你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
下文详细说明了 Azure Policy 法规合规性内置计划定义如何映射到 PCI DSS v4.0 中的合规性域和控制措施。 有关此合规性标准的详细信息,请参阅 PCI DSS v4.0。 如需了解所有权,请查看策略类型和云端共担责任。
以下映射适用于 PCI DSS v4.0 控制。 许多控制措施都是使用 Azure Policy 计划定义实现的。 若要查看完整计划定义,请在 Azure 门户中打开“策略”,并选择“定义”页。 然后,找到 PCI DSS v4 法规合规性内置计划定义并将其选中。
重要说明
下面的每个控件都与一个或多个 Azure Policy 定义关联。 这些策略有助于评估控制的合规性;但是,控制与一个或多个策略之间通常不是一对一或完全匹配。 因此,Azure Policy 中的符合性仅引用策略定义本身;这并不能确保你完全符合某个控制措施的所有要求。 此外,符合性标准包含目前未由任何 Azure Policy 定义处理的控件。 因此,Azure Policy 中的符合性只是整体符合性状态的部分视图。 此符合性标准的符合性域、控制措施和 Azure Policy 定义之间的关联可能会随着时间的推移而发生变化。 若要查看更改历史记录,请参阅 GitHub 提交历史记录。
要求 01:安装和维护网络安全控制
定义和了解适用于安装和维护网络安全控制的过程和机制
ID:PCI DSS v4.0 1.1.1,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 审阅和更新配置管理策略和过程 | CMA_C1175 - 审阅和更新配置管理策略和过程 | Manual, Disabled | 1.1.0 |
| 审阅和更新系统与通信保护策略及过程 | CMA_C1616 - 审阅和更新系统与通信保护策略及过程 | Manual, Disabled | 1.1.0 |
配置和维护网络安全控制 (NCS)
ID:PCI DSS v4.0 1.2.1,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 为非合规设备配置操作 | CMA_0062 - 为非合规设备配置操作 | Manual, Disabled | 1.1.0 |
| 开发并维护基线配置 | CMA_0153 - 开发并维护基线配置 | Manual、Disabled | 1.1.0 |
| 强制执行安全配置设置 | CMA_0249 - 强制执行安全配置设置 | Manual、Disabled | 1.1.0 |
| 建立配置控制委员会 | CMA_0254 - 建立配置控制委员会 | Manual、Disabled | 1.1.0 |
| 制定并记录配置管理计划 | CMA_0264 - 制定并记录配置管理计划 | Manual, Disabled | 1.1.0 |
| 实现自动配置管理工具 | CMA_0311 - 实现自动配置管理工具 | Manual, Disabled | 1.1.0 |
配置和维护网络安全控制 (NCS)
ID:PCI DSS v4.0 1.2.2,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 执行安全影响分析 | CMA_0057 - 执行安全影响分析 | Manual, Disabled | 1.1.0 |
| 制定和维护漏洞管理标准 | CMA_0152 - 制定和维护漏洞管理标准 | Manual、Disabled | 1.1.0 |
| 建立风险管理策略 | CMA_0258 - 建立风险管理策略 | Manual, Disabled | 1.1.0 |
| 建立并记录更改控制流程 | CMA_0265 - 建立并记录更改控制流程 | Manual, Disabled | 1.1.0 |
| 制定对开发人员的配置管理要求 | CMA_0270 - 制定对开发人员的配置管理要求 | Manual, Disabled | 1.1.0 |
| 执行隐私影响评估 | CMA_0387 - 执行隐私影响评估 | Manual, Disabled | 1.1.0 |
| 执行风险评估 | CMA_0388 - 执行风险评估 | Manual, Disabled | 1.1.0 |
| 对配置更改控制执行审核 | CMA_0390 - 对配置更改控制执行审核 | Manual, Disabled | 1.1.0 |
配置和维护网络安全控制 (NCS)
ID:PCI DSS v4.0 1.2.3,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 建立内部连接之前检查隐私和安全合规性 | CMA_0053 - 建立内部连接之前检查隐私和安全合规性 | Manual, Disabled | 1.1.0 |
配置和维护网络安全控制 (NCS)
ID:PCI DSS v4.0 1.2.4,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 维护个人数据的处理记录 | CMA_0353 - 维护个人数据的处理记录 | Manual, Disabled | 1.1.0 |
配置和维护网络安全控制 (NCS)
ID:PCI DSS v4.0 1.2.5,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 标识外部服务提供程序 | CMA_C1591 - 标识外部服务提供程序 | Manual, Disabled | 1.1.0 |
| 要求开发人员识别 SDLC 端口、协议和服务 | CMA_C1578 - 要求开发人员识别 SDLC 端口、协议和服务 | Manual, Disabled | 1.1.0 |
配置和维护网络安全控制 (NCS)
ID:PCI DSS v4.0 1.2.8,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 强制实施和审核访问限制 | CMA_C1203 - 强制实施和审核访问限制 | Manual、Disabled | 1.1.0 |
| 建立并记录更改控制流程 | CMA_0265 - 建立并记录更改控制流程 | Manual, Disabled | 1.1.0 |
| 查看任何未经授权的更改的更改 | CMA_C1204 - 查看任何未经授权的更改的更改 | Manual, Disabled | 1.1.0 |
持卡人数据环境的网络访问受到限制
ID:PCI DSS v4.0 1.3.2,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 应在与虚拟机关联的网络安全组上限制所有网络端口 | Azure 安全中心已识别到网络安全组的某些入站规则过于宽松。 入站规则不应允许从“任何”或“Internet”范围进行访问。 这有可能使得攻击者能够将你的资源定为攻击目标。 | AuditIfNotExists、Disabled | 3.0.0 |
| 应限制对存储帐户的网络访问 | 应限制对存储帐户的网络访问。 配置网络规则,以便只允许来自允许的网络的应用程序访问存储帐户。 若要允许来自特定 Internet 或本地客户端的连接,可以向来自特定 Azure 虚拟网络的流量或公共 Internet IP 地址范围授予访问权限 | Audit、Deny、Disabled | 1.1.1 |
持卡人数据环境的网络访问受到限制
ID:PCI DSS v4.0 1.3.3,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 记录并实施无线访问准则 | CMA_0190 - 记录并实施无线访问准则 | Manual、Disabled | 1.1.0 |
| 保护无线访问 | CMA_0411 - 保护无线访问 | Manual, Disabled | 1.1.0 |
控制受信任网络和不受信任网络之间的网络连接
ID:PCI DSS v4.0 1.4.1,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 控制信息流 | CMA_0079 - 控制信息流 | Manual, Disabled | 1.1.0 |
| 采用加密信息的流控制机制 | CMA_0211 - 采用加密信息的流控制机制 | Manual, Disabled | 1.1.0 |
| 为每项外部服务实现托管接口 | CMA_C1626 - 为每项外部服务实现托管接口 | Manual, Disabled | 1.1.0 |
| 实现系统边界保护 | CMA_0328 - 实现系统边界保护 | Manual, Disabled | 1.1.0 |
| 保护与外部系统的接口安全 | CMA_0491 - 保护与外部系统的接口安全 | Manual, Disabled | 1.1.0 |
控制受信任网络和不受信任网络之间的网络连接
ID:PCI DSS v4.0 1.4.2,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 应在与虚拟机关联的网络安全组上限制所有网络端口 | Azure 安全中心已识别到网络安全组的某些入站规则过于宽松。 入站规则不应允许从“任何”或“Internet”范围进行访问。 这有可能使得攻击者能够将你的资源定为攻击目标。 | AuditIfNotExists、Disabled | 3.0.0 |
| 控制信息流 | CMA_0079 - 控制信息流 | Manual, Disabled | 1.1.0 |
| 采用加密信息的流控制机制 | CMA_0211 - 采用加密信息的流控制机制 | Manual, Disabled | 1.1.0 |
| 为每项外部服务实现托管接口 | CMA_C1626 - 为每项外部服务实现托管接口 | Manual, Disabled | 1.1.0 |
| 实现系统边界保护 | CMA_0328 - 实现系统边界保护 | Manual, Disabled | 1.1.0 |
| 保护与外部系统的接口安全 | CMA_0491 - 保护与外部系统的接口安全 | Manual, Disabled | 1.1.0 |
| 存储帐户应限制网络访问 | 应限制对存储帐户的网络访问。 配置网络规则,以便只允许来自允许的网络的应用程序访问存储帐户。 若要允许来自特定 Internet 或本地客户端的连接,可以向来自特定 Azure 虚拟网络的流量或公共 Internet IP 地址范围授予访问权限 | Audit、Deny、Disabled | 1.1.1 |
控制受信任网络和不受信任网络之间的网络连接
ID:PCI DSS v4.0 1.4.3,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 控制信息流 | CMA_0079 - 控制信息流 | Manual, Disabled | 1.1.0 |
| 采用加密信息的流控制机制 | CMA_0211 - 采用加密信息的流控制机制 | Manual, Disabled | 1.1.0 |
控制受信任网络和不受信任网络之间的网络连接
ID:PCI DSS v4.0 1.4.4,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 控制信息流 | CMA_0079 - 控制信息流 | Manual, Disabled | 1.1.0 |
| 采用加密信息的流控制机制 | CMA_0211 - 采用加密信息的流控制机制 | Manual, Disabled | 1.1.0 |
能够连接到不受信任网络和 CDE 的计算设备对 CDE 的风险得到缓解
ID:PCI DSS v4.0 1.5.1,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 授权远程访问 | CMA_0024 - 授权远程访问 | Manual, Disabled | 1.1.0 |
| 记录移动性培训 | CMA_0191 - 记录移动性培训 | Manual, Disabled | 1.1.0 |
| 记录远程访问准则 | CMA_0196 - 记录远程访问准则 | Manual、Disabled | 1.1.0 |
| 实施控制措施来保护备用工作站点 | CMA_0315 - 实施控制措施来保护备用工作站点 | Manual、Disabled | 1.1.0 |
| 提供隐私培训 | CMA_0415 - 提供隐私培训 | Manual, Disabled | 1.1.0 |
要求 10:记录和监视对系统组件和持卡人数据的所有访问
定义和记录适用于记录和监视对系统组件和持卡人数据的所有访问的过程和机制
ID:PCI DSS v4.0 10.1.1,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 制定审核和问责策略及过程 | CMA_0154 - 制定审核和问责策略及过程 | Manual, Disabled | 1.1.0 |
| 制定信息安全策略及过程 | CMA_0158 - 制定信息安全策略及过程 | Manual, Disabled | 1.1.0 |
| 治理策略和过程 | CMA_0292 - 治理策略和过程 | Manual, Disabled | 1.1.0 |
| 更新信息安全策略 | CMA_0518 - 更新信息安全策略 | Manual, Disabled | 1.1.0 |
实现审核日志以支持检测异常和可疑活动,以及对事件进行取证分析
ID:PCI DSS v4.0 10.2.1,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 审核特权功能 | CMA_0019 - 审核特权功能 | Manual, Disabled | 1.1.0 |
| 审核用户帐户状态 | CMA_0020 - 审核用户帐户状态 | Manual, Disabled | 1.1.0 |
| 确定可审核的事件 | CMA_0137 - 确定可审核的事件 | Manual, Disabled | 1.1.0 |
| 审阅审核数据 | CMA_0466 -审阅审核数据 | Manual, Disabled | 1.1.0 |
实现审核日志以支持检测异常和可疑活动,以及对事件进行取证分析
ID:PCI DSS v4.0 10.2.1.1,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 确定可审核的事件 | CMA_0137 - 确定可审核的事件 | Manual, Disabled | 1.1.0 |
实现审核日志以支持检测异常和可疑活动,以及对事件进行取证分析
ID:PCI DSS v4.0 10.2.1.2,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 审核特权功能 | CMA_0019 - 审核特权功能 | Manual、Disabled | 1.1.0 |
| 对已记录的特权命令执行全文分析 | CMA_0056 - 对已记录的特权命令执行全文分析 | Manual, Disabled | 1.1.0 |
| 监视帐户活动 | CMA_0377 - 监视帐户活动 | Manual, Disabled | 1.1.0 |
| 监视特权角色分配 | CMA_0378 - 监视特权角色分配 | Manual、Disabled | 1.1.0 |
| 限制对特权帐户的访问 | CMA_0446 - 限制对特权帐户的访问 | Manual、Disabled | 1.1.0 |
| 根据需要撤销特权角色 | CMA_0483 - 根据需要撤销特权角色 | Manual、Disabled | 1.1.0 |
| 使用 Privileged Identity Management | CMA_0533 - 使用 Privileged Identity Management | Manual, Disabled | 1.1.0 |
实现审核日志以支持检测异常和可疑活动,以及对事件进行取证分析
ID:PCI DSS v4.0 10.2.1.3,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 审核特权功能 | CMA_0019 - 审核特权功能 | Manual、Disabled | 1.1.0 |
| 对已记录的特权命令执行全文分析 | CMA_0056 - 对已记录的特权命令执行全文分析 | Manual, Disabled | 1.1.0 |
| 确定可审核的事件 | CMA_0137 - 确定可审核的事件 | Manual, Disabled | 1.1.0 |
| 监视帐户活动 | CMA_0377 - 监视帐户活动 | Manual, Disabled | 1.1.0 |
| 监视特权角色分配 | CMA_0378 - 监视特权角色分配 | Manual、Disabled | 1.1.0 |
| 限制对特权帐户的访问 | CMA_0446 - 限制对特权帐户的访问 | Manual、Disabled | 1.1.0 |
| 根据需要撤销特权角色 | CMA_0483 - 根据需要撤销特权角色 | Manual、Disabled | 1.1.0 |
| 使用 Privileged Identity Management | CMA_0533 - 使用 Privileged Identity Management | Manual, Disabled | 1.1.0 |
实现审核日志以支持检测异常和可疑活动,以及对事件进行取证分析
ID:PCI DSS v4.0 10.2.1.4,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 确定可审核的事件 | CMA_0137 - 确定可审核的事件 | Manual, Disabled | 1.1.0 |
实现审核日志以支持检测异常和可疑活动,以及对事件进行取证分析
ID:PCI DSS v4.0 10.2.1.5,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 审核特权功能 | CMA_0019 - 审核特权功能 | Manual, Disabled | 1.1.0 |
| 审核用户帐户状态 | CMA_0020 - 审核用户帐户状态 | Manual, Disabled | 1.1.0 |
| 自动执行帐户管理 | CMA_0026 - 自动执行帐户管理 | Manual, Disabled | 1.1.0 |
| 对已记录的特权命令执行全文分析 | CMA_0056 - 对已记录的特权命令执行全文分析 | Manual, Disabled | 1.1.0 |
| 确定可审核的事件 | CMA_0137 - 确定可审核的事件 | Manual, Disabled | 1.1.0 |
| 管理系统和管理员帐户 | CMA_0368 - 管理系统和管理员帐户 | Manual, Disabled | 1.1.0 |
| 监视整个组织的访问权限 | CMA_0376 - 监视整个组织的访问权限 | Manual, Disabled | 1.1.0 |
| 监视帐户活动 | CMA_0377 - 监视帐户活动 | Manual, Disabled | 1.1.0 |
| 监视特权角色分配 | CMA_0378 - 监视特权角色分配 | Manual, Disabled | 1.1.0 |
| 当不需要帐户时通知 | CMA_0383 - 当不需要帐户时通知 | Manual, Disabled | 1.1.0 |
| 限制对特权帐户的访问 | CMA_0446 - 限制对特权帐户的访问 | Manual、Disabled | 1.1.0 |
| 根据需要撤销特权角色 | CMA_0483 - 根据需要撤销特权角色 | Manual、Disabled | 1.1.0 |
| 使用 Privileged Identity Management | CMA_0533 - 使用 Privileged Identity Management | Manual, Disabled | 1.1.0 |
实现审核日志以支持检测异常和可疑活动,以及对事件进行取证分析
ID:PCI DSS v4.0 10.2.1.6,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 审核特权功能 | CMA_0019 - 审核特权功能 | Manual、Disabled | 1.1.0 |
| 对已记录的特权命令执行全文分析 | CMA_0056 - 对已记录的特权命令执行全文分析 | Manual, Disabled | 1.1.0 |
| 确定可审核的事件 | CMA_0137 - 确定可审核的事件 | Manual, Disabled | 1.1.0 |
| 监视帐户活动 | CMA_0377 - 监视帐户活动 | Manual, Disabled | 1.1.0 |
| 监视特权角色分配 | CMA_0378 - 监视特权角色分配 | Manual、Disabled | 1.1.0 |
| 限制对特权帐户的访问 | CMA_0446 - 限制对特权帐户的访问 | Manual、Disabled | 1.1.0 |
| 根据需要撤销特权角色 | CMA_0483 - 根据需要撤销特权角色 | Manual、Disabled | 1.1.0 |
| 使用 Privileged Identity Management | CMA_0533 - 使用 Privileged Identity Management | Manual, Disabled | 1.1.0 |
实现审核日志以支持检测异常和可疑活动,以及对事件进行取证分析
ID:PCI DSS v4.0 10.2.1.7,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 确定可审核的事件 | CMA_0137 - 确定可审核的事件 | Manual, Disabled | 1.1.0 |
实现审核日志以支持检测异常和可疑活动,以及对事件进行取证分析
ID:PCI DSS v4.0 10.2.2,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 审核所选资源类型的诊断设置 | 审核所选资源类型的诊断设置。 请确保仅选择支持诊断设置的资源类型。 | AuditIfNotExists | 2.0.1 |
| 应在 SQL Server 上启用审核 | 应在 SQL 服务器上启用审核以跟踪服务器上所有数据库的数据库活动,并将其保存在审核日志中。 | AuditIfNotExists、Disabled | 2.0.0 |
| 确定可审核的事件 | CMA_0137 - 确定可审核的事件 | Manual, Disabled | 1.1.0 |
| 应将存储帐户迁移到新的 Azure 资源管理器资源 | 使用新的 Azure 资源管理器为存储帐户提供安全增强功能,例如:更强大的访问控制 (RBAC)、更好的审核、基于 Azure 资源管理器的部署和监管、对托管标识的访问权限、访问密钥保管库以获取机密、基于 Azure AD 的身份验证以及对标记和资源组的支持,以简化安全管理。 | Audit、Deny、Disabled | 1.0.0 |
| 应将虚拟机迁移到新的 Azure 资源管理器资源 | 对虚拟机使用新的 Azure 资源管理器以提供安全增强功能,例如:更强的访问控制 (RBAC)、更佳审核功能、基于 Azure 资源管理器的部署和治理、对托管标识的访问、访问密钥保管库以获取机密、基于 Azure AD 的身份验证以及支持使用标记和资源组简化安全管理 | Audit、Deny、Disabled | 1.0.0 |
保护审核日志,以免遭破坏和未经授权的修改
ID:PCI DSS v4.0 10.3.1,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 启用双重或联合授权 | CMA_0226 - 启用双重或联合授权 | Manual, Disabled | 1.1.0 |
| 保护审核信息 | CMA_0401 - 保护审核信息 | Manual, Disabled | 1.1.0 |
保护审核日志,以免遭破坏和未经授权的修改
ID:PCI DSS v4.0 10.3.2,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 启用双重或联合授权 | CMA_0226 - 启用双重或联合授权 | Manual, Disabled | 1.1.0 |
| 保护审核信息 | CMA_0401 - 保护审核信息 | Manual, Disabled | 1.1.0 |
保护审核日志,以免遭破坏和未经授权的修改
ID:PCI DSS v4.0 10.3.3,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 审核所选资源类型的诊断设置 | 审核所选资源类型的诊断设置。 请确保仅选择支持诊断设置的资源类型。 | AuditIfNotExists | 2.0.1 |
| 应在 SQL Server 上启用审核 | 应在 SQL 服务器上启用审核以跟踪服务器上所有数据库的数据库活动,并将其保存在审核日志中。 | AuditIfNotExists、Disabled | 2.0.0 |
| 建立备份策略和过程 | CMA_0268 - 制定备份策略和过程 | Manual, Disabled | 1.1.0 |
| 应将存储帐户迁移到新的 Azure 资源管理器资源 | 使用新的 Azure 资源管理器为存储帐户提供安全增强功能,例如:更强大的访问控制 (RBAC)、更好的审核、基于 Azure 资源管理器的部署和监管、对托管标识的访问权限、访问密钥保管库以获取机密、基于 Azure AD 的身份验证以及对标记和资源组的支持,以简化安全管理。 | Audit、Deny、Disabled | 1.0.0 |
| 应将虚拟机迁移到新的 Azure 资源管理器资源 | 对虚拟机使用新的 Azure 资源管理器以提供安全增强功能,例如:更强的访问控制 (RBAC)、更佳审核功能、基于 Azure 资源管理器的部署和治理、对托管标识的访问、访问密钥保管库以获取机密、基于 Azure AD 的身份验证以及支持使用标记和资源组简化安全管理 | Audit、Deny、Disabled | 1.0.0 |
保护审核日志,以免遭破坏和未经授权的修改
ID:PCI DSS v4.0 10.3.4,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 启用双重或联合授权 | CMA_0226 - 启用双重或联合授权 | Manual, Disabled | 1.1.0 |
| 保护审核信息 | CMA_0401 - 保护审核信息 | Manual, Disabled | 1.1.0 |
审阅审核日志,以确定异常或可疑活动
ID:PCI DSS v4.0 10.4.1,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 关联审核记录 | CMA_0087 - 关联审核记录 | Manual, Disabled | 1.1.0 |
| 制定审核评审与报告的要求 | CMA_0277 - 制定审核评审与报告的要求 | Manual, Disabled | 1.1.0 |
| 集成审核评审、分析和报告 | CMA_0339 - 集成审核评审、分析和报告 | Manual, Disabled | 1.1.0 |
| 将云应用安全与 SIEM 集成 | CMA_0340 - 将云应用安全与 SIEM 集成 | Manual, Disabled | 1.1.0 |
| 审阅帐户预配日志 | CMA_0460 -审阅帐户预配日志 | Manual, Disabled | 1.1.0 |
| 每周审核管理员分配任务 | CMA_0461 - 每周审核管理员分配任务 | Manual, Disabled | 1.1.0 |
| 审阅审核数据 | CMA_0466 -审阅审核数据 | Manual, Disabled | 1.1.0 |
| 审阅云标识报告概述 | CMA_0468 - 审阅云标识报告概述 | Manual, Disabled | 1.1.0 |
| 查看受控文件夹访问事件 | CMA_0471 - 查看受控文件夹访问事件 | Manual, Disabled | 1.1.0 |
| 查看文件和文件夹活动 | CMA_0473 - 查看文件和文件夹活动 | Manual, Disabled | 1.1.0 |
| 每周评审角色组更改 | CMA_0476 - 每周评审角色组更改 | Manual, Disabled | 1.1.0 |
审阅审核日志,以确定异常或可疑活动
ID:PCI DSS v4.0 10.4.1.1,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 关联审核记录 | CMA_0087 - 关联审核记录 | Manual, Disabled | 1.1.0 |
| 制定审核评审与报告的要求 | CMA_0277 - 制定审核评审与报告的要求 | Manual, Disabled | 1.1.0 |
| 集成审核评审、分析和报告 | CMA_0339 - 集成审核评审、分析和报告 | Manual, Disabled | 1.1.0 |
| 将云应用安全与 SIEM 集成 | CMA_0340 - 将云应用安全与 SIEM 集成 | Manual, Disabled | 1.1.0 |
| 审阅帐户预配日志 | CMA_0460 -审阅帐户预配日志 | Manual, Disabled | 1.1.0 |
| 每周审核管理员分配任务 | CMA_0461 - 每周审核管理员分配任务 | Manual, Disabled | 1.1.0 |
| 审阅审核数据 | CMA_0466 -审阅审核数据 | Manual, Disabled | 1.1.0 |
| 审阅云标识报告概述 | CMA_0468 - 审阅云标识报告概述 | Manual, Disabled | 1.1.0 |
| 查看受控文件夹访问事件 | CMA_0471 - 查看受控文件夹访问事件 | Manual, Disabled | 1.1.0 |
| 查看文件和文件夹活动 | CMA_0473 - 查看文件和文件夹活动 | Manual, Disabled | 1.1.0 |
| 每周评审角色组更改 | CMA_0476 - 每周评审角色组更改 | Manual, Disabled | 1.1.0 |
审阅审核日志,以确定异常或可疑活动
ID:PCI DSS v4.0 10.4.2,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 关联审核记录 | CMA_0087 - 关联审核记录 | Manual, Disabled | 1.1.0 |
| 制定审核评审与报告的要求 | CMA_0277 - 制定审核评审与报告的要求 | Manual, Disabled | 1.1.0 |
| 集成审核评审、分析和报告 | CMA_0339 - 集成审核评审、分析和报告 | Manual, Disabled | 1.1.0 |
| 将云应用安全与 SIEM 集成 | CMA_0340 - 将云应用安全与 SIEM 集成 | Manual, Disabled | 1.1.0 |
| 审阅帐户预配日志 | CMA_0460 -审阅帐户预配日志 | Manual, Disabled | 1.1.0 |
| 每周审核管理员分配任务 | CMA_0461 - 每周审核管理员分配任务 | Manual, Disabled | 1.1.0 |
| 审阅审核数据 | CMA_0466 -审阅审核数据 | Manual, Disabled | 1.1.0 |
| 审阅云标识报告概述 | CMA_0468 - 审阅云标识报告概述 | Manual, Disabled | 1.1.0 |
| 查看受控文件夹访问事件 | CMA_0471 - 查看受控文件夹访问事件 | Manual, Disabled | 1.1.0 |
| 查看文件和文件夹活动 | CMA_0473 - 查看文件和文件夹活动 | Manual, Disabled | 1.1.0 |
| 每周评审角色组更改 | CMA_0476 - 每周评审角色组更改 | Manual, Disabled | 1.1.0 |
审阅审核日志,以确定异常或可疑活动
ID:PCI DSS v4.0 10.4.2.1,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 关联审核记录 | CMA_0087 - 关联审核记录 | Manual, Disabled | 1.1.0 |
| 制定审核评审与报告的要求 | CMA_0277 - 制定审核评审与报告的要求 | Manual, Disabled | 1.1.0 |
| 集成审核评审、分析和报告 | CMA_0339 - 集成审核评审、分析和报告 | Manual, Disabled | 1.1.0 |
| 将云应用安全与 SIEM 集成 | CMA_0340 - 将云应用安全与 SIEM 集成 | Manual, Disabled | 1.1.0 |
| 审阅帐户预配日志 | CMA_0460 -审阅帐户预配日志 | Manual, Disabled | 1.1.0 |
| 每周审核管理员分配任务 | CMA_0461 - 每周审核管理员分配任务 | Manual, Disabled | 1.1.0 |
| 审阅审核数据 | CMA_0466 -审阅审核数据 | Manual, Disabled | 1.1.0 |
| 审阅云标识报告概述 | CMA_0468 - 审阅云标识报告概述 | Manual, Disabled | 1.1.0 |
| 查看受控文件夹访问事件 | CMA_0471 - 查看受控文件夹访问事件 | Manual, Disabled | 1.1.0 |
| 查看文件和文件夹活动 | CMA_0473 - 查看文件和文件夹活动 | Manual, Disabled | 1.1.0 |
| 每周评审角色组更改 | CMA_0476 - 每周评审角色组更改 | Manual, Disabled | 1.1.0 |
审阅审核日志,以确定异常或可疑活动
ID:PCI DSS v4.0 10.4.3,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 关联审核记录 | CMA_0087 - 关联审核记录 | Manual, Disabled | 1.1.0 |
| 制定审核评审与报告的要求 | CMA_0277 - 制定审核评审与报告的要求 | Manual, Disabled | 1.1.0 |
| 集成审核评审、分析和报告 | CMA_0339 - 集成审核评审、分析和报告 | Manual, Disabled | 1.1.0 |
| 将云应用安全与 SIEM 集成 | CMA_0340 - 将云应用安全与 SIEM 集成 | Manual, Disabled | 1.1.0 |
| 审阅帐户预配日志 | CMA_0460 -审阅帐户预配日志 | Manual, Disabled | 1.1.0 |
| 每周审核管理员分配任务 | CMA_0461 - 每周审核管理员分配任务 | Manual, Disabled | 1.1.0 |
| 审阅审核数据 | CMA_0466 -审阅审核数据 | Manual, Disabled | 1.1.0 |
| 审阅云标识报告概述 | CMA_0468 - 审阅云标识报告概述 | Manual, Disabled | 1.1.0 |
| 查看受控文件夹访问事件 | CMA_0471 - 查看受控文件夹访问事件 | Manual, Disabled | 1.1.0 |
| 查看文件和文件夹活动 | CMA_0473 - 查看文件和文件夹活动 | Manual, Disabled | 1.1.0 |
| 每周评审角色组更改 | CMA_0476 - 每周评审角色组更改 | Manual, Disabled | 1.1.0 |
审核日志历史记录已保留并可供分析
ID:PCI DSS v4.0 10.5.1,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 遵守已定义的保留期 | CMA_0004 - 遵守已定义的保留期 | Manual, Disabled | 1.1.0 |
| 保留安全策略和过程 | CMA_0454 - 保留安全策略和过程 | Manual, Disabled | 1.1.0 |
| 保留终止的用户数据 | CMA_0455 - 保留终止的用户数据 | Manual, Disabled | 1.1.0 |
时间同步机制支持所有系统中的一致时间设置
ID:PCI DSS v4.0 10.6.1,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 对审核记录使用系统时钟 | CMA_0535 - 对审核记录使用系统时钟 | Manual, Disabled | 1.1.0 |
时间同步机制支持所有系统中的一致时间设置
ID:PCI DSS v4.0 10.6.2,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 对审核记录使用系统时钟 | CMA_0535 - 对审核记录使用系统时钟 | Manual, Disabled | 1.1.0 |
时间同步机制支持所有系统中的一致时间设置
ID:PCI DSS v4.0 10.6.3,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 审核特权功能 | CMA_0019 - 审核特权功能 | Manual, Disabled | 1.1.0 |
| 授权访问安全功能和信息 | CMA_0022 - 授权访问安全功能和信息 | Manual, Disabled | 1.1.0 |
| 授权和管理访问权限 | CMA_0023 - 授权和管理访问权限 | Manual, Disabled | 1.1.0 |
| 对已记录的特权命令执行全文分析 | CMA_0056 - 对已记录的特权命令执行全文分析 | Manual, Disabled | 1.1.0 |
| 强制实施强制和自主访问控制策略 | CMA_0246 - 强制实施强制和自主访问控制策略 | Manual, Disabled | 1.1.0 |
| 监视帐户活动 | CMA_0377 - 监视帐户活动 | Manual, Disabled | 1.1.0 |
| 监视特权角色分配 | CMA_0378 - 监视特权角色分配 | Manual、Disabled | 1.1.0 |
| 限制对特权帐户的访问 | CMA_0446 - 限制对特权帐户的访问 | Manual、Disabled | 1.1.0 |
| 根据需要撤销特权角色 | CMA_0483 - 根据需要撤销特权角色 | Manual、Disabled | 1.1.0 |
| 使用 Privileged Identity Management | CMA_0533 - 使用 Privileged Identity Management | Manual, Disabled | 1.1.0 |
检测、报告关键安全控制系统故障并立即作出响应
ID:PCI DSS v4.0 10.7.1,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 为已标识异常创建替代操作 | CMA_C1711 - 为已标识异常创建替代操作 | Manual, Disabled | 1.1.0 |
| 治理并监视审核处理活动 | CMA_0289 - 治理并监视审核处理活动 | Manual, Disabled | 1.1.0 |
| 通知相关人员任何失败的安全验证测试 | CMA_C1710 - 通知相关人员任何未通过的安全验证测试 | Manual, Disabled | 1.1.0 |
| 按定义的频率执行安全性函数验证 | CMA_C1709 - 按定义的频率执行安全性函数验证 | Manual, Disabled | 1.1.0 |
| 验证安全性函数 | CMA_C1708 - 验证安全性函数 | Manual, Disabled | 1.1.0 |
检测、报告关键安全控制系统故障并立即作出响应
ID:PCI DSS v4.0 10.7.2,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 为已标识异常创建替代操作 | CMA_C1711 - 为已标识异常创建替代操作 | Manual, Disabled | 1.1.0 |
| 治理并监视审核处理活动 | CMA_0289 - 治理并监视审核处理活动 | Manual, Disabled | 1.1.0 |
| 通知相关人员任何失败的安全验证测试 | CMA_C1710 - 通知相关人员任何未通过的安全验证测试 | Manual, Disabled | 1.1.0 |
| 按定义的频率执行安全性函数验证 | CMA_C1709 - 按定义的频率执行安全性函数验证 | Manual, Disabled | 1.1.0 |
| 验证安全性函数 | CMA_C1708 - 验证安全性函数 | Manual, Disabled | 1.1.0 |
检测、报告关键安全控制系统故障并立即作出响应
ID:PCI DSS v4.0 10.7.3,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 为已标识异常创建替代操作 | CMA_C1711 - 为已标识异常创建替代操作 | Manual, Disabled | 1.1.0 |
| 通知相关人员任何失败的安全验证测试 | CMA_C1710 - 通知相关人员任何未通过的安全验证测试 | Manual, Disabled | 1.1.0 |
| 按定义的频率执行安全性函数验证 | CMA_C1709 - 按定义的频率执行安全性函数验证 | Manual, Disabled | 1.1.0 |
| 验证安全性函数 | CMA_C1708 - 验证安全性函数 | Manual, Disabled | 1.1.0 |
要求 11:定期测试系统和网络的安全性
定义并了解适用于定期测试系统和网络安全性的流程和机制
ID:PCI DSS v4.0 11.1.1,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 审阅和更新信息完整性策略及过程 | CMA_C1667 - 审阅和更新信息完整性策略及过程 | Manual, Disabled | 1.1.0 |
| 审阅和更新系统与通信保护策略及过程 | CMA_C1616 - 审阅和更新系统与通信保护策略及过程 | Manual, Disabled | 1.1.0 |
| 评审安全评估和授权策略及过程 | CMA_C1143 - 评审安全评估和授权策略及过程 | Manual, Disabled | 1.1.0 |
识别和监视无线接入点,并解决未经授权的无线接入点问题
ID:PCI DSS v4.0 11.2.2,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 记录并实施无线访问准则 | CMA_0190 - 记录并实施无线访问准则 | Manual、Disabled | 1.1.0 |
| 保护无线访问 | CMA_0411 - 保护无线访问 | Manual, Disabled | 1.1.0 |
定期标识、确定外部和内部漏洞的优先级并加以解决
ID:PCI DSS v4.0 11.3.1,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 应在虚拟机上启用漏洞评估解决方案 | 审核虚拟机以检测其是否正在运行受支持的漏洞评估解决方案。 每个网络风险和安全计划的核心部分都是识别和分析漏洞。 Azure 安全中心的标准定价层包括对虚拟机进行漏洞扫描,无需额外付费。 此外,安全中心可以自动为你部署此工具。 | AuditIfNotExists、Disabled | 3.0.0 |
| 执行漏洞扫描 | CMA_0393 - 执行漏洞扫描 | Manual, Disabled | 1.1.0 |
| 修正信息系统缺陷 | CMA_0427 - 修正信息系统缺陷 | Manual、Disabled | 1.1.0 |
| SQL 数据库应已解决漏洞发现结果 | 监视漏洞评估扫描结果,并提供有关如何消除数据库漏洞的建议。 | AuditIfNotExists、Disabled | 4.1.0 |
定期标识、确定外部和内部漏洞的优先级并加以解决
ID:PCI DSS v4.0 11.3.1.1,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 执行漏洞扫描 | CMA_0393 - 执行漏洞扫描 | Manual, Disabled | 1.1.0 |
| 修正信息系统缺陷 | CMA_0427 - 修正信息系统缺陷 | Manual, Disabled | 1.1.0 |
定期标识、确定外部和内部漏洞的优先级并加以解决
ID:PCI DSS v4.0 11.3.1.3,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 执行漏洞扫描 | CMA_0393 - 执行漏洞扫描 | Manual, Disabled | 1.1.0 |
| 修正信息系统缺陷 | CMA_0427 - 修正信息系统缺陷 | Manual, Disabled | 1.1.0 |
定期标识、确定外部和内部漏洞的优先级并加以解决
ID:PCI DSS v4.0 11.3.2,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 执行漏洞扫描 | CMA_0393 - 执行漏洞扫描 | Manual, Disabled | 1.1.0 |
| 修正信息系统缺陷 | CMA_0427 - 修正信息系统缺陷 | Manual, Disabled | 1.1.0 |
定期标识、确定外部和内部漏洞的优先级并加以解决
ID:PCI DSS v4.0 11.3.2.1,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 执行漏洞扫描 | CMA_0393 - 执行漏洞扫描 | Manual, Disabled | 1.1.0 |
| 修正信息系统缺陷 | CMA_0427 - 修正信息系统缺陷 | Manual, Disabled | 1.1.0 |
定期执行外部和内部渗透测试,并更正可利用的漏洞和安全漏洞
ID:PCI DSS v4.0 11.4.1,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 聘请独立团队进行渗透测试 | CMA_C1171 - 聘请独立团队进行渗透测试 | Manual, Disabled | 1.1.0 |
定期执行外部和内部渗透测试,并更正可利用的漏洞和安全漏洞
ID:PCI DSS v4.0 11.4.3,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 聘请独立团队进行渗透测试 | CMA_C1171 - 聘请独立团队进行渗透测试 | Manual, Disabled | 1.1.0 |
检测并响应网络入侵和意外的文件更改
ID:PCI DSS v4.0 11.5.1,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 向人员发出信息泄露警报 | CMA_0007 - 向人员发出信息泄露警报 | Manual, Disabled | 1.1.0 |
| 制定事件响应计划 | CMA_0145 - 制定事件响应计划 | Manual, Disabled | 1.1.0 |
| 对威胁执行趋势分析 | CMA_0389 - 对威胁执行趋势分析 | Manual, Disabled | 1.1.0 |
| 为组织中的新云应用程序和热门云应用程序设置自动通知 | CMA_0495 - 为组织中的新云应用程序和热门云应用程序设置自动通知 | Manual, Disabled | 1.1.0 |
| 在组织中设置文件完整性规则 | CMA_M1000 - 在组织中设置文件完整性规则 | Manual, Disabled | 1.0.0 |
检测并响应网络入侵和意外的文件更改
ID:PCI DSS v4.0 11.5.1.1,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 向人员发出信息泄露警报 | CMA_0007 - 向人员发出信息泄露警报 | Manual, Disabled | 1.1.0 |
| 制定事件响应计划 | CMA_0145 - 制定事件响应计划 | Manual, Disabled | 1.1.0 |
| 为组织中的新云应用程序和热门云应用程序设置自动通知 | CMA_0495 - 为组织中的新云应用程序和热门云应用程序设置自动通知 | Manual, Disabled | 1.1.0 |
检测并响应网络入侵和意外的文件更改
ID:PCI DSS v4.0 11.5.2,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 检测到冲突时采用自动关闭/重启操作 | CMA_C1715 - 检测到冲突时采用自动关闭/重启操作 | Manual, Disabled | 1.1.0 |
| 在组织中设置文件完整性规则 | CMA_M1000 - 在组织中设置文件完整性规则 | Manual, Disabled | 1.0.0 |
| 验证软件、固件和信息完整性 | CMA_0542 - 验证软件、固件和信息完整性 | Manual, Disabled | 1.1.0 |
| 审阅并配置系统诊断数据 | CMA_0544 - 审阅并配置系统诊断数据 | Manual, Disabled | 1.1.0 |
检测并响应对付款页面的未授权更改
ID:PCI DSS v4.0 11.6.1,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 检测到冲突时采用自动关闭/重启操作 | CMA_C1715 - 检测到冲突时采用自动关闭/重启操作 | Manual, Disabled | 1.1.0 |
| 验证软件、固件和信息完整性 | CMA_0542 - 验证软件、固件和信息完整性 | Manual, Disabled | 1.1.0 |
| 审阅并配置系统诊断数据 | CMA_0544 - 审阅并配置系统诊断数据 | Manual, Disabled | 1.1.0 |
要求 12:通过组织策略和计划支持信息安全
治理实体信息资产保护和为之提供方向的全面信息安全策略是已知和最新的
ID:PCI DSS v4.0 12.1.2,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 制定信息安全计划 | CMA_0263 - 制定信息安全计划 | Manual, Disabled | 1.1.0 |
| 更新信息安全策略 | CMA_0518 - 更新信息安全策略 | Manual, Disabled | 1.1.0 |
治理实体信息资产保护和为之提供方向的全面信息安全策略是已知和最新的
ID:PCI DSS v4.0 12.1.4,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 任命高级信息安全管理人员 | CMA_C1733 - 任命高级信息安全管理人员 | Manual, Disabled | 1.1.0 |
对可能影响 CDE 的可疑和已确认安全事件立即作出响应
ID:PCI DSS v4.0 12.10.2,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 访问信息安全事件 | CMA_0013 - 访问信息安全事件 | Manual, Disabled | 1.1.0 |
| 制定事件响应计划 | CMA_0145 - 制定事件响应计划 | Manual, Disabled | 1.1.0 |
| 实施事件处理 | CMA_0318 - 实施事件处理 | Manual, Disabled | 1.1.0 |
| 维护数据泄露记录 | CMA_0351 - 维护数据泄露记录 | Manual, Disabled | 1.1.0 |
| 维护事件响应计划 | CMA_0352 - 维护事件响应计划 | Manual, Disabled | 1.1.0 |
| 保护事件响应计划 | CMA_0405 - 保护事件响应计划 | Manual, Disabled | 1.1.0 |
对可能影响 CDE 的可疑和已确认安全事件立即作出响应
ID:PCI DSS v4.0 12.10.4,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 提供信息泄露培训 | CMA_0413 - 提供信息泄露培训 | Manual, Disabled | 1.1.0 |
对可能影响 CDE 的可疑和已确认安全事件立即作出响应
ID:PCI DSS v4.0 12.10.4.1,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 提供信息泄露培训 | CMA_0413 - 提供信息泄露培训 | Manual, Disabled | 1.1.0 |
对可能影响 CDE 的可疑和已确认安全事件立即作出响应
ID:PCI DSS v4.0 12.10.5,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 制定事件响应计划 | CMA_0145 - 制定事件响应计划 | Manual, Disabled | 1.1.0 |
| 启用网络保护 | CMA_0238 - 启用网络保护 | Manual, Disabled | 1.1.0 |
| 实施事件处理 | CMA_0318 - 实施事件处理 | Manual, Disabled | 1.1.0 |
对可能影响 CDE 的可疑和已确认安全事件立即作出响应
ID:PCI DSS v4.0 12.10.6,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 访问信息安全事件 | CMA_0013 - 访问信息安全事件 | Manual, Disabled | 1.1.0 |
| 维护事件响应计划 | CMA_0352 - 维护事件响应计划 | Manual, Disabled | 1.1.0 |
对可能影响 CDE 的可疑和已确认安全事件立即作出响应
ID:PCI DSS v4.0 12.10.7,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 制定事件响应计划 | CMA_0145 - 制定事件响应计划 | Manual, Disabled | 1.1.0 |
| 制定安全防护措施 | CMA_0161 - 制定安全防护措施 | Manual, Disabled | 1.1.0 |
| 启用网络保护 | CMA_0238 - 启用网络保护 | Manual, Disabled | 1.1.0 |
| 根除被污染的信息 | CMA_0253 - 根除被污染的信息 | Manual, Disabled | 1.1.0 |
| 执行操作以响应信息泄露 | CMA_0281 - 执行操作以响应信息泄露 | Manual, Disabled | 1.1.0 |
| 实施事件处理 | CMA_0318 - 实施事件处理 | Manual、Disabled | 1.1.0 |
| 对威胁执行趋势分析 | CMA_0389 - 对威胁执行趋势分析 | Manual, Disabled | 1.1.0 |
| 查看并调查受限制的用户 | CMA_0545 - 查看并调查受限制的用户 | Manual, Disabled | 1.1.0 |
定义并实现适用于最终用户技术的可接受使用策略
ID:PCI DSS v4.0 12.2.1,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 制定可接受的使用策略和过程 | CMA_0143 - 制定可接受的使用策略和过程 | Manual, Disabled | 1.1.0 |
| 强制实施行为和访问协议规则 | CMA_0248 - 强制实施行为和访问协议规则 | Manual, Disabled | 1.1.0 |
| 要求遵守知识产权 | CMA_0432 - 要求遵守知识产权 | Manual, Disabled | 1.1.0 |
| 跟踪软件许可证使用情况 | CMA_C1235 - 跟踪软件许可证使用情况 | Manual, Disabled | 1.1.0 |
对持卡人数据环境的风险进行正式标识、评估和管理
ID:PCI DSS v4.0 12.3.1,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 执行风险评估 | CMA_C1543 - 进行风险评估 | Manual, Disabled | 1.1.0 |
| 执行风险评估并分配其结果 | CMA_C1544 - 执行风险评估并分配其结果 | Manual, Disabled | 1.1.0 |
| 执行风险评估并记录其结果 | CMA_C1542 - 执行风险评估并记录其结果 | Manual, Disabled | 1.1.0 |
| 执行风险评估 | CMA_0388 - 执行风险评估 | Manual, Disabled | 1.1.0 |
对持卡人数据环境的风险进行正式标识、评估和管理
ID:PCI DSS v4.0 12.3.2,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 执行风险评估 | CMA_C1543 - 进行风险评估 | Manual, Disabled | 1.1.0 |
| 执行风险评估并分配其结果 | CMA_C1544 - 执行风险评估并分配其结果 | Manual, Disabled | 1.1.0 |
| 执行风险评估并记录其结果 | CMA_C1542 - 执行风险评估并记录其结果 | Manual, Disabled | 1.1.0 |
| 执行风险评估 | CMA_0388 - 执行风险评估 | Manual, Disabled | 1.1.0 |
对持卡人数据环境的风险进行正式标识、评估和管理
ID:PCI DSS v4.0 12.3.4,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 向人员传播安全警报 | CMA_C1705 - 向人员传播安全警报 | Manual, Disabled | 1.1.0 |
| 制定威胁情报计划 | CMA_0260 - 制定威胁情报计划 | Manual, Disabled | 1.1.0 |
| 修正信息系统缺陷 | CMA_0427 - 修正信息系统缺陷 | Manual, Disabled | 1.1.0 |
管理 PCI DSS 合规性
ID:PCI DSS v4.0 12.4.1,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 制定安全评估计划 | CMA_C1144 - 制定安全评估计划 | Manual, Disabled | 1.1.0 |
| 制定隐私计划 | CMA_0257 - 制定隐私计划 | Manual, Disabled | 1.1.0 |
| 制定信息安全计划 | CMA_0263 - 制定信息安全计划 | Manual, Disabled | 1.1.0 |
| 管理合规性活动 | CMA_0358 - 管理合规性活动 | Manual, Disabled | 1.1.0 |
| 更新隐私计划、策略和过程 | CMA_C1807 - 更新隐私计划、策略和过程 | Manual, Disabled | 1.1.0 |
管理 PCI DSS 合规性
ID:PCI DSS v4.0 12.4.2,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 评估安全控制措施 | CMA_C1145 - 评估安全控制措施 | Manual, Disabled | 1.1.0 |
| 配置检测允许列表 | CMA_0068 - 配置检测允许列表 | Manual, Disabled | 1.1.0 |
| 制定安全评估计划 | CMA_C1144 - 制定安全评估计划 | Manual, Disabled | 1.1.0 |
| 为安全控制评估选择其他测试 | CMA_C1149 - 为安全控制评估选择其他测试 | Manual, Disabled | 1.1.0 |
| 打开终结点安全解决方案的传感器 | CMA_0514 - 打开终结点安全解决方案的传感器 | Manual, Disabled | 1.1.0 |
| 进行独立安全评审 | CMA_0515 - 进行独立安全评审 | Manual, Disabled | 1.1.0 |
管理 PCI DSS 合规性
ID:PCI DSS v4.0 12.4.2.1,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 配置检测允许列表 | CMA_0068 - 配置检测允许列表 | Manual, Disabled | 1.1.0 |
| 提供安全评估结果 | CMA_C1147 - 提供安全评估结果 | Manual, Disabled | 1.1.0 |
| 制定 POAM(&M) | CMA_C1156 - 制定 POA&M | Manual, Disabled | 1.1.0 |
| 生成安全评估报告 | CMA_C1146 - 生成安全评估报告 | Manual, Disabled | 1.1.0 |
| 打开终结点安全解决方案的传感器 | CMA_0514 - 打开终结点安全解决方案的传感器 | Manual, Disabled | 1.1.0 |
| 进行独立安全评审 | CMA_0515 - 进行独立安全评审 | Manual, Disabled | 1.1.0 |
| 更新 POA&M 项 | CMA_C1157 - 更新 POA&M 项 | Manual, Disabled | 1.1.0 |
记录并验证 PCI DSS 范围
ID:PCI DSS v4.0 12.5.2,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 维护个人数据的处理记录 | CMA_0353 - 维护个人数据的处理记录 | Manual, Disabled | 1.1.0 |
记录并验证 PCI DSS 范围
ID:PCI DSS v4.0 12.5.2.1,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 创建数据清单 | CMA_0096 - 创建数据清单 | Manual, Disabled | 1.1.0 |
| 维护个人数据的处理记录 | CMA_0353 - 维护个人数据的处理记录 | Manual, Disabled | 1.1.0 |
记录并验证 PCI DSS 范围
ID:PCI DSS v4.0 12.5.3,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 制定信息安全计划 | CMA_0263 - 制定信息安全计划 | Manual, Disabled | 1.1.0 |
| 更新信息安全策略 | CMA_0518 - 更新信息安全策略 | Manual, Disabled | 1.1.0 |
安全意识教育是一项持续的活动
ID:PCI DSS v4.0 12.6.1,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 记录安全和隐私培训活动 | CMA_0198 - 记录安全和隐私培训活动 | Manual, Disabled | 1.1.0 |
| 制定信息安全工作人员建设与提升计划 | CMA_C1752 - 制定信息安全工作人员建设与提升计划 | Manual, Disabled | 1.1.0 |
安全意识教育是一项持续的活动
ID:PCI DSS v4.0 12.6.2,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 提供更新后的安全意识培训 | CMA_C1090 - 提供更新后的安全意识培训 | Manual, Disabled | 1.1.0 |
安全意识教育是一项持续的活动
ID:PCI DSS v4.0 12.6.3,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 记录人员接受隐私要求 | CMA_0193 - 记录人员接受隐私要求 | Manual, Disabled | 1.1.0 |
| 定期提供基于角色的安全培训 | CMA_C1095 - 定期提供基于角色的安全培训 | Manual, Disabled | 1.1.0 |
| 提供定期安全意识培训 | CMA_C1091 - 提供定期安全意识培训 | Manual, Disabled | 1.1.0 |
| 提供隐私培训 | CMA_0415 - 提供隐私培训 | Manual, Disabled | 1.1.0 |
| 提供基于角色的安全培训 | CMA_C1094 - 提供基于角色的安全培训 | Manual, Disabled | 1.1.0 |
| 在提供访问权限之前提供安全培训 | CMA_0418 - 在提供访问权限之前提供安全培训 | Manual, Disabled | 1.1.0 |
| 为新用户提供安全培训 | CMA_0419 - 为新用户提供安全培训 | Manual, Disabled | 1.1.0 |
| 提供更新后的安全意识培训 | CMA_C1090 - 提供更新后的安全意识培训 | Manual, Disabled | 1.1.0 |
安全意识教育是一项持续的活动
ID:PCI DSS v4.0 12.6.3.1,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 实施威胁意识计划 | CMA_C1758 - 实施威胁感知计划 | Manual, Disabled | 1.1.0 |
| 实施内部威胁计划 | CMA_C1751 - 实现内部威胁计划 | Manual, Disabled | 1.1.0 |
| 为新用户提供安全培训 | CMA_0419 - 为新用户提供安全培训 | Manual, Disabled | 1.1.0 |
安全意识教育是一项持续的活动
ID:PCI DSS v4.0 12.6.3.2,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 在提供访问权限之前提供安全培训 | CMA_0418 - 在提供访问权限之前提供安全培训 | Manual, Disabled | 1.1.0 |
| 为新用户提供安全培训 | CMA_0419 - 为新用户提供安全培训 | Manual, Disabled | 1.1.0 |
对人员进行筛查,以降低内部威胁带来的风险
ID:PCI DSS v4.0 12.7.1,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 清除有权访问机密信息的人员 | CMA_0054 - 清除有权访问机密信息的人员 | Manual, Disabled | 1.1.0 |
| 实施人员筛查 | CMA_0322 - 实施人员筛查 | Manual, Disabled | 1.1.0 |
| 按定义的频率重新筛查个人 | CMA_C1512 - 按定义的频率重新筛查个人 | Manual, Disabled | 1.1.0 |
管理与第三方服务提供商 (TPSP) 关系关联的信息资产的风险
ID:PCI DSS v4.0 12.8.1,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 要求外部服务提供商符合安全要求 | CMA_C1586 - 要求外部服务提供商符合安全要求 | Manual, Disabled | 1.1.0 |
管理与第三方服务提供商 (TPSP) 关系关联的信息资产的风险
ID:PCI DSS v4.0 12.8.2,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 定义处理者的职责 | CMA_0127 - 定义处理者的职责 | Manual, Disabled | 1.1.0 |
| 确定供应商合同义务 | CMA_0140 - 确定供应商合同义务 | Manual, Disabled | 1.1.0 |
| 记录收购合同验收条件 | CMA_0187 - 记录收购合同验收条件 | Manual, Disabled | 1.1.0 |
| 记录收购合同中的个人数据保护 | CMA_0194 - 记录收购合同中的个人数据保护 | Manual, Disabled | 1.1.0 |
| 记录收购合同中的安全信息保护 | CMA_0195 - 记录收购合同中安全信息的保护 | Manual, Disabled | 1.1.0 |
| 记录在合同中使用共享数据的要求 | CMA_0197 - 记录在合同中使用共享数据的要求 | Manual, Disabled | 1.1.0 |
| 记录收购合同中的安全保证要求 | CMA_0199 - 记录收购合同中的安全保证要求 | Manual, Disabled | 1.1.0 |
| 记录收购合同中的安全文档要求 | CMA_0200 - 记录收购合同中的安全文档要求 | Manual, Disabled | 1.1.0 |
| 记录收购合同中的安全功能要求 | CMA_0201 - 记录收购合同中的安全功能要求 | Manual, Disabled | 1.1.0 |
| 记录收购合同中的安全强度要求 | CMA_0203 - 记录收购合同中的安全强度要求 | Manual, Disabled | 1.1.0 |
| 记录收购合同中的信息系统环境 | CMA_0205 - 记录收购合同中的信息系统环境 | Manual, Disabled | 1.1.0 |
| 记录第三方合同中的持卡人数据保护 | CMA_0207 - 记录第三方合同中的持卡人数据保护 | Manual, Disabled | 1.1.0 |
| 获取安全控件的设计和实现信息 | CMA_C1576 - 获取安全控件的设计和实现信息 | Manual, Disabled | 1.1.1 |
| 获取安全控件的功能属性 | CMA_C1575 - 获取安全控件的功能属性 | Manual, Disabled | 1.1.0 |
| 保留向第三方披露 PII 的记录 | CMA_0422 - 保留向第三方披露 PII 的记录 | Manual, Disabled | 1.1.0 |
管理与第三方服务提供商 (TPSP) 关系关联的信息资产的风险
ID:PCI DSS v4.0 12.8.3,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 评估第三方关系中的风险 | CMA_0014 - 评估第三方关系中的风险 | Manual, Disabled | 1.1.0 |
| 定义供应货物和服务的要求 | CMA_0126 - 定义供应货物和服务的要求 | Manual, Disabled | 1.1.0 |
| 确定供应商合同义务 | CMA_0140 - 确定供应商合同义务 | Manual, Disabled | 1.1.0 |
| 制定供应链风险管理策略 | CMA_0275 - 制定供应链风险管理策略 | Manual, Disabled | 1.1.0 |
| 要求外部服务提供商符合安全要求 | CMA_C1586 - 要求外部服务提供商符合安全要求 | Manual, Disabled | 1.1.0 |
管理与第三方服务提供商 (TPSP) 关系关联的信息资产的风险
ID:PCI DSS v4.0 12.8.4,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 评估第三方关系中的风险 | CMA_0014 - 评估第三方关系中的风险 | Manual, Disabled | 1.1.0 |
| 定义供应货物和服务的要求 | CMA_0126 - 定义供应货物和服务的要求 | Manual, Disabled | 1.1.0 |
| 确定供应商合同义务 | CMA_0140 - 确定供应商合同义务 | Manual, Disabled | 1.1.0 |
| 制定供应链风险管理策略 | CMA_0275 - 制定供应链风险管理策略 | Manual, Disabled | 1.1.0 |
| 获取安全控制的持续监视计划 | CMA_C1577 - 获取安全控制的持续监视计划 | Manual, Disabled | 1.1.0 |
| 要求外部服务提供商符合安全要求 | CMA_C1586 - 要求外部服务提供商符合安全要求 | Manual, Disabled | 1.1.0 |
| 评审云服务提供商对策略和协议的符合性 | CMA_0469 - 评审云服务提供商对策略和协议的符合性 | Manual, Disabled | 1.1.0 |
| 进行独立安全评审 | CMA_0515 - 进行独立安全评审 | 手动、已禁用 | 1.1.0 |
管理与第三方服务提供商 (TPSP) 关系关联的信息资产的风险
ID:PCI DSS v4.0 12.8.5,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 确定供应商合同义务 | CMA_0140 - 确定供应商合同义务 | Manual, Disabled | 1.1.0 |
| 记录收购合同验收条件 | CMA_0187 - 记录收购合同验收条件 | Manual, Disabled | 1.1.0 |
| 记录收购合同中的个人数据保护 | CMA_0194 - 记录收购合同中的个人数据保护 | Manual, Disabled | 1.1.0 |
| 记录收购合同中的安全信息保护 | CMA_0195 - 记录收购合同中安全信息的保护 | Manual, Disabled | 1.1.0 |
| 记录在合同中使用共享数据的要求 | CMA_0197 - 记录在合同中使用共享数据的要求 | Manual, Disabled | 1.1.0 |
| 记录收购合同中的安全保证要求 | CMA_0199 - 记录收购合同中的安全保证要求 | Manual, Disabled | 1.1.0 |
| 记录收购合同中的安全文档要求 | CMA_0200 - 记录收购合同中的安全文档要求 | Manual, Disabled | 1.1.0 |
| 记录收购合同中的安全功能要求 | CMA_0201 - 记录收购合同中的安全功能要求 | Manual, Disabled | 1.1.0 |
| 记录收购合同中的安全强度要求 | CMA_0203 - 记录收购合同中的安全强度要求 | Manual, Disabled | 1.1.0 |
| 记录收购合同中的信息系统环境 | CMA_0205 - 记录收购合同中的信息系统环境 | Manual, Disabled | 1.1.0 |
| 记录第三方合同中的持卡人数据保护 | CMA_0207 - 记录第三方合同中的持卡人数据保护 | Manual, Disabled | 1.1.0 |
| 获取安全控件的设计和实现信息 | CMA_C1576 - 获取安全控件的设计和实现信息 | Manual, Disabled | 1.1.1 |
| 获取安全控件的功能属性 | CMA_C1575 - 获取安全控件的功能属性 | Manual, Disabled | 1.1.0 |
第三方服务提供商 (TPSP) 支持其客户的 PCI DSS 合规性
ID:PCI DSS v4.0 12.9.1,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 定义处理者的职责 | CMA_0127 - 定义处理者的职责 | Manual, Disabled | 1.1.0 |
| 保留向第三方披露 PII 的记录 | CMA_0422 - 保留向第三方披露 PII 的记录 | Manual, Disabled | 1.1.0 |
| 要求外部服务提供商符合安全要求 | CMA_C1586 - 要求外部服务提供商符合安全要求 | Manual, Disabled | 1.1.0 |
第三方服务提供商 (TPSP) 支持其客户的 PCI DSS 合规性
ID:PCI DSS v4.0 12.9.2,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 要求外部服务提供商符合安全要求 | CMA_C1586 - 要求外部服务提供商符合安全要求 | Manual, Disabled | 1.1.0 |
| 评审云服务提供商对策略和协议的符合性 | CMA_0469 - 评审云服务提供商对策略和协议的符合性 | Manual, Disabled | 1.1.0 |
| 进行独立安全评审 | CMA_0515 - 进行独立安全评审 | Manual, Disabled | 1.1.0 |
要求 02:将安全配置应用于所有系统组件
定义并了解将安全配置应用于所有系统组件的过程和机制
ID:PCI DSS v4.0 2.1.1,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 审阅和更新配置管理策略和过程 | CMA_C1175 - 审阅和更新配置管理策略和过程 | Manual, Disabled | 1.1.0 |
以安全方式配置和管理系统组件
ID:PCI DSS v4.0 2.2.1,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 为非合规设备配置操作 | CMA_0062 - 为非合规设备配置操作 | Manual, Disabled | 1.1.0 |
| 开发并维护基线配置 | CMA_0153 - 开发并维护基线配置 | Manual、Disabled | 1.1.0 |
| 强制执行安全配置设置 | CMA_0249 - 强制执行安全配置设置 | Manual、Disabled | 1.1.0 |
| 建立配置控制委员会 | CMA_0254 - 建立配置控制委员会 | Manual、Disabled | 1.1.0 |
| 制定并记录配置管理计划 | CMA_0264 - 制定并记录配置管理计划 | Manual, Disabled | 1.1.0 |
| 实现自动配置管理工具 | CMA_0311 - 实现自动配置管理工具 | Manual, Disabled | 1.1.0 |
以安全方式配置和管理系统组件
ID:PCI DSS v4.0 2.2.2,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 管理验证器 | CMA_C1321 - 管理验证器 | Manual, Disabled | 1.1.0 |
以安全方式配置和管理系统组件
ID:PCI DSS v4.0 2.2.5,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 强制执行安全配置设置 | CMA_0249 - 强制执行安全配置设置 | Manual, Disabled | 1.1.0 |
| 修正信息系统缺陷 | CMA_0427 - 修正信息系统缺陷 | Manual, Disabled | 1.1.0 |
以安全方式配置和管理系统组件
ID:PCI DSS v4.0 2.2.7,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 实现加密机制 | CMA_C1419 - 实现加密机制 | Manual, Disabled | 1.1.0 |
以安全方式配置和管理无线环境
ID:PCI DSS v4.0 2.3.1,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 记录并实施无线访问准则 | CMA_0190 - 记录并实施无线访问准则 | Manual、Disabled | 1.1.0 |
| 标识并验证网络设备 | CMA_0296 - 标识并验证网络设备 | Manual、Disabled | 1.1.0 |
| 保护无线访问 | CMA_0411 - 保护无线访问 | Manual, Disabled | 1.1.0 |
以安全方式配置和管理无线环境
ID:PCI DSS v4.0 2.3.2,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 记录并实施无线访问准则 | CMA_0190 - 记录并实施无线访问准则 | Manual、Disabled | 1.1.0 |
| 标识并验证网络设备 | CMA_0296 - 标识并验证网络设备 | Manual、Disabled | 1.1.0 |
| 保护无线访问 | CMA_0411 - 保护无线访问 | Manual, Disabled | 1.1.0 |
要求 03:保护存储的帐户数据
定义和了解适用于保护存储帐户数据的过程和机制
ID:PCI DSS v4.0 3.1.1,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 制定隐私计划 | CMA_0257 - 制定隐私计划 | Manual, Disabled | 1.1.0 |
| 审阅和更新系统与通信保护策略及过程 | CMA_C1616 - 审阅和更新系统与通信保护策略及过程 | Manual, Disabled | 1.1.0 |
| 更新隐私计划、策略和过程 | CMA_C1807 - 更新隐私计划、策略和过程 | Manual, Disabled | 1.1.0 |
将帐户数据的存储保持在最低程度
ID:PCI DSS v4.0 3.2.1,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 遵守已定义的保留期 | CMA_0004 - 遵守已定义的保留期 | Manual, Disabled | 1.1.0 |
| 控制物理访问 | CMA_0081 - 控制物理访问 | Manual, Disabled | 1.1.0 |
| 记录处理个人信息的法律依据 | CMA_0206 - 记录处理个人信息的法律依据 | Manual, Disabled | 1.1.0 |
| 管理数据的输入、输出、处理和存储 | CMA_0369 - 管理数据的输入、输出、处理和存储 | Manual, Disabled | 1.1.0 |
| 在收集或处理个人数据之前获取同意 | CMA_0385 - 在收集或处理个人数据之前获取同意 | Manual, Disabled | 1.1.0 |
| 执行处置评审 | CMA_0391 - 执行处置评审 | Manual, Disabled | 1.1.0 |
| 查看标签活动和分析 | CMA_0474 - 查看标签活动和分析 | Manual, Disabled | 1.1.0 |
| 在处理结束时验证个人数据是否已删除 | CMA_0540 - 在处理结束时验证个人数据是否已删除 | Manual, Disabled | 1.1.0 |
授权后不存储敏感的身份验证数据 (SAD)
ID:PCI DSS v4.0 3.3.1,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 遵守已定义的保留期 | CMA_0004 - 遵守已定义的保留期 | Manual, Disabled | 1.1.0 |
| 记录处理个人信息的法律依据 | CMA_0206 - 记录处理个人信息的法律依据 | Manual, Disabled | 1.1.0 |
| 实施隐私声明传递方法 | CMA_0324 - 实施隐私声明传递方法 | Manual, Disabled | 1.1.0 |
| 在收集或处理个人数据之前获取同意 | CMA_0385 - 在收集或处理个人数据之前获取同意 | Manual, Disabled | 1.1.0 |
| 执行处置评审 | CMA_0391 - 执行处置评审 | Manual, Disabled | 1.1.0 |
| 提供隐私声明 | CMA_0414 - 提供隐私声明 | Manual, Disabled | 1.1.0 |
| 限制通信 | CMA_0449 - 限制通信 | Manual, Disabled | 1.1.0 |
| 在处理结束时验证个人数据是否已删除 | CMA_0540 - 在处理结束时验证个人数据是否已删除 | Manual, Disabled | 1.1.0 |
授权后不存储敏感的身份验证数据 (SAD)
ID:PCI DSS v4.0 3.3.1.1,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 遵守已定义的保留期 | CMA_0004 - 遵守已定义的保留期 | Manual, Disabled | 1.1.0 |
| 记录处理个人信息的法律依据 | CMA_0206 - 记录处理个人信息的法律依据 | Manual, Disabled | 1.1.0 |
| 实施隐私声明传递方法 | CMA_0324 - 实施隐私声明传递方法 | Manual, Disabled | 1.1.0 |
| 在收集或处理个人数据之前获取同意 | CMA_0385 - 在收集或处理个人数据之前获取同意 | Manual, Disabled | 1.1.0 |
| 执行处置评审 | CMA_0391 - 执行处置评审 | Manual, Disabled | 1.1.0 |
| 提供隐私声明 | CMA_0414 - 提供隐私声明 | Manual, Disabled | 1.1.0 |
| 限制通信 | CMA_0449 - 限制通信 | Manual, Disabled | 1.1.0 |
| 在处理结束时验证个人数据是否已删除 | CMA_0540 - 在处理结束时验证个人数据是否已删除 | Manual, Disabled | 1.1.0 |
授权后不存储敏感的身份验证数据 (SAD)
ID:PCI DSS v4.0 3.3.1.2,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 记录处理个人信息的法律依据 | CMA_0206 - 记录处理个人信息的法律依据 | Manual, Disabled | 1.1.0 |
| 实施隐私声明传递方法 | CMA_0324 - 实施隐私声明传递方法 | Manual, Disabled | 1.1.0 |
| 在收集或处理个人数据之前获取同意 | CMA_0385 - 在收集或处理个人数据之前获取同意 | Manual, Disabled | 1.1.0 |
| 提供隐私声明 | CMA_0414 - 提供隐私声明 | Manual, Disabled | 1.1.0 |
| 限制通信 | CMA_0449 - 限制通信 | Manual, Disabled | 1.1.0 |
授权后不存储敏感的身份验证数据 (SAD)
ID:PCI DSS v4.0 3.3.1.3,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 遵守已定义的保留期 | CMA_0004 - 遵守已定义的保留期 | Manual, Disabled | 1.1.0 |
| 记录处理个人信息的法律依据 | CMA_0206 - 记录处理个人信息的法律依据 | Manual, Disabled | 1.1.0 |
| 实施隐私声明传递方法 | CMA_0324 - 实施隐私声明传递方法 | Manual, Disabled | 1.1.0 |
| 在收集或处理个人数据之前获取同意 | CMA_0385 - 在收集或处理个人数据之前获取同意 | Manual, Disabled | 1.1.0 |
| 执行处置评审 | CMA_0391 - 执行处置评审 | Manual, Disabled | 1.1.0 |
| 提供隐私声明 | CMA_0414 - 提供隐私声明 | Manual, Disabled | 1.1.0 |
| 限制通信 | CMA_0449 - 限制通信 | Manual, Disabled | 1.1.0 |
| 在处理结束时验证个人数据是否已删除 | CMA_0540 - 在处理结束时验证个人数据是否已删除 | Manual, Disabled | 1.1.0 |
授权后不存储敏感的身份验证数据 (SAD)
ID:PCI DSS v4.0 3.3.2,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 对加密模块进行身份验证 | CMA_0021 - 对加密模块进行身份验证 | Manual, Disabled | 1.1.0 |
授权后不存储敏感的身份验证数据 (SAD)
ID:PCI DSS v4.0 3.3.3,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 应为 SQL Server 预配 Azure Active Directory 管理员 | 审核确认已为 SQL Server 预配了 Azure Active Directory 管理员以启用 Azure AD 身份验证。 使用 Azure AD 身份验证可以简化权限管理,以及集中化数据库用户和其他 Microsoft 服务的标识管理 | AuditIfNotExists、Disabled | 1.0.0 |
| 审核自定义 RBAC 角色的使用情况 | 审核“所有者、参与者、读者”等内置角色而不是容易出错的自定义 RBAC 角色。 使用自定义角色被视为例外,需要进行严格的审查和威胁建模 | Audit、Disabled | 1.0.1 |
| 对加密模块进行身份验证 | CMA_0021 - 对加密模块进行身份验证 | Manual, Disabled | 1.1.0 |
| 记录处理个人信息的法律依据 | CMA_0206 - 记录处理个人信息的法律依据 | Manual, Disabled | 1.1.0 |
| 应移除对 Azure 资源具有所有者权限的来宾帐户 | 为了防止发生未受监视的访问,应从订阅中删除拥有所有者权限的外部帐户。 | AuditIfNotExists、Disabled | 1.0.0 |
| 应删除对 Azure 资源拥有读取权限的来宾帐户 | 应从订阅中删除拥有读取特权的外部帐户,以防发生未受监视的访问。 | AuditIfNotExists、Disabled | 1.0.0 |
| 应删除对 Azure 资源拥有写入权限的来宾帐户 | 应从订阅中删除拥有写入特权的外部帐户,以防发生未受监视的访问。 | AuditIfNotExists、Disabled | 1.0.0 |
| 实施隐私声明传递方法 | CMA_0324 - 实施隐私声明传递方法 | Manual, Disabled | 1.1.0 |
| 在收集或处理个人数据之前获取同意 | CMA_0385 - 在收集或处理个人数据之前获取同意 | Manual, Disabled | 1.1.0 |
| 提供隐私声明 | CMA_0414 - 提供隐私声明 | Manual, Disabled | 1.1.0 |
| 限制通信 | CMA_0449 - 限制通信 | Manual, Disabled | 1.1.0 |
访问完整 PAN 的显示和复制持卡人数据的能力受到限制
ID:PCI DSS v4.0 3.4.1,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 实施隐私声明传递方法 | CMA_0324 - 实施隐私声明传递方法 | Manual, Disabled | 1.1.0 |
| 提供隐私声明 | CMA_0414 - 提供隐私声明 | Manual, Disabled | 1.1.0 |
| 限制通信 | CMA_0449 - 限制通信 | Manual, Disabled | 1.1.0 |
访问完整 PAN 的显示和复制持卡人数据的能力受到限制
ID:PCI DSS v4.0 3.4.2,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 实施隐私声明传递方法 | CMA_0324 - 实施隐私声明传递方法 | Manual, Disabled | 1.1.0 |
| 提供隐私声明 | CMA_0414 - 提供隐私声明 | Manual, Disabled | 1.1.0 |
| 限制通信 | CMA_0449 - 限制通信 | Manual, Disabled | 1.1.0 |
无论主帐号 (PAN) 存储在何处,都对其进行保护
ID:PCI DSS v4.0 3.5.1,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 只应通过 HTTPS 访问应用服务应用 | 使用 HTTPS 可确保执行服务器/服务身份验证服务,并保护传输中的数据不受网络层窃听攻击威胁。 | 审核、已禁用、拒绝 | 4.0.0 |
| 自动化帐户变量应加密 | 存储敏感数据时,请务必启用自动化帐户变量资产加密 | Audit、Deny、Disabled | 1.1.0 |
| 建立数据泄漏管理过程 | CMA_0255 - 制定数据泄漏管理过程 | Manual, Disabled | 1.1.0 |
| 只应通过 HTTPS 访问函数应用 | 使用 HTTPS 可确保执行服务器/服务身份验证服务,并保护传输中的数据不受网络层窃听攻击威胁。 | 审核、已禁用、拒绝 | 5.0.0 |
| 实施控制措施来保护所有介质 | CMA_0314 - 实施控制措施来保护所有介质 | Manual, Disabled | 1.1.0 |
| 只能与 Azure Cache for Redis 建立安全连接 | 审核确认启用仅通过 SSL 来与 Azure Cache for Redis 建立连接。 使用安全连接可确保服务器和服务之间的身份验证并保护传输中的数据免受中间人攻击、窃听攻击和会话劫持等网络层攻击 | Audit、Deny、Disabled | 1.0.0 |
| 使用加密保护传输中的数据 | CMA_0403 - 使用加密保护传输中的数据 | Manual、Disabled | 1.1.0 |
| 保护特殊信息 | CMA_0409 - 保护特殊信息 | Manual, Disabled | 1.1.0 |
| 应启用到存储帐户的安全传输 | 审核存储帐户中安全传输的要求。 安全传输选项会强制存储帐户仅接受来自安全连接 (HTTPS) 的请求。 使用 HTTPS 可确保服务器和服务之间的身份验证并保护传输中的数据免受中间人攻击、窃听和会话劫持等网络层攻击 | Audit, Deny, Disabled | 2.0.0 |
| Service Fabric 群集应将 ClusterProtectionLevel 属性设置为 EncryptAndSign | Service Fabric 使用主要群集证书为节点之间的通信提供三个保护级别(None、Sign 和 EncryptAndSign)。 设置保护级别以确保所有节点到节点消息均已进行加密和数字签名 | Audit, Deny, Disabled | 1.1.0 |
| 应在 SQL 数据库上启用透明数据加密 | 应启用透明数据加密以保护静态数据并满足合规性要求 | AuditIfNotExists、Disabled | 2.0.0 |
无论主帐号 (PAN) 存储在何处,都对其进行保护
ID:PCI DSS v4.0 3.5.1.1,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 制定数据泄漏管理过程 | CMA_0255 - 制定数据泄漏管理过程 | Manual、Disabled | 1.1.0 |
| 实施控制措施来保护所有介质 | CMA_0314 - 实施控制措施来保护所有介质 | Manual, Disabled | 1.1.0 |
| 使用加密保护传输中的数据 | CMA_0403 - 使用加密保护传输中的数据 | Manual、Disabled | 1.1.0 |
| 保护特殊信息 | CMA_0409 - 保护特殊信息 | Manual, Disabled | 1.1.0 |
无论主帐号 (PAN) 存储在何处,都对其进行保护
ID:PCI DSS v4.0 3.5.1.2,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 制定数据泄漏管理过程 | CMA_0255 - 制定数据泄漏管理过程 | Manual、Disabled | 1.1.0 |
| 实施控制措施来保护所有介质 | CMA_0314 - 实施控制措施来保护所有介质 | Manual, Disabled | 1.1.0 |
| 使用加密保护传输中的数据 | CMA_0403 - 使用加密保护传输中的数据 | Manual、Disabled | 1.1.0 |
| 保护特殊信息 | CMA_0409 - 保护特殊信息 | Manual, Disabled | 1.1.0 |
无论主帐号 (PAN) 存储在何处,都对其进行保护
ID:PCI DSS v4.0 3.5.1.3,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 制定数据泄漏管理过程 | CMA_0255 - 制定数据泄漏管理过程 | Manual、Disabled | 1.1.0 |
| 实施控制措施来保护所有介质 | CMA_0314 - 实施控制措施来保护所有介质 | Manual, Disabled | 1.1.0 |
| 使用加密保护传输中的数据 | CMA_0403 - 使用加密保护传输中的数据 | Manual、Disabled | 1.1.0 |
| 保护特殊信息 | CMA_0409 - 保护特殊信息 | Manual, Disabled | 1.1.0 |
保护用于保护已存储帐户数据的加密密钥的安全
ID:PCI DSS v4.0 3.6.1,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 定义物理密钥管理流程 | CMA_0115 - 定义物理密钥管理流程 | Manual, Disabled | 1.1.0 |
| 定义加密使用 | CMA_0120 - 定义加密使用 | Manual, Disabled | 1.1.0 |
| 定义加密密钥管理的组织要求 | CMA_0123 - 定义加密密钥管理的组织要求 | Manual, Disabled | 1.1.0 |
| 确定断言要求 | CMA_0136 - 确定断言要求 | Manual, Disabled | 1.1.0 |
| 颁发公钥证书 | CMA_0347 - 颁发公钥证书 | Manual, Disabled | 1.1.0 |
| 管理对称加密密钥 | CMA_0367 - 管理对称加密密钥 | Manual, Disabled | 1.1.0 |
| 限制对私钥的访问 | CMA_0445 - 限制对私钥的访问 | Manual, Disabled | 1.1.0 |
保护用于保护已存储帐户数据的加密密钥的安全
ID:PCI DSS v4.0 3.6.1.1,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 定义物理密钥管理流程 | CMA_0115 - 定义物理密钥管理流程 | Manual, Disabled | 1.1.0 |
| 定义加密使用 | CMA_0120 - 定义加密使用 | Manual, Disabled | 1.1.0 |
| 定义加密密钥管理的组织要求 | CMA_0123 - 定义加密密钥管理的组织要求 | Manual, Disabled | 1.1.0 |
| 确定断言要求 | CMA_0136 - 确定断言要求 | Manual, Disabled | 1.1.0 |
| 颁发公钥证书 | CMA_0347 - 颁发公钥证书 | Manual, Disabled | 1.1.0 |
| 管理对称加密密钥 | CMA_0367 - 管理对称加密密钥 | Manual, Disabled | 1.1.0 |
| 限制对私钥的访问 | CMA_0445 - 限制对私钥的访问 | Manual, Disabled | 1.1.0 |
保护用于保护已存储帐户数据的加密密钥的安全
ID:PCI DSS v4.0 3.6.1.2,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 定义物理密钥管理流程 | CMA_0115 - 定义物理密钥管理流程 | Manual, Disabled | 1.1.0 |
| 定义加密使用 | CMA_0120 - 定义加密使用 | Manual, Disabled | 1.1.0 |
| 定义加密密钥管理的组织要求 | CMA_0123 - 定义加密密钥管理的组织要求 | Manual, Disabled | 1.1.0 |
| 确定断言要求 | CMA_0136 - 确定断言要求 | Manual, Disabled | 1.1.0 |
| 颁发公钥证书 | CMA_0347 - 颁发公钥证书 | Manual, Disabled | 1.1.0 |
| 管理对称加密密钥 | CMA_0367 - 管理对称加密密钥 | Manual, Disabled | 1.1.0 |
| 生成、控制和分配对称加密密钥 | CMA_C1645 - 生成、控制和分配对称加密密钥 | Manual, Disabled | 1.1.0 |
| 限制对私钥的访问 | CMA_0445 - 限制对私钥的访问 | Manual, Disabled | 1.1.0 |
保护用于保护已存储帐户数据的加密密钥的安全
ID:PCI DSS v4.0 3.6.1.3,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 定义物理密钥管理流程 | CMA_0115 - 定义物理密钥管理流程 | Manual, Disabled | 1.1.0 |
| 定义加密使用 | CMA_0120 - 定义加密使用 | Manual, Disabled | 1.1.0 |
| 定义加密密钥管理的组织要求 | CMA_0123 - 定义加密密钥管理的组织要求 | Manual, Disabled | 1.1.0 |
| 确定断言要求 | CMA_0136 - 确定断言要求 | Manual, Disabled | 1.1.0 |
| 颁发公钥证书 | CMA_0347 - 颁发公钥证书 | Manual, Disabled | 1.1.0 |
| 管理对称加密密钥 | CMA_0367 - 管理对称加密密钥 | Manual, Disabled | 1.1.0 |
| 限制对私钥的访问 | CMA_0445 - 限制对私钥的访问 | Manual, Disabled | 1.1.0 |
保护用于保护已存储帐户数据的加密密钥的安全
ID:PCI DSS v4.0 3.6.1.4,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 定义物理密钥管理流程 | CMA_0115 - 定义物理密钥管理流程 | Manual, Disabled | 1.1.0 |
| 定义加密使用 | CMA_0120 - 定义加密使用 | Manual, Disabled | 1.1.0 |
| 定义加密密钥管理的组织要求 | CMA_0123 - 定义加密密钥管理的组织要求 | Manual, Disabled | 1.1.0 |
| 确定断言要求 | CMA_0136 - 确定断言要求 | Manual, Disabled | 1.1.0 |
| 颁发公钥证书 | CMA_0347 - 颁发公钥证书 | Manual, Disabled | 1.1.0 |
| 管理对称加密密钥 | CMA_0367 - 管理对称加密密钥 | Manual, Disabled | 1.1.0 |
| 限制对私钥的访问 | CMA_0445 - 限制对私钥的访问 | Manual, Disabled | 1.1.0 |
当使用加密保护存储的帐户数据时,定义并实现涵盖密钥生命周期各个方面的密钥管理流程和过程
ID:PCI DSS v4.0 3.7.1,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 定义物理密钥管理流程 | CMA_0115 - 定义物理密钥管理流程 | Manual, Disabled | 1.1.0 |
| 定义加密使用 | CMA_0120 - 定义加密使用 | Manual, Disabled | 1.1.0 |
| 定义加密密钥管理的组织要求 | CMA_0123 - 定义加密密钥管理的组织要求 | Manual, Disabled | 1.1.0 |
| 确定断言要求 | CMA_0136 - 确定断言要求 | Manual, Disabled | 1.1.0 |
| 颁发公钥证书 | CMA_0347 - 颁发公钥证书 | Manual, Disabled | 1.1.0 |
| 管理对称加密密钥 | CMA_0367 - 管理对称加密密钥 | Manual, Disabled | 1.1.0 |
| 限制对私钥的访问 | CMA_0445 - 限制对私钥的访问 | Manual, Disabled | 1.1.0 |
当使用加密保护存储的帐户数据时,定义并实现涵盖密钥生命周期各个方面的密钥管理流程和过程
ID:PCI DSS v4.0 3.7.2,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 定义物理密钥管理流程 | CMA_0115 - 定义物理密钥管理流程 | Manual, Disabled | 1.1.0 |
| 定义加密使用 | CMA_0120 - 定义加密使用 | Manual, Disabled | 1.1.0 |
| 定义加密密钥管理的组织要求 | CMA_0123 - 定义加密密钥管理的组织要求 | Manual, Disabled | 1.1.0 |
| 确定断言要求 | CMA_0136 - 确定断言要求 | Manual, Disabled | 1.1.0 |
| 颁发公钥证书 | CMA_0347 - 颁发公钥证书 | Manual, Disabled | 1.1.0 |
| 管理对称加密密钥 | CMA_0367 - 管理对称加密密钥 | Manual, Disabled | 1.1.0 |
| 生成、控制和分配对称加密密钥 | CMA_C1645 - 生成、控制和分配对称加密密钥 | Manual, Disabled | 1.1.0 |
| 限制对私钥的访问 | CMA_0445 - 限制对私钥的访问 | Manual, Disabled | 1.1.0 |
当使用加密保护存储的帐户数据时,定义并实现涵盖密钥生命周期各个方面的密钥管理流程和过程
ID:PCI DSS v4.0 3.7.3,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 定义物理密钥管理流程 | CMA_0115 - 定义物理密钥管理流程 | Manual, Disabled | 1.1.0 |
| 定义加密使用 | CMA_0120 - 定义加密使用 | Manual, Disabled | 1.1.0 |
| 定义加密密钥管理的组织要求 | CMA_0123 - 定义加密密钥管理的组织要求 | Manual, Disabled | 1.1.0 |
| 确定断言要求 | CMA_0136 - 确定断言要求 | Manual, Disabled | 1.1.0 |
| 颁发公钥证书 | CMA_0347 - 颁发公钥证书 | Manual, Disabled | 1.1.0 |
| 保持信息的可用性 | CMA_C1644 - 保持信息的可用性 | Manual, Disabled | 1.1.0 |
| 管理对称加密密钥 | CMA_0367 - 管理对称加密密钥 | Manual, Disabled | 1.1.0 |
| 生成、控制和分配对称加密密钥 | CMA_C1645 - 生成、控制和分配对称加密密钥 | Manual, Disabled | 1.1.0 |
| 限制对私钥的访问 | CMA_0445 - 限制对私钥的访问 | Manual, Disabled | 1.1.0 |
当使用加密保护存储的帐户数据时,定义并实现涵盖密钥生命周期各个方面的密钥管理流程和过程
ID:PCI DSS v4.0 3.7.4,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 定义物理密钥管理流程 | CMA_0115 - 定义物理密钥管理流程 | Manual, Disabled | 1.1.0 |
| 定义加密使用 | CMA_0120 - 定义加密使用 | Manual, Disabled | 1.1.0 |
| 定义加密密钥管理的组织要求 | CMA_0123 - 定义加密密钥管理的组织要求 | Manual, Disabled | 1.1.0 |
| 确定断言要求 | CMA_0136 - 确定断言要求 | Manual, Disabled | 1.1.0 |
| 颁发公钥证书 | CMA_0347 - 颁发公钥证书 | Manual, Disabled | 1.1.0 |
| 管理对称加密密钥 | CMA_0367 - 管理对称加密密钥 | Manual, Disabled | 1.1.0 |
| 限制对私钥的访问 | CMA_0445 - 限制对私钥的访问 | Manual, Disabled | 1.1.0 |
当使用加密保护存储的帐户数据时,定义并实现涵盖密钥生命周期各个方面的密钥管理流程和过程
ID:PCI DSS v4.0 3.7.5,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 定义物理密钥管理流程 | CMA_0115 - 定义物理密钥管理流程 | Manual, Disabled | 1.1.0 |
| 定义加密使用 | CMA_0120 - 定义加密使用 | Manual, Disabled | 1.1.0 |
| 定义加密密钥管理的组织要求 | CMA_0123 - 定义加密密钥管理的组织要求 | Manual, Disabled | 1.1.0 |
| 确定断言要求 | CMA_0136 - 确定断言要求 | Manual, Disabled | 1.1.0 |
| 颁发公钥证书 | CMA_0347 - 颁发公钥证书 | Manual, Disabled | 1.1.0 |
| 管理对称加密密钥 | CMA_0367 - 管理对称加密密钥 | Manual, Disabled | 1.1.0 |
| 限制对私钥的访问 | CMA_0445 - 限制对私钥的访问 | Manual, Disabled | 1.1.0 |
当使用加密保护存储的帐户数据时,定义并实现涵盖密钥生命周期各个方面的密钥管理流程和过程
ID:PCI DSS v4.0 3.7.6,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 定义物理密钥管理流程 | CMA_0115 - 定义物理密钥管理流程 | Manual, Disabled | 1.1.0 |
| 定义加密使用 | CMA_0120 - 定义加密使用 | Manual, Disabled | 1.1.0 |
| 定义加密密钥管理的组织要求 | CMA_0123 - 定义加密密钥管理的组织要求 | Manual, Disabled | 1.1.0 |
| 确定断言要求 | CMA_0136 - 确定断言要求 | Manual, Disabled | 1.1.0 |
| 颁发公钥证书 | CMA_0347 - 颁发公钥证书 | Manual, Disabled | 1.1.0 |
| 管理对称加密密钥 | CMA_0367 - 管理对称加密密钥 | Manual, Disabled | 1.1.0 |
| 限制对私钥的访问 | CMA_0445 - 限制对私钥的访问 | Manual, Disabled | 1.1.0 |
当使用加密保护存储的帐户数据时,定义并实现涵盖密钥生命周期各个方面的密钥管理流程和过程
ID:PCI DSS v4.0 3.7.7,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 定义物理密钥管理流程 | CMA_0115 - 定义物理密钥管理流程 | Manual, Disabled | 1.1.0 |
| 定义加密使用 | CMA_0120 - 定义加密使用 | Manual, Disabled | 1.1.0 |
| 定义加密密钥管理的组织要求 | CMA_0123 - 定义加密密钥管理的组织要求 | Manual, Disabled | 1.1.0 |
| 确定断言要求 | CMA_0136 - 确定断言要求 | Manual, Disabled | 1.1.0 |
| 颁发公钥证书 | CMA_0347 - 颁发公钥证书 | Manual, Disabled | 1.1.0 |
| 管理对称加密密钥 | CMA_0367 - 管理对称加密密钥 | Manual, Disabled | 1.1.0 |
| 限制对私钥的访问 | CMA_0445 - 限制对私钥的访问 | Manual, Disabled | 1.1.0 |
当使用加密保护存储的帐户数据时,定义并实现涵盖密钥生命周期各个方面的密钥管理流程和过程
ID:PCI DSS v4.0 3.7.8,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 定义物理密钥管理流程 | CMA_0115 - 定义物理密钥管理流程 | Manual, Disabled | 1.1.0 |
| 定义加密使用 | CMA_0120 - 定义加密使用 | Manual, Disabled | 1.1.0 |
| 定义加密密钥管理的组织要求 | CMA_0123 - 定义加密密钥管理的组织要求 | Manual, Disabled | 1.1.0 |
| 确定断言要求 | CMA_0136 - 确定断言要求 | Manual, Disabled | 1.1.0 |
| 颁发公钥证书 | CMA_0347 - 颁发公钥证书 | Manual, Disabled | 1.1.0 |
| 管理对称加密密钥 | CMA_0367 - 管理对称加密密钥 | Manual, Disabled | 1.1.0 |
| 限制对私钥的访问 | CMA_0445 - 限制对私钥的访问 | Manual, Disabled | 1.1.0 |
当使用加密保护存储的帐户数据时,定义并实现涵盖密钥生命周期各个方面的密钥管理流程和过程
ID:PCI DSS v4.0 3.7.9,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 定义物理密钥管理流程 | CMA_0115 - 定义物理密钥管理流程 | Manual, Disabled | 1.1.0 |
| 定义加密使用 | CMA_0120 - 定义加密使用 | Manual, Disabled | 1.1.0 |
| 定义加密密钥管理的组织要求 | CMA_0123 - 定义加密密钥管理的组织要求 | Manual, Disabled | 1.1.0 |
| 确定断言要求 | CMA_0136 - 确定断言要求 | Manual, Disabled | 1.1.0 |
| 颁发公钥证书 | CMA_0347 - 颁发公钥证书 | Manual, Disabled | 1.1.0 |
| 管理对称加密密钥 | CMA_0367 - 管理对称加密密钥 | Manual, Disabled | 1.1.0 |
| 限制对私钥的访问 | CMA_0445 - 限制对私钥的访问 | Manual, Disabled | 1.1.0 |
要求 04:在通过开放的公用网络传输期间使用强加密保护持卡人数据
定义并记录在通过开放公用网络传输期间使用强加密保护持卡人数据的流程和机制
ID:PCI DSS v4.0 4.1.1,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 审阅和更新系统与通信保护策略及过程 | CMA_C1616 - 审阅和更新系统与通信保护策略及过程 | Manual, Disabled | 1.1.0 |
在传输过程中,使用强加密保护 PAN
ID:PCI DSS v4.0 4.2.1,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 配置工作站以检查数字证书 | CMA_0073 - 配置工作站以检查数字证书 | Manual, Disabled | 1.1.0 |
| 定义物理密钥管理流程 | CMA_0115 - 定义物理密钥管理流程 | Manual, Disabled | 1.1.0 |
| 定义加密使用 | CMA_0120 - 定义加密使用 | Manual, Disabled | 1.1.0 |
| 定义加密密钥管理的组织要求 | CMA_0123 - 定义加密密钥管理的组织要求 | Manual, Disabled | 1.1.0 |
| 确定断言要求 | CMA_0136 - 确定断言要求 | Manual, Disabled | 1.1.0 |
| 颁发公钥证书 | CMA_0347 - 颁发公钥证书 | Manual, Disabled | 1.1.0 |
| 管理对称加密密钥 | CMA_0367 - 管理对称加密密钥 | Manual, Disabled | 1.1.0 |
| 生成、控制和分发非对称加密密钥 | CMA_C1646 - 生成、控制和分发非对称加密密钥 | Manual、Disabled | 1.1.0 |
| 生成、控制和分配对称加密密钥 | CMA_C1645 - 生成、控制和分配对称加密密钥 | Manual, Disabled | 1.1.0 |
| 使用加密保护传输中的数据 | CMA_0403 - 使用加密保护传输中的数据 | Manual, Disabled | 1.1.0 |
| 使用加密保护密码 | CMA_0408 - 使用加密保护密码 | Manual, Disabled | 1.1.0 |
| 限制对私钥的访问 | CMA_0445 - 限制对私钥的访问 | Manual, Disabled | 1.1.0 |
在传输过程中,使用强加密保护 PAN
ID:PCI DSS v4.0 4.2.1.1,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 定义物理密钥管理流程 | CMA_0115 - 定义物理密钥管理流程 | Manual, Disabled | 1.1.0 |
| 定义加密使用 | CMA_0120 - 定义加密使用 | Manual, Disabled | 1.1.0 |
| 定义加密密钥管理的组织要求 | CMA_0123 - 定义加密密钥管理的组织要求 | Manual, Disabled | 1.1.0 |
| 确定断言要求 | CMA_0136 - 确定断言要求 | Manual, Disabled | 1.1.0 |
| 颁发公钥证书 | CMA_0347 - 颁发公钥证书 | Manual, Disabled | 1.1.0 |
| 保持信息的可用性 | CMA_C1644 - 保持信息的可用性 | Manual, Disabled | 1.1.0 |
| 管理对称加密密钥 | CMA_0367 - 管理对称加密密钥 | Manual, Disabled | 1.1.0 |
| 限制对私钥的访问 | CMA_0445 - 限制对私钥的访问 | Manual, Disabled | 1.1.0 |
在传输过程中,使用强加密保护 PAN
ID:PCI DSS v4.0 4.2.1.2,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 记录并实施无线访问准则 | CMA_0190 - 记录并实施无线访问准则 | Manual、Disabled | 1.1.0 |
| 标识并验证网络设备 | CMA_0296 - 标识并验证网络设备 | Manual、Disabled | 1.1.0 |
| 保护无线访问 | CMA_0411 - 保护无线访问 | Manual, Disabled | 1.1.0 |
在传输过程中,使用强加密保护 PAN
ID:PCI DSS v4.0 4.2.2,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 配置工作站以检查数字证书 | CMA_0073 - 配置工作站以检查数字证书 | Manual, Disabled | 1.1.0 |
| 使用加密保护传输中的数据 | CMA_0403 - 使用加密保护传输中的数据 | Manual, Disabled | 1.1.0 |
| 使用加密保护密码 | CMA_0408 - 使用加密保护密码 | Manual, Disabled | 1.1.0 |
要求 05:保护所有系统和网络免受恶意软件侵害
定义和了解保护所有系统和网络免受恶意软件侵害的流程和机制
ID:PCI DSS v4.0 5.1.1,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 审阅和更新信息完整性策略及过程 | CMA_C1667 - 审阅和更新信息完整性策略及过程 | Manual, Disabled | 1.1.0 |
阻止或检测和解决恶意软件
ID:PCI DSS v4.0 5.2.1,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 应在虚拟机上启用漏洞评估解决方案 | 审核虚拟机以检测其是否正在运行受支持的漏洞评估解决方案。 每个网络风险和安全计划的核心部分都是识别和分析漏洞。 Azure 安全中心的标准定价层包括对虚拟机进行漏洞扫描,无需额外付费。 此外,安全中心可以自动为你部署此工具。 | AuditIfNotExists、Disabled | 3.0.0 |
| 阻止从 USB 运行的不受信任和未签名的进程 | CMA_0050 - 阻止从 USB 运行的不受信任和未签名的进程 | Manual、Disabled | 1.1.0 |
| 管理网关 | CMA_0363 - 管理网关 | Manual, Disabled | 1.1.0 |
| 对威胁执行趋势分析 | CMA_0389 - 对威胁执行趋势分析 | Manual, Disabled | 1.1.0 |
| 执行漏洞扫描 | CMA_0393 - 执行漏洞扫描 | Manual、Disabled | 1.1.0 |
| 每周查看恶意软件检测报告 | CMA_0475 - 每周查看恶意软件检测报告 | Manual, Disabled | 1.1.0 |
| 每周查看威胁防护状态 | CMA_0479 - 每周查看威胁防护状态 | Manual, Disabled | 1.1.0 |
| SQL 数据库应已解决漏洞发现结果 | 监视漏洞评估扫描结果,并提供有关如何消除数据库漏洞的建议。 | AuditIfNotExists、Disabled | 4.1.0 |
| 更新防病毒软件定义 | CMA_0517 - 更新防病毒软件定义 | Manual, Disabled | 1.1.0 |
阻止或检测和解决恶意软件
ID:PCI DSS v4.0 5.2.2,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 应在虚拟机上启用漏洞评估解决方案 | 审核虚拟机以检测其是否正在运行受支持的漏洞评估解决方案。 每个网络风险和安全计划的核心部分都是识别和分析漏洞。 Azure 安全中心的标准定价层包括对虚拟机进行漏洞扫描,无需额外付费。 此外,安全中心可以自动为你部署此工具。 | AuditIfNotExists、Disabled | 3.0.0 |
| 阻止从 USB 运行的不受信任和未签名的进程 | CMA_0050 - 阻止从 USB 运行的不受信任和未签名的进程 | Manual、Disabled | 1.1.0 |
| 管理网关 | CMA_0363 - 管理网关 | Manual, Disabled | 1.1.0 |
| 对威胁执行趋势分析 | CMA_0389 - 对威胁执行趋势分析 | Manual, Disabled | 1.1.0 |
| 执行漏洞扫描 | CMA_0393 - 执行漏洞扫描 | Manual、Disabled | 1.1.0 |
| 每周查看恶意软件检测报告 | CMA_0475 - 每周查看恶意软件检测报告 | Manual, Disabled | 1.1.0 |
| 每周查看威胁防护状态 | CMA_0479 - 每周查看威胁防护状态 | Manual, Disabled | 1.1.0 |
| SQL 数据库应已解决漏洞发现结果 | 监视漏洞评估扫描结果,并提供有关如何消除数据库漏洞的建议。 | AuditIfNotExists、Disabled | 4.1.0 |
| 更新防病毒软件定义 | CMA_0517 - 更新防病毒软件定义 | Manual, Disabled | 1.1.0 |
阻止或检测和解决恶意软件
ID:PCI DSS v4.0 5.2.3,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 应在虚拟机上启用漏洞评估解决方案 | 审核虚拟机以检测其是否正在运行受支持的漏洞评估解决方案。 每个网络风险和安全计划的核心部分都是识别和分析漏洞。 Azure 安全中心的标准定价层包括对虚拟机进行漏洞扫描,无需额外付费。 此外,安全中心可以自动为你部署此工具。 | AuditIfNotExists、Disabled | 3.0.0 |
| 阻止从 USB 运行的不受信任和未签名的进程 | CMA_0050 - 阻止从 USB 运行的不受信任和未签名的进程 | Manual、Disabled | 1.1.0 |
| 管理网关 | CMA_0363 - 管理网关 | Manual, Disabled | 1.1.0 |
| 对威胁执行趋势分析 | CMA_0389 - 对威胁执行趋势分析 | Manual, Disabled | 1.1.0 |
| 执行漏洞扫描 | CMA_0393 - 执行漏洞扫描 | Manual、Disabled | 1.1.0 |
| 每周查看恶意软件检测报告 | CMA_0475 - 每周查看恶意软件检测报告 | Manual, Disabled | 1.1.0 |
| 每周查看威胁防护状态 | CMA_0479 - 每周查看威胁防护状态 | Manual, Disabled | 1.1.0 |
| SQL 数据库应已解决漏洞发现结果 | 监视漏洞评估扫描结果,并提供有关如何消除数据库漏洞的建议。 | AuditIfNotExists、Disabled | 4.1.0 |
| 更新防病毒软件定义 | CMA_0517 - 更新防病毒软件定义 | Manual, Disabled | 1.1.0 |
阻止或检测和解决恶意软件
ID:PCI DSS v4.0 5.2.3.1,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 执行风险评估 | CMA_C1543 - 进行风险评估 | Manual, Disabled | 1.1.0 |
| 执行风险评估并记录其结果 | CMA_C1542 - 执行风险评估并记录其结果 | Manual, Disabled | 1.1.0 |
| 执行风险评估 | CMA_0388 - 执行风险评估 | Manual, Disabled | 1.1.0 |
反恶意软件机制和进程处于活动、维护和监视状态
ID:PCI DSS v4.0 5.3.1,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 阻止从 USB 运行的不受信任和未签名的进程 | CMA_0050 - 阻止从 USB 运行的不受信任和未签名的进程 | Manual、Disabled | 1.1.0 |
| 管理网关 | CMA_0363 - 管理网关 | Manual, Disabled | 1.1.0 |
| 对威胁执行趋势分析 | CMA_0389 - 对威胁执行趋势分析 | Manual, Disabled | 1.1.0 |
| 执行漏洞扫描 | CMA_0393 - 执行漏洞扫描 | Manual、Disabled | 1.1.0 |
| 每周查看恶意软件检测报告 | CMA_0475 - 每周查看恶意软件检测报告 | Manual、Disabled | 1.1.0 |
| 更新防病毒软件定义 | CMA_0517 - 更新防病毒软件定义 | Manual, Disabled | 1.1.0 |
反恶意软件机制和进程处于活动、维护和监视状态
ID:PCI DSS v4.0 5.3.3,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 阻止从 USB 运行的不受信任和未签名的进程 | CMA_0050 - 阻止从 USB 运行的不受信任和未签名的进程 | Manual、Disabled | 1.1.0 |
| 管理网关 | CMA_0363 - 管理网关 | Manual, Disabled | 1.1.0 |
| 对威胁执行趋势分析 | CMA_0389 - 对威胁执行趋势分析 | Manual, Disabled | 1.1.0 |
| 执行漏洞扫描 | CMA_0393 - 执行漏洞扫描 | Manual、Disabled | 1.1.0 |
| 每周查看恶意软件检测报告 | CMA_0475 - 每周查看恶意软件检测报告 | Manual, Disabled | 1.1.0 |
| 每周查看威胁防护状态 | CMA_0479 - 每周查看威胁防护状态 | Manual, Disabled | 1.1.0 |
| 更新防病毒软件定义 | CMA_0517 - 更新防病毒软件定义 | Manual, Disabled | 1.1.0 |
反恶意软件机制和进程处于活动、维护和监视状态
ID:PCI DSS v4.0 5.3.4,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 遵守已定义的保留期 | CMA_0004 - 遵守已定义的保留期 | Manual, Disabled | 1.1.0 |
| 确定可审核的事件 | CMA_0137 - 确定可审核的事件 | Manual, Disabled | 1.1.0 |
| 保留安全策略和过程 | CMA_0454 - 保留安全策略和过程 | Manual, Disabled | 1.1.0 |
| 保留终止的用户数据 | CMA_0455 - 保留终止的用户数据 | Manual, Disabled | 1.1.0 |
反恶意软件机制和进程处于活动、维护和监视状态
ID:PCI DSS v4.0 5.3.5,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 执行安全影响分析 | CMA_0057 - 执行安全影响分析 | Manual, Disabled | 1.1.0 |
| 制定和维护漏洞管理标准 | CMA_0152 - 制定和维护漏洞管理标准 | Manual、Disabled | 1.1.0 |
| 建立风险管理策略 | CMA_0258 - 建立风险管理策略 | Manual, Disabled | 1.1.0 |
| 建立并记录更改控制流程 | CMA_0265 - 建立并记录更改控制流程 | Manual, Disabled | 1.1.0 |
| 制定对开发人员的配置管理要求 | CMA_0270 - 制定对开发人员的配置管理要求 | Manual, Disabled | 1.1.0 |
| 执行隐私影响评估 | CMA_0387 - 执行隐私影响评估 | Manual, Disabled | 1.1.0 |
| 执行风险评估 | CMA_0388 - 执行风险评估 | Manual, Disabled | 1.1.0 |
| 对配置更改控制执行审核 | CMA_0390 - 对配置更改控制执行审核 | Manual, Disabled | 1.1.0 |
反钓鱼机制可保护用户免受钓鱼攻击
ID:PCI DSS v4.0 5.4.1,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 阻止从 USB 运行的不受信任和未签名的进程 | CMA_0050 - 阻止从 USB 运行的不受信任和未签名的进程 | Manual、Disabled | 1.1.0 |
| 管理网关 | CMA_0363 - 管理网关 | Manual, Disabled | 1.1.0 |
| 对威胁执行趋势分析 | CMA_0389 - 对威胁执行趋势分析 | Manual, Disabled | 1.1.0 |
| 执行漏洞扫描 | CMA_0393 - 执行漏洞扫描 | Manual、Disabled | 1.1.0 |
| 每周查看恶意软件检测报告 | CMA_0475 - 每周查看恶意软件检测报告 | Manual, Disabled | 1.1.0 |
| 每周查看威胁防护状态 | CMA_0479 - 每周查看威胁防护状态 | Manual, Disabled | 1.1.0 |
| 更新防病毒软件定义 | CMA_0517 - 更新防病毒软件定义 | Manual, Disabled | 1.1.0 |
要求 06:开发和维护安全系统及软件
定义和了解适用于开发和维护安全系统及软件的过程和机制
ID:PCI DSS v4.0 6.1.1,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 审阅和更新配置管理策略和过程 | CMA_C1175 - 审阅和更新配置管理策略和过程 | Manual, Disabled | 1.1.0 |
| 审阅和更新系统和服务采购政策和过程 | CMA_C1560 - 审阅和更新系统和服务采购政策和过程 | Manual, Disabled | 1.1.0 |
以安全方式开发 Bespoke 和自定义软件
ID:PCI DSS v4.0 6.2.2,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 定期提供基于角色的安全培训 | CMA_C1095 - 定期提供基于角色的安全培训 | Manual、Disabled | 1.1.0 |
| 在提供访问权限之前提供安全培训 | CMA_0418 - 在提供访问权限之前提供安全培训 | Manual, Disabled | 1.1.0 |
以安全方式开发 Bespoke 和自定义软件
ID:PCI DSS v4.0 6.2.3.1,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 分离个人职责 | CMA_0492 - 分离个人职责 | Manual, Disabled | 1.1.0 |
以安全方式开发 Bespoke 和自定义软件
ID:PCI DSS v4.0 6.2.4,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 只应通过 HTTPS 访问应用服务应用 | 使用 HTTPS 可确保执行服务器/服务身份验证服务,并保护传输中的数据不受网络层窃听攻击威胁。 | 审核、已禁用、拒绝 | 4.0.0 |
| 自动化帐户变量应加密 | 存储敏感数据时,请务必启用自动化帐户变量资产加密 | Audit、Deny、Disabled | 1.1.0 |
| 只应通过 HTTPS 访问函数应用 | 使用 HTTPS 可确保执行服务器/服务身份验证服务,并保护传输中的数据不受网络层窃听攻击威胁。 | Audit、Disabled、Deny | 5.0.0 |
| 只能与 Azure Cache for Redis 建立安全连接 | 审核确认启用仅通过 SSL 来与 Azure Cache for Redis 建立连接。 使用安全连接可确保服务器和服务之间的身份验证并保护传输中的数据免受中间人攻击、窃听攻击和会话劫持等网络层攻击 | Audit、Deny、Disabled | 1.0.0 |
| 应启用安全传输到存储帐户 | 审核存储帐户中安全传输的要求。 安全传输选项会强制存储帐户仅接受来自安全连接 (HTTPS) 的请求。 使用 HTTPS 可确保服务器和服务之间的身份验证并保护传输中的数据免受中间人攻击、窃听和会话劫持等网络层攻击 | Audit, Deny, Disabled | 2.0.0 |
| Service Fabric 群集应将 ClusterProtectionLevel 属性设置为 EncryptAndSign | Service Fabric 使用主要群集证书为节点之间的通信提供三个保护级别(None、Sign 和 EncryptAndSign)。 设置保护级别以确保所有节点到节点消息均已进行加密和数字签名 | Audit, Deny, Disabled | 1.1.0 |
| 应在 SQL 数据库上启用透明数据加密 | 应启用透明数据加密以保护静态数据并满足合规性要求 | AuditIfNotExists、Disabled | 2.0.0 |
识别并解决安全漏洞
ID:PCI DSS v4.0 6.3.1,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 向人员传播安全警报 | CMA_C1705 - 向人员传播安全警报 | Manual, Disabled | 1.1.0 |
| 制定威胁情报计划 | CMA_0260 - 制定威胁情报计划 | Manual、Disabled | 1.1.0 |
| 实施安全指令 | CMA_C1706 - 实施安全指令 | Manual, Disabled | 1.1.0 |
| 修正信息系统缺陷 | CMA_0427 - 修正信息系统缺陷 | Manual, Disabled | 1.1.0 |
识别并解决安全漏洞
ID:PCI DSS v4.0 6.3.2,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 获取管理员文档 | CMA_C1580 - 获取管理员文档 | Manual, Disabled | 1.1.0 |
识别并解决安全漏洞
ID:PCI DSS v4.0 6.3.3,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 应在虚拟机上启用漏洞评估解决方案 | 审核虚拟机以检测其是否正在运行受支持的漏洞评估解决方案。 每个网络风险和安全计划的核心部分都是识别和分析漏洞。 Azure 安全中心的标准定价层包括对虚拟机进行漏洞扫描,无需额外付费。 此外,安全中心可以自动为你部署此工具。 | AuditIfNotExists、Disabled | 3.0.0 |
| SQL 数据库的漏洞发现问题应已解决 | 监视漏洞评估扫描结果,并提供有关如何消除数据库漏洞的建议。 | AuditIfNotExists、Disabled | 4.1.0 |
保护面向公众的 Web 应用程序免受攻击
ID:PCI DSS v4.0 6.4.1,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 应在虚拟机上启用漏洞评估解决方案 | 审核虚拟机以检测其是否正在运行受支持的漏洞评估解决方案。 每个网络风险和安全计划的核心部分都是识别和分析漏洞。 Azure 安全中心的标准定价层包括对虚拟机进行漏洞扫描,无需额外付费。 此外,安全中心可以自动为你部署此工具。 | AuditIfNotExists、Disabled | 3.0.0 |
| 执行漏洞扫描 | CMA_0393 - 执行漏洞扫描 | Manual, Disabled | 1.1.0 |
| 修正信息系统缺陷 | CMA_0427 - 修正信息系统缺陷 | Manual、Disabled | 1.1.0 |
| SQL 数据库应已解决漏洞发现结果 | 监视漏洞评估扫描结果,并提供有关如何消除数据库漏洞的建议。 | AuditIfNotExists、Disabled | 4.1.0 |
保护面向公众的 Web 应用程序免受攻击
ID:PCI DSS v4.0 6.4.3,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 验证软件、固件和信息完整性 | CMA_0542 - 验证软件、固件和信息完整性 | Manual, Disabled | 1.1.0 |
| 审阅并配置系统诊断数据 | CMA_0544 - 审阅并配置系统诊断数据 | Manual, Disabled | 1.1.0 |
安全管理对所有系统组件进行的更改
ID:PCI DSS v4.0 6.5.1,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 执行安全影响分析 | CMA_0057 - 执行安全影响分析 | Manual, Disabled | 1.1.0 |
| 制定和维护漏洞管理标准 | CMA_0152 - 制定和维护漏洞管理标准 | Manual、Disabled | 1.1.0 |
| 建立风险管理策略 | CMA_0258 - 建立风险管理策略 | Manual, Disabled | 1.1.0 |
| 建立并记录更改控制流程 | CMA_0265 - 建立并记录更改控制流程 | Manual, Disabled | 1.1.0 |
| 制定对开发人员的配置管理要求 | CMA_0270 - 制定对开发人员的配置管理要求 | Manual, Disabled | 1.1.0 |
| 执行隐私影响评估 | CMA_0387 - 执行隐私影响评估 | Manual, Disabled | 1.1.0 |
| 执行风险评估 | CMA_0388 - 执行风险评估 | Manual, Disabled | 1.1.0 |
| 对配置更改控制执行审核 | CMA_0390 - 对配置更改控制执行审核 | Manual, Disabled | 1.1.0 |
安全管理对所有系统组件进行的更改
ID:PCI DSS v4.0 6.5.2,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 要求开发人员管理更改完整性 | CMA_C1595 - 要求开发人员管理更改完整性 | Manual, Disabled | 1.1.0 |
安全管理对所有系统组件进行的更改
ID:PCI DSS v4.0 6.5.3,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 执行安全影响分析 | CMA_0057 - 执行安全影响分析 | Manual, Disabled | 1.1.0 |
| 建立并记录更改控制流程 | CMA_0265 - 建立并记录更改控制流程 | Manual, Disabled | 1.1.0 |
| 制定对开发人员的配置管理要求 | CMA_0270 - 制定对开发人员的配置管理要求 | Manual, Disabled | 1.1.0 |
| 限制在生产环境中进行更改的特权 | CMA_C1206 - 限制在生产环境中进行更改的特权 | Manual、Disabled | 1.1.0 |
| 执行隐私影响评估 | CMA_0387 - 执行隐私影响评估 | Manual, Disabled | 1.1.0 |
| 对配置更改控制执行审核 | CMA_0390 - 对配置更改控制执行审核 | Manual, Disabled | 1.1.0 |
安全管理对所有系统组件进行的更改
ID:PCI DSS v4.0 6.5.4,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 执行安全影响分析 | CMA_0057 - 执行安全影响分析 | Manual, Disabled | 1.1.0 |
| 建立并记录更改控制流程 | CMA_0265 - 建立并记录更改控制流程 | Manual, Disabled | 1.1.0 |
| 制定对开发人员的配置管理要求 | CMA_0270 - 制定对开发人员的配置管理要求 | Manual, Disabled | 1.1.0 |
| 限制在生产环境中进行更改的特权 | CMA_C1206 - 限制在生产环境中进行更改的特权 | Manual、Disabled | 1.1.0 |
| 执行隐私影响评估 | CMA_0387 - 执行隐私影响评估 | Manual, Disabled | 1.1.0 |
| 对配置更改控制执行审核 | CMA_0390 - 对配置更改控制执行审核 | Manual, Disabled | 1.1.0 |
安全管理对所有系统组件进行的更改
ID:PCI DSS v4.0 6.5.5,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 在研究处理中纳入安全和数据隐私做法 | CMA_0331 - 在研究处理中纳入安全和数据隐私做法 | Manual, Disabled | 1.1.0 |
安全管理对所有系统组件进行的更改
ID:PCI DSS v4.0 6.5.6,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 执行安全影响分析 | CMA_0057 - 执行安全影响分析 | Manual, Disabled | 1.1.0 |
| 建立并记录更改控制流程 | CMA_0265 - 建立并记录更改控制流程 | Manual, Disabled | 1.1.0 |
| 制定对开发人员的配置管理要求 | CMA_0270 - 制定对开发人员的配置管理要求 | Manual, Disabled | 1.1.0 |
| 执行隐私影响评估 | CMA_0387 - 执行隐私影响评估 | Manual, Disabled | 1.1.0 |
| 对配置更改控制执行审核 | CMA_0390 - 对配置更改控制执行审核 | Manual, Disabled | 1.1.0 |
要求 07:按业务须知限制访问系统组件和持卡人数据
定义和了解按业务须知限制访问系统组件和持卡人数据的流程和机制
ID:PCI DSS v4.0 7.1.1,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 制定访问控制策略和过程 | CMA_0144 - 制定访问控制策略和过程 | Manual, Disabled | 1.1.0 |
| 强制实施强制和自主访问控制策略 | CMA_0246 - 强制实施强制和自主访问控制策略 | Manual, Disabled | 1.1.0 |
| 治理策略和过程 | CMA_0292 - 治理策略和过程 | Manual, Disabled | 1.1.0 |
| 评审访问控制策略和过程 | CMA_0457 - 评审访问控制策略和过程 | Manual, Disabled | 1.1.0 |
定义和了解按业务须知限制访问系统组件和持卡人数据的流程和机制
ID:PCI DSS v4.0 7.1.2,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 制定访问控制策略和过程 | CMA_0144 - 制定访问控制策略和过程 | Manual, Disabled | 1.1.0 |
| 强制实施强制和自主访问控制策略 | CMA_0246 - 强制实施强制和自主访问控制策略 | Manual, Disabled | 1.1.0 |
| 治理策略和过程 | CMA_0292 - 治理策略和过程 | Manual, Disabled | 1.1.0 |
适当定义和分配对系统组件和数据的访问权限
ID:PCI DSS v4.0 7.2.1,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 只多只为订阅指定 3 个所有者 | 建议最多指定 3 个订阅所有者,以减少可能出现的已遭入侵的所有者做出的违规行为。 | AuditIfNotExists、Disabled | 3.0.0 |
| 授权访问安全功能和信息 | CMA_0022 - 授权访问安全功能和信息 | Manual, Disabled | 1.1.0 |
| 授权和管理访问权限 | CMA_0023 - 授权和管理访问权限 | Manual, Disabled | 1.1.0 |
| 设计访问控制模型 | CMA_0129 - 设计访问控制模型 | Manual, Disabled | 1.1.0 |
| 采用最小特权访问 | CMA_0212 - 采用最小特权访问 | Manual, Disabled | 1.1.0 |
| 强制执行逻辑访问 | CMA_0245 - 强制执行逻辑访问 | Manual, Disabled | 1.1.0 |
| 强制实施强制和自主访问控制策略 | CMA_0246 - 强制实施强制和自主访问控制策略 | Manual, Disabled | 1.1.0 |
| 需要批准才能创建帐户 | CMA_0431 - 需要批准才能创建帐户 | Manual, Disabled | 1.1.0 |
| 审查有权访问敏感数据的用户组和应用程序 | CMA_0481 - 审查有权访问敏感数据的用户组和应用程序 | Manual, Disabled | 1.1.0 |
| 应为订阅分配多个所有者 | 建议指定多个订阅所有者,这样才会有管理员访问冗余。 | AuditIfNotExists、Disabled | 3.0.0 |
适当定义和分配对系统组件和数据的访问权限
ID:PCI DSS v4.0 7.2.2,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 只多只为订阅指定 3 个所有者 | 建议最多指定 3 个订阅所有者,以减少可能出现的已遭入侵的所有者做出的违规行为。 | AuditIfNotExists、Disabled | 3.0.0 |
| 授权访问安全功能和信息 | CMA_0022 - 授权访问安全功能和信息 | Manual, Disabled | 1.1.0 |
| 授权和管理访问权限 | CMA_0023 - 授权和管理访问权限 | Manual, Disabled | 1.1.0 |
| 设计访问控制模型 | CMA_0129 - 设计访问控制模型 | Manual, Disabled | 1.1.0 |
| 采用最小特权访问 | CMA_0212 - 采用最小特权访问 | Manual, Disabled | 1.1.0 |
| 强制实施强制和自主访问控制策略 | CMA_0246 - 强制实施强制和自主访问控制策略 | Manual, Disabled | 1.1.0 |
| 应为订阅分配多个所有者 | 建议指定多个订阅所有者,这样才会有管理员访问冗余。 | AuditIfNotExists、Disabled | 3.0.0 |
适当定义和分配对系统组件和数据的访问权限
ID:PCI DSS v4.0 7.2.3,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 授权访问安全功能和信息 | CMA_0022 - 授权访问安全功能和信息 | Manual, Disabled | 1.1.0 |
| 授权和管理访问权限 | CMA_0023 - 授权和管理访问权限 | Manual, Disabled | 1.1.0 |
| 设计访问控制模型 | CMA_0129 - 设计访问控制模型 | Manual, Disabled | 1.1.0 |
| 采用最小特权访问 | CMA_0212 - 采用最小特权访问 | Manual, Disabled | 1.1.0 |
| 强制执行逻辑访问 | CMA_0245 - 强制执行逻辑访问 | Manual, Disabled | 1.1.0 |
| 强制实施强制和自主访问控制策略 | CMA_0246 - 强制实施强制和自主访问控制策略 | Manual, Disabled | 1.1.0 |
| 需要批准才能创建帐户 | CMA_0431 - 需要批准才能创建帐户 | Manual, Disabled | 1.1.0 |
| 审查有权访问敏感数据的用户组和应用程序 | CMA_0481 - 审查有权访问敏感数据的用户组和应用程序 | Manual, Disabled | 1.1.0 |
适当定义和分配对系统组件和数据的访问权限
ID:PCI DSS v4.0 7.2.4,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 审核用户帐户状态 | CMA_0020 - 审核用户帐户状态 | Manual, Disabled | 1.1.0 |
| 审阅帐户预配日志 | CMA_0460 -审阅帐户预配日志 | Manual, Disabled | 1.1.0 |
| 审查用户帐户 | CMA_0480 - 审查用户帐户 | Manual, Disabled | 1.1.0 |
| 审阅用户权限 | CMA_C1039 - 审阅用户权限 | Manual, Disabled | 1.1.0 |
适当定义和分配对系统组件和数据的访问权限
ID:PCI DSS v4.0 7.2.5,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 定义信息系统帐户类型 | CMA_0121 - 定义信息系统帐户类型 | Manual, Disabled | 1.1.0 |
适当定义和分配对系统组件和数据的访问权限
ID:PCI DSS v4.0 7.2.5.1,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 监视帐户活动 | CMA_0377 - 监视帐户活动 | Manual, Disabled | 1.1.0 |
适当定义和分配对系统组件和数据的访问权限
ID:PCI DSS v4.0 7.2.6,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 授权访问安全功能和信息 | CMA_0022 - 授权访问安全功能和信息 | Manual, Disabled | 1.1.0 |
| 授权和管理访问权限 | CMA_0023 - 授权和管理访问权限 | Manual, Disabled | 1.1.0 |
| 设计访问控制模型 | CMA_0129 - 设计访问控制模型 | Manual, Disabled | 1.1.0 |
| 采用最小特权访问 | CMA_0212 - 采用最小特权访问 | Manual, Disabled | 1.1.0 |
| 强制执行逻辑访问 | CMA_0245 - 强制执行逻辑访问 | Manual, Disabled | 1.1.0 |
| 强制实施强制和自主访问控制策略 | CMA_0246 - 强制实施强制和自主访问控制策略 | Manual, Disabled | 1.1.0 |
| 需要批准才能创建帐户 | CMA_0431 - 需要批准才能创建帐户 | Manual, Disabled | 1.1.0 |
| 审查有权访问敏感数据的用户组和应用程序 | CMA_0481 - 审查有权访问敏感数据的用户组和应用程序 | Manual, Disabled | 1.1.0 |
通过访问控制系统管理对系统组件和数据的访问
ID:PCI DSS v4.0 7.3.1,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 应为 SQL Server 预配 Azure Active Directory 管理员 | 审核确认已为 SQL Server 预配了 Azure Active Directory 管理员以启用 Azure AD 身份验证。 使用 Azure AD 身份验证可以简化权限管理,以及集中化数据库用户和其他 Microsoft 服务的标识管理 | AuditIfNotExists、Disabled | 1.0.0 |
| 审核自定义 RBAC 角色的使用情况 | 审核“所有者、参与者、读者”等内置角色而不是容易出错的自定义 RBAC 角色。 使用自定义角色被视为例外,需要进行严格的审查和威胁建模 | Audit、Disabled | 1.0.1 |
| 授权访问安全性函数和信息 | CMA_0022 - 授权访问安全功能和信息 | Manual, Disabled | 1.1.0 |
| 授权和管理访问权限 | CMA_0023 - 授权和管理访问权限 | Manual, Disabled | 1.1.0 |
| 自动执行帐户管理 | CMA_0026 - 自动执行帐户管理 | Manual, Disabled | 1.1.0 |
| 强制执行逻辑访问 | CMA_0245 - 强制执行逻辑访问 | Manual, Disabled | 1.1.0 |
| 强制实施强制和自主访问控制策略 | CMA_0246 - 强制实施强制和自主访问控制策略 | Manual, Disabled | 1.1.0 |
| 应移除对 Azure 资源具有所有者权限的来宾帐户 | 为了防止发生未受监视的访问,应从订阅中删除拥有所有者权限的外部帐户。 | AuditIfNotExists、Disabled | 1.0.0 |
| 应删除对 Azure 资源拥有读取权限的来宾帐户 | 应从订阅中删除拥有读取特权的外部帐户,以防发生未受监视的访问。 | AuditIfNotExists、Disabled | 1.0.0 |
| 应删除对 Azure 资源拥有写入权限的来宾帐户 | 应从订阅中删除拥有写入特权的外部帐户,以防发生未受监视的访问。 | AuditIfNotExists、Disabled | 1.0.0 |
| 管理系统和管理员帐户 | CMA_0368 - 管理系统和管理员帐户 | Manual, Disabled | 1.1.0 |
| 监视整个组织的访问权限 | CMA_0376 - 监视整个组织的访问权限 | Manual, Disabled | 1.1.0 |
| 当不需要帐户时通知 | CMA_0383 - 当不需要帐户时通知 | Manual, Disabled | 1.1.0 |
| 需要批准才能创建帐户 | CMA_0431 - 需要批准才能创建帐户 | Manual, Disabled | 1.1.0 |
| 审查有权访问敏感数据的用户组和应用程序 | CMA_0481 - 审查有权访问敏感数据的用户组和应用程序 | Manual, Disabled | 1.1.0 |
通过访问控制系统管理对系统组件和数据的访问
ID:PCI DSS v4.0 7.3.2,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 授权访问安全功能和信息 | CMA_0022 - 授权访问安全功能和信息 | Manual, Disabled | 1.1.0 |
| 授权和管理访问权限 | CMA_0023 - 授权和管理访问权限 | Manual, Disabled | 1.1.0 |
| 自动执行帐户管理 | CMA_0026 - 自动执行帐户管理 | Manual, Disabled | 1.1.0 |
| 强制执行逻辑访问 | CMA_0245 - 强制执行逻辑访问 | Manual, Disabled | 1.1.0 |
| 强制实施强制和自主访问控制策略 | CMA_0246 - 强制实施强制和自主访问控制策略 | Manual, Disabled | 1.1.0 |
| 管理系统和管理员帐户 | CMA_0368 - 管理系统和管理员帐户 | Manual, Disabled | 1.1.0 |
| 监视整个组织的访问权限 | CMA_0376 - 监视整个组织的访问权限 | Manual, Disabled | 1.1.0 |
| 当不需要帐户时通知 | CMA_0383 - 当不需要帐户时通知 | Manual, Disabled | 1.1.0 |
| 需要批准才能创建帐户 | CMA_0431 - 需要批准才能创建帐户 | Manual, Disabled | 1.1.0 |
| 审查有权访问敏感数据的用户组和应用程序 | CMA_0481 - 审查有权访问敏感数据的用户组和应用程序 | Manual, Disabled | 1.1.0 |
通过访问控制系统管理对系统组件和数据的访问
ID:PCI DSS v4.0 7.3.3,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 授权访问安全功能和信息 | CMA_0022 - 授权访问安全功能和信息 | Manual, Disabled | 1.1.0 |
| 授权和管理访问权限 | CMA_0023 - 授权和管理访问权限 | Manual, Disabled | 1.1.0 |
| 强制执行逻辑访问 | CMA_0245 - 强制执行逻辑访问 | Manual, Disabled | 1.1.0 |
| 强制实施强制和自主访问控制策略 | CMA_0246 - 强制实施强制和自主访问控制策略 | Manual, Disabled | 1.1.0 |
| 需要批准才能创建帐户 | CMA_0431 - 需要批准才能创建帐户 | Manual, Disabled | 1.1.0 |
| 审查有权访问敏感数据的用户组和应用程序 | CMA_0481 - 审查有权访问敏感数据的用户组和应用程序 | Manual, Disabled | 1.1.0 |
要求 08:标识用户并对系统组件的访问进行身份验证
定义和了解适用于识别用户和对系统组件的访问进行身份验证的过程和机制
ID:PCI DSS v4.0 8.1.1,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 审阅和更新标识以及身份验证策略和过程 | CMA_C1299 - 审阅和更新标识以及身份验证策略和过程 | Manual, Disabled | 1.1.0 |
用户和管理员的用户标识和相关帐户在整个帐户生命周期中受到严格管理
ID:PCI DSS v4.0 8.2.1,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 分配系统标识符 | CMA_0018 - 分配系统标识符 | Manual, Disabled | 1.1.0 |
| 强制执行用户唯一性 | CMA_0250 - 强制执行用户唯一性 | Manual, Disabled | 1.1.0 |
| 支持合法机构颁发的个人验证凭据 | CMA_0507 - 支持合法机构颁发的个人验证凭据 | Manual, Disabled | 1.1.0 |
用户和管理员的用户标识和相关帐户在整个帐户生命周期中受到严格管理
ID:PCI DSS v4.0 8.2.2,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 定义并强制执行共享帐户和组帐户的条件 | CMA_0117 - 定义并强制执行共享帐户和组帐户的条件 | Manual, Disabled | 1.1.0 |
| 重新颁发用于已更改的组和帐户的验证器 | CMA_0426 - 重新颁发用于已更改的组和帐户的验证器 | Manual, Disabled | 1.1.0 |
| 需要使用单个验证器 | CMA_C1305 - 需要使用单个验证器 | Manual, Disabled | 1.1.0 |
| 终止客户控制的帐户凭据 | CMA_C1022 - 终止客户控制的帐户凭据 | Manual, Disabled | 1.1.0 |
用户和管理员的用户标识和相关帐户在整个帐户生命周期中受到严格管理
ID:PCI DSS v4.0 8.2.3,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 采用生物识别身份验证机制 | CMA_0005 - 采用生物识别身份验证机制 | Manual、Disabled | 1.1.0 |
| 标识并验证网络设备 | CMA_0296 - 标识并验证网络设备 | Manual, Disabled | 1.1.0 |
| 满足令牌质量要求 | CMA_0487 - 满足令牌质量要求 | Manual, Disabled | 1.1.0 |
用户和管理员的用户标识和相关帐户在整个帐户生命周期中受到严格管理
ID:PCI DSS v4.0 8.2.4,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 分配系统标识符 | CMA_0018 - 分配系统标识符 | Manual, Disabled | 1.1.0 |
| 应移除对 Azure 资源拥有所有者权限的被阻止帐户 | 应从订阅中移除拥有所有者权限的已弃用帐户。 已弃用帐户是已阻止登录的帐户。 | AuditIfNotExists、Disabled | 1.0.0 |
| 应移除对 Azure 资源拥有读取和写入权限的已封锁帐户 | 应从订阅中移除已弃用帐户。 已弃用帐户是已阻止登录的帐户。 | AuditIfNotExists、Disabled | 1.0.0 |
| 应删除对 Azure 资源拥有所有者权限的来宾帐户 | 为了防止发生未受监视的访问,应从订阅中删除拥有所有者权限的外部帐户。 | AuditIfNotExists、Disabled | 1.0.0 |
| 应删除对 Azure 资源拥有读取权限的来宾帐户 | 应从订阅中删除拥有读取特权的外部帐户,以防发生未受监视的访问。 | AuditIfNotExists、Disabled | 1.0.0 |
| 应删除对 Azure 资源拥有写入权限的来宾帐户 | 应从订阅中删除拥有写入特权的外部帐户,以防发生未受监视的访问。 | AuditIfNotExists、Disabled | 1.0.0 |
| 需要批准才能创建帐户 | CMA_0431 - 需要批准才能创建帐户 | Manual, Disabled | 1.1.0 |
用户和管理员的用户标识和相关帐户在整个帐户生命周期中受到严格管理
ID:PCI DSS v4.0 8.2.5,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 应删除对 Azure 资源拥有所有者权限的已封锁帐户 | 应从订阅中移除拥有所有者权限的已弃用帐户。 已弃用帐户是已阻止登录的帐户。 | AuditIfNotExists、Disabled | 1.0.0 |
| 应移除对 Azure 资源拥有读取和写入权限的已封锁帐户 | 应从订阅中移除已弃用帐户。 已弃用帐户是已阻止登录的帐户。 | AuditIfNotExists、Disabled | 1.0.0 |
用户和管理员的用户标识和相关帐户在整个帐户生命周期中受到严格管理
ID:PCI DSS v4.0 8.2.6,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 离职后禁用验证器 | CMA_0169 - 离职后禁用验证器 | Manual, Disabled | 1.1.0 |
| 根据需要撤销特权角色 | CMA_0483 - 根据需要撤销特权角色 | Manual, Disabled | 1.1.0 |
用户和管理员的用户标识和相关帐户在整个帐户生命周期中受到严格管理
ID:PCI DSS v4.0 8.2.7,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 应删除对 Azure 资源拥有所有者权限的已封锁帐户 | 应从订阅中移除拥有所有者权限的已弃用帐户。 已弃用帐户是已阻止登录的帐户。 | AuditIfNotExists、Disabled | 1.0.0 |
| 应移除对 Azure 资源拥有读取和写入权限的已封锁帐户 | 应从订阅中移除已弃用帐户。 已弃用帐户是已阻止登录的帐户。 | AuditIfNotExists、Disabled | 1.0.0 |
| 应删除对 Azure 资源拥有所有者权限的来宾帐户 | 为了防止发生未受监视的访问,应从订阅中删除拥有所有者权限的外部帐户。 | AuditIfNotExists、Disabled | 1.0.0 |
| 应删除对 Azure 资源拥有读取权限的来宾帐户 | 应从订阅中删除拥有读取特权的外部帐户,以防发生未受监视的访问。 | AuditIfNotExists、Disabled | 1.0.0 |
| 应删除对 Azure 资源拥有写入权限的来宾帐户 | 应从订阅中删除拥有写入特权的外部帐户,以防发生未受监视的访问。 | AuditIfNotExists、Disabled | 1.0.0 |
| 识别非组织用户并对其进行身份验证 | CMA_C1346 - 识别非组织用户并对其进行身份验证 | Manual, Disabled | 1.1.0 |
用户和管理员的用户标识和相关帐户在整个帐户生命周期中受到严格管理
ID:PCI DSS v4.0 8.2.8,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 定义和强制实施非活动日志策略 | CMA_C1017 - 定义和强制实施非活动日志策略 | Manual, Disabled | 1.1.0 |
| 自动终止用户会话 | CMA_C1054 - 自动终止用户会话 | Manual, Disabled | 1.1.0 |
建立并管理针对用户和管理员的强身份验证
ID:PCI DSS v4.0 8.3.1,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 采用生物识别身份验证机制 | CMA_0005 - 采用生物识别身份验证机制 | Manual, Disabled | 1.1.0 |
| 制定验证器类型和进程 | CMA_0267 - 制定验证器类型和流程 | Manual, Disabled | 1.1.0 |
| 标识并验证网络设备 | CMA_0296 - 标识并验证网络设备 | Manual, Disabled | 1.1.0 |
| 满足令牌质量要求 | CMA_0487 - 满足令牌质量要求 | Manual, Disabled | 1.1.0 |
建立并管理针对用户和管理员的强身份验证
ID:PCI DSS v4.0 8.3.10,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 管理验证器生存期并重用 | CMA_0355 - 管理验证器生存期并重用 | Manual, Disabled | 1.1.0 |
| 刷新验证器 | CMA_0425 - 刷新验证器 | Manual, Disabled | 1.1.0 |
建立并管理针对用户和管理员的强身份验证
ID:PCI DSS v4.0 8.3.10.1,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 管理验证器生存期并重用 | CMA_0355 - 管理验证器生存期并重用 | Manual, Disabled | 1.1.0 |
| 刷新验证器 | CMA_0425 - 刷新验证器 | Manual, Disabled | 1.1.0 |
建立并管理针对用户和管理员的强身份验证
ID:PCI DSS v4.0 8.3.11,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 采用生物识别身份验证机制 | CMA_0005 - 采用生物识别身份验证机制 | Manual, Disabled | 1.1.0 |
| 分配验证器 | CMA_0184 - 分配验证器 | Manual, Disabled | 1.1.0 |
| 制定验证器类型和进程 | CMA_0267 - 制定验证器类型和流程 | Manual, Disabled | 1.1.0 |
| 标识并验证网络设备 | CMA_0296 - 标识并验证网络设备 | Manual, Disabled | 1.1.0 |
| 满足令牌质量要求 | CMA_0487 - 满足令牌质量要求 | Manual, Disabled | 1.1.0 |
| 在分发验证器之前验证标识 | CMA_0538 - 在分发验证器之前验证标识 | Manual, Disabled | 1.1.0 |
建立并管理针对用户和管理员的强身份验证
ID:PCI DSS v4.0 8.3.2,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 确保授权用户保护所提供的身份验证器 | CMA_C1339 - 确保授权用户保护所提供的身份验证器 | Manual、Disabled | 1.1.0 |
| 使用加密保护密码 | CMA_0408 - 使用加密保护密码 | Manual, Disabled | 1.1.0 |
建立并管理针对用户和管理员的强身份验证
ID:PCI DSS v4.0 8.3.4,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 强制限制连续失败的登录尝试次数 | CMA_C1044 - 强制限制连续失败的登录尝试次数 | Manual, Disabled | 1.1.0 |
建立并管理针对用户和管理员的强身份验证
ID:PCI DSS v4.0 8.3.5,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 制定验证器类型和进程 | CMA_0267 - 制定验证器类型和流程 | Manual, Disabled | 1.1.0 |
建立并管理针对用户和管理员的强身份验证
ID:PCI DSS v4.0 8.3.6,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 添加系统分配的托管标识,以在没有标识的虚拟机上启用来宾配置分配 | 此策略将系统分配的托管标识添加到托管在 Azure 中的虚拟机,这些虚拟机受来宾配置支持,但没有任何托管标识。 系统分配的托管标识是所有来宾配置分配的先决条件,在使用任何来宾配置策略定义之前必须被添加到计算机。 有关来宾配置的详细信息,请访问 https://aka.ms/gcpol。 | 修改 | 4.1.0 |
| 添加系统分配的托管标识,以在具有用户分配的标识的 VM 上启用来宾配置分配 | 此策略将系统分配的托管标识添加到托管在 Azure 中的虚拟机,这些虚拟机受来宾配置支持、至少有一个用户分配的标识,但没有系统分配的托管标识。 系统分配的托管标识是所有来宾配置分配的先决条件,在使用任何来宾配置策略定义之前必须被添加到计算机。 有关来宾配置的详细信息,请访问 https://aka.ms/gcpol。 | 修改 | 4.1.0 |
| 审核允许在指定数量的唯一密码后重新使用相同密码的 Windows 计算机 | 要求将先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol。 如果 Windows 计算机允许在指定数量的唯一密码后重新使用密码,则这些计算机是不合规的。 唯一密码的默认值为 24 | AuditIfNotExists、Disabled | 2.1.0 |
| 审核未将最长密码期限设置为指定天数的 Windows 计算机 | 要求将先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol。 如果 Windows 计算机未将最长密码期限设置为指定天数,则这些计算机是不合规的。 最长密码期限的默认值为 70 天 | AuditIfNotExists、Disabled | 2.1.0 |
| 审核未将最短密码长度限制为特定字符数的 Windows 计算机 | 要求将先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol。 如果 Windows 计算机没有将最短密码长度限制为特定字符数,则这些计算机是不合规的。 密码最短长度的默认值为 14 个字符 | AuditIfNotExists, Disabled | 2.1.0 |
| 部署 Windows 来宾配置扩展以在 Windows VM 上启用来宾配置分配 | 此策略将 Windows 来宾配置扩展部署到托管在 Azure 中受来宾配置支持的 Windows 虚拟机。 Windows 来宾配置扩展是所有 Windows 来宾配置分配的先决条件,在使用任何 Windows 来宾配置策略定义之前必须将其部署到计算机。 有关来宾配置的详细信息,请访问 https://aka.ms/gcpol。 | deployIfNotExists | 1.3.0 |
| 记录收购合同中的安全强度要求 | CMA_0203 - 记录收购合同中的安全强度要求 | Manual, Disabled | 1.1.0 |
| 制定密码策略 | CMA_0256 - 制定密码策略 | Manual、Disabled | 1.1.0 |
| 实现记住的机密验证工具的参数 | CMA_0321 - 实现记住的机密验证工具的参数 | Manual, Disabled | 1.1.0 |
建立并管理针对用户和管理员的强身份验证
ID:PCI DSS v4.0 8.3.8,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 实施验证器保护培训 | CMA_0329 - 实施验证器保护培训 | Manual, Disabled | 1.1.0 |
建立并管理针对用户和管理员的强身份验证
ID:PCI DSS v4.0 8.3.9,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 管理验证器生存期并重用 | CMA_0355 - 管理验证器生存期并重用 | Manual, Disabled | 1.1.0 |
| 刷新验证器 | CMA_0425 - 刷新验证器 | Manual, Disabled | 1.1.0 |
实现多重身份验证 (MFA) 以保护对 CDE 的访问
ID:PCI DSS v4.0 8.4.1,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 采用生物识别身份验证机制 | CMA_0005 - 采用生物识别身份验证机制 | Manual, Disabled | 1.1.0 |
| 应该为 SQL 服务器预配 Azure Active Directory 管理员 | 审核确认已为 SQL Server 预配了 Azure Active Directory 管理员以启用 Azure AD 身份验证。 使用 Azure AD 身份验证可以简化权限管理,以及集中化数据库用户和其他 Microsoft 服务的标识管理 | AuditIfNotExists、Disabled | 1.0.0 |
| 审核自定义 RBAC 角色的使用情况 | 审核“所有者、参与者、读者”等内置角色而不是容易出错的自定义 RBAC 角色。 使用自定义角色被视为例外,需要进行严格的审查和威胁建模 | Audit、Disabled | 1.0.1 |
| 应删除对 Azure 资源拥有所有者权限的来宾帐户 | 为了防止发生未受监视的访问,应从订阅中删除拥有所有者权限的外部帐户。 | AuditIfNotExists、Disabled | 1.0.0 |
| 应删除对 Azure 资源拥有读取权限的来宾帐户 | 应从订阅中删除拥有读取特权的外部帐户,以防发生未受监视的访问。 | AuditIfNotExists、Disabled | 1.0.0 |
| 应删除对 Azure 资源拥有写入权限的来宾帐户 | 应从订阅中删除拥有写入特权的外部帐户,以防发生未受监视的访问。 | AuditIfNotExists、Disabled | 1.0.0 |
实现多重身份验证 (MFA) 以保护对 CDE 的访问
ID:PCI DSS v4.0 8.4.2,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 采用生物识别身份验证机制 | CMA_0005 - 采用生物识别身份验证机制 | Manual, Disabled | 1.1.0 |
| 授权远程访问 | CMA_0024 - 授权远程访问 | Manual, Disabled | 1.1.0 |
| 记录移动性培训 | CMA_0191 - 记录移动性培训 | Manual, Disabled | 1.1.0 |
| 记录远程访问准则 | CMA_0196 - 记录远程访问准则 | Manual, Disabled | 1.1.0 |
| 标识并验证网络设备 | CMA_0296 - 标识并验证网络设备 | Manual, Disabled | 1.1.0 |
| 实施控制措施来保护备用工作站点 | CMA_0315 - 实施控制措施来保护备用工作站点 | Manual、Disabled | 1.1.0 |
| 提供隐私培训 | CMA_0415 - 提供隐私培训 | Manual, Disabled | 1.1.0 |
| 满足令牌质量要求 | CMA_0487 - 满足令牌质量要求 | Manual, Disabled | 1.1.0 |
实现多重身份验证 (MFA) 以保护对 CDE 的访问
ID:PCI DSS v4.0 8.4.3,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 采用生物识别身份验证机制 | CMA_0005 - 采用生物识别身份验证机制 | Manual, Disabled | 1.1.0 |
| 授权远程访问 | CMA_0024 - 授权远程访问 | Manual, Disabled | 1.1.0 |
| 记录移动性培训 | CMA_0191 - 记录移动性培训 | Manual, Disabled | 1.1.0 |
| 记录远程访问准则 | CMA_0196 - 记录远程访问准则 | Manual, Disabled | 1.1.0 |
| 标识并验证网络设备 | CMA_0296 - 标识并验证网络设备 | Manual, Disabled | 1.1.0 |
| 实施控制措施来保护备用工作站点 | CMA_0315 - 实施控制措施来保护备用工作站点 | Manual、Disabled | 1.1.0 |
| 提供隐私培训 | CMA_0415 - 提供隐私培训 | Manual, Disabled | 1.1.0 |
| 满足令牌质量要求 | CMA_0487 - 满足令牌质量要求 | Manual, Disabled | 1.1.0 |
配置多重身份验证 (MFA) 系统以防止滥用
ID:PCI DSS v4.0 8.5.1,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 采用生物识别身份验证机制 | CMA_0005 - 采用生物识别身份验证机制 | Manual, Disabled | 1.1.0 |
| 授权远程访问 | CMA_0024 - 授权远程访问 | Manual, Disabled | 1.1.0 |
| 记录移动性培训 | CMA_0191 - 记录移动性培训 | Manual, Disabled | 1.1.0 |
| 记录远程访问准则 | CMA_0196 - 记录远程访问准则 | Manual, Disabled | 1.1.0 |
| 标识并验证网络设备 | CMA_0296 - 标识并验证网络设备 | Manual, Disabled | 1.1.0 |
| 实施控制措施来保护备用工作站点 | CMA_0315 - 实施控制措施来保护备用工作站点 | Manual、Disabled | 1.1.0 |
| 提供隐私培训 | CMA_0415 - 提供隐私培训 | Manual, Disabled | 1.1.0 |
| 满足令牌质量要求 | CMA_0487 - 满足令牌质量要求 | Manual, Disabled | 1.1.0 |
严格管理应用程序和系统帐户的使用以及关联的身份验证因素
ID:PCI DSS v4.0 8.6.1,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 定义信息系统帐户类型 | CMA_0121 - 定义信息系统帐户类型 | Manual, Disabled | 1.1.0 |
| 需要批准才能创建帐户 | CMA_0431 - 需要批准才能创建帐户 | Manual, Disabled | 1.1.0 |
严格管理应用程序和系统帐户的使用以及关联的身份验证因素
ID:PCI DSS v4.0 8.6.2,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 实施验证器保护培训 | CMA_0329 - 实施验证器保护培训 | Manual, Disabled | 1.1.0 |
严格管理应用程序和系统帐户的使用以及关联的身份验证因素
ID:PCI DSS v4.0 8.6.3,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 记录收购合同中的安全强度要求 | CMA_0203 - 记录收购合同中的安全强度要求 | Manual, Disabled | 1.1.0 |
| 制定密码策略 | CMA_0256 - 制定密码策略 | Manual、Disabled | 1.1.0 |
| 实现记住的机密验证工具的参数 | CMA_0321 - 实现记住的机密验证工具的参数 | Manual, Disabled | 1.1.0 |
| 实施验证器保护培训 | CMA_0329 - 实施验证器保护培训 | Manual, Disabled | 1.1.0 |
| 管理验证器生存期并重用 | CMA_0355 - 管理验证器生存期并重用 | Manual, Disabled | 1.1.0 |
| 刷新验证器 | CMA_0425 - 刷新验证器 | Manual, Disabled | 1.1.0 |
要求 09:限制对持卡人数据的物理访问
定义和了解适用于限制对持卡人数据进行物理访问的过程和机制
ID:PCI DSS v4.0 9.1.1,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 审阅和更新媒体保护策略及过程 | CMA_C1427 - 审阅和更新媒体保护策略及过程 | Manual, Disabled | 1.1.0 |
| 审阅和更新物理与环境策略和过程 | CMA_C1446 - 审阅和更新物理与环境策略和过程 | Manual, Disabled | 1.1.0 |
物理访问控制管理包含持卡人数据的设施和系统的进入权
ID:PCI DSS v4.0 9.2.2,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 控制物理访问 | CMA_0081 - 控制物理访问 | Manual, Disabled | 1.1.0 |
物理访问控制管理包含持卡人数据的设施和系统的进入权
ID:PCI DSS v4.0 9.2.3,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 控制物理访问 | CMA_0081 - 控制物理访问 | Manual, Disabled | 1.1.0 |
| 实现办公室、工作区和安全区域的物理安全 | CMA_0323 - 实现办公室、工作区和安全区域的物理安全 | Manual, Disabled | 1.1.0 |
物理访问控制管理包含持卡人数据的设施和系统的进入权
ID:PCI DSS v4.0 9.2.4,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 控制物理访问 | CMA_0081 - 控制物理访问 | Manual, Disabled | 1.1.0 |
| 实现办公室、工作区和安全区域的物理安全 | CMA_0323 - 实现办公室、工作区和安全区域的物理安全 | Manual, Disabled | 1.1.0 |
对人员和访问者的物理访问进行授权和管理
ID:PCI DSS v4.0 9.3.1,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 控制物理访问 | CMA_0081 - 控制物理访问 | Manual, Disabled | 1.1.0 |
对人员和访问者的物理访问进行授权和管理
ID:PCI DSS v4.0 9.3.1.1,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 控制物理访问 | CMA_0081 - 控制物理访问 | Manual, Disabled | 1.1.0 |
对人员和访问者的物理访问进行授权和管理
ID:PCI DSS v4.0 9.3.2,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 控制物理访问 | CMA_0081 - 控制物理访问 | Manual, Disabled | 1.1.0 |
| 实现办公室、工作区和安全区域的物理安全 | CMA_0323 - 实现办公室、工作区和安全区域的物理安全 | Manual, Disabled | 1.1.0 |
对人员和访问者的物理访问进行授权和管理
ID:PCI DSS v4.0 9.3.3,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 控制物理访问 | CMA_0081 - 控制物理访问 | Manual, Disabled | 1.1.0 |
| 实现办公室、工作区和安全区域的物理安全 | CMA_0323 - 实现办公室、工作区和安全区域的物理安全 | Manual, Disabled | 1.1.0 |
对人员和访问者的物理访问进行授权和管理
ID:PCI DSS v4.0 9.3.4,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 控制物理访问 | CMA_0081 - 控制物理访问 | Manual, Disabled | 1.1.0 |
| 实现办公室、工作区和安全区域的物理安全 | CMA_0323 - 实现办公室、工作区和安全区域的物理安全 | Manual, Disabled | 1.1.0 |
以安全方式存储、访问、分发和销毁含有持卡人数据的介质
ID:PCI DSS v4.0 9.4.1,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 实施控制措施来保护所有介质 | CMA_0314 - 实施控制措施来保护所有介质 | Manual, Disabled | 1.1.0 |
以安全方式存储、访问、分发和销毁含有持卡人数据的介质
ID:PCI DSS v4.0 9.4.1.1,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 实施控制措施来保护所有介质 | CMA_0314 - 实施控制措施来保护所有介质 | Manual, Disabled | 1.1.0 |
以安全方式存储、访问、分发和销毁含有持卡人数据的介质
ID:PCI DSS v4.0 9.4.2,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 实施控制措施来保护所有介质 | CMA_0314 - 实施控制措施来保护所有介质 | Manual, Disabled | 1.1.0 |
以安全方式存储、访问、分发和销毁含有持卡人数据的介质
ID:PCI DSS v4.0 9.4.3,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 实施控制措施来保护所有介质 | CMA_0314 - 实施控制措施来保护所有介质 | Manual, Disabled | 1.1.0 |
| 管理资产的运输 | CMA_0370 - 管理资产的运输 | Manual, Disabled | 1.1.0 |
以安全方式存储、访问、分发和销毁含有持卡人数据的介质
ID:PCI DSS v4.0 9.4.4,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 实施控制措施来保护所有介质 | CMA_0314 - 实施控制措施来保护所有介质 | Manual, Disabled | 1.1.0 |
| 管理资产的运输 | CMA_0370 - 管理资产的运输 | Manual, Disabled | 1.1.0 |
以安全方式存储、访问、分发和销毁含有持卡人数据的介质
ID:PCI DSS v4.0 9.4.5.1,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 创建数据清单 | CMA_0096 - 创建数据清单 | Manual, Disabled | 1.1.0 |
| 维护个人数据的处理记录 | CMA_0353 - 维护个人数据的处理记录 | Manual, Disabled | 1.1.0 |
以安全方式存储、访问、分发和销毁含有持卡人数据的介质
ID:PCI DSS v4.0 9.4.6,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 采用媒体清理机制 | CMA_0208 - 采用媒体清理机制 | Manual, Disabled | 1.1.0 |
| 实施控制措施来保护所有介质 | CMA_0314 - 实施控制措施来保护所有介质 | Manual, Disabled | 1.1.0 |
| 执行处置评审 | CMA_0391 - 执行处置评审 | Manual, Disabled | 1.1.0 |
| 在处理结束时验证个人数据是否已删除 | CMA_0540 - 在处理结束时验证个人数据是否已删除 | Manual, Disabled | 1.1.0 |
以安全方式存储、访问、分发和销毁含有持卡人数据的介质
ID:PCI DSS v4.0 9.4.7,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 采用媒体清理机制 | CMA_0208 - 采用媒体清理机制 | Manual, Disabled | 1.1.0 |
| 实施控制措施来保护所有介质 | CMA_0314 - 实施控制措施来保护所有介质 | Manual, Disabled | 1.1.0 |
| 执行处置评审 | CMA_0391 - 执行处置评审 | Manual, Disabled | 1.1.0 |
| 在处理结束时验证个人数据是否已删除 | CMA_0540 - 在处理结束时验证个人数据是否已删除 | Manual, Disabled | 1.1.0 |
保护交互点 (POI) 设备,以防止篡改和未经授权的替换
ID:PCI DSS v4.0 9.5.1,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 控制物理访问 | CMA_0081 - 控制物理访问 | Manual, Disabled | 1.1.0 |
| 实现办公室、工作区和安全区域的物理安全 | CMA_0323 - 实现办公室、工作区和安全区域的物理安全 | Manual, Disabled | 1.1.0 |
| 管理数据的输入、输出、处理和存储 | CMA_0369 - 管理数据的输入、输出、处理和存储 | Manual, Disabled | 1.1.0 |
保护交互点 (POI) 设备,以防止篡改和未经授权的替换
ID:PCI DSS v4.0 9.5.1.2,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 控制物理访问 | CMA_0081 - 控制物理访问 | Manual, Disabled | 1.1.0 |
| 实现办公室、工作区和安全区域的物理安全 | CMA_0323 - 实现办公室、工作区和安全区域的物理安全 | Manual, Disabled | 1.1.0 |
| 管理数据的输入、输出、处理和存储 | CMA_0369 - 管理数据的输入、输出、处理和存储 | Manual, Disabled | 1.1.0 |
保护交互点 (POI) 设备,以防止篡改和未经授权的替换
ID:PCI DSS v4.0 9.5.1.2.1,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 控制物理访问 | CMA_0081 - 控制物理访问 | Manual, Disabled | 1.1.0 |
| 实现办公室、工作区和安全区域的物理安全 | CMA_0323 - 实现办公室、工作区和安全区域的物理安全 | Manual, Disabled | 1.1.0 |
| 管理数据的输入、输出、处理和存储 | CMA_0369 - 管理数据的输入、输出、处理和存储 | Manual, Disabled | 1.1.0 |
保护交互点 (POI) 设备,以防止篡改和未经授权的替换
ID:PCI DSS v4.0 9.5.1.3,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 在提供访问权限之前提供安全培训 | CMA_0418 - 在提供访问权限之前提供安全培训 | Manual, Disabled | 1.1.0 |
后续步骤
有关 Azure Policy 的其他文章:
- 法规符合性概述。
- 请参阅计划定义结构。
- 在 Azure Policy 示例中查看其他示例。
- 查看了解策略效果。
- 了解如何修正不符合的资源。