dados pessoais são apagados no final do processamento | CMA_0540 - Verificar se os dados pessoais são apagados no final do tratamento | Manual, Desativado | 1.1.0 |
A mídia com dados do titular do cartão é armazenada, acessada, distribuída e destruída com segurança
ID: PCI DSS v4.0 9.4.7 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Empregar um mecanismo de higienização de mídia | CMA_0208 - Empregar um mecanismo de higienização de mídia | Manual, Desativado | 1.1.0 |
| Implementar controles para proteger todas as mídias | CMA_0314 - Implementar controles para proteger todas as mídias | Manual, Desativado | 1.1.0 |
| Realizar revisão de disposição | CMA_0391 - Realizar revisão de disposição | Manual, Desativado | 1.1.0 |
| Verificar se os dados pessoais são apagados no final do processamento | CMA_0540 - Verificar se os dados pessoais são apagados no final do tratamento | Manual, Desativado | 1.1.0 |
Os dispositivos de ponto de interação (POI) estão protegidos contra adulteração e substituição não autorizada
ID: PCI DSS v4.0 9.5.1 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controlar o acesso físico | CMA_0081 - Controle o acesso físico | Manual, Desativado | 1.1.0 |
| Implementar segurança física para escritórios, áreas de trabalho e áreas seguras | CMA_0323 - Implementar segurança física para escritórios, áreas de trabalho e áreas seguras | Manual, Desativado | 1.1.0 |
| Gerencie a entrada, saída, processamento e armazenamento de dados | CMA_0369 - Gerenciar a entrada, saída, processamento e armazenamento de dados | Manual, Desativado | 1.1.0 |
Os dispositivos de ponto de interação (POI) estão protegidos contra adulteração e substituição não autorizada
ID: PCI DSS v4.0 9.5.1.2 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controlar o acesso físico | CMA_0081 - Controle o acesso físico | Manual, Desativado | 1.1.0 |
| Implementar segurança física para escritórios, áreas de trabalho e áreas seguras | CMA_0323 - Implementar segurança física para escritórios, áreas de trabalho e áreas seguras | Manual, Desativado | 1.1.0 |
| Gerencie a entrada, saída, processamento e armazenamento de dados | CMA_0369 - Gerenciar a entrada, saída, processamento e armazenamento de dados | Manual, Desativado | 1.1.0 |
Os dispositivos de ponto de interação (POI) estão protegidos contra adulteração e substituição não autorizada
ID: PCI DSS v4.0 9.5.1.2.1 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controlar o acesso físico | CMA_0081 - Controle o acesso físico | Manual, Desativado | 1.1.0 |
| Implementar segurança física para escritórios, áreas de trabalho e áreas seguras | CMA_0323 - Implementar segurança física para escritórios, áreas de trabalho e áreas seguras | Manual, Desativado | 1.1.0 |
| Gerencie a entrada, saída, processamento e armazenamento de dados | CMA_0369 - Gerenciar a entrada, saída, processamento e armazenamento de dados | Manual, Desativado | 1.1.0 |
Os dispositivos de ponto de interação (POI) estão protegidos contra adulteração e substituição não autorizada
ID: PCI DSS v4.0 9.5.1.3 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Fornecer treinamento de segurança antes de fornecer acesso | CMA_0418 - Fornecer treinamento de segurança antes de fornecer acesso | Manual, Desativado | 1.1.0 |
Próximos passos
Artigos adicionais sobre a Política do Azure:
- Visão geral da conformidade regulamentar.
- Consulte a estrutura de definição da iniciativa.
- Analise outros exemplos em Exemplos de Política do Azure.
- Veja Compreender os efeitos do Policy.
- Saiba como corrigir recursos não compatíveis.