Detalhes da iniciativa integrada de conformidade regulatória SWIFT CSP-CSCF v2022

Artigo
04/10/2024

O artigo a seguir detalha como a definição de iniciativa interna de Conformidade Regulatória da Política do Azure mapeia para domínios e controles de conformidade no SWIFT CSP-CSCF v2022. Para obter mais informações sobre esse padrão de conformidade, consulte SWIFT CSP-CSCF v2022. Para entender a Propriedade, consulte Definição da política do Azure e Responsabilidade compartilhada na nuvem.

Os mapeamentos a seguir são para os controles SWIFT CSP-CSCF v2022 . Muitos dos controles são implementados com uma definição de iniciativa de Política do Azure. Para rever a definição completa da iniciativa, abra Política no portal do Azure e selecione a página Definições . Em seguida, localize e selecione a definição de iniciativa interna de Conformidade Regulatória SWIFT CSP-CSCF v2022 .

Importante

Cada controle abaixo está associado a uma ou mais definições de Política do Azure. Essas políticas podem ajudá-lo a avaliar a conformidade com o controle, no entanto, muitas vezes não há uma correspondência individual ou completa entre um controle e uma ou mais políticas. Como tal, Compatível na Política do Azure refere-se apenas às próprias definições de política, o que não garante que esteja totalmente em conformidade com todos os requisitos de um controlo. Além disso, o padrão de conformidade inclui controles que não são abordados por nenhuma definição de Política do Azure no momento. Portanto, a conformidade na Política do Azure é apenas uma exibição parcial do seu status geral de conformidade. As associações entre domínios de conformidade, controles e definições de Política do Azure para esse padrão de conformidade podem mudar ao longo do tempo. Para visualizar o histórico de alterações, consulte o Histórico de confirmação do GitHub.

1. Restrinja o acesso à Internet e proteja sistemas críticos do ambiente geral de TI

Assegurar a proteção da infraestrutura SWIFT local do utilizador contra elementos potencialmente comprometidos do ambiente informático geral e do ambiente externo.

ID: SWIFT CSCF v2022 1.1 Propriedade: Compartilhada

Nome _{(Portal do Azure)}	Description	Efeito(s)	Versão _(GitHub)
[Pré-visualização]: Todo o tráfego da Internet deve ser encaminhado através da Firewall do Azure implementada	A Central de Segurança do Azure identificou que algumas de suas sub-redes não estão protegidas com um firewall de próxima geração. Proteja suas sub-redes contra ameaças potenciais restringindo o acesso a elas com o Firewall do Azure ou um firewall de próxima geração com suporte	AuditIfNotExists, desativado	3.0.0-Pré-visualização
[Preview]: O agente de coleta de dados de tráfego de rede deve ser instalado em máquinas virtuais Linux	A Central de Segurança usa o agente de dependência da Microsoft para coletar dados de tráfego de rede de suas máquinas virtuais do Azure para habilitar recursos avançados de proteção de rede, como visualização de tráfego no mapa de rede, recomendações de proteção de rede e ameaças de rede específicas.	AuditIfNotExists, desativado	1.0.2-Pré-visualização
[Pré-visualização]: O agente de recolha de dados de tráfego de rede deve ser instalado em máquinas virtuais Windows	A Central de Segurança usa o agente de dependência da Microsoft para coletar dados de tráfego de rede de suas máquinas virtuais do Azure para habilitar recursos avançados de proteção de rede, como visualização de tráfego no mapa de rede, recomendações de proteção de rede e ameaças de rede específicas.	AuditIfNotExists, desativado	1.0.2-Pré-visualização
Controles de aplicativos adaptáveis para definir aplicativos seguros devem ser habilitados em suas máquinas	Habilite os controles de aplicativo para definir a lista de aplicativos seguros conhecidos em execução em suas máquinas e alertá-lo quando outros aplicativos forem executados. Isso ajuda a proteger suas máquinas contra malware. Para simplificar o processo de configuração e manutenção das regras, a Central de Segurança usa o aprendizado de máquina para analisar os aplicativos em execução em cada máquina e sugerir a lista de aplicativos seguros conhecidos.	AuditIfNotExists, desativado	3.0.0
As recomendações de proteção de rede adaptável devem ser aplicadas em máquinas virtuais voltadas para a Internet	A Central de Segurança do Azure analisa os padrões de tráfego de máquinas virtuais voltadas para a Internet e fornece recomendações de regras do Grupo de Segurança de Rede que reduzem a superfície de ataque potencial	AuditIfNotExists, desativado	3.0.0
Todas as portas de rede devem ser restritas em grupos de segurança de rede associados à sua máquina virtual	A Central de Segurança do Azure identificou que algumas das regras de entrada dos seus grupos de segurança de rede são muito permissivas. As regras de entrada não devem permitir o acesso a partir de intervalos de «Qualquer» ou «Internet». Isso pode potencialmente permitir que os invasores direcionem seus recursos.	AuditIfNotExists, desativado	3.0.0
As regras de lista de permissões em sua política de controle de aplicativo adaptável devem ser atualizadas	Monitore alterações no comportamento em grupos de máquinas configuradas para auditoria pelos controles de aplicativo adaptáveis da Central de Segurança do Azure. A Central de Segurança usa aprendizado de máquina para analisar os processos em execução em suas máquinas e sugerir uma lista de aplicativos seguros conhecidos. Eles são apresentados como aplicativos recomendados para permitir políticas de controle de aplicativos adaptáveis.	AuditIfNotExists, desativado	3.0.0
Os aplicativos do Serviço de Aplicativo devem usar um ponto de extremidade de serviço de rede virtual	Use pontos de extremidade de serviço de rede virtual para restringir o acesso ao seu aplicativo a partir de sub-redes selecionadas de uma rede virtual do Azure. Para saber mais sobre os pontos de extremidade do serviço de aplicativo, visite https://aka.ms/appservice-vnet-service-endpoint.	AuditIfNotExists, desativado	2.0.1
O Azure Key Vault deve ter firewall ativado	Habilite o firewall do cofre de chaves para que o cofre de chaves não seja acessível por padrão a nenhum IPs público. Opcionalmente, você pode configurar intervalos de IP específicos para limitar o acesso a essas redes. Saiba mais em: https://docs.microsoft.com/azure/key-vault/general/network-security	Auditoria, Negar, Desativado	3.2.1
Verifique a conformidade de privacidade e segurança antes de estabelecer conexões internas	CMA_0053 - Verifique a conformidade de privacidade e segurança antes de estabelecer conexões internas	Manual, Desativado	1.1.0
Garantir que os fornecedores externos satisfaçam consistentemente os interesses dos clientes	CMA_C1592 - Garantir que os fornecedores externos satisfaçam consistentemente os interesses dos clientes	Manual, Desativado	1.1.0
Implementar a proteção de limites do sistema	CMA_0328 - Implementar a proteção de limites do sistema	Manual, Desativado	1.1.0
As máquinas virtuais voltadas para a Internet devem ser protegidas com grupos de segurança de rede	Proteja suas máquinas virtuais contra ameaças potenciais restringindo o acesso a elas com grupos de segurança de rede (NSG). Saiba mais sobre como controlar o tráfego com NSGs em https://aka.ms/nsg-doc	AuditIfNotExists, desativado	3.0.0
O encaminhamento de IP em sua máquina virtual deve ser desabilitado	Habilitar o encaminhamento de IP na NIC de uma máquina virtual permite que a máquina receba tráfego endereçado a outros destinos. O encaminhamento de IP raramente é necessário (por exemplo, ao usar a VM como um dispositivo virtual de rede) e, portanto, isso deve ser revisado pela equipe de segurança de rede.	AuditIfNotExists, desativado	3.0.0
O Cofre de Chaves deve usar um ponto de extremidade de serviço de rede virtual	Esta política audita qualquer Cofre de Chaves não configurado para usar um ponto de extremidade de serviço de rede virtual.	Auditoria, Desativado	1.0.0
O Inspetor de Rede deve estar ativado	O Inspetor de Rede é um serviço regional que permite monitorar e diagnosticar condições em um nível de cenário de rede no, para e do Azure. O monitoramento no nível do cenário permite diagnosticar problemas em uma visualização de nível de rede de ponta a ponta. É necessário ter um grupo de recursos de observador de rede a ser criado em cada região onde uma rede virtual está presente. Um alerta será ativado se um grupo de recursos do inspetor de rede não estiver disponível em uma região específica.	AuditIfNotExists, desativado	3.0.0
Analisar a conformidade do provedor de serviços de nuvem com políticas e contratos	CMA_0469 - Analisar a conformidade do fornecedor de serviços na nuvem com políticas e acordos	Manual, Desativado	1.1.0
As contas de armazenamento devem restringir o acesso à rede	O acesso à rede para contas de armazenamento deve ser restrito. Configure regras de rede para que apenas aplicativos de redes permitidas possam acessar a conta de armazenamento. Para permitir conexões de clientes específicos da Internet ou locais, o acesso pode ser concedido ao tráfego de redes virtuais específicas do Azure ou a intervalos de endereços IP da Internet pública	Auditoria, Negar, Desativado	1.1.1
As Contas de Armazenamento devem usar um ponto de extremidade de serviço de rede virtual	Esta política audita qualquer Conta de Armazenamento não configurada para usar um ponto de extremidade de serviço de rede virtual.	Auditoria, Desativado	1.0.0
As sub-redes devem estar associadas a um Grupo de Segurança de Rede	Proteja sua sub-rede contra ameaças potenciais restringindo o acesso a ela com um NSG (Network Security Group). Os NSGs contêm uma lista de regras de ACL (Lista de Controle de Acesso) que permitem ou negam tráfego de rede para sua sub-rede.	AuditIfNotExists, desativado	3.0.0
Passar por uma revisão de segurança independente	CMA_0515 - Passar por uma revisão de segurança independente	Manual, Desativado	1.1.0
Os modelos do Construtor de Imagens de VM devem usar link privado	O Azure Private Link permite conectar sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma Private Link lida com a conectividade entre o consumidor e os serviços através da rede de backbone do Azure. Ao mapear pontos de extremidade privados para seus recursos de criação do VM Image Builder, os riscos de vazamento de dados são reduzidos. Saiba mais sobre links privados em: https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet.	Auditar, Desabilitar, Negar	1.1.0

Restrinja e controle a alocação e o uso de contas de sistema operacional de nível de administrador.

ID: SWIFT CSCF v2022 1.2 Propriedade: Compartilhada

Nome _{(Portal do Azure)}	Description	Efeito(s)	Versão _(GitHub)
Um máximo de 3 proprietários devem ser designados para a sua subscrição	Recomenda-se designar até 3 proprietários de assinatura para reduzir o potencial de violação por um proprietário comprometido.	AuditIfNotExists, desativado	3.0.0
Funções privilegiadas de auditoria	CMA_0019 - Funções privilegiadas de auditoria	Manual, Desativado	1.1.0
Contas bloqueadas com permissões de proprietário em recursos do Azure devem ser removidas	Contas preteridas com permissões de proprietário devem ser removidas da sua assinatura. Contas preteridas são contas que foram bloqueadas para entrar.	AuditIfNotExists, desativado	1.0.0
Contas bloqueadas com permissões de leitura e gravação em recursos do Azure devem ser removidas	As contas preteridas devem ser removidas das suas subscrições. Contas preteridas são contas que foram bloqueadas para entrar.	AuditIfNotExists, desativado	1.0.0
Definir e impor condições para contas compartilhadas e de grupo	CMA_0117 - Definir e impor condições para contas compartilhadas e de grupo	Manual, Desativado	1.1.0
Projetar um modelo de controle de acesso	CMA_0129 - Projetar um modelo de controle de acesso	Manual, Desativado	1.1.0
Desenvolver e estabelecer um plano de segurança do sistema	CMA_0151 - Desenvolver e estabelecer um plano de segurança do sistema	Manual, Desativado	1.1.0
Desenvolver políticas e procedimentos de segurança da informação	CMA_0158 - Desenvolver políticas e procedimentos de segurança da informação	Manual, Desativado	1.1.0
Empregar acesso com privilégios mínimos	CMA_0212 - Empregar acesso com privilégios mínimos	Manual, Desativado	1.1.0
Estabeleça um programa de privacidade	CMA_0257 - Estabelecer um programa de privacidade	Manual, Desativado	1.1.0
Estabelecer requisitos de segurança para a fabricação de dispositivos conectados	CMA_0279 - Estabelecer requisitos de segurança para a fabricação de dispositivos conectados	Manual, Desativado	1.1.0
Contas de convidado com permissões de proprietário em recursos do Azure devem ser removidas	As contas externas com permissões de proprietário devem ser removidas da sua subscrição para evitar o acesso não monitorizado.	AuditIfNotExists, desativado	1.0.0
Contas de convidado com permissões de leitura em recursos do Azure devem ser removidas	As contas externas com privilégios de leitura devem ser removidas da sua subscrição para evitar o acesso não monitorizado.	AuditIfNotExists, desativado	1.0.0
Contas de convidado com permissões de gravação em recursos do Azure devem ser removidas	As contas externas com privilégios de escrita devem ser removidas da sua subscrição para evitar o acesso não monitorizado.	AuditIfNotExists, desativado	1.0.0
Implementar princípios de engenharia de segurança de sistemas de informação	CMA_0325 - Implementar princípios de engenharia de segurança de sistemas de informação	Manual, Desativado	1.1.0
As portas de gerenciamento de máquinas virtuais devem ser protegidas com controle de acesso à rede just-in-time	O possível acesso à rede Just In Time (JIT) será monitorado pela Central de Segurança do Azure como recomendações	AuditIfNotExists, desativado	3.0.0
Monitorar a atividade da conta	CMA_0377 - Monitore a atividade da conta	Manual, Desativado	1.1.0
Monitorar atribuição de função privilegiada	CMA_0378 - Monitorar atribuição de função privilegiada	Manual, Desativado	1.1.0
Restringir o acesso a contas privilegiadas	CMA_0446 - Restringir o acesso a contas privilegiadas	Manual, Desativado	1.1.0
Revogar funções privilegiadas conforme apropriado	CMA_0483 - Revogar funções privilegiadas conforme apropriado	Manual, Desativado	1.1.0
Deve haver mais de um proprietário atribuído à sua assinatura	É recomendável designar mais de um proprietário de assinatura para ter redundância de acesso de administrador.	AuditIfNotExists, desativado	3.0.0
Usar o gerenciamento privilegiado de identidades	CMA_0533 - Use o gerenciamento privilegiado de identidades	Manual, Desativado	1.1.0

ID: SWIFT CSCF v2022 1.3 Propriedade: Compartilhada

Nome _{(Portal do Azure)}	Description	Efeito(s)	Versão _(GitHub)
Auditar VMs que não usam discos gerenciados	Esta política audita VMs que não utilizam discos geridos	auditoria	1.0.0
Implementar a proteção de limites do sistema	CMA_0328 - Implementar a proteção de limites do sistema	Manual, Desativado	1.1.0

Controlar/Proteger o acesso à Internet a partir de PCs e sistemas de operadores dentro da zona segura.

ID: SWIFT CSCF v2022 1.4 Propriedade: Compartilhada

Nome _{(Portal do Azure)}	Description	Efeito(s)	Versão _(GitHub)
[Pré-visualização]: Todo o tráfego da Internet deve ser encaminhado através da Firewall do Azure implementada	A Central de Segurança do Azure identificou que algumas de suas sub-redes não estão protegidas com um firewall de próxima geração. Proteja suas sub-redes contra ameaças potenciais restringindo o acesso a elas com o Firewall do Azure ou um firewall de próxima geração com suporte	AuditIfNotExists, desativado	3.0.0-Pré-visualização
Autorizar acesso remoto	CMA_0024 - Autorizar acesso remoto	Manual, Desativado	1.1.0
Definir cryptographic use	CMA_0120 - Definir uso criptográfico	Manual, Desativado	1.1.0
Documentar e implementar diretrizes de acesso sem fio	CMA_0190 - Documentar e implementar diretrizes de acesso sem fio	Manual, Desativado	1.1.0
Formação em mobilidade documental	CMA_0191 - Formação em mobilidade documental	Manual, Desativado	1.1.0
Documentar diretrizes de acesso remoto	CMA_0196 - Documentar diretrizes de acesso remoto	Manual, Desativado	1.1.0
Implementar controles para proteger locais de trabalho alternativos	CMA_0315 - Implementar controles para proteger locais de trabalho alternativos	Manual, Desativado	1.1.0
As máquinas virtuais voltadas para a Internet devem ser protegidas com grupos de segurança de rede	Proteja suas máquinas virtuais contra ameaças potenciais restringindo o acesso a elas com grupos de segurança de rede (NSG). Saiba mais sobre como controlar o tráfego com NSGs em https://aka.ms/nsg-doc	AuditIfNotExists, desativado	3.0.0
As máquinas virtuais não voltadas para a Internet devem ser protegidas com grupos de segurança de rede	Proteja suas máquinas virtuais não voltadas para a Internet contra ameaças potenciais restringindo o acesso com grupos de segurança de rede (NSG). Saiba mais sobre como controlar o tráfego com NSGs em https://aka.ms/nsg-doc	AuditIfNotExists, desativado	3.0.0
Proteja o acesso sem fio	CMA_0411 - Proteja o acesso sem fio	Manual, Desativado	1.1.0
Fornecer treinamento de privacidade	CMA_0415 - Fornecer treinamento de privacidade	Manual, Desativado	1.1.0

Garantir a proteção da infraestrutura de conectividade do cliente contra o ambiente externo e elementos potencialmente comprometidos do ambiente geral de TI.

ID: SWIFT CSCF v2022 1.5A Propriedade: Compartilhada

Nome _{(Portal do Azure)}	Description	Efeito(s)	Versão _(GitHub)
[Pré-visualização]: Todo o tráfego da Internet deve ser encaminhado através da Firewall do Azure implementada	A Central de Segurança do Azure identificou que algumas de suas sub-redes não estão protegidas com um firewall de próxima geração. Proteja suas sub-redes contra ameaças potenciais restringindo o acesso a elas com o Firewall do Azure ou um firewall de próxima geração com suporte	AuditIfNotExists, desativado	3.0.0-Pré-visualização
[Preview]: O agente de coleta de dados de tráfego de rede deve ser instalado em máquinas virtuais Linux	A Central de Segurança usa o agente de dependência da Microsoft para coletar dados de tráfego de rede de suas máquinas virtuais do Azure para habilitar recursos avançados de proteção de rede, como visualização de tráfego no mapa de rede, recomendações de proteção de rede e ameaças de rede específicas.	AuditIfNotExists, desativado	1.0.2-Pré-visualização
[Pré-visualização]: O agente de recolha de dados de tráfego de rede deve ser instalado em máquinas virtuais Windows	A Central de Segurança usa o agente de dependência da Microsoft para coletar dados de tráfego de rede de suas máquinas virtuais do Azure para habilitar recursos avançados de proteção de rede, como visualização de tráfego no mapa de rede, recomendações de proteção de rede e ameaças de rede específicas.	AuditIfNotExists, desativado	1.0.2-Pré-visualização
Controles de aplicativos adaptáveis para definir aplicativos seguros devem ser habilitados em suas máquinas	Habilite os controles de aplicativo para definir a lista de aplicativos seguros conhecidos em execução em suas máquinas e alertá-lo quando outros aplicativos forem executados. Isso ajuda a proteger suas máquinas contra malware. Para simplificar o processo de configuração e manutenção das regras, a Central de Segurança usa o aprendizado de máquina para analisar os aplicativos em execução em cada máquina e sugerir a lista de aplicativos seguros conhecidos.	AuditIfNotExists, desativado	3.0.0
As recomendações de proteção de rede adaptável devem ser aplicadas em máquinas virtuais voltadas para a Internet	A Central de Segurança do Azure analisa os padrões de tráfego de máquinas virtuais voltadas para a Internet e fornece recomendações de regras do Grupo de Segurança de Rede que reduzem a superfície de ataque potencial	AuditIfNotExists, desativado	3.0.0
Todas as portas de rede devem ser restritas em grupos de segurança de rede associados à sua máquina virtual	A Central de Segurança do Azure identificou que algumas das regras de entrada dos seus grupos de segurança de rede são muito permissivas. As regras de entrada não devem permitir o acesso a partir de intervalos de «Qualquer» ou «Internet». Isso pode potencialmente permitir que os invasores direcionem seus recursos.	AuditIfNotExists, desativado	3.0.0
Os aplicativos do Serviço de Aplicativo devem usar um ponto de extremidade de serviço de rede virtual	Use pontos de extremidade de serviço de rede virtual para restringir o acesso ao seu aplicativo a partir de sub-redes selecionadas de uma rede virtual do Azure. Para saber mais sobre os pontos de extremidade do serviço de aplicativo, visite https://aka.ms/appservice-vnet-service-endpoint.	AuditIfNotExists, desativado	2.0.1
A Proteção contra DDoS do Azure deve ser habilitada	A proteção contra DDoS deve ser habilitada para todas as redes virtuais com uma sub-rede que faça parte de um gateway de aplicativo com um IP público.	AuditIfNotExists, desativado	3.0.1
O Azure Key Vault deve ter firewall ativado	Habilite o firewall do cofre de chaves para que o cofre de chaves não seja acessível por padrão a nenhum IPs público. Opcionalmente, você pode configurar intervalos de IP específicos para limitar o acesso a essas redes. Saiba mais em: https://docs.microsoft.com/azure/key-vault/general/network-security	Auditoria, Negar, Desativado	3.2.1
Controlar o fluxo de informações	CMA_0079 - Controlar o fluxo de informações	Manual, Desativado	1.1.0
Empregar proteção de limites para isolar sistemas de informação	CMA_C1639 - Empregar proteção de fronteiras para isolar sistemas de informação	Manual, Desativado	1.1.0
Empregar mecanismos de controle de fluxo de informações criptografadas	CMA_0211 - Empregar mecanismos de controle de fluxo de informações criptografadas	Manual, Desativado	1.1.0
Empregar restrições em interconexões externas do sistema	CMA_C1155 - Aplicar restrições às interconexões externas do sistema	Manual, Desativado	1.1.0
Estabeleça padrões de configuração de firewall e roteador	CMA_0272 - Estabelecer padrões de configuração de firewall e roteador	Manual, Desativado	1.1.0
Estabelecer segmentação de rede para o ambiente de dados do titular do cartão	CMA_0273 - Estabelecer segmentação de rede para o ambiente de dados do titular do cartão	Manual, Desativado	1.1.0
Identificar e gerir os intercâmbios de informações a jusante	CMA_0298 - Identificar e gerir os intercâmbios de informações a jusante	Manual, Desativado	1.1.0
Implementar interface gerenciada para cada serviço externo	CMA_C1626 - Implementar interface gerenciada para cada serviço externo	Manual, Desativado	1.1.0
Implementar a proteção de limites do sistema	CMA_0328 - Implementar a proteção de limites do sistema	Manual, Desativado	1.1.0
As máquinas virtuais voltadas para a Internet devem ser protegidas com grupos de segurança de rede	Proteja suas máquinas virtuais contra ameaças potenciais restringindo o acesso a elas com grupos de segurança de rede (NSG). Saiba mais sobre como controlar o tráfego com NSGs em https://aka.ms/nsg-doc	AuditIfNotExists, desativado	3.0.0
O encaminhamento de IP em sua máquina virtual deve ser desabilitado	Habilitar o encaminhamento de IP na NIC de uma máquina virtual permite que a máquina receba tráfego endereçado a outros destinos. O encaminhamento de IP raramente é necessário (por exemplo, ao usar a VM como um dispositivo virtual de rede) e, portanto, isso deve ser revisado pela equipe de segurança de rede.	AuditIfNotExists, desativado	3.0.0
O Cofre de Chaves deve usar um ponto de extremidade de serviço de rede virtual	Esta política audita qualquer Cofre de Chaves não configurado para usar um ponto de extremidade de serviço de rede virtual.	Auditoria, Desativado	1.0.0
O Inspetor de Rede deve estar ativado	O Inspetor de Rede é um serviço regional que permite monitorar e diagnosticar condições em um nível de cenário de rede no, para e do Azure. O monitoramento no nível do cenário permite diagnosticar problemas em uma visualização de nível de rede de ponta a ponta. É necessário ter um grupo de recursos de observador de rede a ser criado em cada região onde uma rede virtual está presente. Um alerta será ativado se um grupo de recursos do inspetor de rede não estiver disponível em uma região específica.	AuditIfNotExists, desativado	3.0.0
As contas de armazenamento devem restringir o acesso à rede	O acesso à rede para contas de armazenamento deve ser restrito. Configure regras de rede para que apenas aplicativos de redes permitidas possam acessar a conta de armazenamento. Para permitir conexões de clientes específicos da Internet ou locais, o acesso pode ser concedido ao tráfego de redes virtuais específicas do Azure ou a intervalos de endereços IP da Internet pública	Auditoria, Negar, Desativado	1.1.1
As Contas de Armazenamento devem usar um ponto de extremidade de serviço de rede virtual	Esta política audita qualquer Conta de Armazenamento não configurada para usar um ponto de extremidade de serviço de rede virtual.	Auditoria, Desativado	1.0.0
As sub-redes devem estar associadas a um Grupo de Segurança de Rede	Proteja sua sub-rede contra ameaças potenciais restringindo o acesso a ela com um NSG (Network Security Group). Os NSGs contêm uma lista de regras de ACL (Lista de Controle de Acesso) que permitem ou negam tráfego de rede para sua sub-rede.	AuditIfNotExists, desativado	3.0.0
Os modelos do Construtor de Imagens de VM devem usar link privado	O Azure Private Link permite conectar sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma Private Link lida com a conectividade entre o consumidor e os serviços através da rede de backbone do Azure. Ao mapear pontos de extremidade privados para seus recursos de criação do VM Image Builder, os riscos de vazamento de dados são reduzidos. Saiba mais sobre links privados em: https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet.	Auditar, Desabilitar, Negar	1.1.0

2. Reduza a superfície de ataque e as vulnerabilidades

ID: SWIFT CSCF v2022 2.1 Propriedade: Compartilhada

Minimize a ocorrência de vulnerabilidades técnicas conhecidas nos PCs dos operadores e na infraestrutura SWIFT local, garantindo o suporte do fornecedor, aplicando atualizações de software obrigatórias e atualizações de segurança oportunas alinhadas ao risco avaliado.

ID: SWIFT CSCF v2022 2.2 Propriedade: Compartilhada

Nome _{(Portal do Azure)}	Description	Efeito(s)	Versão _(GitHub)
Adicionar identidade gerenciada atribuída ao sistema para habilitar atribuições de Configuração de Convidado em máquinas virtuais sem identidades	Esta política adiciona uma identidade gerenciada atribuída pelo sistema a máquinas virtuais hospedadas no Azure que são suportadas pela Configuração de Convidado, mas não têm identidades gerenciadas. Uma identidade gerenciada atribuída ao sistema é um pré-requisito para todas as atribuições de Configuração de Convidado e deve ser adicionada às máquinas antes de usar qualquer definição de política de Configuração de Convidado. Para obter mais informações sobre Configuração de convidado, visite https://aka.ms/gcpol.	modificar	4.1.0
Adicionar identidade gerenciada atribuída pelo sistema para habilitar atribuições de Configuração de Convidado em VMs com uma identidade atribuída pelo usuário	Esta política adiciona uma identidade gerenciada atribuída pelo sistema a máquinas virtuais hospedadas no Azure que são suportadas pela Configuração de Convidado e têm pelo menos uma identidade atribuída pelo usuário, mas não têm uma identidade gerenciada atribuída pelo sistema. Uma identidade gerenciada atribuída ao sistema é um pré-requisito para todas as atribuições de Configuração de Convidado e deve ser adicionada às máquinas antes de usar qualquer definição de política de Configuração de Convidado. Para obter mais informações sobre Configuração de convidado, visite https://aka.ms/gcpol.	modificar	4.1.0
Auditar VMs do Windows com uma reinicialização pendente	Requer que os pré-requisitos sejam implantados no escopo da atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. As máquinas não são compatíveis se a máquina estiver pendente de reinicialização por qualquer um dos seguintes motivos: manutenção baseada em componentes, Windows Update, renomeação de arquivo pendente, renomeação de computador pendente, gerente de configuração pendente de reinicialização. Cada deteção tem um caminho de registro exclusivo.	auditIfNotExists	2.0.0
Correlacione informações de verificação de vulnerabilidade	CMA_C1558 - Correlacione informações de verificação de vulnerabilidade	Manual, Desativado	1.1.1
Implantar a extensão Configuração de Convidado do Windows para habilitar atribuições de Configuração de Convidado em VMs do Windows	Esta política implanta a extensão Configuração de Convidado do Windows em máquinas virtuais do Windows hospedadas no Azure que são suportadas pela Configuração de Convidado. A extensão de Configuração de Convidado do Windows é um pré-requisito para todas as atribuições de Configuração de Convidado do Windows e deve ser implantada em máquinas antes de usar qualquer definição de política de Configuração de Convidado do Windows. Para obter mais informações sobre Configuração de convidado, visite https://aka.ms/gcpol.	deployIfNotExists	1.2.0
Disseminar alertas de segurança para o pessoal	CMA_C1705 - Divulgar alertas de segurança ao pessoal	Manual, Desativado	1.1.0
Executar verificações de vulnerabilidade	CMA_0393 - Executar verificações de vulnerabilidade	Manual, Desativado	1.1.0
Remediar falhas no sistema de informação	CMA_0427 - Remediar falhas no sistema de informação	Manual, Desativado	1.1.0
As atualizações do sistema em conjuntos de dimensionamento de máquinas virtuais devem ser instaladas	Auditar se existem atualizações de segurança do sistema e atualizações críticas em falta que devem ser instaladas, para garantir que os conjuntos de dimensionamento de máquinas virtuais do Windows e Linux são seguros.	AuditIfNotExists, desativado	3.0.0
As atualizações do sistema devem ser instaladas em suas máquinas	As atualizações de sistema de segurança ausentes em seus servidores serão monitoradas pela Central de Segurança do Azure como recomendações	AuditIfNotExists, desativado	4.0.0
Usar mecanismos automatizados para alertas de segurança	CMA_C1707 - Utilizar mecanismos automatizados para alertas de segurança	Manual, Desativado	1.1.0

ID: SWIFT CSCF v2022 2.3 Propriedade: Compartilhada

Garanta a confidencialidade, integridade e autenticidade mútua dos fluxos de dados entre os componentes da infraestrutura SWIFT local ou remota e os primeiros saltos de back-office aos quais eles se conectam.

ID: SWIFT CSCF v2022 2.4 Propriedade: Compartilhada

Nome _{(Portal do Azure)}	Description	Efeito(s)	Versão _(GitHub)
Realizar backup da documentação do sistema de informação	CMA_C1289 - Realizar backup da documentação do sistema de informação	Manual, Desativado	1.1.0
Configurar estações de trabalho para verificar certificados digitais	CMA_0073 - Configurar estações de trabalho para verificar certificados digitais	Manual, Desativado	1.1.0
Estabeleça políticas e procedimentos de backup	CMA_0268 - Estabelecer políticas e procedimentos de backup	Manual, Desativado	1.1.0
Implementar controles para proteger todas as mídias	CMA_0314 - Implementar controles para proteger todas as mídias	Manual, Desativado	1.1.0
Notificar os usuários sobre o logon ou acesso ao sistema	CMA_0382 - Notificar os usuários sobre o logon ou acesso ao sistema	Manual, Desativado	1.1.0
Proteja os dados em trânsito usando criptografia	CMA_0403 - Proteja os dados em trânsito usando criptografia	Manual, Desativado	1.1.0
Proteja senhas com criptografia	CMA_0408 - Proteja senhas com criptografia	Manual, Desativado	1.1.0

Segurança do fluxo de dados de back-office

ID: SWIFT CSCF v2022 2.4A Propriedade: Cliente

Nome _{(Portal do Azure)}	Description	Efeito(s)	Versão _(GitHub)
A autenticação em máquinas Linux deve exigir chaves SSH	Embora o próprio SSH forneça uma conexão criptografada, o uso de senhas com SSH ainda deixa a VM vulnerável a ataques de força bruta. A opção mais segura para autenticação em uma máquina virtual Linux do Azure sobre SSH é com um par de chaves público-privado, também conhecido como chaves SSH. Saiba mais: https://docs.microsoft.com/azure/virtual-machines/linux/create-ssh-keys-detailed.	AuditIfNotExists, desativado	3.2.0
As variáveis de conta de automação devem ser criptografadas	É importante habilitar a criptografia de ativos variáveis de conta de automação ao armazenar dados confidenciais	Auditoria, Negar, Desativado	1.1.0
As máquinas Windows devem ser configuradas para usar protocolos de comunicação seguros	Para proteger a privacidade das informações comunicadas pela Internet, suas máquinas devem usar a versão mais recente do protocolo criptográfico padrão do setor, Transport Layer Security (TLS). O TLS protege as comunicações através de uma rede encriptando uma ligação entre máquinas.	AuditIfNotExists, desativado	4.1.1

ID: SWIFT CSCF v2022 2.5 Propriedade: Compartilhada

Nome _{(Portal do Azure)}	Description	Efeito(s)	Versão _(GitHub)
Realizar backup da documentação do sistema de informação	CMA_C1289 - Realizar backup da documentação do sistema de informação	Manual, Desativado	1.1.0
Configurar estações de trabalho para verificar certificados digitais	CMA_0073 - Configurar estações de trabalho para verificar certificados digitais	Manual, Desativado	1.1.0
Estabeleça políticas e procedimentos de backup	CMA_0268 - Estabelecer políticas e procedimentos de backup	Manual, Desativado	1.1.0
Implementar controles para proteger todas as mídias	CMA_0314 - Implementar controles para proteger todas as mídias	Manual, Desativado	1.1.0
Gerir o transporte de ativos	CMA_0370 - Gerir o transporte de ativos	Manual, Desativado	1.1.0
Proteja os dados em trânsito usando criptografia	CMA_0403 - Proteja os dados em trânsito usando criptografia	Manual, Desativado	1.1.0
Proteja senhas com criptografia	CMA_0408 - Proteja senhas com criptografia	Manual, Desativado	1.1.0

Proteção de dados de transmissão externa

ID: SWIFT CSCF v2022 2.5A Propriedade: Cliente

Nome _{(Portal do Azure)}	Description	Efeito(s)	Versão _(GitHub)
Auditar máquinas virtuais sem recuperação de desastres configurada	Audite máquinas virtuais que não tenham a recuperação de desastres configurada. Para saber mais sobre recuperação de desastres, visite https://aka.ms/asr-doc.	auditIfNotExists	1.0.0
Auditar VMs que não usam discos gerenciados	Esta política audita VMs que não utilizam discos geridos	auditoria	1.0.0
As variáveis de conta de automação devem ser criptografadas	É importante habilitar a criptografia de ativos variáveis de conta de automação ao armazenar dados confidenciais	Auditoria, Negar, Desativado	1.1.0
O Backup do Azure deve ser habilitado para Máquinas Virtuais	Garanta a proteção de suas Máquinas Virtuais do Azure habilitando o Backup do Azure. O Backup do Azure é uma solução de proteção de dados segura e econômica para o Azure.	AuditIfNotExists, desativado	3.0.0
O armazenamento com redundância geográfica deve ser habilitado para contas de armazenamento	Use redundância geográfica para criar aplicativos altamente disponíveis	Auditoria, Desativado	1.0.0
A transferência segura para contas de armazenamento deve ser ativada	Requisito de auditoria de transferência segura em sua conta de armazenamento. A transferência segura é uma opção que força sua conta de armazenamento a aceitar solicitações somente de conexões seguras (HTTPS). O uso de HTTPS garante a autenticação entre o servidor e o serviço e protege os dados em trânsito contra ataques da camada de rede, como man-in-the-middle, escutas e sequestro de sessão	Auditoria, Negar, Desativado	2.0.0
As máquinas virtuais devem criptografar discos temporários, caches e fluxos de dados entre recursos de computação e armazenamento	Por padrão, o sistema operacional e os discos de dados de uma máquina virtual são criptografados em repouso usando chaves gerenciadas pela plataforma. Discos temporários, caches de dados e dados que fluem entre computação e armazenamento não são criptografados. Não tenha em conta esta recomendação se: 1. usando criptografia no host ou 2. A criptografia do lado do servidor em Managed Disks atende aos seus requisitos de segurança. Saiba mais em: Criptografia do lado do servidor do Armazenamento em Disco do Azure: https://aka.ms/disksse, Diferentes ofertas de criptografia de disco: https://aka.ms/diskencryptioncomparison	AuditIfNotExists, desativado	2.0.3

ID: SWIFT CSCF v2022 2.6 Propriedade: Compartilhada

Identifique vulnerabilidades conhecidas no ambiente SWIFT local implementando um processo regular de verificação de vulnerabilidades e aja de acordo com os resultados.

ID: SWIFT CSCF v2022 2.7 Propriedade: Compartilhada

Nome _{(Portal do Azure)}	Description	Efeito(s)	Versão _(GitHub)
Uma solução de avaliação de vulnerabilidade deve ser habilitada em suas máquinas virtuais	Audita máquinas virtuais para detetar se elas estão executando uma solução de avaliação de vulnerabilidade suportada. Um componente central de cada programa de segurança e risco cibernético é a identificação e análise de vulnerabilidades. O nível de preços padrão da Central de Segurança do Azure inclui a verificação de vulnerabilidades para suas máquinas virtuais sem custo extra. Além disso, a Central de Segurança pode implantar automaticamente essa ferramenta para você.	AuditIfNotExists, desativado	3.0.0
O Azure Defender for App Service deve estar habilitado	O Azure Defender for App Service aproveita a escala da nuvem e a visibilidade que o Azure tem como um provedor de nuvem para monitorar ataques comuns a aplicativos Web.	AuditIfNotExists, desativado	1.0.3
O Azure Defender for Key Vault deve ser habilitado	O Azure Defender for Key Vault fornece uma camada adicional de proteção e inteligência de segurança ao detetar tentativas incomuns e potencialmente prejudiciais de acessar ou explorar contas de cofre de chaves.	AuditIfNotExists, desativado	1.0.3
O Azure Defender para servidores deve estar habilitado	O Azure Defender para servidores fornece proteção contra ameaças em tempo real para cargas de trabalho de servidor e gera recomendações de proteção, bem como alertas sobre atividades suspeitas.	AuditIfNotExists, desativado	1.0.3
Correlacione informações de verificação de vulnerabilidade	CMA_C1558 - Correlacione informações de verificação de vulnerabilidade	Manual, Desativado	1.1.1
Implementar acesso privilegiado para executar atividades de verificação de vulnerabilidades	CMA_C1555 - Implementar acesso privilegiado para executar atividades de verificação de vulnerabilidades	Manual, Desativado	1.1.0
Incorporar a correção de falhas no gerenciamento de configuração	CMA_C1671 - Incorporar a correção de falhas no gerenciamento de configuração	Manual, Desativado	1.1.0
O Microsoft Defender for Storage deve estar habilitado	O Microsoft Defender for Storage deteta ameaças potenciais às suas contas de armazenamento. Ele ajuda a evitar os três principais impactos em seus dados e carga de trabalho: uploads de arquivos mal-intencionados, exfiltração de dados confidenciais e corrupção de dados. O novo plano do Defender for Storage inclui verificação de malware e deteção de ameaças de dados confidenciais. Esse plano também fornece uma estrutura de preços previsível (por conta de armazenamento) para controle sobre a cobertura e os custos.	AuditIfNotExists, desativado	1.0.0
Observar e comunicar falhas de segurança	CMA_0384 - Observar e comunicar falhas de segurança	Manual, Desativado	1.1.0
Realizar uma análise de tendência sobre ameaças	CMA_0389 - Realizar uma análise de tendência sobre ameaças	Manual, Desativado	1.1.0
Executar modelagem de ameaças	CMA_0392 - Executar modelagem de ameaças	Manual, Desativado	1.1.0
Executar verificações de vulnerabilidade	CMA_0393 - Executar verificações de vulnerabilidade	Manual, Desativado	1.1.0
Remediar falhas no sistema de informação	CMA_0427 - Remediar falhas no sistema de informação	Manual, Desativado	1.1.0
As vulnerabilidades nas configurações de segurança do contêiner devem ser corrigidas	Audite vulnerabilidades na configuração de segurança em máquinas com o Docker instalado e exiba como recomendações na Central de Segurança do Azure.	AuditIfNotExists, desativado	3.0.0
As vulnerabilidades na configuração de segurança em suas máquinas devem ser corrigidas	Os servidores que não satisfizerem a linha de base configurada serão monitorados pela Central de Segurança do Azure como recomendações	AuditIfNotExists, desativado	3.1.0
As vulnerabilidades na configuração de segurança em seus conjuntos de dimensionamento de máquina virtual devem ser corrigidas	Audite as vulnerabilidades do sistema operacional em seus conjuntos de dimensionamento de máquina virtual para protegê-los de ataques.	AuditIfNotExists, desativado	3.0.0

Garanta uma abordagem consistente e eficaz para o monitoramento de mensagens dos clientes.

ID: SWIFT CSCF v2022 2.8.5 Propriedade: Compartilhada

Nome _{(Portal do Azure)}	Description	Efeito(s)	Versão _(GitHub)
Avaliar o risco em relações com terceiros	CMA_0014 - Avaliar o risco nas relações com terceiros	Manual, Desativado	1.1.0
Definir e documentar a supervisão governamental	CMA_C1587 - Definir e documentar a supervisão governamental	Manual, Desativado	1.1.0
Definir requisitos para o fornecimento de bens e serviços	CMA_0126 - Definir requisitos para o fornecimento de bens e serviços	Manual, Desativado	1.1.0
Determinar as obrigações contratuais do fornecedor	CMA_0140 - Determinar as obrigações contratuais do fornecedor	Manual, Desativado	1.1.0
Estabelecer políticas para a gestão de riscos da cadeia de valor	CMA_0275 - Estabelecer políticas para a gestão de riscos da cadeia de abastecimento	Manual, Desativado	1.1.0
Exigir que os prestadores de serviços externos cumpram os requisitos de segurança	CMA_C1586 - Exigir que os prestadores de serviços externos cumpram os requisitos de segurança	Manual, Desativado	1.1.0
Analisar a conformidade do provedor de serviços de nuvem com políticas e contratos	CMA_0469 - Analisar a conformidade do fornecedor de serviços na nuvem com políticas e acordos	Manual, Desativado	1.1.0
Passar por uma revisão de segurança independente	CMA_0515 - Passar por uma revisão de segurança independente	Manual, Desativado	1.1.0

Assegurar a proteção da infraestrutura local SWIFT contra os riscos expostos pela externalização de atividades críticas.

ID: SWIFT CSCF v2022 2.8A Propriedade: Compartilhada

Nome _{(Portal do Azure)}	Description	Efeito(s)	Versão _(GitHub)
Determinar as obrigações contratuais do fornecedor	CMA_0140 - Determinar as obrigações contratuais do fornecedor	Manual, Desativado	1.1.0
Critérios de aceitação do contrato de aquisição de documentos	CMA_0187 - Critérios de aceitação do contrato de aquisição de documentos	Manual, Desativado	1.1.0
Proteção documental de dados pessoais em contratos de aquisição	CMA_0194 - Proteção documental de dados pessoais em contratos de aquisição	Manual, Desativado	1.1.0
Proteção de documentos de informações de segurança em contratos de aquisição	CMA_0195 - Proteção documental de informações de segurança em contratos de aquisição	Manual, Desativado	1.1.0
Documentar os requisitos para a utilização de dados partilhados em contratos	CMA_0197 - Requisitos documentais para a utilização de dados partilhados em contratos	Manual, Desativado	1.1.0
Documentar os requisitos de garantia de segurança nos contratos de aquisição	CMA_0199 - Documentar requisitos de garantia de segurança em contratos de aquisição	Manual, Desativado	1.1.0
Documentar os requisitos de documentação de segurança no contrato de aquisição	CMA_0200 - Documentar requisitos de documentação de segurança no contrato de aquisição	Manual, Desativado	1.1.0
Requisitos funcionais de segurança documental em contratos de aquisição	CMA_0201 - Requisitos funcionais de segurança documental em contratos de aquisição	Manual, Desativado	1.1.0
Documentar os requisitos de segurança nos contratos de aquisição	CMA_0203 - Documentar requisitos de segurança em contratos de aquisição	Manual, Desativado	1.1.0
Documentar o ambiente do sistema de informação nos contratos de aquisição	CMA_0205 - Documentar o ambiente do sistema de informação em contratos de aquisição	Manual, Desativado	1.1.0
Documentar a proteção dos dados do titular do cartão em contratos com terceiros	CMA_0207 - Documentar a proteção dos dados do titular do cartão em contratos de terceiros	Manual, Desativado	1.1.0

Assegurar a atividade de transação de saída dentro dos limites esperados dos negócios normais.

ID: SWIFT CSCF v2022 2.9 Propriedade: Compartilhada

Nome _{(Portal do Azure)}	Description	Efeito(s)	Versão _(GitHub)
Autorizar, monitorar e controlar voip	CMA_0025 - Autorizar, monitorar e controlar voip	Manual, Desativado	1.1.0
Controlar o fluxo de informações	CMA_0079 - Controlar o fluxo de informações	Manual, Desativado	1.1.0
Empregar mecanismos de controle de fluxo de informações criptografadas	CMA_0211 - Empregar mecanismos de controle de fluxo de informações criptografadas	Manual, Desativado	1.1.0
Implementar a proteção de limites do sistema	CMA_0328 - Implementar a proteção de limites do sistema	Manual, Desativado	1.1.0
Gerenciar gateways	CMA_0363 - Gerenciar gateways	Manual, Desativado	1.1.0
Realizar uma análise de tendência sobre ameaças	CMA_0389 - Realizar uma análise de tendência sobre ameaças	Manual, Desativado	1.1.0
Encaminhar o tráfego através de pontos de acesso de rede gerenciados	CMA_0484 - Encaminhe o tráfego através de pontos de acesso de rede gerenciados	Manual, Desativado	1.1.0

Restringir a atividade de transação a contrapartes comerciais validadas e aprovadas.

ID: SWIFT CSCF v2022 2.11A Propriedade: Compartilhada

Nome _{(Portal do Azure)}	Description	Efeito(s)	Versão _(GitHub)
Autorizar o acesso a funções e informações de segurança	CMA_0022 - Autorizar o acesso a funções e informações de segurança	Manual, Desativado	1.1.0
Autorizar e gerenciar o acesso	CMA_0023 - Autorizar e gerir o acesso	Manual, Desativado	1.1.0
Projetar um modelo de controle de acesso	CMA_0129 - Projetar um modelo de controle de acesso	Manual, Desativado	1.1.0
Empregar acesso com privilégios mínimos	CMA_0212 - Empregar acesso com privilégios mínimos	Manual, Desativado	1.1.0
Impor acesso lógico	CMA_0245 - Impor acesso lógico	Manual, Desativado	1.1.0
Aplicar políticas de controle de acesso obrigatórias e discricionárias	CMA_0246 - Aplicar políticas de controle de acesso obrigatórias e discricionárias	Manual, Desativado	1.1.0
Reatribuir ou remover privilégios de usuário conforme necessário	CMA_C1040 - Reatribuir ou remover privilégios de usuário conforme necessário	Manual, Desativado	1.1.0
Exigir aprovação para a criação de conta	CMA_0431 - Requer aprovação para a criação de conta	Manual, Desativado	1.1.0
Revisar grupos de usuários e aplicativos com acesso a dados confidenciais	CMA_0481 - Revisar grupos de usuários e aplicativos com acesso a dados confidenciais	Manual, Desativado	1.1.0
Rever os privilégios de utilizador	CMA_C1039 - Rever os privilégios do utilizador	Manual, Desativado	1.1.0

3. Proteger fisicamente o ambiente

Impeça o acesso físico não autorizado a equipamentos sensíveis, ambientes de trabalho, locais de hospedagem e armazenamento.

ID: SWIFT CSCF v2022 3.1 Propriedade: Compartilhada

Nome _{(Portal do Azure)}	Description	Efeito(s)	Versão _(GitHub)
Auditar VMs que não usam discos gerenciados	Esta política audita VMs que não utilizam discos geridos	auditoria	1.0.0
Controlar o acesso físico	CMA_0081 - Controle o acesso físico	Manual, Desativado	1.1.0
Definir um processo de gerenciamento de chaves físicas	CMA_0115 - Definir um processo de gestão de chaves físicas	Manual, Desativado	1.1.0
Estabelecer e manter um inventário de ativos	CMA_0266 - Estabelecer e manter um inventário de ativos	Manual, Desativado	1.1.0
Implementar segurança física para escritórios, áreas de trabalho e áreas seguras	CMA_0323 - Implementar segurança física para escritórios, áreas de trabalho e áreas seguras	Manual, Desativado	1.1.0
Instalar um sistema de alarme	CMA_0338 - Instalar um sistema de alarme	Manual, Desativado	1.1.0
Gerencie um sistema de câmera de vigilância seguro	CMA_0354 - Gerencie um sistema de câmera de vigilância seguro	Manual, Desativado	1.1.0
Rever e atualizar políticas e procedimentos físicos e ambientais	CMA_C1446 - Rever e atualizar políticas e procedimentos físicos e ambientais	Manual, Desativado	1.1.0

4. Evite o comprometimento de credenciais

Certifique-se de que as senhas são suficientemente resistentes contra ataques comuns de senha, implementando e aplicando uma política de senha eficaz.

ID: SWIFT CSCF v2022 4.1 Propriedade: Compartilhada

ID: SWIFT CSCF v2022 4.2 Propriedade: Compartilhada

Nome _{(Portal do Azure)}	Description	Efeito(s)	Versão _(GitHub)
Contas com permissões de proprietário em recursos do Azure devem ser habilitadas para MFA	A autenticação multifator (MFA) deve ser habilitada para todas as contas de assinatura com permissões de proprietário para evitar uma violação de contas ou recursos.	AuditIfNotExists, desativado	1.0.0
Contas com permissões de leitura em recursos do Azure devem ser habilitadas para MFA	A autenticação multifator (MFA) deve ser habilitada para todas as contas de assinatura com privilégios de leitura para evitar uma violação de contas ou recursos.	AuditIfNotExists, desativado	1.0.0
Contas com permissões de gravação em recursos do Azure devem ser habilitadas para MFA	A autenticação multifator (MFA) deve ser habilitada para todas as contas de assinatura com privilégios de gravação para evitar uma violação de contas ou recursos.	AuditIfNotExists, desativado	1.0.0
Adotar mecanismos de autenticação biométrica	CMA_0005 - Adotar mecanismos de autenticação biométrica	Manual, Desativado	1.1.0
Identificar e autenticar dispositivos de rede	CMA_0296 - Identificar e autenticar dispositivos de rede	Manual, Desativado	1.1.0

5. Gerencie identidades e segregue privilégios

Aplicar os princípios de segurança de acesso necessário, privilégios mínimos e separação de funções para contas de operador.

ID: SWIFT CSCF v2022 5.1 Propriedade: Compartilhada

Nome _{(Portal do Azure)}	Description	Efeito(s)	Versão _(GitHub)
Um máximo de 3 proprietários devem ser designados para a sua subscrição	Recomenda-se designar até 3 proprietários de assinatura para reduzir o potencial de violação por um proprietário comprometido.	AuditIfNotExists, desativado	3.0.0
Adicionar identidade gerenciada atribuída ao sistema para habilitar atribuições de Configuração de Convidado em máquinas virtuais sem identidades	Esta política adiciona uma identidade gerenciada atribuída pelo sistema a máquinas virtuais hospedadas no Azure que são suportadas pela Configuração de Convidado, mas não têm identidades gerenciadas. Uma identidade gerenciada atribuída ao sistema é um pré-requisito para todas as atribuições de Configuração de Convidado e deve ser adicionada às máquinas antes de usar qualquer definição de política de Configuração de Convidado. Para obter mais informações sobre Configuração de convidado, visite https://aka.ms/gcpol.	modificar	4.1.0
Adicionar identidade gerenciada atribuída pelo sistema para habilitar atribuições de Configuração de Convidado em VMs com uma identidade atribuída pelo usuário	Esta política adiciona uma identidade gerenciada atribuída pelo sistema a máquinas virtuais hospedadas no Azure que são suportadas pela Configuração de Convidado e têm pelo menos uma identidade atribuída pelo usuário, mas não têm uma identidade gerenciada atribuída pelo sistema. Uma identidade gerenciada atribuída ao sistema é um pré-requisito para todas as atribuições de Configuração de Convidado e deve ser adicionada às máquinas antes de usar qualquer definição de política de Configuração de Convidado. Para obter mais informações sobre Configuração de convidado, visite https://aka.ms/gcpol.	modificar	4.1.0
Atribuir gerentes de conta	CMA_0015 - Atribuir gerentes de conta	Manual, Desativado	1.1.0
Auditar o status da conta de usuário	CMA_0020 - Auditar o status da conta de usuário	Manual, Desativado	1.1.0
Auditar máquinas Windows que contêm certificados que expiram dentro do número de dias especificado	Requer que os pré-requisitos sejam implantados no escopo da atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. As máquinas não são compatíveis se os certificados no armazenamento especificado tiverem uma data de expiração fora do intervalo para o número de dias fornecido como parâmetro. A política também fornece a opção de verificar apenas se há certificados específicos ou excluir certificados específicos e se deseja relatar certificados expirados.	auditIfNotExists	2.0.0
Automatize o gerenciamento de contas	CMA_0026 - Automatize o gerenciamento de contas	Manual, Desativado	1.1.0
Contas bloqueadas com permissões de proprietário em recursos do Azure devem ser removidas	Contas preteridas com permissões de proprietário devem ser removidas da sua assinatura. Contas preteridas são contas que foram bloqueadas para entrar.	AuditIfNotExists, desativado	1.0.0
Contas bloqueadas com permissões de leitura e gravação em recursos do Azure devem ser removidas	As contas preteridas devem ser removidas das suas subscrições. Contas preteridas são contas que foram bloqueadas para entrar.	AuditIfNotExists, desativado	1.0.0
Definir autorizações de acesso para suportar a separação de funções	CMA_0116 - Definir autorizações de acesso para suportar a separação de funções	Manual, Desativado	1.1.0
Definir tipos de conta do sistema de informação	CMA_0121 - Definir tipos de conta do sistema de informação	Manual, Desativado	1.1.0
Implantar a extensão Configuração de Convidado do Windows para habilitar atribuições de Configuração de Convidado em VMs do Windows	Esta política implanta a extensão Configuração de Convidado do Windows em máquinas virtuais do Windows hospedadas no Azure que são suportadas pela Configuração de Convidado. A extensão de Configuração de Convidado do Windows é um pré-requisito para todas as atribuições de Configuração de Convidado do Windows e deve ser implantada em máquinas antes de usar qualquer definição de política de Configuração de Convidado do Windows. Para obter mais informações sobre Configuração de convidado, visite https://aka.ms/gcpol.	deployIfNotExists	1.2.0
Projetar um modelo de controle de acesso	CMA_0129 - Projetar um modelo de controle de acesso	Manual, Desativado	1.1.0
Desativar autenticadores após a rescisão	CMA_0169 - Desativar autenticadores após a rescisão	Manual, Desativado	1.1.0
Privilégios de acesso a documentos	CMA_0186 - Privilégios de acesso a documentos	Manual, Desativado	1.1.0
Documento de separação de funções	CMA_0204 - Documento de separação de funções	Manual, Desativado	1.1.0
Empregar acesso com privilégios mínimos	CMA_0212 - Empregar acesso com privilégios mínimos	Manual, Desativado	1.1.0
Estabelecer condições para a participação em funções	CMA_0269 - Estabelecer condições para a participação em funções	Manual, Desativado	1.1.0
Contas de convidado com permissões de proprietário em recursos do Azure devem ser removidas	As contas externas com permissões de proprietário devem ser removidas da sua subscrição para evitar o acesso não monitorizado.	AuditIfNotExists, desativado	1.0.0
Contas de convidado com permissões de leitura em recursos do Azure devem ser removidas	As contas externas com privilégios de leitura devem ser removidas da sua subscrição para evitar o acesso não monitorizado.	AuditIfNotExists, desativado	1.0.0
Contas de convidado com permissões de gravação em recursos do Azure devem ser removidas	As contas externas com privilégios de escrita devem ser removidas da sua subscrição para evitar o acesso não monitorizado.	AuditIfNotExists, desativado	1.0.0
Gerenciar contas de sistema e de administrador	CMA_0368 - Gerenciar contas de sistema e de administrador	Manual, Desativado	1.1.0
Monitore o acesso em toda a organização	CMA_0376 - Monitorar o acesso em toda a organização	Manual, Desativado	1.1.0
Monitorar a atividade da conta	CMA_0377 - Monitore a atividade da conta	Manual, Desativado	1.1.0
Notificar quando a conta não for necessária	CMA_0383 - Notificar quando a conta não for necessária	Manual, Desativado	1.1.0
Proteger as informações de auditoria	CMA_0401 - Proteger as informações de auditoria	Manual, Desativado	1.1.0
Reatribuir ou remover privilégios de usuário conforme necessário	CMA_C1040 - Reatribuir ou remover privilégios de usuário conforme necessário	Manual, Desativado	1.1.0
Exigir aprovação para a criação de conta	CMA_0431 - Requer aprovação para a criação de conta	Manual, Desativado	1.1.0
Restringir o acesso a contas privilegiadas	CMA_0446 - Restringir o acesso a contas privilegiadas	Manual, Desativado	1.1.0
Revisar logs de provisionamento de conta	CMA_0460 - Revisar logs de provisionamento de conta	Manual, Desativado	1.1.0
Rever contas de utilizador	CMA_0480 - Rever contas de utilizador	Manual, Desativado	1.1.0
Rever os privilégios de utilizador	CMA_C1039 - Rever os privilégios do utilizador	Manual, Desativado	1.1.0
Revogar funções privilegiadas conforme apropriado	CMA_0483 - Revogar funções privilegiadas conforme apropriado	Manual, Desativado	1.1.0
Deveres distintos dos indivíduos	CMA_0492 - Deveres distintos dos indivíduos	Manual, Desativado	1.1.0
Deve haver mais de um proprietário atribuído à sua assinatura	É recomendável designar mais de um proprietário de assinatura para ter redundância de acesso de administrador.	AuditIfNotExists, desativado	3.0.0

Garanta o gerenciamento, o rastreamento e o uso adequados de autenticação de hardware conectado e desconectado ou tokens pessoais (quando os tokens são usados).

ID: SWIFT CSCF v2022 5.2 Propriedade: Compartilhada

Nome _{(Portal do Azure)}	Description	Efeito(s)	Versão _(GitHub)
Distribuir autenticadores	CMA_0184 - Distribuir autenticadores	Manual, Desativado	1.1.0
Estabelecer tipos e processos de autenticador	CMA_0267 - Estabelecer tipos e processos de autenticadores	Manual, Desativado	1.1.0
Estabelecer procedimentos para a distribuição inicial do autenticador	CMA_0276 - Estabelecer procedimentos para a distribuição inicial do autenticador	Manual, Desativado	1.1.0
As portas de gerenciamento de máquinas virtuais devem ser protegidas com controle de acesso à rede just-in-time	O possível acesso à rede Just In Time (JIT) será monitorado pela Central de Segurança do Azure como recomendações	AuditIfNotExists, desativado	3.0.0
Verificar a identidade antes de distribuir autenticadores	CMA_0538 - Verificar a identidade antes de distribuir autenticadores	Manual, Desativado	1.1.0

Na medida do permitido e exequível, garantir a fiabilidade do pessoal que opera o ambiente local SWIFT através de um rastreio regular do pessoal.

ID: SWIFT CSCF v2022 5.3A Propriedade: Compartilhada

Nome _{(Portal do Azure)}	Description	Efeito(s)	Versão _(GitHub)
Pessoal claro com acesso a informações classificadas	CMA_0054 - Pessoal claro com acesso a informação classificada	Manual, Desativado	1.1.0
Garantir que os acordos de acesso sejam assinados ou renunciados em tempo hábil	CMA_C1528 - Garantir que os acordos de acesso sejam assinados ou renunciados em tempo hábil	Manual, Desativado	1.1.0
Implementar a triagem de pessoal	CMA_0322 - Implementar a triagem de pessoal	Manual, Desativado	1.1.0
Proteja informações especiais	CMA_0409 - Proteja informações especiais	Manual, Desativado	1.1.0
Retriagem de indivíduos em uma frequência definida	CMA_C1512 - Retriagem de indivíduos em uma frequência definida	Manual, Desativado	1.1.0

Proteja física e logicamente o repositório de senhas gravadas.

ID: SWIFT CSCF v2022 5.4 Propriedade: Compartilhada

Nome _{(Portal do Azure)}	Description	Efeito(s)	Versão _(GitHub)
Auditar máquinas Windows que não armazenam senhas usando criptografia reversível	Requer que os pré-requisitos sejam implantados no escopo da atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. As máquinas não são compatíveis se as máquinas Windows que não armazenam senhas usando criptografia reversível	AuditIfNotExists, desativado	2.0.0
Documentar os requisitos de segurança nos contratos de aquisição	CMA_0203 - Documentar requisitos de segurança em contratos de aquisição	Manual, Desativado	1.1.0
Estabelecer uma política de senha	CMA_0256 - Estabeleça uma política de senha	Manual, Desativado	1.1.0
Implementar parâmetros para verificadores secretos memorizados	CMA_0321 - Implementar parâmetros para verificadores secretos memorizados	Manual, Desativado	1.1.0
Os cofres de chaves devem ter a proteção contra exclusão ativada	A exclusão maliciosa de um cofre de chaves pode levar à perda permanente de dados. Você pode evitar a perda permanente de dados ativando a proteção contra limpeza e a exclusão suave. A proteção contra limpeza protege você contra ataques internos, impondo um período de retenção obrigatório para cofres de chaves excluídos por software. Ninguém dentro da sua organização ou da Microsoft poderá limpar seus cofres de chaves durante o período de retenção de exclusão suave. Lembre-se de que os cofres de chaves criados após 1º de setembro de 2019 têm a exclusão suave habilitada por padrão.	Auditoria, Negar, Desativado	2.1.0
Proteja senhas com criptografia	CMA_0408 - Proteja senhas com criptografia	Manual, Desativado	1.1.0

6. Detetar atividades anômalas em sistemas ou registros de transações

Certifique-se de que a infraestrutura SWIFT local está protegida contra malware e aja de acordo com os resultados.

ID: SWIFT CSCF v2022 6.1 Propriedade: Compartilhada

Nome _{(Portal do Azure)}	Description	Efeito(s)	Versão _(GitHub)
Funções privilegiadas de auditoria	CMA_0019 - Funções privilegiadas de auditoria	Manual, Desativado	1.1.0
Auditar o status da conta de usuário	CMA_0020 - Auditar o status da conta de usuário	Manual, Desativado	1.1.0
Bloqueie processos não confiáveis e não assinados que são executados a partir de USB	CMA_0050 - Bloqueie processos não confiáveis e não assinados que são executados a partir de USB	Manual, Desativado	1.1.0
Correlacione registros de auditoria	CMA_0087 - Correlacionar registos de auditoria	Manual, Desativado	1.1.0
Correlacione informações de verificação de vulnerabilidade	CMA_C1558 - Correlacione informações de verificação de vulnerabilidade	Manual, Desativado	1.1.1
Determinar eventos auditáveis	CMA_0137 - Determinar eventos auditáveis	Manual, Desativado	1.1.0
A solução de proteção de ponto de extremidade deve ser instalada em conjuntos de dimensionamento de máquina virtual	Audite a existência e a integridade de uma solução de proteção de ponto final em seus conjuntos de dimensionamento de máquinas virtuais, para protegê-los contra ameaças e vulnerabilidades.	AuditIfNotExists, desativado	3.0.0
Estabelecer requisitos para revisão de auditoria e relatórios	CMA_0277 - Estabelecer requisitos para revisão de auditoria e relatórios	Manual, Desativado	1.1.0
Implementar acesso privilegiado para executar atividades de verificação de vulnerabilidades	CMA_C1555 - Implementar acesso privilegiado para executar atividades de verificação de vulnerabilidades	Manual, Desativado	1.1.0
Integre a revisão, análise e emissão de relatórios de auditoria	CMA_0339 - Integre a revisão, análise e relatórios de auditoria	Manual, Desativado	1.1.0
Integre a segurança de aplicativos na nuvem com um siem	CMA_0340 - Integre a segurança de aplicativos na nuvem com um siem	Manual, Desativado	1.1.0
Gerenciar gateways	CMA_0363 - Gerenciar gateways	Manual, Desativado	1.1.0
O Microsoft Antimalware para Azure deve ser configurado para atualizar automaticamente as assinaturas de proteção	Esta política audita qualquer máquina virtual do Windows não configurada com a atualização automática das assinaturas de proteção antimalware da Microsoft.	AuditIfNotExists, desativado	1.0.0
A extensão Microsoft IaaSAntimalware deve ser implantada em servidores Windows	Esta política audita qualquer VM de servidor Windows sem a extensão Microsoft IaaSAntimalware implantada.	AuditIfNotExists, desativado	1.1.0
Monitorar o Endpoint Protection ausente na Central de Segurança do Azure	Os servidores sem um agente do Endpoint Protection instalado serão monitorados pela Central de Segurança do Azure como recomendações	AuditIfNotExists, desativado	3.0.0
Observar e comunicar falhas de segurança	CMA_0384 - Observar e comunicar falhas de segurança	Manual, Desativado	1.1.0
Realizar uma análise de tendência sobre ameaças	CMA_0389 - Realizar uma análise de tendência sobre ameaças	Manual, Desativado	1.1.0
Executar modelagem de ameaças	CMA_0392 - Executar modelagem de ameaças	Manual, Desativado	1.1.0
Executar verificações de vulnerabilidade	CMA_0393 - Executar verificações de vulnerabilidade	Manual, Desativado	1.1.0
Remediar falhas no sistema de informação	CMA_0427 - Remediar falhas no sistema de informação	Manual, Desativado	1.1.0
Revisar logs de provisionamento de conta	CMA_0460 - Revisar logs de provisionamento de conta	Manual, Desativado	1.1.0
Revise as atribuições do administrador semanalmente	CMA_0461 - Revisar as atribuições do administrador semanalmente	Manual, Desativado	1.1.0
Rever os dados de auditoria	CMA_0466 - Rever os dados de auditoria	Manual, Desativado	1.1.0
Revise a visão geral do relatório de identidade na nuvem	CMA_0468 - Revisar a visão geral do relatório de identidade na nuvem	Manual, Desativado	1.1.0
Rever eventos de acesso controlado a pastas	CMA_0471 - Revisar eventos de acesso controlado a pastas	Manual, Desativado	1.1.0
Rever eventos de proteção de exploração	CMA_0472 - Analisar eventos de proteção de exploração	Manual, Desativado	1.1.0
Rever a atividade de ficheiros e pastas	CMA_0473 - Revisar a atividade de arquivos e pastas	Manual, Desativado	1.1.0
Revise o relatório de deteções de malware semanalmente	CMA_0475 - Revise o relatório de deteções de malware semanalmente	Manual, Desativado	1.1.0
Revisar as alterações do grupo de funções semanalmente	CMA_0476 - Revisar as mudanças do grupo de funções semanalmente	Manual, Desativado	1.1.0
Atualizar definições de antivírus	CMA_0517 - Atualizar definições de antivírus	Manual, Desativado	1.1.0
Verificar a integridade do software, firmware e informações	CMA_0542 - Verificar a integridade do software, firmware e informação	Manual, Desativado	1.1.0

ID: SWIFT CSCF v2022 6.2 Propriedade: Compartilhada

Nome _{(Portal do Azure)}	Description	Efeito(s)	Versão _(GitHub)
Configurar estações de trabalho para verificar certificados digitais	CMA_0073 - Configurar estações de trabalho para verificar certificados digitais	Manual, Desativado	1.1.0
Empregar desligamento/reinício automático quando violações forem detetadas	CMA_C1715 - Empregar desligamento/reinício automático quando violações são detetadas	Manual, Desativado	1.1.0
Proteja os dados em trânsito usando criptografia	CMA_0403 - Proteja os dados em trânsito usando criptografia	Manual, Desativado	1.1.0
Proteja senhas com criptografia	CMA_0408 - Proteja senhas com criptografia	Manual, Desativado	1.1.0
Verificar a integridade do software, firmware e informações	CMA_0542 - Verificar a integridade do software, firmware e informação	Manual, Desativado	1.1.0
Exibir e configurar dados de diagnóstico do sistema	CMA_0544 - Exibir e configurar dados de diagnóstico do sistema	Manual, Desativado	1.1.0

Garantir a integridade dos registros do banco de dados para a interface de mensagens SWIFT ou o conector do cliente e agir de acordo com os resultados.

ID: SWIFT CSCF v2022 6.3 Propriedade: Compartilhada

Nome _{(Portal do Azure)}	Description	Efeito(s)	Versão _(GitHub)
Verificar a integridade do software, firmware e informações	CMA_0542 - Verificar a integridade do software, firmware e informação	Manual, Desativado	1.1.0
Exibir e configurar dados de diagnóstico do sistema	CMA_0544 - Exibir e configurar dados de diagnóstico do sistema	Manual, Desativado	1.1.0

Registre eventos de segurança e detete ações e operações anômalas dentro do ambiente SWIFT local.

ID: SWIFT CSCF v2022 6.4 Propriedade: Compartilhada

Nome _{(Portal do Azure)}	Description	Efeito(s)	Versão _(GitHub)
[Pré-visualização]: A Extensão do Log Analytics deve estar ativada para imagens de máquinas virtuais listadas	Relata máquinas virtuais como não compatíveis se a imagem da máquina virtual não estiver na lista definida e a extensão não estiver instalada.	AuditIfNotExists, desativado	2.0.1-Pré-visualização
[Preview]: O agente de coleta de dados de tráfego de rede deve ser instalado em máquinas virtuais Linux	A Central de Segurança usa o agente de dependência da Microsoft para coletar dados de tráfego de rede de suas máquinas virtuais do Azure para habilitar recursos avançados de proteção de rede, como visualização de tráfego no mapa de rede, recomendações de proteção de rede e ameaças de rede específicas.	AuditIfNotExists, desativado	1.0.2-Pré-visualização
[Pré-visualização]: O agente de recolha de dados de tráfego de rede deve ser instalado em máquinas virtuais Windows	A Central de Segurança usa o agente de dependência da Microsoft para coletar dados de tráfego de rede de suas máquinas virtuais do Azure para habilitar recursos avançados de proteção de rede, como visualização de tráfego no mapa de rede, recomendações de proteção de rede e ameaças de rede específicas.	AuditIfNotExists, desativado	1.0.2-Pré-visualização
O registo de atividades deve ser conservado durante, pelo menos, um ano	Esta política audita o registo de atividades se a retenção não estiver definida para 365 dias ou para sempre (dias de retenção definidos como 0).	AuditIfNotExists, desativado	1.0.0
Adicionar identidade gerenciada atribuída ao sistema para habilitar atribuições de Configuração de Convidado em máquinas virtuais sem identidades	Esta política adiciona uma identidade gerenciada atribuída pelo sistema a máquinas virtuais hospedadas no Azure que são suportadas pela Configuração de Convidado, mas não têm identidades gerenciadas. Uma identidade gerenciada atribuída ao sistema é um pré-requisito para todas as atribuições de Configuração de Convidado e deve ser adicionada às máquinas antes de usar qualquer definição de política de Configuração de Convidado. Para obter mais informações sobre Configuração de convidado, visite https://aka.ms/gcpol.	modificar	4.1.0
Adicionar identidade gerenciada atribuída pelo sistema para habilitar atribuições de Configuração de Convidado em VMs com uma identidade atribuída pelo usuário	Esta política adiciona uma identidade gerenciada atribuída pelo sistema a máquinas virtuais hospedadas no Azure que são suportadas pela Configuração de Convidado e têm pelo menos uma identidade atribuída pelo usuário, mas não têm uma identidade gerenciada atribuída pelo sistema. Uma identidade gerenciada atribuída ao sistema é um pré-requisito para todas as atribuições de Configuração de Convidado e deve ser adicionada às máquinas antes de usar qualquer definição de política de Configuração de Convidado. Para obter mais informações sobre Configuração de convidado, visite https://aka.ms/gcpol.	modificar	4.1.0
Todos os recursos do log de fluxo devem estar no estado habilitado	Auditoria de recursos de log de fluxo para verificar se o status do log de fluxo está habilitado. A habilitação de logs de fluxo permite registrar informações sobre o fluxo de tráfego IP. Ele pode ser usado para otimizar fluxos de rede, monitorar a taxa de transferência, verificar a conformidade, detetar invasões e muito mais.	Auditoria, Desativado	1.0.1
Os aplicativos do Serviço de Aplicativo devem ter logs de recursos habilitados	Ativação de auditoria de logs de recursos no aplicativo. Isso permite que você recrie trilhas de atividade para fins de investigação se ocorrer um incidente de segurança ou se sua rede for comprometida.	AuditIfNotExists, desativado	2.0.1
Funções privilegiadas de auditoria	CMA_0019 - Funções privilegiadas de auditoria	Manual, Desativado	1.1.0
Auditar o status da conta de usuário	CMA_0020 - Auditar o status da conta de usuário	Manual, Desativado	1.1.0
Auditar máquinas virtuais sem recuperação de desastres configurada	Audite máquinas virtuais que não tenham a recuperação de desastres configurada. Para saber mais sobre recuperação de desastres, visite https://aka.ms/asr-doc.	auditIfNotExists	1.0.0
O provisionamento automático do agente do Log Analytics deve ser habilitado na sua assinatura	Para monitorar vulnerabilidades e ameaças de segurança, a Central de Segurança do Azure coleta dados de suas máquinas virtuais do Azure. Os dados são coletados pelo agente do Log Analytics, anteriormente conhecido como Microsoft Monitoring Agent (MMA), que lê várias configurações relacionadas à segurança e logs de eventos da máquina e copia os dados para o espaço de trabalho do Log Analytics para análise. Recomendamos habilitar o provisionamento automático para implantar automaticamente o agente em todas as VMs do Azure com suporte e em quaisquer novas que sejam criadas.	AuditIfNotExists, desativado	1.0.1
O Backup do Azure deve ser habilitado para Máquinas Virtuais	Garanta a proteção de suas Máquinas Virtuais do Azure habilitando o Backup do Azure. O Backup do Azure é uma solução de proteção de dados segura e econômica para o Azure.	AuditIfNotExists, desativado	3.0.0
O Azure Defender for App Service deve estar habilitado	O Azure Defender for App Service aproveita a escala da nuvem e a visibilidade que o Azure tem como um provedor de nuvem para monitorar ataques comuns a aplicativos Web.	AuditIfNotExists, desativado	1.0.3
O Azure Defender for Key Vault deve ser habilitado	O Azure Defender for Key Vault fornece uma camada adicional de proteção e inteligência de segurança ao detetar tentativas incomuns e potencialmente prejudiciais de acessar ou explorar contas de cofre de chaves.	AuditIfNotExists, desativado	1.0.3
O Azure Defender para servidores deve estar habilitado	O Azure Defender para servidores fornece proteção contra ameaças em tempo real para cargas de trabalho de servidor e gera recomendações de proteção, bem como alertas sobre atividades suspeitas.	AuditIfNotExists, desativado	1.0.3
O perfil de log do Azure Monitor deve coletar logs para as categorias 'gravar', 'excluir' e 'ação'	Essa política garante que um perfil de log colete logs para as categorias 'gravar', 'excluir' e 'agir'	AuditIfNotExists, desativado	1.0.0
Os clusters de Logs do Azure Monitor devem ser criados com criptografia de infraestrutura habilitada (criptografia dupla)	Para garantir que a criptografia de dados segura seja habilitada no nível de serviço e no nível de infraestrutura com dois algoritmos de criptografia diferentes e duas chaves diferentes, use um cluster dedicado do Azure Monitor. Esta opção é ativada por padrão quando suportada na região, consulte https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys#customer-managed-key-overview.	auditoria, auditoria, negar, negar, desativado, desativado	1.1.0
Os clusters do Azure Monitor Logs devem ser criptografados com chave gerenciada pelo cliente	Crie o cluster de logs do Azure Monitor com criptografia de chaves gerenciadas pelo cliente. Por padrão, os dados de log são criptografados com chaves gerenciadas por serviço, mas as chaves gerenciadas pelo cliente geralmente são necessárias para atender à conformidade regulamentar. A chave gerida pelo cliente no Azure Monitor dá-lhe mais controlo sobre o acesso aos seus dados, consulte https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys.	auditoria, auditoria, negar, negar, desativado, desativado	1.1.0
Os Logs do Azure Monitor para Application Insights devem ser vinculados a um espaço de trabalho do Log Analytics	Vincule o componente Application Insights a um espaço de trabalho do Log Analytics para criptografia de logs. As chaves gerenciadas pelo cliente geralmente são necessárias para atender à conformidade regulatória e para obter mais controle sobre o acesso aos seus dados no Azure Monitor. Vincular seu componente a um espaço de trabalho do Log Analytics habilitado com uma chave gerenciada pelo cliente garante que os logs do Application Insights atendam a esse requisito de conformidade, consulte https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys.	auditoria, auditoria, negar, negar, desativado, desativado	1.1.0
O Azure Monitor deve coletar logs de atividades de todas as regiões	Esta política audita o perfil de log do Azure Monitor que não exporta atividades de todas as regiões com suporte do Azure, incluindo globais.	AuditIfNotExists, desativado	2.0.0
A solução 'Segurança e Auditoria' do Azure Monitor deve ser implantada	Essa política garante que a Segurança e a Auditoria sejam implantadas.	AuditIfNotExists, desativado	1.0.0
Correlacione registros de auditoria	CMA_0087 - Correlacionar registos de auditoria	Manual, Desativado	1.1.0
Implantar a extensão Configuração de Convidado do Windows para habilitar atribuições de Configuração de Convidado em VMs do Windows	Esta política implanta a extensão Configuração de Convidado do Windows em máquinas virtuais do Windows hospedadas no Azure que são suportadas pela Configuração de Convidado. A extensão de Configuração de Convidado do Windows é um pré-requisito para todas as atribuições de Configuração de Convidado do Windows e deve ser implantada em máquinas antes de usar qualquer definição de política de Configuração de Convidado do Windows. Para obter mais informações sobre Configuração de convidado, visite https://aka.ms/gcpol.	deployIfNotExists	1.2.0
Determinar eventos auditáveis	CMA_0137 - Determinar eventos auditáveis	Manual, Desativado	1.1.0
Estabelecer requisitos para revisão de auditoria e relatórios	CMA_0277 - Estabelecer requisitos para revisão de auditoria e relatórios	Manual, Desativado	1.1.0
Os logs de fluxo devem ser configurados para cada grupo de segurança de rede	Auditoria de grupos de segurança de rede para verificar se os logs de fluxo estão configurados. A habilitação de logs de fluxo permite registrar informações sobre o tráfego IP que flui através do grupo de segurança de rede. Ele pode ser usado para otimizar fluxos de rede, monitorar a taxa de transferência, verificar a conformidade, detetar invasões e muito mais.	Auditoria, Desativado	1.1.0
Integre a revisão, análise e emissão de relatórios de auditoria	CMA_0339 - Integre a revisão, análise e relatórios de auditoria	Manual, Desativado	1.1.0
Integre a segurança de aplicativos na nuvem com um siem	CMA_0340 - Integre a segurança de aplicativos na nuvem com um siem	Manual, Desativado	1.1.0
A extensão do Log Analytics deve ser habilitada em conjuntos de dimensionamento de máquinas virtuais para imagens de máquinas virtuais listadas	Relata conjuntos de escala de máquina virtual como não compatíveis se a imagem da máquina virtual não estiver na lista definida e a extensão não estiver instalada.	AuditIfNotExists, desativado	2.0.1
O Microsoft Defender for Storage deve estar habilitado	O Microsoft Defender for Storage deteta ameaças potenciais às suas contas de armazenamento. Ele ajuda a evitar os três principais impactos em seus dados e carga de trabalho: uploads de arquivos mal-intencionados, exfiltração de dados confidenciais e corrupção de dados. O novo plano do Defender for Storage inclui verificação de malware e deteção de ameaças de dados confidenciais. Esse plano também fornece uma estrutura de preços previsível (por conta de armazenamento) para controle sobre a cobertura e os custos.	AuditIfNotExists, desativado	1.0.0
Os logs de fluxo do Inspetor de Rede devem ter a análise de tráfego habilitada	A análise de tráfego analisa os logs de fluxo para fornecer informações sobre o fluxo de tráfego na sua nuvem do Azure. Ele pode ser usado para visualizar a atividade de rede em suas assinaturas do Azure e identificar pontos de acesso, identificar ameaças à segurança, entender padrões de fluxo de tráfego, identificar configurações incorretas de rede e muito mais.	Auditoria, Desativado	1.0.1
Executar verificações de vulnerabilidade	CMA_0393 - Executar verificações de vulnerabilidade	Manual, Desativado	1.1.0
Fornecer alertas em tempo real para falhas de eventos de auditoria	CMA_C1114 - Fornecer alertas em tempo real para falhas de eventos de auditoria	Manual, Desativado	1.1.0
Remediar falhas no sistema de informação	CMA_0427 - Remediar falhas no sistema de informação	Manual, Desativado	1.1.0
Os logs de recursos em contas em lote devem ser habilitados	Ativação de auditoria de logs de recursos. Isso permite que você recrie trilhas de atividades para usar para fins de investigação; quando ocorre um incidente de segurança ou quando a sua rede está comprometida	AuditIfNotExists, desativado	5.0.0
Os logs de recursos no Cofre da Chave devem ser habilitados	Ativação de auditoria de logs de recursos. Isso permite que você recrie trilhas de atividade para usar para fins de investigação quando ocorrer um incidente de segurança ou quando sua rede estiver comprometida	AuditIfNotExists, desativado	5.0.0
Os logs de recursos em aplicativos lógicos devem ser habilitados	Ativação de auditoria de logs de recursos. Isso permite que você recrie trilhas de atividades para usar para fins de investigação; quando ocorre um incidente de segurança ou quando a sua rede está comprometida	AuditIfNotExists, desativado	5.1.0
Os logs de recursos nos serviços de Pesquisa devem ser habilitados	Ativação de auditoria de logs de recursos. Isso permite que você recrie trilhas de atividades para usar para fins de investigação; quando ocorre um incidente de segurança ou quando a sua rede está comprometida	AuditIfNotExists, desativado	5.0.0
Os logs de recursos no Service Bus devem ser habilitados	Ativação de auditoria de logs de recursos. Isso permite que você recrie trilhas de atividades para usar para fins de investigação; quando ocorre um incidente de segurança ou quando a sua rede está comprometida	AuditIfNotExists, desativado	5.0.0
Revisar logs de provisionamento de conta	CMA_0460 - Revisar logs de provisionamento de conta	Manual, Desativado	1.1.0
Revise as atribuições do administrador semanalmente	CMA_0461 - Revisar as atribuições do administrador semanalmente	Manual, Desativado	1.1.0
Rever os dados de auditoria	CMA_0466 - Rever os dados de auditoria	Manual, Desativado	1.1.0
Revise a visão geral do relatório de identidade na nuvem	CMA_0468 - Revisar a visão geral do relatório de identidade na nuvem	Manual, Desativado	1.1.0
Rever eventos de acesso controlado a pastas	CMA_0471 - Revisar eventos de acesso controlado a pastas	Manual, Desativado	1.1.0
Rever eventos de proteção de exploração	CMA_0472 - Analisar eventos de proteção de exploração	Manual, Desativado	1.1.0
Rever a atividade de ficheiros e pastas	CMA_0473 - Revisar a atividade de arquivos e pastas	Manual, Desativado	1.1.0
Revisar as alterações do grupo de funções semanalmente	CMA_0476 - Revisar as mudanças do grupo de funções semanalmente	Manual, Desativado	1.1.0
As consultas salvas no Azure Monitor devem ser salvas na conta de armazenamento do cliente para criptografia de logs	Vincule a conta de armazenamento ao espaço de trabalho do Log Analytics para proteger consultas salvas com criptografia de conta de armazenamento. As chaves gerenciadas pelo cliente geralmente são necessárias para atender à conformidade regulatória e para ter mais controle sobre o acesso às suas consultas salvas no Azure Monitor. Para obter mais detalhes sobre o acima, consulte https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys?tabs=portal#customer-managed-key-for-saved-queries.	auditoria, auditoria, negar, negar, desativado, desativado	1.1.0
A conta de armazenamento que contém o contêiner com registros de atividades deve ser criptografada com BYOK	Esta política audita se a conta de armazenamento que contém o contêiner com logs de atividade está criptografada com BYOK. A política só funciona se a conta de armazenamento estiver na mesma assinatura que os logs de atividade por design. Mais informações sobre a criptografia do Armazenamento do Azure em repouso podem ser encontradas aqui https://aka.ms/azurestoragebyok.	AuditIfNotExists, desativado	1.0.0
A extensão do Log Analytics deve ser instalada em Conjuntos de Dimensionamento de Máquina Virtual	Esta política audita qualquer Conjunto de Dimensionamento de Máquina Virtual Windows/Linux se a extensão do Log Analytics não estiver instalada.	AuditIfNotExists, desativado	1.0.1
As máquinas virtuais devem ter a extensão do Log Analytics instalada	Esta política audita quaisquer máquinas virtuais Windows/Linux se a extensão do Log Analytics não estiver instalada.	AuditIfNotExists, desativado	1.0.1

Detete e contenha atividade de rede anômala dentro e dentro do ambiente SWIFT local ou remoto.

ID: SWIFT CSCF v2022 6.5A Propriedade: Compartilhada

Nome _{(Portal do Azure)}	Description	Efeito(s)	Versão _(GitHub)
[Preview]: O agente de coleta de dados de tráfego de rede deve ser instalado em máquinas virtuais Linux	A Central de Segurança usa o agente de dependência da Microsoft para coletar dados de tráfego de rede de suas máquinas virtuais do Azure para habilitar recursos avançados de proteção de rede, como visualização de tráfego no mapa de rede, recomendações de proteção de rede e ameaças de rede específicas.	AuditIfNotExists, desativado	1.0.2-Pré-visualização
[Pré-visualização]: O agente de recolha de dados de tráfego de rede deve ser instalado em máquinas virtuais Windows	A Central de Segurança usa o agente de dependência da Microsoft para coletar dados de tráfego de rede de suas máquinas virtuais do Azure para habilitar recursos avançados de proteção de rede, como visualização de tráfego no mapa de rede, recomendações de proteção de rede e ameaças de rede específicas.	AuditIfNotExists, desativado	1.0.2-Pré-visualização
As recomendações de proteção de rede adaptável devem ser aplicadas em máquinas virtuais voltadas para a Internet	A Central de Segurança do Azure analisa os padrões de tráfego de máquinas virtuais voltadas para a Internet e fornece recomendações de regras do Grupo de Segurança de Rede que reduzem a superfície de ataque potencial	AuditIfNotExists, desativado	3.0.0
Pessoal de alerta sobre derrames de informação	CMA_0007 - Pessoal de alerta sobre derrames de informação	Manual, Desativado	1.1.0
Autorizar, monitorar e controlar voip	CMA_0025 - Autorizar, monitorar e controlar voip	Manual, Desativado	1.1.0
O Azure Defender for App Service deve estar habilitado	O Azure Defender for App Service aproveita a escala da nuvem e a visibilidade que o Azure tem como um provedor de nuvem para monitorar ataques comuns a aplicativos Web.	AuditIfNotExists, desativado	1.0.3
O Azure Defender for Key Vault deve ser habilitado	O Azure Defender for Key Vault fornece uma camada adicional de proteção e inteligência de segurança ao detetar tentativas incomuns e potencialmente prejudiciais de acessar ou explorar contas de cofre de chaves.	AuditIfNotExists, desativado	1.0.3
O Azure Defender para servidores deve estar habilitado	O Azure Defender para servidores fornece proteção contra ameaças em tempo real para cargas de trabalho de servidor e gera recomendações de proteção, bem como alertas sobre atividades suspeitas.	AuditIfNotExists, desativado	1.0.3
Detetar serviços de rede que não foram autorizados ou aprovados	CMA_C1700 - Detetar serviços de rede que não foram autorizados ou aprovados	Manual, Desativado	1.1.0
Desenvolver um plano de resposta a incidentes	CMA_0145 - Desenvolver um plano de resposta a incidentes	Manual, Desativado	1.1.0
Operações de segurança de documentos	CMA_0202 - Operações de segurança documental	Manual, Desativado	1.1.0
Implementar a proteção de limites do sistema	CMA_0328 - Implementar a proteção de limites do sistema	Manual, Desativado	1.1.0
Gerenciar gateways	CMA_0363 - Gerenciar gateways	Manual, Desativado	1.1.0
O Microsoft Defender for Storage deve estar habilitado	O Microsoft Defender for Storage deteta ameaças potenciais às suas contas de armazenamento. Ele ajuda a evitar os três principais impactos em seus dados e carga de trabalho: uploads de arquivos mal-intencionados, exfiltração de dados confidenciais e corrupção de dados. O novo plano do Defender for Storage inclui verificação de malware e deteção de ameaças de dados confidenciais. Esse plano também fornece uma estrutura de preços previsível (por conta de armazenamento) para controle sobre a cobertura e os custos.	AuditIfNotExists, desativado	1.0.0
O Inspetor de Rede deve estar ativado	O Inspetor de Rede é um serviço regional que permite monitorar e diagnosticar condições em um nível de cenário de rede no, para e do Azure. O monitoramento no nível do cenário permite diagnosticar problemas em uma visualização de nível de rede de ponta a ponta. É necessário ter um grupo de recursos de observador de rede a ser criado em cada região onde uma rede virtual está presente. Um alerta será ativado se um grupo de recursos do inspetor de rede não estiver disponível em uma região específica.	AuditIfNotExists, desativado	3.0.0
Encaminhar o tráfego através de pontos de acesso de rede gerenciados	CMA_0484 - Encaminhe o tráfego através de pontos de acesso de rede gerenciados	Manual, Desativado	1.1.0
Definir notificações automatizadas para aplicativos de nuvem novos e em alta em sua organização	CMA_0495 - Defina notificações automatizadas para aplicativos de nuvem novos e em alta em sua organização	Manual, Desativado	1.1.0
Ligue sensores para solução de segurança de endpoint	CMA_0514 - Ligue sensores para solução de segurança de endpoint	Manual, Desativado	1.1.0

Assegurar uma abordagem coerente e eficaz para a gestão de ciberincidentes.

ID: SWIFT CSCF v2022 7.1 Propriedade: Compartilhada

Nome _{(Portal do Azure)}	Description	Efeito(s)	Versão _(GitHub)
Resolver problemas de segurança da informação	CMA_C1742 - Abordar questões de segurança da informação	Manual, Desativado	1.1.0
A notificação por e-mail para alertas de alta gravidade deve ser ativada	Para garantir que as pessoas relevantes em sua organização sejam notificadas quando houver uma possível violação de segurança em uma de suas assinaturas, habilite as notificações por e-mail para alertas de alta gravidade na Central de Segurança.	AuditIfNotExists, desativado	1.0.1
A notificação por e-mail ao proprietário da assinatura para alertas de alta gravidade deve ser habilitada	Para garantir que os proprietários da sua subscrição são notificados quando existe uma potencial violação de segurança na respetiva subscrição, defina notificações por e-mail aos proprietários da subscrição para alertas de elevada gravidade no Centro de Segurança.	AuditIfNotExists, desativado	2.0.0
Identificar classes de incidentes e ações tomadas	CMA_C1365 - Identificar classes de incidentes e ações tomadas	Manual, Desativado	1.1.0
Incorpore eventos simulados no treinamento de resposta a incidentes	CMA_C1356 - Incorporar eventos simulados no treinamento de resposta a incidentes	Manual, Desativado	1.1.0
Fornecer treinamento de derramamento de informações	CMA_0413 - Fornecer treinamento de derramamento de informações	Manual, Desativado	1.1.0
Rever e atualizar políticas e procedimentos de resposta a incidentes	CMA_C1352 - Rever e atualizar políticas e procedimentos de resposta a incidentes	Manual, Desativado	1.1.0
As subscrições devem ter um endereço de e-mail de contacto para questões de segurança	Para garantir que as pessoas relevantes na sua organização sejam notificadas quando houver uma potencial violação de segurança numa das suas subscrições, defina um contacto de segurança para receber notificações por correio eletrónico do Centro de Segurança.	AuditIfNotExists, desativado	1.0.1

Assegurar que todos os funcionários estão cientes e cumprem as suas responsabilidades de segurança, realizando atividades regulares de sensibilização, e manter o conhecimento de segurança do pessoal com acesso privilegiado.

ID: SWIFT CSCF v2022 7.2 Propriedade: Compartilhada

Nome _{(Portal do Azure)}	Description	Efeito(s)	Versão _(GitHub)
Atividades de formação em segurança e privacidade de documentos	CMA_0198 - Atividades de formação em segurança documental e privacidade	Manual, Desativado	1.1.0
Fornecer treinamento periódico de segurança baseado em funções	CMA_C1095 - Fornecer treinamento periódico de segurança baseado em funções	Manual, Desativado	1.1.0
Fornecer treinamento periódico de conscientização sobre segurança	CMA_C1091 - Fornecer treinamento periódico de conscientização sobre segurança	Manual, Desativado	1.1.0
Fornecer treinamento de privacidade	CMA_0415 - Fornecer treinamento de privacidade	Manual, Desativado	1.1.0
Fornecer exercícios práticos baseados em funções	CMA_C1096 - Fornecer exercícios práticos baseados em funções	Manual, Desativado	1.1.0
Fornecer treinamento de segurança baseado em funções	CMA_C1094 - Fornecer treinamento de segurança baseado em funções	Manual, Desativado	1.1.0
Fornecer treinamento baseado em funções sobre atividades suspeitas	CMA_C1097 - Fornecer treinamento baseado em funções sobre atividades suspeitas	Manual, Desativado	1.1.0
Fornecer treinamento de conscientização de segurança para ameaças internas	CMA_0417 - Fornecer treinamento de conscientização de segurança para ameaças internas	Manual, Desativado	1.1.0
Fornecer treinamento de segurança antes de fornecer acesso	CMA_0418 - Fornecer treinamento de segurança antes de fornecer acesso	Manual, Desativado	1.1.0
Fornecer treinamento de segurança para novos usuários	CMA_0419 - Fornecer treinamento de segurança para novos usuários	Manual, Desativado	1.1.0
Fornecer treinamento atualizado de conscientização sobre segurança	CMA_C1090 - Fornecer treinamento atualizado de conscientização sobre segurança	Manual, Desativado	1.1.0

Valide a configuração de segurança operacional e identifique lacunas de segurança executando testes de penetração.

ID: SWIFT CSCF v2022 7.3A Propriedade: Compartilhada

Nome _{(Portal do Azure)}	Description	Efeito(s)	Versão _(GitHub)
Empregar equipe independente para testes de penetração	CMA_C1171 - Empregar equipe independente para testes de penetração	Manual, Desativado	1.1.0
Exigir que os desenvolvedores criem uma arquitetura de segurança	CMA_C1612 - Exigir que os desenvolvedores criem uma arquitetura de segurança	Manual, Desativado	1.1.0

Avaliar o risco e a prontidão da organização com base em cenários plausíveis de ciberataque.

ID: SWIFT CSCF v2022 7.4A Propriedade: Compartilhada

Nome _{(Portal do Azure)}	Description	Efeito(s)	Versão _(GitHub)
Realizar Avaliação de Risco	CMA_C1543 - Realizar Avaliação de Risco	Manual, Desativado	1.1.0
Realizar a avaliação de riscos e distribuir os seus resultados	CMA_C1544 - Realizar a avaliação de riscos e distribuir os seus resultados	Manual, Desativado	1.1.0
Realizar avaliações de risco e documentar seus resultados	CMA_C1542 - Realizar a avaliação de riscos e documentar os seus resultados	Manual, Desativado	1.1.0
Estabelecer uma estratégia de gestão de riscos	CMA_0258 - Estabelecer uma estratégia de gestão de riscos	Manual, Desativado	1.1.0
Implementar a estratégia de gestão de riscos	CMA_C1744 - Implementar a estratégia de gestão de riscos	Manual, Desativado	1.1.0
Realizar uma avaliação de risco	CMA_0388 - Realizar uma avaliação de risco	Manual, Desativado	1.1.0
Rever e atualizar as políticas e procedimentos de avaliação de riscos	CMA_C1537 - Rever e atualizar as políticas e procedimentos de avaliação de riscos	Manual, Desativado	1.1.0

8. Definir e monitorar o desempenho

Assegurar a disponibilidade através da definição formal e do acompanhamento dos objetivos a atingir

ID: SWIFT CSCF v2022 8.1 Propriedade: Compartilhada

Nome _{(Portal do Azure)}	Description	Efeito(s)	Versão _(GitHub)
Coordenar planos de contingência com planos relacionados	CMA_0086 - Coordenar planos de contingência com planos relacionados	Manual, Desativado	1.1.0
Desenvolver um plano de contingência	CMA_C1244 - Elaborar plano de contingência	Manual, Desativado	1.1.0
Obter parecer jurídico para monitorizar as atividades do sistema	CMA_C1688 - Obter parecer jurídico para acompanhamento das atividades do sistema	Manual, Desativado	1.1.0
Realizar uma análise de tendência sobre ameaças	CMA_0389 - Realizar uma análise de tendência sobre ameaças	Manual, Desativado	1.1.0
Planejar a continuidade de funções essenciais de negócios	CMA_C1255 - Plano de continuidade das funções essenciais do negócio	Manual, Desativado	1.1.0
Plano de retomada de funções essenciais do negócio	CMA_C1253 - Plano de retomada de funções essenciais do negócio	Manual, Desativado	1.1.0
Fornecer informações de monitoramento, conforme necessário	CMA_C1689 - Fornecer informações de monitoramento, conforme necessário	Manual, Desativado	1.1.0
Retomar todas as funções de missão e negócio	CMA_C1254 - Retomar todas as funções de missão e negócio	Manual, Desativado	1.1.0

Garantir disponibilidade, capacidade e qualidade dos serviços prestados aos clientes

ID: SWIFT CSCF v2022 8.4 Propriedade: Compartilhada

Nome _{(Portal do Azure)}	Description	Efeito(s)	Versão _(GitHub)
Conduzir o planejamento de capacidade	CMA_C1252 - Conduzir o planejamento de capacidade	Manual, Desativado	1.1.0
Coordenar planos de contingência com planos relacionados	CMA_0086 - Coordenar planos de contingência com planos relacionados	Manual, Desativado	1.1.0
Criar ações alternativas para anomalias identificadas	CMA_C1711 - Criar ações alternativas para anomalias identificadas	Manual, Desativado	1.1.0
Desenvolver um plano de contingência	CMA_C1244 - Elaborar plano de contingência	Manual, Desativado	1.1.0
Notificar o pessoal de qualquer falha nos testes de verificação de segurança	CMA_C1710 - Notificar o pessoal de qualquer falha nos testes de verificação de segurança	Manual, Desativado	1.1.0
Executar a verificação da função de segurança com uma frequência definida	CMA_C1709 - Realizar a verificação da função de segurança com uma frequência definida	Manual, Desativado	1.1.0
Planejar a continuidade de funções essenciais de negócios	CMA_C1255 - Plano de continuidade das funções essenciais do negócio	Manual, Desativado	1.1.0

Garantir a disponibilidade antecipada das versões SWIFTNet e dos padrões FIN para testes adequados pelo cliente antes de entrar em operação.

ID: SWIFT CSCF v2022 8.5 Propriedade: Compartilhada

Nome _{(Portal do Azure)}	Description	Efeito(s)	Versão _(GitHub)
Resolver vulnerabilidades de codificação	CMA_0003 - Resolver vulnerabilidades de codificação	Manual, Desativado	1.1.0
Desenvolver e documentar requisitos de segurança de aplicativos	CMA_0148 - Desenvolver e documentar requisitos de segurança de aplicativos	Manual, Desativado	1.1.0
Documentar o ambiente do sistema de informação nos contratos de aquisição	CMA_0205 - Documentar o ambiente do sistema de informação em contratos de aquisição	Manual, Desativado	1.1.0
Estabeleça um programa seguro de desenvolvimento de software	CMA_0259 - Estabelecer um programa de desenvolvimento de software seguro	Manual, Desativado	1.1.0
Executar verificações de vulnerabilidade	CMA_0393 - Executar verificações de vulnerabilidade	Manual, Desativado	1.1.0
Remediar falhas no sistema de informação	CMA_0427 - Remediar falhas no sistema de informação	Manual, Desativado	1.1.0
Exigir que os desenvolvedores documentem as alterações aprovadas e o impacto potencial	CMA_C1597 - Exigir que os desenvolvedores documentem as alterações aprovadas e o impacto potencial	Manual, Desativado	1.1.0
Exigir que os desenvolvedores implementem apenas as alterações aprovadas	CMA_C1596 - Exigir que os desenvolvedores implementem apenas as alterações aprovadas	Manual, Desativado	1.1.0
Exigir que os desenvolvedores gerenciem a integridade das alterações	CMA_C1595 - Exigir que os desenvolvedores gerenciem a integridade das alterações	Manual, Desativado	1.1.0
Exigir que os desenvolvedores apresentem provas da execução do plano de avaliação de segurança	CMA_C1602 - Exigir que os desenvolvedores apresentem provas da execução do plano de avaliação de segurança	Manual, Desativado	1.1.0
Verificar a integridade do software, firmware e informações	CMA_0542 - Verificar a integridade do software, firmware e informação	Manual, Desativado	1.1.0

9. Garantir a disponibilidade através da resiliência

Os prestadores devem assegurar que o serviço permanece disponível para os clientes em caso de perturbação ou mau funcionamento local.

ID: SWIFT CSCF v2022 9.1 Propriedade: Compartilhada

Nome _{(Portal do Azure)}	Description	Efeito(s)	Versão _(GitHub)
Realizar testes de resposta a incidentes	CMA_0060 - Realizar testes de resposta a incidentes	Manual, Desativado	1.1.0
Coordenar planos de contingência com planos relacionados	CMA_0086 - Coordenar planos de contingência com planos relacionados	Manual, Desativado	1.1.0
Desenvolver um plano de contingência	CMA_C1244 - Elaborar plano de contingência	Manual, Desativado	1.1.0
Desenvolver políticas e procedimentos de planeamento de contingência	CMA_0156 - Desenvolver políticas e procedimentos de planeamento de contingência	Manual, Desativado	1.1.0
Distribuir políticas e procedimentos	CMA_0185 - Distribuir políticas e procedimentos	Manual, Desativado	1.1.0
Estabeleça um programa de segurança da informação	CMA_0263 - Estabelecer um programa de segurança da informação	Manual, Desativado	1.1.0
Fornecer treinamento de contingência	CMA_0412 - Fornecer formação em contingência	Manual, Desativado	1.1.0
Executar ataques de simulação	CMA_0486 - Executar ataques de simulação	Manual, Desativado	1.1.0

Os provedores devem garantir que o serviço permaneça disponível para os clientes no caso de um desastre no local.

ID: SWIFT CSCF v2022 9.2 Propriedade: Compartilhada

Nome _{(Portal do Azure)}	Description	Efeito(s)	Versão _(GitHub)
Realizar backup da documentação do sistema de informação	CMA_C1289 - Realizar backup da documentação do sistema de informação	Manual, Desativado	1.1.0
Crie locais de armazenamento alternativos e primários separados	CMA_C1269 - Crie locais de armazenamento alternativos e primários separados	Manual, Desativado	1.1.0
Garantir que as proteções alternativas do local de armazenamento sejam equivalentes às do local principal	CMA_C1268 - Garantir que as proteções alternativas do local de armazenamento sejam equivalentes às do local principal	Manual, Desativado	1.1.0
Estabelecer local de armazenamento alternativo que facilite as operações de recuperação	CMA_C1270 - Estabelecer locais de armazenamento alternativos que facilitem as operações de recuperação	Manual, Desativado	1.1.0
Estabeleça um local de armazenamento alternativo para armazenar e recuperar informações de backup	CMA_C1267 - Estabeleça um local de armazenamento alternativo para armazenar e recuperar informações de backup	Manual, Desativado	1.1.0
Estabelecer um local de processamento alternativo	CMA_0262 - Estabelecer um local de processamento alternativo	Manual, Desativado	1.1.0
Estabelecer requisitos para os fornecedores de serviços Internet	CMA_0278 - Estabelecer requisitos para os fornecedores de serviços Internet	Manual, Desativado	1.1.0
Identificar e mitigar possíveis problemas em locais de armazenamento alternativos	CMA_C1271 - Identificar e mitigar possíveis problemas em locais de armazenamento alternativos	Manual, Desativado	1.1.0
Preparar local de processamento alternativo para uso como local operacional	CMA_C1278 - Preparar local de processamento alternativo para uso como local operacional	Manual, Desativado	1.1.0
Recupere e reconstitua recursos após qualquer interrupção	CMA_C1295 - Recuperar e reconstituir recursos após qualquer interrupção	Manual, Desativado	1.1.1
Restaurar recursos para o estado operacional	CMA_C1297 - Restaurar os recursos para o estado operacional	Manual, Desativado	1.1.1
Armazene separadamente as informações de backup	CMA_C1293 - Armazene separadamente as informações de backup	Manual, Desativado	1.1.0
Transferir informações de backup para um local de armazenamento alternativo	CMA_C1294 - Transfira informações de backup para um local de armazenamento alternativo	Manual, Desativado	1.1.0

Os serviços de serviços devem assegurar que o serviço permanece disponível para os seus clientes em caso de perturbação, perigo ou incidente.

ID: SWIFT CSCF v2022 9.3 Propriedade: Compartilhada

Nome _{(Portal do Azure)}	Description	Efeito(s)	Versão _(GitHub)
Desenvolver e documentar um plano de continuidade de negócios e recuperação de desastres	CMA_0146 - Desenvolver e documentar um plano de continuidade de negócios e recuperação de desastres	Manual, Desativado	1.1.0
Desenvolver um plano de contingência	CMA_C1244 - Elaborar plano de contingência	Manual, Desativado	1.1.0
Utilize iluminação de emergência automática	CMA_0209 - Utilizar iluminação de emergência automática	Manual, Desativado	1.1.0
Implementar uma metodologia de teste de penetração	CMA_0306 - Implementar uma metodologia de testes de penetração	Manual, Desativado	1.1.0
Implementar segurança física para escritórios, áreas de trabalho e áreas seguras	CMA_0323 - Implementar segurança física para escritórios, áreas de trabalho e áreas seguras	Manual, Desativado	1.1.0
Rever e atualizar políticas e procedimentos físicos e ambientais	CMA_C1446 - Rever e atualizar políticas e procedimentos físicos e ambientais	Manual, Desativado	1.1.0
Executar ataques de simulação	CMA_0486 - Executar ataques de simulação	Manual, Desativado	1.1.0

A disponibilidade e a qualidade do serviço dos fornecedores são asseguradas através da utilização dos pacotes de conectividade SWIFT recomendados e da largura de banda de linha adequada

ID: SWIFT CSCF v2022 9.4 Propriedade: Compartilhada

Nome _{(Portal do Azure)}	Description	Efeito(s)	Versão _(GitHub)
Autorizar, monitorar e controlar voip	CMA_0025 - Autorizar, monitorar e controlar voip	Manual, Desativado	1.1.0
Conduzir o planejamento de capacidade	CMA_C1252 - Conduzir o planejamento de capacidade	Manual, Desativado	1.1.0
Implementar a proteção de limites do sistema	CMA_0328 - Implementar a proteção de limites do sistema	Manual, Desativado	1.1.0
Gerenciar gateways	CMA_0363 - Gerenciar gateways	Manual, Desativado	1.1.0
Encaminhar o tráfego através de pontos de acesso de rede gerenciados	CMA_0484 - Encaminhe o tráfego através de pontos de acesso de rede gerenciados	Manual, Desativado	1.1.0

10. Esteja pronto em caso de desastre de grandes proporções

A continuidade dos negócios é assegurada através de um plano documentado comunicado às partes potencialmente afetadas (bureau de serviços e clientes).

ID: SWIFT CSCF v2022 10.1 Propriedade: Compartilhada

Nome _{(Portal do Azure)}	Description	Efeito(s)	Versão _(GitHub)
Coordenar planos de contingência com planos relacionados	CMA_0086 - Coordenar planos de contingência com planos relacionados	Manual, Desativado	1.1.0
Desenvolver um plano de contingência	CMA_C1244 - Elaborar plano de contingência	Manual, Desativado	1.1.0
Planejar a continuidade de funções essenciais de negócios	CMA_C1255 - Plano de continuidade das funções essenciais do negócio	Manual, Desativado	1.1.0
Plano de retomada de funções essenciais do negócio	CMA_C1253 - Plano de retomada de funções essenciais do negócio	Manual, Desativado	1.1.0
Retomar todas as funções de missão e negócio	CMA_C1254 - Retomar todas as funções de missão e negócio	Manual, Desativado	1.1.0

11. Monitorização em caso de catástrofe de grandes proporções

Garantir uma abordagem consistente e eficaz para o monitoramento e escalonamento de eventos.

ID: SWIFT CSCF v2022 11.1 Propriedade: Compartilhada

Nome _{(Portal do Azure)}	Description	Efeito(s)	Versão _(GitHub)
Operações de segurança de documentos	CMA_0202 - Operações de segurança documental	Manual, Desativado	1.1.0
Obter parecer jurídico para monitorizar as atividades do sistema	CMA_C1688 - Obter parecer jurídico para acompanhamento das atividades do sistema	Manual, Desativado	1.1.0
Realizar uma análise de tendência sobre ameaças	CMA_0389 - Realizar uma análise de tendência sobre ameaças	Manual, Desativado	1.1.0
Fornecer informações de monitoramento, conforme necessário	CMA_C1689 - Fornecer informações de monitoramento, conforme necessário	Manual, Desativado	1.1.0
Ligue sensores para solução de segurança de endpoint	CMA_0514 - Ligue sensores para solução de segurança de endpoint	Manual, Desativado	1.1.0

Assegurar uma abordagem consistente e eficaz para a gestão de incidentes (Problem Management).

ID: SWIFT CSCF v2022 11.2 Propriedade: Compartilhada

Garantir um escalonamento adequado de avarias operacionais em caso de impacto no cliente.

ID: SWIFT CSCF v2022 11.4 Propriedade: Compartilhada

Nome _{(Portal do Azure)}	Description	Efeito(s)	Versão _(GitHub)
Automatize o processo para documentar as alterações implementadas	CMA_C1195 - Automatize o processo para documentar as alterações implementadas	Manual, Desativado	1.1.0
Automatize o processo para destacar propostas de alteração não revisadas	CMA_C1193 - Automatize o processo para destacar propostas de alteração não revisadas	Manual, Desativado	1.1.0
Desenvolver um plano de resposta a incidentes	CMA_0145 - Desenvolver um plano de resposta a incidentes	Manual, Desativado	1.1.0
Operações de segurança de documentos	CMA_0202 - Operações de segurança documental	Manual, Desativado	1.1.0
Ativar a proteção de rede	CMA_0238 - Ativar a proteção de rede	Manual, Desativado	1.1.0
Erradicar a informação contaminada	CMA_0253 - Erradicar a informação contaminada	Manual, Desativado	1.1.0
Estabelecer e documentar processos de controle de alterações	CMA_0265 - Estabelecer e documentar processos de controlo de alterações	Manual, Desativado	1.1.0
Estabelecer requisitos de gerenciamento de configuração para desenvolvedores	CMA_0270 - Estabelecer requisitos de gerenciamento de configuração para desenvolvedores	Manual, Desativado	1.1.0
Estabelecer relação entre a capacidade de resposta a incidentes e fornecedores externos	CMA_C1376 - Estabelecer relações entre a capacidade de resposta a incidentes e fornecedores externos	Manual, Desativado	1.1.0
Executar ações em resposta a vazamentos de informações	CMA_0281 - Executar ações em resposta a vazamentos de informações	Manual, Desativado	1.1.0
Implementar o tratamento de incidentes	CMA_0318 - Implementar o tratamento de incidentes	Manual, Desativado	1.1.0
Realizar uma análise de tendência sobre ameaças	CMA_0389 - Realizar uma análise de tendência sobre ameaças	Manual, Desativado	1.1.0
Realizar auditoria para controle de alterações de configuração	CMA_0390 - Realizar auditoria para controle de alterações de configuração	Manual, Desativado	1.1.0
Exibir e investigar usuários restritos	CMA_0545 - Ver e investigar utilizadores restritos	Manual, Desativado	1.1.0

Um suporte eficaz é oferecido aos clientes no caso de enfrentarem problemas durante o horário comercial.

ID: SWIFT CSCF v2022 11.5 Propriedade: Compartilhada

Nome _{(Portal do Azure)}	Description	Efeito(s)	Versão _(GitHub)
Desenvolver um plano de resposta a incidentes	CMA_0145 - Desenvolver um plano de resposta a incidentes	Manual, Desativado	1.1.0
Operações de segurança de documentos	CMA_0202 - Operações de segurança documental	Manual, Desativado	1.1.0
Ativar a proteção de rede	CMA_0238 - Ativar a proteção de rede	Manual, Desativado	1.1.0
Erradicar a informação contaminada	CMA_0253 - Erradicar a informação contaminada	Manual, Desativado	1.1.0
Estabelecer relação entre a capacidade de resposta a incidentes e fornecedores externos	CMA_C1376 - Estabelecer relações entre a capacidade de resposta a incidentes e fornecedores externos	Manual, Desativado	1.1.0
Executar ações em resposta a vazamentos de informações	CMA_0281 - Executar ações em resposta a vazamentos de informações	Manual, Desativado	1.1.0
Identificar o pessoal de resposta a incidentes	CMA_0301 - Identificar o pessoal de resposta a incidentes	Manual, Desativado	1.1.0
Implementar o tratamento de incidentes	CMA_0318 - Implementar o tratamento de incidentes	Manual, Desativado	1.1.0
Realizar uma análise de tendência sobre ameaças	CMA_0389 - Realizar uma análise de tendência sobre ameaças	Manual, Desativado	1.1.0
Exibir e investigar usuários restritos	CMA_0545 - Ver e investigar utilizadores restritos	Manual, Desativado	1.1.0

12. Garantir que o conhecimento está disponível

Garantir a qualidade do serviço prestado aos clientes através de colaboradores certificados SWIFT.

ID: SWIFT CSCF v2022 12.1 Propriedade: Compartilhada

Nome _{(Portal do Azure)}	Description	Efeito(s)	Versão _(GitHub)
Fornecer treinamento periódico de segurança baseado em funções	CMA_C1095 - Fornecer treinamento periódico de segurança baseado em funções	Manual, Desativado	1.1.0
Fornecer treinamento de segurança baseado em funções	CMA_C1094 - Fornecer treinamento de segurança baseado em funções	Manual, Desativado	1.1.0
Fornecer treinamento de segurança antes de fornecer acesso	CMA_0418 - Fornecer treinamento de segurança antes de fornecer acesso	Manual, Desativado	1.1.0

Próximos passos

Artigos adicionais sobre a Política do Azure:

Visão geral da conformidade regulamentar.
Consulte a estrutura de definição da iniciativa.
Analise outros exemplos em Exemplos de Política do Azure.
Veja Compreender os efeitos do Policy.
Saiba como corrigir recursos não compatíveis.

Nome _{(Portal do Azure)}	Description	Efeito(s)	Versão _(GitHub)
Avaliar eventos de segurança da informação	CMA_0013 - Avaliar eventos de segurança da informação	Manual, Desativado	1.1.0
Realizar testes de resposta a incidentes	CMA_0060 - Realizar testes de resposta a incidentes	Manual, Desativado	1.1.0
Desenvolver um plano de resposta a incidentes	CMA_0145 - Desenvolver um plano de resposta a incidentes	Manual, Desativado	1.1.0
Desenvolver proteções de segurança	CMA_0161 - Desenvolver salvaguardas de segurança	Manual, Desativado	1.1.0
Operações de segurança de documentos	CMA_0202 - Operações de segurança documental	Manual, Desativado	1.1.0
Ativar a proteção de rede	CMA_0238 - Ativar a proteção de rede	Manual, Desativado	1.1.0
Erradicar a informação contaminada	CMA_0253 - Erradicar a informação contaminada	Manual, Desativado	1.1.0
Estabeleça um programa de segurança da informação	CMA_0263 - Estabelecer um programa de segurança da informação	Manual, Desativado	1.1.0
Executar ações em resposta a vazamentos de informações	CMA_0281 - Executar ações em resposta a vazamentos de informações	Manual, Desativado	1.1.0
Identificar classes de incidentes e ações tomadas	CMA_C1365 - Identificar classes de incidentes e ações tomadas	Manual, Desativado	1.1.0
Implementar o tratamento de incidentes	CMA_0318 - Implementar o tratamento de incidentes	Manual, Desativado	1.1.0
Incorpore eventos simulados no treinamento de resposta a incidentes	CMA_C1356 - Incorporar eventos simulados no treinamento de resposta a incidentes	Manual, Desativado	1.1.0
Manter registros de violação de dados	CMA_0351 - Manter registos de violação de dados	Manual, Desativado	1.1.0
Manter o plano de resposta a incidentes	CMA_0352 - Manter o plano de resposta a incidentes	Manual, Desativado	1.1.0
Realizar uma análise de tendência sobre ameaças	CMA_0389 - Realizar uma análise de tendência sobre ameaças	Manual, Desativado	1.1.0
Proteja o plano de resposta a incidentes	CMA_0405 - Proteger o plano de resposta a incidentes	Manual, Desativado	1.1.0
Fornecer treinamento de derramamento de informações	CMA_0413 - Fornecer treinamento de derramamento de informações	Manual, Desativado	1.1.0
Rever e atualizar políticas e procedimentos de resposta a incidentes	CMA_C1352 - Rever e atualizar políticas e procedimentos de resposta a incidentes	Manual, Desativado	1.1.0
Executar ataques de simulação	CMA_0486 - Executar ataques de simulação	Manual, Desativado	1.1.0
Exibir e investigar usuários restritos	CMA_0545 - Ver e investigar utilizadores restritos	Manual, Desativado	1.1.0