Dettagli dell'iniziativa predefinita di conformità alle normative per PCI DSS v4.0
L'articolo seguente definisce il mapping della definizione dell'iniziativa predefinita di conformità alle normative di Criteri di Azure ai domini di conformità e ai controlli di PCI DSS v4.0. Per altre informazioni su questo standard di conformità, vedere PCI DSS v4.0. Per comprendere la Proprietà, esaminare il tipo di criterio e la responsabilità condivisa nel cloud.
I mapping seguenti fanno riferimento ai controlli PCI-DSS v4.0. Molti controlli vengono implementati con una definizione dell'iniziativa Criteri di Azure. Per esaminare la definizione dell'iniziativa completa, aprire Criteri nel portale di Azure e selezionare la pagina Definizioni. Quindi, trovare e selezionare la definizione dell'iniziativa predefinita di conformità alle normative PCI DSS v4.0.
Importante
Ogni controllo tra quelli riportati di seguito è associato a una o più definizioni di Criteri di Azure. Questi criteri possono aiutare a valutare la conformità con il controllo. In molti casi tuttavia non si tratta di una corrispondenza uno-a-uno o completa tra un controllo e uno o più criteri. Di per sé, Conforme in Criteri di Azure si riferisce solo alle definizioni dei criteri e non garantisce che l'utente sia completamente conforme a tutti i requisiti di un controllo. Inoltre, in questo momento lo standard di conformità include controlli che non vengono gestiti da alcuna definizione di Criteri di Azure. La conformità in Criteri di Azure è quindi solo una visualizzazione parziale dello stato di conformità generale. Le associazioni tra domini di conformità, controlli e definizioni di Criteri di Azure per questo standard di conformità possono cambiare nel tempo. Per visualizzare la cronologia delle modifiche, vedere la cronologia dei commit di GitHub.
Requisito 01: Installare e mantenere i controlli di sicurezza di rete
I processi e i meccanismi per l'installazione e il mantenimento dei controlli di sicurezza di rete sono definiti e riconosciuti
ID: PCI DSS v4.0 1.1.1 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Esaminare e aggiornare i criteri e le procedure di gestione della configurazione | CMA_C1175 - Esaminare e aggiornare i criteri e le procedure di gestione della configurazione | Manuale, Disabilitato | 1.1.0 |
| Sviluppare criteri e procedure di protezione dei sistemi e delle comunicazioni | CMA_C1616 - Esaminare e aggiornare i criteri e le procedure di protezione del sistema e delle comunicazioni | Manuale, Disabilitato | 1.1.0 |
I controlli di sicurezza di rete (NSC) vengono configurati e mantenuti
ID: PCI DSS v4.0 1.2.1 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Configurare le azioni per i dispositivi non conformi | CMA_0062: configurare le azioni per i dispositivi non conformi | Manuale, Disabilitato | 1.1.0 |
| Sviluppare e gestire le configurazioni di base | CMA_0153 - Sviluppare e gestire le configurazioni di base | Manuale, Disabilitato | 1.1.0 |
| Imporre le impostazioni della configurazione della sicurezza | CMA_0249 - Imporre le impostazioni della configurazione della sicurezza | Manuale, Disabilitato | 1.1.0 |
| Stabilire un comitato di controllo della configurazione | CMA_0254: stabilire un comitato di controllo della configurazione | Manuale, Disabilitato | 1.1.0 |
| Definire e documentare un piano di gestione della configurazione | CMA_0264 - Definire e documentare un piano di gestione della configurazione | Manuale, Disabilitato | 1.1.0 |
| Implementare uno strumento di gestione della configurazione automatizzato | CMA_0311 - Implementare uno strumento di gestione della configurazione automatizzato | Manuale, Disabilitato | 1.1.0 |
I controlli di sicurezza di rete (NSC) vengono configurati e mantenuti
ID: PCI DSS v4.0 1.2.2 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Eseguire un'analisi dell'impatto sulla sicurezza | CMA_0057 - Eseguire un'analisi dell'impatto sulla sicurezza | Manuale, Disabilitato | 1.1.0 |
| Sviluppare e mantenere uno standard di gestione delle vulnerabilità | CMA_0152 - Sviluppare e mantenere uno standard di gestione delle vulnerabilità | Manuale, Disabilitato | 1.1.0 |
| Definire una strategia di gestione dei rischi | CMA_0258 - Definire una strategia di gestione dei rischi | Manuale, Disabilitato | 1.1.0 |
| Stabilire e documentare i processi di controllo delle modifiche | CMA_0265 - Stabilire e documentare i processi di controllo delle modifiche | Manuale, Disabilitato | 1.1.0 |
| Stabilire i requisiti di gestione della configurazione per i developer | CMA_0270 - Stabilire i requisiti di gestione della configurazione per gli sviluppatori | Manuale, Disabilitato | 1.1.0 |
| Eseguire una valutazione dell'impatto sulla privacy | CMA_0387 - Eseguire una valutazione dell'impatto sulla privacy | Manuale, Disabilitato | 1.1.0 |
| Eseguire una valutazione dei rischi | CMA_0388 - Eseguire una valutazione dei rischi | Manuale, Disabilitato | 1.1.0 |
| Eseguire il controllo per la verifica delle modifiche di configurazione | CMA_0390 - Eseguire il controllo per la verifica delle modifiche di configurazione | Manuale, Disabilitato | 1.1.0 |
I controlli di sicurezza di rete (NSC) vengono configurati e mantenuti
ID: PCI DSS v4.0 1.2.3 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllare la conformità alla privacy e alla sicurezza prima di stabilire connessioni interne | CMA_0053 - Controllare la conformità alla privacy e alla sicurezza prima di stabilire connessioni interne | Manuale, Disabilitato | 1.1.0 |
I controlli di sicurezza di rete (NSC) vengono configurati e mantenuti
ID: PCI DSS v4.0 1.2.4 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Gestire i record dell'elaborazione dei dati personali | CMA_0353 - Gestire i record dell'elaborazione dei dati personali | Manuale, Disabilitato | 1.1.0 |
I controlli di sicurezza di rete (NSC) vengono configurati e mantenuti
ID: PCI DSS v4.0 1.2.5 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Identificare i fornitori di servizi esterni | CMA_C1591 - Identificare i fornitori di servizi esterni | Manuale, Disabilitato | 1.1.0 |
| Richiedere al developer di identificare porte, protocolli e servizi SDLC | CMA_C1578 - Chiedere allo sviluppatore di identificare porte, protocolli e servizi SDLC | Manuale, Disabilitato | 1.1.0 |
I controlli di sicurezza di rete (NSC) vengono configurati e mantenuti
ID: PCI DSS v4.0 1.2.8 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Applicare e controllare le restrizioni di accesso | CMA_C1203 - Applicare e controllare le restrizioni di accesso | Manuale, Disabilitato | 1.1.0 |
| Stabilire e documentare i processi di controllo delle modifiche | CMA_0265 - Stabilire e documentare i processi di controllo delle modifiche | Manuale, Disabilitato | 1.1.0 |
| Verificare se sono presenti modifiche non autorizzate | CMA_C1204 - Verificare se sono presenti modifiche non autorizzate | Manuale, Disabilitato | 1.1.0 |
L'accesso alla rete da e verso l'ambiente dei dati dei titolari di carte è limitato
ID: PCI DSS v4.0 1.3.2 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| È consigliabile limitare tutte le porte di rete nei gruppi di sicurezza di rete associati alla macchina virtuale | Il Centro sicurezza di Azure ha identificato alcune regole in ingresso dei gruppi di sicurezza di rete eccessivamente permissive. Le regole in ingresso non devono consentire l'accesso da 'Tutti' gli intervalli o dagli intervalli 'Internet'. Ciò può consentire potenzialmente agli utenti malintenzionati di attaccare le risorse. | AuditIfNotExists, Disabled | 3.0.0 |
| Gli account di archiviazione devono limitare l'accesso alla rete | L'accesso di rete agli account di archiviazione deve essere limitato. Configurare regole di rete in modo che l'account di archiviazione sia accessibile solo alle applicazioni provenienti da reti consentite. Per consentire le connessioni da client Internet o locali specifici, è possibile concedere l'accesso al traffico da reti virtuali di Azure specifiche o a intervalli di indirizzi IP Internet pubblici | Audit, Deny, Disabled | 1.1.1 |
L'accesso alla rete da e verso l'ambiente dei dati dei titolari di carte è limitato
ID: PCI DSS v4.0 1.3.3 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Documentare e implementare le linee guida per l'accesso wireless | CMA_0190 - Documentare e implementare le linee guida per l'accesso wireless | Manuale, Disabilitato | 1.1.0 |
| Proteggere l'accesso wireless | CMA_0411 - Proteggere l'accesso wireless | Manuale, Disabilitato | 1.1.0 |
Le connessioni di rete tra reti attendibili e non sono controllate
ID: PCI DSS v4.0 1.4.1 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllare il flusso di informazioni | CMA_0079 - Controllare il flusso di informazioni | Manuale, Disabilitato | 1.1.0 |
| Utilizzare meccanismi di controllo di flusso delle informazioni crittografate | CMA_0211 - Utilizzare meccanismi di controllo di flusso delle informazioni crittografate | Manuale, Disabilitato | 1.1.0 |
| Implementare l'interfaccia gestita per ogni servizio esterno | CMA_C1626 - Implementare l'interfaccia gestita per ogni servizio esterno | Manuale, Disabilitato | 1.1.0 |
| Implementare la protezione del limite del sistema | CMA_0328 - Implementare la protezione del limite del sistema | Manuale, Disabilitato | 1.1.0 |
| Proteggere l'interfaccia per i sistemi esterni | CMA_0491 - Proteggere l'interfaccia per i sistemi esterni | Manuale, Disabilitato | 1.1.0 |
Le connessioni di rete tra reti attendibili e non sono controllate
ID: PCI DSS v4.0 1.4.2 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| È consigliabile limitare tutte le porte di rete nei gruppi di sicurezza di rete associati alla macchina virtuale | Il Centro sicurezza di Azure ha identificato alcune regole in ingresso dei gruppi di sicurezza di rete eccessivamente permissive. Le regole in ingresso non devono consentire l'accesso da 'Tutti' gli intervalli o dagli intervalli 'Internet'. Ciò può consentire potenzialmente agli utenti malintenzionati di attaccare le risorse. | AuditIfNotExists, Disabled | 3.0.0 |
| Controllare il flusso di informazioni | CMA_0079 - Controllare il flusso di informazioni | Manuale, Disabilitato | 1.1.0 |
| Utilizzare meccanismi di controllo di flusso delle informazioni crittografate | CMA_0211 - Utilizzare meccanismi di controllo di flusso delle informazioni crittografate | Manuale, Disabilitato | 1.1.0 |
| Implementare l'interfaccia gestita per ogni servizio esterno | CMA_C1626 - Implementare l'interfaccia gestita per ogni servizio esterno | Manuale, Disabilitato | 1.1.0 |
| Implementare la protezione del limite del sistema | CMA_0328 - Implementare la protezione del limite del sistema | Manuale, Disabilitato | 1.1.0 |
| Proteggere l'interfaccia per i sistemi esterni | CMA_0491 - Proteggere l'interfaccia per i sistemi esterni | Manuale, Disabilitato | 1.1.0 |
| Gli account di archiviazione devono limitare l'accesso alla rete | L'accesso di rete agli account di archiviazione deve essere limitato. Configurare regole di rete in modo che l'account di archiviazione sia accessibile solo alle applicazioni provenienti da reti consentite. Per consentire le connessioni da client Internet o locali specifici, è possibile concedere l'accesso al traffico da reti virtuali di Azure specifiche o a intervalli di indirizzi IP Internet pubblici | Audit, Deny, Disabled | 1.1.1 |
Le connessioni di rete tra reti attendibili e non sono controllate
ID: PCI DSS v4.0 1.4.3 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllare il flusso di informazioni | CMA_0079 - Controllare il flusso di informazioni | Manuale, Disabilitato | 1.1.0 |
| Utilizzare meccanismi di controllo di flusso delle informazioni crittografate | CMA_0211 - Utilizzare meccanismi di controllo di flusso delle informazioni crittografate | Manuale, Disabilitato | 1.1.0 |
Le connessioni di rete tra reti attendibili e non sono controllate
ID: PCI DSS v4.0 1.4.4 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllare il flusso di informazioni | CMA_0079 - Controllare il flusso di informazioni | Manuale, Disabilitato | 1.1.0 |
| Utilizzare meccanismi di controllo di flusso delle informazioni crittografate | CMA_0211 - Utilizzare meccanismi di controllo di flusso delle informazioni crittografate | Manuale, Disabilitato | 1.1.0 |
I rischi per il CDE derivanti da dispositivi di elaborazione in grado di connettersi sia a reti non attendibili che a CDE vengono attenuati
ID: PCI DSS v4.0 1.5.1 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Autorizzare l'accesso remoto | CMA_0024 - Autorizzare l'accesso remoto | Manuale, Disabilitato | 1.1.0 |
| Documentare la formazione sulla mobilità | CMA_0191 - Documentare la formazione sulla mobilità | Manuale, Disabilitato | 1.1.0 |
| Documentare le linee guida di accesso remoto | CMA_0196 - Documentare le linee guida di accesso remoto | Manuale, Disabilitato | 1.1.0 |
| Implementare i controlli per proteggere i siti di lavoro alternativi | CMA_0315 - Implementare i controlli per proteggere siti di lavoro alternativi | Manuale, Disabilitato | 1.1.0 |
| Fornire training sulla privacy | CMA_0415 - Fornire formazione sulla privacy | Manuale, Disabilitato | 1.1.0 |
Requisito 10: registrare e monitorare tutti gli accessi ai componenti di sistema e ai dati di titolari di carte
I processi e i meccanismi per la registrazione e il monitoraggio di tutti gli accessi ai componenti di sistema e ai dati dei titolari di carte sono definiti e documentati
ID: PCI DSS v4.0 10.1.1 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Sviluppare criteri e procedure di controllo e responsabilità | CMA_0154 - Sviluppare criteri e procedure di controllo e responsabilità | Manuale, Disabilitato | 1.1.0 |
| Sviluppare criteri e procedure di sicurezza delle informazioni | CMA_0158 - Sviluppare criteri e procedure di sicurezza delle informazioni | Manuale, Disabilitato | 1.1.0 |
| Gestire criteri e procedure | CMA_0292 - Gestire criteri e procedure | Manuale, Disabilitato | 1.1.0 |
| Aggiornare i criteri di sicurezza delle informazioni | CMA_0518 - Aggiornare i criteri di sicurezza delle informazioni | Manuale, Disabilitato | 1.1.0 |
I log di controllo vengono implementati per supportare il rilevamento di anomalie e attività sospette e l'analisi forense degli eventi
ID: PCI DSS v4.0 10.2.1 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllare le funzioni con privilegi | CMA_0019 - Controllare le funzioni con privilegi | Manuale, Disabilitato | 1.1.0 |
| Controllare lo stato dell'account utente | CMA_0020 - Controllare lo stato dell'account utente | Manuale, Disabilitato | 1.1.0 |
| Determinare gli eventi controllabili | CMA_0137 - Determinare gli eventi controllabili | Manuale, Disabilitato | 1.1.0 |
| Rivedere i dati di audit | CMA_0466 - Rivedere i dati di audit | Manuale, Disabilitato | 1.1.0 |
I log di controllo vengono implementati per supportare il rilevamento di anomalie e attività sospette e l'analisi forense degli eventi
ID: PCI DSS v4.0 10.2.1.1 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Determinare gli eventi controllabili | CMA_0137 - Determinare gli eventi controllabili | Manuale, Disabilitato | 1.1.0 |
I log di controllo vengono implementati per supportare il rilevamento di anomalie e attività sospette e l'analisi forense degli eventi
ID: PCI DSS v4.0 10.2.1.2 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllare le funzioni con privilegi | CMA_0019 - Controllare le funzioni con privilegi | Manuale, Disabilitato | 1.1.0 |
| Eseguire un'analisi full-text dei comandi con privilegi registrati | CMA_0056 - Eseguire un'analisi full-text dei comandi con privilegi registrati | Manuale, Disabilitato | 1.1.0 |
| Monitorare l'attività dell'account | CMA_0377 - Monitorare l'attività dell'account | Manuale, Disabilitato | 1.1.0 |
| Monitorare l'assegnazione di ruoli con privilegi | CMA_0378 - Monitorare l'assegnazione di ruoli con privilegi | Manuale, Disabilitato | 1.1.0 |
| Limitare l'accesso agli account con privilegi | CMA_0446 - Limitare l'accesso agli account con privilegi | Manuale, Disabilitato | 1.1.0 |
| Revocare i ruoli con privilegi in base alle esigenze | CMA_0483 - Revocare i ruoli con privilegi in base alle esigenze | Manuale, Disabilitato | 1.1.0 |
| Usare Privileged Identity Management | CMA_0533 - Usare Privileged Identity Management | Manuale, Disabilitato | 1.1.0 |
I log di controllo vengono implementati per supportare il rilevamento di anomalie e attività sospette e l'analisi forense degli eventi
ID: PCI DSS v4.0 10.2.1.3 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllare le funzioni con privilegi | CMA_0019 - Controllare le funzioni con privilegi | Manuale, Disabilitato | 1.1.0 |
| Eseguire un'analisi full-text dei comandi con privilegi registrati | CMA_0056 - Eseguire un'analisi full-text dei comandi con privilegi registrati | Manuale, Disabilitato | 1.1.0 |
| Determinare gli eventi controllabili | CMA_0137 - Determinare gli eventi controllabili | Manuale, Disabilitato | 1.1.0 |
| Monitorare l'attività dell'account | CMA_0377 - Monitorare l'attività dell'account | Manuale, Disabilitato | 1.1.0 |
| Monitorare l'assegnazione di ruoli con privilegi | CMA_0378 - Monitorare l'assegnazione di ruoli con privilegi | Manuale, Disabilitato | 1.1.0 |
| Limitare l'accesso agli account con privilegi | CMA_0446 - Limitare l'accesso agli account con privilegi | Manuale, Disabilitato | 1.1.0 |
| Revocare i ruoli con privilegi in base alle esigenze | CMA_0483 - Revocare i ruoli con privilegi in base alle esigenze | Manuale, Disabilitato | 1.1.0 |
| Usare Privileged Identity Management | CMA_0533 - Usare Privileged Identity Management | Manuale, Disabilitato | 1.1.0 |
I log di controllo vengono implementati per supportare il rilevamento di anomalie e attività sospette e l'analisi forense degli eventi
ID: PCI DSS v4.0 10.2.1.4 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Determinare gli eventi controllabili | CMA_0137 - Determinare gli eventi controllabili | Manuale, Disabilitato | 1.1.0 |
I log di controllo vengono implementati per supportare il rilevamento di anomalie e attività sospette e l'analisi forense degli eventi
ID: PCI DSS v4.0 10.2.1.5 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllare le funzioni con privilegi | CMA_0019 - Controllare le funzioni con privilegi | Manuale, Disabilitato | 1.1.0 |
| Controllare lo stato dell'account utente | CMA_0020 - Controllare lo stato dell'account utente | Manuale, Disabilitato | 1.1.0 |
| Automatizzare la gestione degli account | CMA_0026 - Automatizzare la gestione degli account | Manuale, Disabilitato | 1.1.0 |
| Eseguire un'analisi full-text dei comandi con privilegi registrati | CMA_0056 - Eseguire un'analisi full-text dei comandi con privilegi registrati | Manuale, Disabilitato | 1.1.0 |
| Determinare gli eventi controllabili | CMA_0137 - Determinare gli eventi controllabili | Manuale, Disabilitato | 1.1.0 |
| Gestire gli account di sistema e amministratore | CMA_0368 - Gestire gli account di sistema e amministratore | Manuale, Disabilitato | 1.1.0 |
| Monitorare l'accesso nell'organizzazione | CMA_0376 - Monitorare l'accesso nell'organizzazione | Manuale, Disabilitato | 1.1.0 |
| Monitorare l'attività dell'account | CMA_0377 - Monitorare l'attività dell'account | Manuale, Disabilitato | 1.1.0 |
| Monitorare l'assegnazione di ruoli con privilegi | CMA_0378 - Monitorare l'assegnazione di ruoli con privilegi | Manuale, Disabilitato | 1.1.0 |
| Inviare una notifica per gli account non necessari | CMA_0383 - Inviare una notifica per gli account non necessari | Manuale, Disabilitato | 1.1.0 |
| Limitare l'accesso agli account con privilegi | CMA_0446 - Limitare l'accesso agli account con privilegi | Manuale, Disabilitato | 1.1.0 |
| Revocare i ruoli con privilegi in base alle esigenze | CMA_0483 - Revocare i ruoli con privilegi in base alle esigenze | Manuale, Disabilitato | 1.1.0 |
| Usare Privileged Identity Management | CMA_0533 - Usare Privileged Identity Management | Manuale, Disabilitato | 1.1.0 |
I log di controllo vengono implementati per supportare il rilevamento di anomalie e attività sospette e l'analisi forense degli eventi
ID: PCI DSS v4.0 10.2.1.6 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllare le funzioni con privilegi | CMA_0019 - Controllare le funzioni con privilegi | Manuale, Disabilitato | 1.1.0 |
| Eseguire un'analisi full-text dei comandi con privilegi registrati | CMA_0056 - Eseguire un'analisi full-text dei comandi con privilegi registrati | Manuale, Disabilitato | 1.1.0 |
| Determinare gli eventi controllabili | CMA_0137 - Determinare gli eventi controllabili | Manuale, Disabilitato | 1.1.0 |
| Monitorare l'attività dell'account | CMA_0377 - Monitorare l'attività dell'account | Manuale, Disabilitato | 1.1.0 |
| Monitorare l'assegnazione di ruoli con privilegi | CMA_0378 - Monitorare l'assegnazione di ruoli con privilegi | Manuale, Disabilitato | 1.1.0 |
| Limitare l'accesso agli account con privilegi | CMA_0446 - Limitare l'accesso agli account con privilegi | Manuale, Disabilitato | 1.1.0 |
| Revocare i ruoli con privilegi in base alle esigenze | CMA_0483 - Revocare i ruoli con privilegi in base alle esigenze | Manuale, Disabilitato | 1.1.0 |
| Usare Privileged Identity Management | CMA_0533 - Usare Privileged Identity Management | Manuale, Disabilitato | 1.1.0 |
I log di controllo vengono implementati per supportare il rilevamento di anomalie e attività sospette e l'analisi forense degli eventi
ID: PCI DSS v4.0 10.2.1.7 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Determinare gli eventi controllabili | CMA_0137 - Determinare gli eventi controllabili | Manuale, Disabilitato | 1.1.0 |
I log di controllo vengono implementati per supportare il rilevamento di anomalie e attività sospette e l'analisi forense degli eventi
ID: PCI DSS v4.0 10.2.2 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controlla l'impostazione di diagnostica per i tipi di risorse selezionati | Controlla l'impostazione di diagnostica per i tipi di risorse selezionati. Assicurarsi di selezionare solo i tipi di risorse che supportano le impostazioni di diagnostica. | AuditIfNotExists | 2.0.1 |
| È consigliabile abilitare il controllo in SQL Server | Abilitare il controllo in SQL Server per verificare le attività del database in tutti i database sul server e salvarle in un log di controllo. | AuditIfNotExists, Disabled | 2.0.0 |
| Determinare gli eventi controllabili | CMA_0137 - Determinare gli eventi controllabili | Manuale, Disabilitato | 1.1.0 |
| È consigliabile eseguire la migrazione degli account di archiviazione alle nuove risorse di Azure Resource Manager | È possibile usare la nuova versione di Azure Resource Manager per gli account di archiviazione per fornire funzionalità di sicurezza migliorate, ad esempio controllo di accesso (controllo degli accessi in base al ruolo) più avanzato, controllo ottimizzato, distribuzione e governance basate su Azure Resource Manager, accesso alle identità gestite, accesso all'insieme di credenziali delle chiavi per i segreti, autenticazione basata su Azure AD e supporto di tag e gruppi di risorse per una gestione della sicurezza semplificata | Audit, Deny, Disabled | 1.0.0 |
| È consigliabile eseguire la migrazione delle macchine virtuali alle nuove risorse di Azure Resource Manager | Usare la nuova versione di Azure Resource Manager per le macchine virtuali per fornire funzionalità di sicurezza migliorate quali controllo di accesso (Controllo degli accessi in base al ruolo) più avanzato, controllo più accurato, distribuzione e governance basate su Azure Resource Manager, accesso alle identità gestite, accesso all'insieme di credenziali delle chiavi per i segreti, autenticazione basata su Azure AD e supporto di tag e gruppi di risorse per una gestione della sicurezza semplificata | Audit, Deny, Disabled | 1.0.0 |
I log di controllo sono protetti dalla distruzione e dalle modifiche non autorizzate
ID: PCI DSS v4.0 10.3.1 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Abilitare l'autorizzazione doppia o congiunta | CMA_0226 - Abilitare l'autorizzazione doppia o congiunta | Manuale, Disabilitato | 1.1.0 |
| Proteggere le informazioni di audit | CMA_0401 - Proteggere le informazioni di audit | Manuale, Disabilitato | 1.1.0 |
I log di controllo sono protetti dalla distruzione e dalle modifiche non autorizzate
ID: PCI DSS v4.0 10.3.2 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Abilitare l'autorizzazione doppia o congiunta | CMA_0226 - Abilitare l'autorizzazione doppia o congiunta | Manuale, Disabilitato | 1.1.0 |
| Proteggere le informazioni di audit | CMA_0401 - Proteggere le informazioni di audit | Manuale, Disabilitato | 1.1.0 |
I log di controllo sono protetti dalla distruzione e dalle modifiche non autorizzate
ID: PCI DSS v4.0 10.3.3 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controlla l'impostazione di diagnostica per i tipi di risorse selezionati | Controlla l'impostazione di diagnostica per i tipi di risorse selezionati. Assicurarsi di selezionare solo i tipi di risorse che supportano le impostazioni di diagnostica. | AuditIfNotExists | 2.0.1 |
| È consigliabile abilitare il controllo in SQL Server | Abilitare il controllo in SQL Server per verificare le attività del database in tutti i database sul server e salvarle in un log di controllo. | AuditIfNotExists, Disabled | 2.0.0 |
| Stabilire criteri e procedure di backup | CMA_0268 - Stabilire criteri e procedure di backup | Manuale, Disabilitato | 1.1.0 |
| È consigliabile eseguire la migrazione degli account di archiviazione alle nuove risorse di Azure Resource Manager | È possibile usare la nuova versione di Azure Resource Manager per gli account di archiviazione per fornire funzionalità di sicurezza migliorate, ad esempio controllo di accesso (controllo degli accessi in base al ruolo) più avanzato, controllo ottimizzato, distribuzione e governance basate su Azure Resource Manager, accesso alle identità gestite, accesso all'insieme di credenziali delle chiavi per i segreti, autenticazione basata su Azure AD e supporto di tag e gruppi di risorse per una gestione della sicurezza semplificata | Audit, Deny, Disabled | 1.0.0 |
| È consigliabile eseguire la migrazione delle macchine virtuali alle nuove risorse di Azure Resource Manager | Usare la nuova versione di Azure Resource Manager per le macchine virtuali per fornire funzionalità di sicurezza migliorate quali controllo di accesso (Controllo degli accessi in base al ruolo) più avanzato, controllo più accurato, distribuzione e governance basate su Azure Resource Manager, accesso alle identità gestite, accesso all'insieme di credenziali delle chiavi per i segreti, autenticazione basata su Azure AD e supporto di tag e gruppi di risorse per una gestione della sicurezza semplificata | Audit, Deny, Disabled | 1.0.0 |
I log di controllo sono protetti dalla distruzione e dalle modifiche non autorizzate
ID: PCI DSS v4.0 10.3.4 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Abilitare l'autorizzazione doppia o congiunta | CMA_0226 - Abilitare l'autorizzazione doppia o congiunta | Manuale, Disabilitato | 1.1.0 |
| Proteggere le informazioni di audit | CMA_0401 - Proteggere le informazioni di audit | Manuale, Disabilitato | 1.1.0 |
I log di Audit vengono rivisti per identificare anomalie o attività sospette
ID: PCI DSS v4.0 10.4.1 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Correlare i record di controllo | CMA_0087 - Correlare i record di controllo | Manuale, Disabilitato | 1.1.0 |
| Stabilire i requisiti per la revisione e i report di controllo | CMA_0277 - Stabilire i requisiti per la revisione e i report di controllo | Manuale, Disabilitato | 1.1.0 |
| Integrare revisione, analisi e report di controllo | CMA_0339 - Integrare la revisione, l'analisi e il report di controllo | Manuale, Disabilitato | 1.1.0 |
| Integrare Cloud App Security con un sistema SIEM | CMA_0340 - Integrare Cloud App Security con un sistema SIEM | Manuale, Disabilitato | 1.1.0 |
| Esaminare i log di provisioning account | CMA_0460 - Esaminare i log di provisioning account | Manuale, Disabilitato | 1.1.0 |
| Rivedere le assegnazioni degli amministratori ogni settimana | CMA_0461 - Rivedere le assegnazioni degli amministratori ogni settimana | Manuale, Disabilitato | 1.1.0 |
| Rivedere i dati di audit | CMA_0466 - Rivedere i dati di audit | Manuale, Disabilitato | 1.1.0 |
| Esaminare la panoramica del report sulle identità cloud | CMA_0468 - Esaminare la panoramica del report sulle identità cloud | Manuale, Disabilitato | 1.1.0 |
| Esaminare gli eventi di accesso controllato alle cartelle | CMA_0471 - Esaminare gli eventi di accesso controllato alle cartelle | Manuale, Disabilitato | 1.1.0 |
| Esaminare le attività relative a file e cartelle | CMA_0473 - Esaminare le attività relative a file e cartelle | Manuale, Disabilitato | 1.1.0 |
| Rivedere le modifiche del gruppo di ruoli ogni settimana | CMA_0476 - Rivedere le modifiche del gruppo di ruoli ogni settimana | Manuale, Disabilitato | 1.1.0 |
I log di Audit vengono rivisti per identificare anomalie o attività sospette
ID: PCI DSS v4.0 10.4.1.1 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Correlare i record di controllo | CMA_0087 - Correlare i record di controllo | Manuale, Disabilitato | 1.1.0 |
| Stabilire i requisiti per la revisione e i report di controllo | CMA_0277 - Stabilire i requisiti per la revisione e i report di controllo | Manuale, Disabilitato | 1.1.0 |
| Integrare revisione, analisi e report di controllo | CMA_0339 - Integrare la revisione, l'analisi e il report di controllo | Manuale, Disabilitato | 1.1.0 |
| Integrare Cloud App Security con un sistema SIEM | CMA_0340 - Integrare Cloud App Security con un sistema SIEM | Manuale, Disabilitato | 1.1.0 |
| Esaminare i log di provisioning account | CMA_0460 - Esaminare i log di provisioning account | Manuale, Disabilitato | 1.1.0 |
| Rivedere le assegnazioni degli amministratori ogni settimana | CMA_0461 - Rivedere le assegnazioni degli amministratori ogni settimana | Manuale, Disabilitato | 1.1.0 |
| Rivedere i dati di audit | CMA_0466 - Rivedere i dati di audit | Manuale, Disabilitato | 1.1.0 |
| Esaminare la panoramica del report sulle identità cloud | CMA_0468 - Esaminare la panoramica del report sulle identità cloud | Manuale, Disabilitato | 1.1.0 |
| Esaminare gli eventi di accesso controllato alle cartelle | CMA_0471 - Esaminare gli eventi di accesso controllato alle cartelle | Manuale, Disabilitato | 1.1.0 |
| Esaminare le attività relative a file e cartelle | CMA_0473 - Esaminare le attività relative a file e cartelle | Manuale, Disabilitato | 1.1.0 |
| Rivedere le modifiche del gruppo di ruoli ogni settimana | CMA_0476 - Rivedere le modifiche del gruppo di ruoli ogni settimana | Manuale, Disabilitato | 1.1.0 |
I log di Audit vengono rivisti per identificare anomalie o attività sospette
ID: PCI DSS v4.0 10.4.2 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Correlare i record di controllo | CMA_0087 - Correlare i record di controllo | Manuale, Disabilitato | 1.1.0 |
| Stabilire i requisiti per la revisione e i report di controllo | CMA_0277 - Stabilire i requisiti per la revisione e i report di controllo | Manuale, Disabilitato | 1.1.0 |
| Integrare revisione, analisi e report di controllo | CMA_0339 - Integrare la revisione, l'analisi e il report di controllo | Manuale, Disabilitato | 1.1.0 |
| Integrare Cloud App Security con un sistema SIEM | CMA_0340 - Integrare Cloud App Security con un sistema SIEM | Manuale, Disabilitato | 1.1.0 |
| Esaminare i log di provisioning account | CMA_0460 - Esaminare i log di provisioning account | Manuale, Disabilitato | 1.1.0 |
| Rivedere le assegnazioni degli amministratori ogni settimana | CMA_0461 - Rivedere le assegnazioni degli amministratori ogni settimana | Manuale, Disabilitato | 1.1.0 |
| Rivedere i dati di audit | CMA_0466 - Rivedere i dati di audit | Manuale, Disabilitato | 1.1.0 |
| Esaminare la panoramica del report sulle identità cloud | CMA_0468 - Esaminare la panoramica del report sulle identità cloud | Manuale, Disabilitato | 1.1.0 |
| Esaminare gli eventi di accesso controllato alle cartelle | CMA_0471 - Esaminare gli eventi di accesso controllato alle cartelle | Manuale, Disabilitato | 1.1.0 |
| Esaminare le attività relative a file e cartelle | CMA_0473 - Esaminare le attività relative a file e cartelle | Manuale, Disabilitato | 1.1.0 |
| Rivedere le modifiche del gruppo di ruoli ogni settimana | CMA_0476 - Rivedere le modifiche del gruppo di ruoli ogni settimana | Manuale, Disabilitato | 1.1.0 |
I log di Audit vengono rivisti per identificare anomalie o attività sospette
ID: PCI DSS v4.0 10.4.2.1 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Correlare i record di controllo | CMA_0087 - Correlare i record di controllo | Manuale, Disabilitato | 1.1.0 |
| Stabilire i requisiti per la revisione e i report di controllo | CMA_0277 - Stabilire i requisiti per la revisione e i report di controllo | Manuale, Disabilitato | 1.1.0 |
| Integrare revisione, analisi e report di controllo | CMA_0339 - Integrare la revisione, l'analisi e il report di controllo | Manuale, Disabilitato | 1.1.0 |
| Integrare Cloud App Security con un sistema SIEM | CMA_0340 - Integrare Cloud App Security con un sistema SIEM | Manuale, Disabilitato | 1.1.0 |
| Esaminare i log di provisioning account | CMA_0460 - Esaminare i log di provisioning account | Manuale, Disabilitato | 1.1.0 |
| Rivedere le assegnazioni degli amministratori ogni settimana | CMA_0461 - Rivedere le assegnazioni degli amministratori ogni settimana | Manuale, Disabilitato | 1.1.0 |
| Rivedere i dati di audit | CMA_0466 - Rivedere i dati di audit | Manuale, Disabilitato | 1.1.0 |
| Esaminare la panoramica del report sulle identità cloud | CMA_0468 - Esaminare la panoramica del report sulle identità cloud | Manuale, Disabilitato | 1.1.0 |
| Esaminare gli eventi di accesso controllato alle cartelle | CMA_0471 - Esaminare gli eventi di accesso controllato alle cartelle | Manuale, Disabilitato | 1.1.0 |
| Esaminare le attività relative a file e cartelle | CMA_0473 - Esaminare le attività relative a file e cartelle | Manuale, Disabilitato | 1.1.0 |
| Rivedere le modifiche del gruppo di ruoli ogni settimana | CMA_0476 - Rivedere le modifiche del gruppo di ruoli ogni settimana | Manuale, Disabilitato | 1.1.0 |
I log di Audit vengono rivisti per identificare anomalie o attività sospette
ID: PCI DSS v4.0 10.4.3 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Correlare i record di controllo | CMA_0087 - Correlare i record di controllo | Manuale, Disabilitato | 1.1.0 |
| Stabilire i requisiti per la revisione e i report di controllo | CMA_0277 - Stabilire i requisiti per la revisione e i report di controllo | Manuale, Disabilitato | 1.1.0 |
| Integrare revisione, analisi e report di controllo | CMA_0339 - Integrare la revisione, l'analisi e il report di controllo | Manuale, Disabilitato | 1.1.0 |
| Integrare Cloud App Security con un sistema SIEM | CMA_0340 - Integrare Cloud App Security con un sistema SIEM | Manuale, Disabilitato | 1.1.0 |
| Esaminare i log di provisioning account | CMA_0460 - Esaminare i log di provisioning account | Manuale, Disabilitato | 1.1.0 |
| Rivedere le assegnazioni degli amministratori ogni settimana | CMA_0461 - Rivedere le assegnazioni degli amministratori ogni settimana | Manuale, Disabilitato | 1.1.0 |
| Rivedere i dati di audit | CMA_0466 - Rivedere i dati di audit | Manuale, Disabilitato | 1.1.0 |
| Esaminare la panoramica del report sulle identità cloud | CMA_0468 - Esaminare la panoramica del report sulle identità cloud | Manuale, Disabilitato | 1.1.0 |
| Esaminare gli eventi di accesso controllato alle cartelle | CMA_0471 - Esaminare gli eventi di accesso controllato alle cartelle | Manuale, Disabilitato | 1.1.0 |
| Esaminare le attività relative a file e cartelle | CMA_0473 - Esaminare le attività relative a file e cartelle | Manuale, Disabilitato | 1.1.0 |
| Rivedere le modifiche del gruppo di ruoli ogni settimana | CMA_0476 - Rivedere le modifiche del gruppo di ruoli ogni settimana | Manuale, Disabilitato | 1.1.0 |
La cronologia del log di Audit viene conservata ed è disponibile per l'analisi
ID: PCI DSS v4.0 10.5.1 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Rispettare i periodi di conservazione definiti | CMA_0004 - Rispettare i periodi di conservazione definiti | Manuale, Disabilitato | 1.1.0 |
| Mantenere criteri e procedure di sicurezza | CMA_0454 - Mantenere criteri e procedure di sicurezza | Manuale, Disabilitato | 1.1.0 |
| Conservare i dati degli utenti terminati | CMA_0455 - Conservare i dati degli utenti terminati | Manuale, Disabilitato | 1.1.0 |
I meccanismi di sincronizzazione dell'orario supportano impostazioni di tempo coerenti in tutti i sistemi
ID: PCI DSS v4.0 10.6.1 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Usa orologi di sistema per i record di audit | CMA_0535 - Utilizzare orologi di sistema per i record di audit | Manuale, Disabilitato | 1.1.0 |
I meccanismi di sincronizzazione dell'orario supportano impostazioni di tempo coerenti in tutti i sistemi
ID: PCI DSS v4.0 10.6.2 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Usa orologi di sistema per i record di audit | CMA_0535 - Utilizzare orologi di sistema per i record di audit | Manuale, Disabilitato | 1.1.0 |
I meccanismi di sincronizzazione dell'orario supportano impostazioni di tempo coerenti in tutti i sistemi
ID: PCI DSS v4.0 10.6.3 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllare le funzioni con privilegi | CMA_0019 - Controllare le funzioni con privilegi | Manuale, Disabilitato | 1.1.0 |
| Autorizzare l'accesso alle informazioni e alle funzioni di sicurezza | CMA_0022 - Autorizzare l'accesso alle informazioni e alle funzioni di sicurezza | Manuale, Disabilitato | 1.1.0 |
| Autorizzare e gestire l'accesso | CMA_0023 - Autorizzare e gestire l'accesso | Manuale, Disabilitato | 1.1.0 |
| Eseguire un'analisi full-text dei comandi con privilegi registrati | CMA_0056 - Eseguire un'analisi full-text dei comandi con privilegi registrati | Manuale, Disabilitato | 1.1.0 |
| Imporre criteri di controllo degli accessi obbligatori e discrezionali | CMA_0246 - Imporre criteri di controllo di accesso obbligatori e discrezionali | Manuale, Disabilitato | 1.1.0 |
| Monitorare l'attività dell'account | CMA_0377 - Monitorare l'attività dell'account | Manuale, Disabilitato | 1.1.0 |
| Monitorare l'assegnazione di ruoli con privilegi | CMA_0378 - Monitorare l'assegnazione di ruoli con privilegi | Manuale, Disabilitato | 1.1.0 |
| Limitare l'accesso agli account con privilegi | CMA_0446 - Limitare l'accesso agli account con privilegi | Manuale, Disabilitato | 1.1.0 |
| Revocare i ruoli con privilegi in base alle esigenze | CMA_0483 - Revocare i ruoli con privilegi in base alle esigenze | Manuale, Disabilitato | 1.1.0 |
| Usare Privileged Identity Management | CMA_0533 - Usare Privileged Identity Management | Manuale, Disabilitato | 1.1.0 |
Gli errori dei sistemi di controllo della sicurezza critici vengono rilevati, segnalati e rimediati tempestivamente
ID: PCI DSS v4.0 10.7.1 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Creare azioni alternative per le anomalie identificate | CMA_C1711 - Creare azioni alternative per le anomalie identificate | Manuale, Disabilitato | 1.1.0 |
| Gestire e monitorare le attività di elaborazione dei controlli | CMA_0289 - Gestire e monitorare le attività di elaborazione dei controlli | Manuale, Disabilitato | 1.1.0 |
| Informare il personale in merito a eventuali test di verifica della sicurezza non superati | CMA_C1710 - Segnalare al personale eventuali test di verifica della sicurezza non superati | Manuale, Disabilitato | 1.1.0 |
| Eseguire la verifica della funzione di sicurezza a una frequenza definita | CMA_C1709 - Eseguire la verifica della funzione di sicurezza a una frequenza definita | Manuale, Disabilitato | 1.1.0 |
| Verificare le funzioni di sicurezza | CMA_C1708: verificare le funzioni di sicurezza | Manuale, Disabilitato | 1.1.0 |
Gli errori dei sistemi di controllo della sicurezza critici vengono rilevati, segnalati e rimediati tempestivamente
ID: PCI DSS v4.0 10.7.2 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Creare azioni alternative per le anomalie identificate | CMA_C1711 - Creare azioni alternative per le anomalie identificate | Manuale, Disabilitato | 1.1.0 |
| Gestire e monitorare le attività di elaborazione dei controlli | CMA_0289 - Gestire e monitorare le attività di elaborazione dei controlli | Manuale, Disabilitato | 1.1.0 |
| Informare il personale in merito a eventuali test di verifica della sicurezza non superati | CMA_C1710 - Segnalare al personale eventuali test di verifica della sicurezza non superati | Manuale, Disabilitato | 1.1.0 |
| Eseguire la verifica della funzione di sicurezza a una frequenza definita | CMA_C1709 - Eseguire la verifica della funzione di sicurezza a una frequenza definita | Manuale, Disabilitato | 1.1.0 |
| Verificare le funzioni di sicurezza | CMA_C1708: verificare le funzioni di sicurezza | Manuale, Disabilitato | 1.1.0 |
Gli errori dei sistemi di controllo della sicurezza critici vengono rilevati, segnalati e rimediati tempestivamente
ID: PCI DSS v4.0 10.7.3 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Creare azioni alternative per le anomalie identificate | CMA_C1711 - Creare azioni alternative per le anomalie identificate | Manuale, Disabilitato | 1.1.0 |
| Informare il personale in merito a eventuali test di verifica della sicurezza non superati | CMA_C1710 - Segnalare al personale eventuali test di verifica della sicurezza non superati | Manuale, Disabilitato | 1.1.0 |
| Eseguire la verifica della funzione di sicurezza a una frequenza definita | CMA_C1709 - Eseguire la verifica della funzione di sicurezza a una frequenza definita | Manuale, Disabilitato | 1.1.0 |
| Verificare le funzioni di sicurezza | CMA_C1708: verificare le funzioni di sicurezza | Manuale, Disabilitato | 1.1.0 |
Requisito 11: testare regolarmente la sicurezza dei sistemi e delle reti
I processi e i meccanismi per testare regolarmente la sicurezza dei sistemi e delle reti sono definiti e riconosciuti
ID: PCI DSS v4.0 11.1.1 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Esaminare e aggiornare i criteri e le procedure di integrità delle informazioni | CMA_C1667 - Esaminare e aggiornare i criteri e le procedure di integrità delle informazioni | Manuale, Disabilitato | 1.1.0 |
| Sviluppare criteri e procedure di protezione dei sistemi e delle comunicazioni | CMA_C1616 - Esaminare e aggiornare i criteri e le procedure di protezione del sistema e delle comunicazioni | Manuale, Disabilitato | 1.1.0 |
| Rivedere criteri e procedure di valutazione e autorizzazione della sicurezza | CMA_C1143 - Rivedere criteri e procedure di valutazione e autorizzazione della sicurezza | Manuale, Disabilitato | 1.1.0 |
I punti di accesso wireless vengono identificati e monitorati e vengono indirizzati punti di accesso wireless non autorizzati
ID: PCI DSS v4.0 11.2.2 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Documentare e implementare le linee guida per l'accesso wireless | CMA_0190 - Documentare e implementare le linee guida per l'accesso wireless | Manuale, Disabilitato | 1.1.0 |
| Proteggere l'accesso wireless | CMA_0411 - Proteggere l'accesso wireless | Manuale, Disabilitato | 1.1.0 |
Le vulnerabilità esterne e interne vengono identificate regolarmente, classificate in ordine di priorità e risolte
ID: PCI DSS v4.0 11.3.1 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| È consigliabile abilitare una soluzione di valutazione della vulnerabilità nelle macchine virtuali | Controlla le macchine virtuali per rilevare se eseguono una soluzione di valutazione della vulnerabilità supportata. Un componente principale di ogni programma per la sicurezza e il rischio informatico è costituito dall'identificazione e dall'analisi delle vulnerabilità. Il piano tariffario standard del Centro sicurezza di Azure include l'analisi delle vulnerabilità per le macchine virtuali senza costi aggiuntivi. Inoltre, il Centro sicurezza è in grado di distribuire automaticamente questo strumento. | AuditIfNotExists, Disabled | 3.0.0 |
| Eseguire analisi delle vulnerabilità | CMA_0393 - Eseguire analisi delle vulnerabilità | Manuale, Disabilitato | 1.1.0 |
| Correggere i difetti del sistema informativo | CMA_0427 - Correggere i difetti del sistema informativo | Manuale, Disabilitato | 1.1.0 |
| I risultati delle vulnerabilità devono essere risolti nei database SQL | Consente di monitorare i consigli e i risultati dell'analisi della valutazione della vulnerabilità per informazioni su come correggere le vulnerabilità del database. | AuditIfNotExists, Disabled | 4.1.0 |
| Le vulnerabilità nella configurazione di sicurezza delle macchine devono essere risolte | I server che non soddisfano la baseline configurata verranno monitorati dal Centro sicurezza di Azure che invierà i consigli corrispondenti | AuditIfNotExists, Disabled | 3.1.0 |
Le vulnerabilità esterne e interne vengono identificate regolarmente, classificate in ordine di priorità e risolte
ID: PCI DSS v4.0 11.3.1.1 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Eseguire analisi delle vulnerabilità | CMA_0393 - Eseguire analisi delle vulnerabilità | Manuale, Disabilitato | 1.1.0 |
| Correggere i difetti del sistema informativo | CMA_0427 - Correggere i difetti del sistema informativo | Manuale, Disabilitato | 1.1.0 |
Le vulnerabilità esterne e interne vengono identificate regolarmente, classificate in ordine di priorità e risolte
ID: PCI DSS v4.0 11.3.1.3 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Eseguire analisi delle vulnerabilità | CMA_0393 - Eseguire analisi delle vulnerabilità | Manuale, Disabilitato | 1.1.0 |
| Correggere i difetti del sistema informativo | CMA_0427 - Correggere i difetti del sistema informativo | Manuale, Disabilitato | 1.1.0 |
Le vulnerabilità esterne e interne vengono identificate regolarmente, classificate in ordine di priorità e risolte
ID: PCI DSS v4.0 11.3.2 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Eseguire analisi delle vulnerabilità | CMA_0393 - Eseguire analisi delle vulnerabilità | Manuale, Disabilitato | 1.1.0 |
| Correggere i difetti del sistema informativo | CMA_0427 - Correggere i difetti del sistema informativo | Manuale, Disabilitato | 1.1.0 |
Le vulnerabilità esterne e interne vengono identificate regolarmente, classificate in ordine di priorità e risolte
ID: PCI DSS v4.0 11.3.2.1 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Eseguire analisi delle vulnerabilità | CMA_0393 - Eseguire analisi delle vulnerabilità | Manuale, Disabilitato | 1.1.0 |
| Correggere i difetti del sistema informativo | CMA_0427 - Correggere i difetti del sistema informativo | Manuale, Disabilitato | 1.1.0 |
I test di penetrazione esterni e interni vengono eseguiti regolarmente e le vulnerabilità sfruttabili e i punti deboli della sicurezza vengono corretti
ID: PCI DSS v4.0 11.4.1 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Impiegare un team indipendente per i test di penetrazione | CMA_C1171 - Impiegare un team indipendente per i test di penetrazione | Manuale, Disabilitato | 1.1.0 |
I test di penetrazione esterni e interni vengono eseguiti regolarmente e le vulnerabilità sfruttabili e i punti deboli della sicurezza vengono corretti
ID: PCI DSS v4.0 11.4.3 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Impiegare un team indipendente per i test di penetrazione | CMA_C1171 - Impiegare un team indipendente per i test di penetrazione | Manuale, Disabilitato | 1.1.0 |
Le intrusioni di rete e le modifiche impreviste ai file vengono rilevate e rimediate
ID: PCI DSS v4.0 11.5.1 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Avvisare il personale in merito alla fuga di informazioni | CMA_0007: Avvisare il personale della perdita di informazioni | Manuale, Disabilitato | 1.1.0 |
| Sviluppare un piano di risposta agli eventi imprevisti | CMA_0145 - Sviluppare un piano di risposta agli eventi imprevisti | Manuale, Disabilitato | 1.1.0 |
| Eseguire un'analisi delle tendenze per le minacce | CMA_0389 - Eseguire un'analisi delle tendenze per le minacce | Manuale, Disabilitato | 1.1.0 |
| Imposta le notifiche automatiche per le applicazioni cloud nuove e di tendenza nell'organizzazione | CMA_0495 - Impostare notifiche automatiche per le applicazioni cloud nuove e di tendenza nell'organizzazione | Manuale, Disabilitato | 1.1.0 |
| Impostare le regole di integrità dei file nell'organizzazione | CMA_M1000 - Impostare le regole di integrità dei file nell'organizzazione | Manuale, Disabilitato | 1.0.0 |
Le intrusioni di rete e le modifiche impreviste ai file vengono rilevate e rimediate
ID: PCI DSS v4.0 11.5.1.1 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Avvisare il personale in merito alla fuga di informazioni | CMA_0007: Avvisare il personale della perdita di informazioni | Manuale, Disabilitato | 1.1.0 |
| Sviluppare un piano di risposta agli eventi imprevisti | CMA_0145 - Sviluppare un piano di risposta agli eventi imprevisti | Manuale, Disabilitato | 1.1.0 |
| Imposta le notifiche automatiche per le applicazioni cloud nuove e di tendenza nell'organizzazione | CMA_0495 - Impostare notifiche automatiche per le applicazioni cloud nuove e di tendenza nell'organizzazione | Manuale, Disabilitato | 1.1.0 |
Le intrusioni di rete e le modifiche impreviste ai file vengono rilevate e rimediate
ID: PCI DSS v4.0 11.5.2 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Usare l'arresto/riavvio automatico quando vengono rilevate violazioni | CMA_C1715 - Usare l'arresto/riavvio automatico quando vengono rilevate violazioni | Manuale, Disabilitato | 1.1.0 |
| Impostare le regole di integrità dei file nell'organizzazione | CMA_M1000 - Impostare le regole di integrità dei file nell'organizzazione | Manuale, Disabilitato | 1.0.0 |
| Verificare l'integrità di software, firmware e informazioni | CMA_0542 - Verificare l'integrità di software, firmware e informazioni | Manuale, Disabilitato | 1.1.0 |
| Visualizzare e configurare i dati di diagnostica del sistema | CMA_0544 - Visualizzare e configurare i dati di diagnostica del sistema | Manuale, Disabilitato | 1.1.0 |
Le modifiche non autorizzate nelle pagine dei pagamenti sono rilevate e si attuano azioni in merito
ID: PCI DSS v4.0 11.6.1 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Usare l'arresto/riavvio automatico quando vengono rilevate violazioni | CMA_C1715 - Usare l'arresto/riavvio automatico quando vengono rilevate violazioni | Manuale, Disabilitato | 1.1.0 |
| Verificare l'integrità di software, firmware e informazioni | CMA_0542 - Verificare l'integrità di software, firmware e informazioni | Manuale, Disabilitato | 1.1.0 |
| Visualizzare e configurare i dati di diagnostica del sistema | CMA_0544 - Visualizzare e configurare i dati di diagnostica del sistema | Manuale, Disabilitato | 1.1.0 |
Requisito 12: Supportare la sicurezza delle informazioni con i criteri e i programmi dell'organizzazione
Un criterio di sicurezza delle informazioni completo che regola e fornisce indicazioni per la protezione degli asset di informazioni dell'entità è noto e aggiornato
ID: PCI DSS v4.0 12.1.2 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Stabilire un programma di sicurezza delle informazioni | CMA_0263 - Stabilire un programma di sicurezza delle informazioni | Manuale, Disabilitato | 1.1.0 |
| Aggiornare i criteri di sicurezza delle informazioni | CMA_0518 - Aggiornare i criteri di sicurezza delle informazioni | Manuale, Disabilitato | 1.1.0 |
Un criterio di sicurezza delle informazioni completo che regola e fornisce indicazioni per la protezione degli asset di informazioni dell'entità è noto e aggiornato
ID: PCI DSS v4.0 12.1.4 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Nominare un responsabile senior della sicurezza delle informazioni | CMA_C1733 - Nominare un responsabile senior della sicurezza delle informazioni | Manuale, Disabilitato | 1.1.0 |
Gli incidenti di sicurezza sospetti e confermati che potrebbero influire sul CDE vengono rimediati immediatamente
ID: PCI DSS v4.0 12.10.2 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Valutare gli eventi di sicurezza delle informazioni | CMA_0013 - Valutare gli eventi di sicurezza delle informazioni | Manuale, Disabilitato | 1.1.0 |
| Sviluppare un piano di risposta agli eventi imprevisti | CMA_0145 - Sviluppare un piano di risposta agli eventi imprevisti | Manuale, Disabilitato | 1.1.0 |
| Implementare la gestione degli eventi | CMA_0318 - Implementare la gestione degli eventi | Manuale, Disabilitato | 1.1.0 |
| Gestire i record di violazione dei dati | CMA_0351 - Gestire i record di violazione dei dati | Manuale, Disabilitato | 1.1.0 |
| Gestire il piano di risposta agli incidenti | CMA_0352 - Gestire il piano di risposta agli incidenti | Manuale, Disabilitato | 1.1.0 |
| Proteggere il piano di risposta agli incidenti | CMA_0405 - Proteggere il piano di risposta agli incidenti | Manuale, Disabilitato | 1.1.0 |
Gli incidenti di sicurezza sospetti e confermati che potrebbero influire sul CDE vengono rimediati immediatamente
ID: PCI DSS v4.0 12.10.4 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Erogare formazione sulla fuga di informazioni | CMA_0413 - Fornire formazione sulla fuga di informazioni | Manuale, Disabilitato | 1.1.0 |
Gli incidenti di sicurezza sospetti e confermati che potrebbero influire sul CDE vengono rimediati immediatamente
ID: PCI DSS v4.0 12.10.4.1 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Erogare formazione sulla fuga di informazioni | CMA_0413 - Fornire formazione sulla fuga di informazioni | Manuale, Disabilitato | 1.1.0 |
Gli incidenti di sicurezza sospetti e confermati che potrebbero influire sul CDE vengono rimediati immediatamente
ID: PCI DSS v4.0 12.10.5 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Sviluppare un piano di risposta agli eventi imprevisti | CMA_0145 - Sviluppare un piano di risposta agli eventi imprevisti | Manuale, Disabilitato | 1.1.0 |
| Abilitare la protezione della rete | CMA_0238 - Abilitare la protezione della rete | Manuale, Disabilitato | 1.1.0 |
| Implementare la gestione degli eventi | CMA_0318 - Implementare la gestione degli eventi | Manuale, Disabilitato | 1.1.0 |
Gli incidenti di sicurezza sospetti e confermati che potrebbero influire sul CDE vengono rimediati immediatamente
ID: PCI DSS v4.0 12.10.6 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Valutare gli eventi di sicurezza delle informazioni | CMA_0013 - Valutare gli eventi di sicurezza delle informazioni | Manuale, Disabilitato | 1.1.0 |
| Gestire il piano di risposta agli incidenti | CMA_0352 - Gestire il piano di risposta agli incidenti | Manuale, Disabilitato | 1.1.0 |
Gli incidenti di sicurezza sospetti e confermati che potrebbero influire sul CDE vengono rimediati immediatamente
ID: PCI DSS v4.0 12.10.7 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Sviluppare un piano di risposta agli eventi imprevisti | CMA_0145 - Sviluppare un piano di risposta agli eventi imprevisti | Manuale, Disabilitato | 1.1.0 |
| Sviluppare misure di sicurezza | CMA_0161 - Sviluppare misure di sicurezza | Manuale, Disabilitato | 1.1.0 |
| Abilitare la protezione della rete | CMA_0238 - Abilitare la protezione della rete | Manuale, Disabilitato | 1.1.0 |
| Eliminare le informazioni contaminate | CMA_0253 - Eliminare le informazioni contaminate | Manuale, Disabilitato | 1.1.0 |
| Eseguire azioni in risposta a fuga/perdita di informazioni | CMA_0281 - Eseguire azioni in risposta a fuga/perdita di informazioni | Manuale, Disabilitato | 1.1.0 |
| Implementare la gestione degli eventi | CMA_0318 - Implementare la gestione degli eventi | Manuale, Disabilitato | 1.1.0 |
| Eseguire un'analisi delle tendenze per le minacce | CMA_0389 - Eseguire un'analisi delle tendenze per le minacce | Manuale, Disabilitato | 1.1.0 |
| Visualizzare e analizzare gli utenti con restrizioni | CMA_0545 - Visualizzare e analizzare gli utenti con restrizioni | Manuale, Disabilitato | 1.1.0 |
I criteri di utilizzo accettabili per le tecnologie dell'utente finale sono definiti e implementati
ID: PCI DSS v4.0 12.2.1 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Sviluppare procedure e criteri di utilizzo accettabili | CMA_0143 - Sviluppare procedure e criteri di utilizzo accettabili | Manuale, Disabilitato | 1.1.0 |
| Imporre regole di comportamento e accordi di accesso | CMA_0248 - Imporre regole di comportamento e accordi di accesso | Manuale, Disabilitato | 1.1.0 |
| Richiedere la conformità con i diritti di proprietà intellettuale | CMA_0432 - Richiedere la conformità con i diritti di proprietà intellettuale | Manuale, Disabilitato | 1.1.0 |
| Tenere traccia dell'utilizzo delle licenze software | CMA_C1235 - Tenere traccia dell'utilizzo delle licenze software | Manuale, Disabilitato | 1.1.0 |
I rischi per l'ambiente dei dati dei titolari di carte vengono identificati, valutati e gestiti formalmente
ID: PCI DSS v4.0 12.3.1 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Eseguire la valutazione dei rischi | CMA_C1543 - Eseguire la valutazione dei rischi | Manuale, Disabilitato | 1.1.0 |
| Eseguire la valutazione dei rischi e distribuirne i risultati | CMA_C1544 - Eseguire la valutazione dei rischi e distribuirne i risultati | Manuale, Disabilitato | 1.1.0 |
| Eseguire la valutazione dei rischi e documentarne i risultati | CMA_C1542 - Eseguire la valutazione dei rischi e documentarne i risultati | Manuale, Disabilitato | 1.1.0 |
| Eseguire una valutazione dei rischi | CMA_0388 - Eseguire una valutazione dei rischi | Manuale, Disabilitato | 1.1.0 |
I rischi per l'ambiente dei dati dei titolari di carte vengono identificati, valutati e gestiti formalmente
ID: PCI DSS v4.0 12.3.2 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Eseguire la valutazione dei rischi | CMA_C1543 - Eseguire la valutazione dei rischi | Manuale, Disabilitato | 1.1.0 |
| Eseguire la valutazione dei rischi e distribuirne i risultati | CMA_C1544 - Eseguire la valutazione dei rischi e distribuirne i risultati | Manuale, Disabilitato | 1.1.0 |
| Eseguire la valutazione dei rischi e documentarne i risultati | CMA_C1542 - Eseguire la valutazione dei rischi e documentarne i risultati | Manuale, Disabilitato | 1.1.0 |
| Eseguire una valutazione dei rischi | CMA_0388 - Eseguire una valutazione dei rischi | Manuale, Disabilitato | 1.1.0 |
I rischi per l'ambiente dei dati dei titolari di carte vengono identificati, valutati e gestiti formalmente
ID: PCI DSS v4.0 12.3.4 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Trasmettere avvisi di sicurezza al personale | CMA_C1705 - Trasmettere avvisi di sicurezza al personale | Manuale, Disabilitato | 1.1.0 |
| Stabilire un programma di intelligence sulle minacce | CMA_0260 - Stabilire un programma di intelligence sulle minacce | Manuale, Disabilitato | 1.1.0 |
| Correggere i difetti del sistema informativo | CMA_0427 - Correggere i difetti del sistema informativo | Manuale, Disabilitato | 1.1.0 |
La conformità PCI DSS è gestita
ID: PCI DSS v4.0 12.4.1 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Sviluppare un piano di valutazione della sicurezza | CMA_C1144 - Sviluppare un piano di valutazione della sicurezza | Manuale, Disabilitato | 1.1.0 |
| Stabilire un programma per la privacy | CMA_0257 - Stabilire un programma per la privacy | Manuale, Disabilitato | 1.1.0 |
| Stabilire un programma di sicurezza delle informazioni | CMA_0263 - Stabilire un programma di sicurezza delle informazioni | Manuale, Disabilitato | 1.1.0 |
| Gestire le attività di conformità | CMA_0358 - Gestire le attività di conformità | Manuale, Disabilitato | 1.1.0 |
| Aggiornare il piano di privacy, i criteri e le procedure | CMA_C1807 - Aggiornare il piano di privacy, i criteri e le procedure | Manuale, Disabilitato | 1.1.0 |
La conformità PCI DSS è gestita
ID: PCI DSS v4.0 12.4.2 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Valutare i controlli di sicurezza | CMA_C1145 - Valutare i controlli di sicurezza | Manuale, Disabilitato | 1.1.0 |
| Configurare l'elenco elementi consentiti per il rilevamento | CMA_0068 - Configurare l'elenco elementi consentiti per il rilevamento | Manuale, Disabilitato | 1.1.0 |
| Sviluppare un piano di valutazione della sicurezza | CMA_C1144 - Sviluppare un piano di valutazione della sicurezza | Manuale, Disabilitato | 1.1.0 |
| Selezionare test aggiuntivi per le valutazioni dei controlli di sicurezza | CMA_C1149 - Selezionare test aggiuntivi per le valutazioni dei controlli di sicurezza | Manuale, Disabilitato | 1.1.0 |
| Abilitare i sensori per la soluzione di sicurezza degli endpoint | CMA_0514 - Abilitare i sensori per la soluzione di sicurezza degli endpoint | Manuale, Disabilitato | 1.1.0 |
| Sottoporsi a una revisione indipendente della sicurezza | CMA_0515 - Sottoporsi a una revisione indipendente della sicurezza | Manuale, Disabilitato | 1.1.0 |
La conformità PCI DSS è gestita
ID: PCI DSS v4.0 12.4.2.1 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Configurare l'elenco elementi consentiti per il rilevamento | CMA_0068 - Configurare l'elenco elementi consentiti per il rilevamento | Manuale, Disabilitato | 1.1.0 |
| Recapitare i risultati della valutazione della sicurezza | CMA_C1147 - Recapitare i risultati della valutazione della sicurezza | Manuale, Disabilitato | 1.1.0 |
| Sviluppare POA&M | CMA_C1156 - Sviluppare POA&M | Manuale, Disabilitato | 1.1.0 |
| Generare il report di valutazione della sicurezza | CMA_C1146 - Generare il report di valutazione della sicurezza | Manuale, Disabilitato | 1.1.0 |
| Abilitare i sensori per la soluzione di sicurezza degli endpoint | CMA_0514 - Abilitare i sensori per la soluzione di sicurezza degli endpoint | Manuale, Disabilitato | 1.1.0 |
| Sottoporsi a una revisione indipendente della sicurezza | CMA_0515 - Sottoporsi a una revisione indipendente della sicurezza | Manuale, Disabilitato | 1.1.0 |
| Aggiornare elementi POA&M | CMA_C1157 - Aggiornare gli elementi POA&M | Manuale, Disabilitato | 1.1.0 |
L’ambito PCI DSS ambito è documentato e convalidato
ID: PCI DSS v4.0 12.5.2 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Gestire i record dell'elaborazione dei dati personali | CMA_0353 - Gestire i record dell'elaborazione dei dati personali | Manuale, Disabilitato | 1.1.0 |
L’ambito PCI DSS ambito è documentato e convalidato
ID: PCI DSS v4.0 12.5.2.1 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Creare un inventario dati | CMA_0096 - Creare un inventario dati | Manuale, Disabilitato | 1.1.0 |
| Gestire i record dell'elaborazione dei dati personali | CMA_0353 - Gestire i record dell'elaborazione dei dati personali | Manuale, Disabilitato | 1.1.0 |
L’ambito PCI DSS ambito è documentato e convalidato
ID: PCI DSS v4.0 12.5.3 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Stabilire un programma di sicurezza delle informazioni | CMA_0263 - Stabilire un programma di sicurezza delle informazioni | Manuale, Disabilitato | 1.1.0 |
| Aggiornare i criteri di sicurezza delle informazioni | CMA_0518 - Aggiornare i criteri di sicurezza delle informazioni | Manuale, Disabilitato | 1.1.0 |
L'educazione alla consapevolezza della sicurezza è un'attività continuativa
ID: PCI DSS v4.0 12.6.1 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Documentare le attività di formazione sulla sicurezza e sulla privacy | CMA_0198 - Documentare le attività di formazione sulla sicurezza e sulla privacy | Manuale, Disabilitato | 1.1.0 |
| Stabilire un programma di sviluppo e miglioramento della forza lavoro per la sicurezza delle informazioni | CMA_C1752 - Stabilire un programma di sviluppo e miglioramento della forza lavoro per la sicurezza delle informazioni | Manuale, Disabilitato | 1.1.0 |
L'educazione alla consapevolezza della sicurezza è un'attività continuativa
ID: PCI DSS v4.0 12.6.2 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Fornire una training aggiornata sulla sensibilizzazione sulla sicurezza | CMA_C1090 - Fornire una formazione aggiornata sulla sensibilizzazione sulla sicurezza | Manuale, Disabilitato | 1.1.0 |
L'educazione alla consapevolezza della sicurezza è un'attività continuativa
ID: PCI DSS v4.0 12.6.3 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Documentare l'accettazione dei requisiti sulla privacy da parte del personale | CMA_0193 - Documentare l'accettazione dei requisiti sulla privacy da parte del personale | Manuale, Disabilitato | 1.1.0 |
| Erogare formazione periodica sulla sicurezza basata sui ruoli | CMA_C1095 - Erogare formazione periodica sulla sicurezza basata sui ruoli | Manuale, Disabilitato | 1.1.0 |
| Erogare formazione periodica di sensibilizzazione sulla sicurezza | CMA_C1091 - Erogare formazione periodica di sensibilizzazione sulla sicurezza | Manuale, Disabilitato | 1.1.0 |
| Fornire training sulla privacy | CMA_0415 - Fornire formazione sulla privacy | Manuale, Disabilitato | 1.1.0 |
| Erogare formazione sulla sicurezza basata sui ruoli | CMA_C1094 - Fornisci formazione sulla sicurezza basata sui ruoli | Manuale, Disabilitato | 1.1.0 |
| Fornire la formazione sulla sicurezza prima di concedere l'accesso | CMA_0418 - Erogare la formazione sulla sicurezza prima di concedere l'accesso | Manuale, Disabilitato | 1.1.0 |
| Erogare la formazione sulla sicurezza per i nuovi utenti | CMA_0419 - Erogare la formazione sulla sicurezza per i nuovi utenti | Manuale, Disabilitato | 1.1.0 |
| Fornire una training aggiornata sulla sensibilizzazione sulla sicurezza | CMA_C1090 - Fornire una formazione aggiornata sulla sensibilizzazione sulla sicurezza | Manuale, Disabilitato | 1.1.0 |
L'educazione alla consapevolezza della sicurezza è un'attività continuativa
ID: PCI DSS v4.0 12.6.3.1 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Implementare un programma di sensibilizzazione sulle minacce | CMA_C1758 - Implementare un programma di consapevolezza delle minacce | Manuale, Disabilitato | 1.1.0 |
| Implementare un programma per le minacce interne | CMA_C1751 - Implementare un programma per le minacce interne | Manuale, Disabilitato | 1.1.0 |
| Erogare la formazione sulla sicurezza per i nuovi utenti | CMA_0419 - Erogare la formazione sulla sicurezza per i nuovi utenti | Manuale, Disabilitato | 1.1.0 |
L'educazione alla consapevolezza della sicurezza è un'attività continuativa
ID: PCI DSS v4.0 12.6.3.2 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Fornire la formazione sulla sicurezza prima di concedere l'accesso | CMA_0418 - Erogare la formazione sulla sicurezza prima di concedere l'accesso | Manuale, Disabilitato | 1.1.0 |
| Erogare la formazione sulla sicurezza per i nuovi utenti | CMA_0419 - Erogare la formazione sulla sicurezza per i nuovi utenti | Manuale, Disabilitato | 1.1.0 |
Viene eseguito uno screening del personale per ridurre i rischi derivanti da minacce interne
ID: PCI DSS v4.0 12.7.1 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Autorizzare il personale con accesso alle informazioni riservate | CMA_0054 - Deselezionare il personale con accesso alle informazioni riservate | Manuale, Disabilitato | 1.1.0 |
| Implementare la verifica del personale | CMA_0322 - Implementare la verifica del personale | Manuale, Disabilitato | 1.1.0 |
| Riesegui lo screening dei singoli utenti con una frequenza definita | CMA_C1512 - Rieseguire lo screening dei singoli utenti con una frequenza definita | Manuale, Disabilitato | 1.1.0 |
Il rischio per gli asset di informazioni associati con relazioni di provider di servizi di terze parti (TPSP) viene gestito
ID: PCI DSS v4.0 12.8.1 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Richiedere ai fornitori di servizi esterni di rispettare i requisiti di sicurezza | CMA_C1586 - Richiedere ai fornitori di servizi esterni di rispettare i requisiti di sicurezza | Manuale, Disabilitato | 1.1.0 |
Il rischio per gli asset di informazioni associati con relazioni di provider di servizi di terze parti (TPSP) viene gestito
ID: PCI DSS v4.0 12.8.2 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Definire i compiti dei processori | CMA_0127 - Definire i compiti dei processori | Manuale, Disabilitato | 1.1.0 |
| Determinare gli obblighi contrattuali dei fornitori | CMA_0140 - Determinare gli obblighi contrattuali dei fornitori | Manuale, Disabilitato | 1.1.0 |
| Documentare i criteri di accettazione dei contratti di acquisizione | CMA_0187 - Documentare i criteri di accettazione dei contratti di acquisizione | Manuale, Disabilitato | 1.1.0 |
| Documentare la protezione dei dati personali nei contratti di acquisizione | CMA_0194 - Documentare la protezione dei dati personali nei contratti di acquisizione | Manuale, Disabilitato | 1.1.0 |
| Documentare la protezione delle informazioni di sicurezza nei contratti di acquisizione | CMA_0195 - Documentare la protezione delle informazioni di sicurezza nei contratti di acquisizione | Manuale, Disabilitato | 1.1.0 |
| Documentare i requisiti per l'utilizzo dei dati condivisi nei contratti | CMA_0197 - Documentare i requisiti per l'utilizzo dei dati condivisi nei contratti | Manuale, Disabilitato | 1.1.0 |
| Documentare i requisiti di controllo della sicurezza nei contratti di acquisizione | CMA_0199 - Documentare i requisiti di controllo della sicurezza nei contratti di acquisizione | Manuale, Disabilitato | 1.1.0 |
| Documentare i requisiti di documentazione della sicurezza nel contratto di acquisizione | CMA_0200 - Documentare i requisiti di documentazione della sicurezza nel contratto di acquisizione | Manuale, Disabilitato | 1.1.0 |
| Documentare i requisiti funzionali della sicurezza nei contratti di acquisizione | CMA_0201 - Documentare i requisiti funzionali della sicurezza nei contratti di acquisizione | Manuale, Disabilitato | 1.1.0 |
| Documentare i requisiti di complessità della sicurezza nei contratti di acquisizione | CMA_0203 - Documentare i requisiti di complessità della sicurezza nei contratti di acquisizione | Manuale, Disabilitato | 1.1.0 |
| Documentare l'ambiente del sistema informativo nei contratti di acquisizione | CMA_0205 - Documentare l'ambiente del sistema informativo nei contratti di acquisizione | Manuale, Disabilitato | 1.1.0 |
| Documentare la protezione dei dati dei titolari di carte nei contratti di terze parti | CMA_0207 - Documentare la protezione dei dati dei titolari di carte nei contratti di terze parti | Manuale, Disabilitato | 1.1.0 |
| Ottenere informazioni di progettazione e implementazione per i controlli di sicurezza | CMA_C1576 - Ottenere informazioni di progettazione e implementazione per i controlli di sicurezza | Manuale, Disabilitato | 1.1.1 |
| Ottenere le proprietà funzionali dei controlli di sicurezza | CMA_C1575 - Ottenere le proprietà funzionali dei controlli di sicurezza | Manuale, Disabilitato | 1.1.0 |
| Registrare la divulgazione di dati personali a terze parti | CMA_0422 - Registrare le divulgazioni di dati personali a terzi | Manuale, Disabilitato | 1.1.0 |
Il rischio per gli asset di informazioni associati con relazioni di provider di servizi di terze parti (TPSP) viene gestito
ID: PCI DSS v4.0 12.8.3 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Valutare i rischi nelle relazioni con terze parti | CMA_0014 - Valutare i rischi nelle relazioni con terze parti | Manuale, Disabilitato | 1.1.0 |
| Definire i requisiti per la fornitura di beni e servizi | CMA_0126 - Definire i requisiti per la fornitura di beni e servizi | Manuale, Disabilitato | 1.1.0 |
| Determinare gli obblighi contrattuali dei fornitori | CMA_0140 - Determinare gli obblighi contrattuali dei fornitori | Manuale, Disabilitato | 1.1.0 |
| Stabilire criteri per la gestione dei rischi della catena di approvvigionamento | CMA_0275 - Stabilire criteri per la gestione dei rischi della catena di approvvigionamento | Manuale, Disabilitato | 1.1.0 |
| Richiedere ai fornitori di servizi esterni di rispettare i requisiti di sicurezza | CMA_C1586 - Richiedere ai fornitori di servizi esterni di rispettare i requisiti di sicurezza | Manuale, Disabilitato | 1.1.0 |
Il rischio per gli asset di informazioni associati con relazioni di provider di servizi di terze parti (TPSP) viene gestito
ID: PCI DSS v4.0 12.8.4 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Valutare i rischi nelle relazioni con terze parti | CMA_0014 - Valutare i rischi nelle relazioni con terze parti | Manuale, Disabilitato | 1.1.0 |
| Definire i requisiti per la fornitura di beni e servizi | CMA_0126 - Definire i requisiti per la fornitura di beni e servizi | Manuale, Disabilitato | 1.1.0 |
| Determinare gli obblighi contrattuali dei fornitori | CMA_0140 - Determinare gli obblighi contrattuali dei fornitori | Manuale, Disabilitato | 1.1.0 |
| Stabilire criteri per la gestione dei rischi della catena di approvvigionamento | CMA_0275 - Stabilire criteri per la gestione dei rischi della catena di approvvigionamento | Manuale, Disabilitato | 1.1.0 |
| Ottenere un piano di monitoraggio continuo per i controlli di sicurezza | CMA_C1577 - Ottenere un piano di monitoraggio continuo per i controlli di sicurezza | Manuale, Disabilitato | 1.1.0 |
| Richiedere ai fornitori di servizi esterni di rispettare i requisiti di sicurezza | CMA_C1586 - Richiedere ai fornitori di servizi esterni di rispettare i requisiti di sicurezza | Manuale, Disabilitato | 1.1.0 |
| Esaminare la conformità del provider di servizi cloud ai criteri e ai contratti | CMA_0469 - Esaminare la conformità del provider di servizi cloud ai criteri e ai contratti | Manuale, Disabilitato | 1.1.0 |
| Sottoporsi a una revisione indipendente della sicurezza | CMA_0515 - Sottoporsi a una revisione indipendente della sicurezza | Manuale, Disabilitato | 1.1.0 |
Il rischio per gli asset di informazioni associati con relazioni di provider di servizi di terze parti (TPSP) viene gestito
ID: PCI DSS v4.0 12.8.5 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Determinare gli obblighi contrattuali dei fornitori | CMA_0140 - Determinare gli obblighi contrattuali dei fornitori | Manuale, Disabilitato | 1.1.0 |
| Documentare i criteri di accettazione dei contratti di acquisizione | CMA_0187 - Documentare i criteri di accettazione dei contratti di acquisizione | Manuale, Disabilitato | 1.1.0 |
| Documentare la protezione dei dati personali nei contratti di acquisizione | CMA_0194 - Documentare la protezione dei dati personali nei contratti di acquisizione | Manuale, Disabilitato | 1.1.0 |
| Documentare la protezione delle informazioni di sicurezza nei contratti di acquisizione | CMA_0195 - Documentare la protezione delle informazioni di sicurezza nei contratti di acquisizione | Manuale, Disabilitato | 1.1.0 |
| Documentare i requisiti per l'utilizzo dei dati condivisi nei contratti | CMA_0197 - Documentare i requisiti per l'utilizzo dei dati condivisi nei contratti | Manuale, Disabilitato | 1.1.0 |
| Documentare i requisiti di controllo della sicurezza nei contratti di acquisizione | CMA_0199 - Documentare i requisiti di controllo della sicurezza nei contratti di acquisizione | Manuale, Disabilitato | 1.1.0 |
| Documentare i requisiti di documentazione della sicurezza nel contratto di acquisizione | CMA_0200 - Documentare i requisiti di documentazione della sicurezza nel contratto di acquisizione | Manuale, Disabilitato | 1.1.0 |
| Documentare i requisiti funzionali della sicurezza nei contratti di acquisizione | CMA_0201 - Documentare i requisiti funzionali della sicurezza nei contratti di acquisizione | Manuale, Disabilitato | 1.1.0 |
| Documentare i requisiti di complessità della sicurezza nei contratti di acquisizione | CMA_0203 - Documentare i requisiti di complessità della sicurezza nei contratti di acquisizione | Manuale, Disabilitato | 1.1.0 |
| Documentare l'ambiente del sistema informativo nei contratti di acquisizione | CMA_0205 - Documentare l'ambiente del sistema informativo nei contratti di acquisizione | Manuale, Disabilitato | 1.1.0 |
| Documentare la protezione dei dati dei titolari di carte nei contratti di terze parti | CMA_0207 - Documentare la protezione dei dati dei titolari di carte nei contratti di terze parti | Manuale, Disabilitato | 1.1.0 |
| Ottenere informazioni di progettazione e implementazione per i controlli di sicurezza | CMA_C1576 - Ottenere informazioni di progettazione e implementazione per i controlli di sicurezza | Manuale, Disabilitato | 1.1.1 |
| Ottenere le proprietà funzionali dei controlli di sicurezza | CMA_C1575 - Ottenere le proprietà funzionali dei controlli di sicurezza | Manuale, Disabilitato | 1.1.0 |
I provider di servizi di terze parti (TPSP) supportano la conformità PCI DSS dei propri clienti
ID: PCI DSS v4.0 12.9.1 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Definire i compiti dei processori | CMA_0127 - Definire i compiti dei processori | Manuale, Disabilitato | 1.1.0 |
| Registrare la divulgazione di dati personali a terze parti | CMA_0422 - Registrare le divulgazioni di dati personali a terzi | Manuale, Disabilitato | 1.1.0 |
| Richiedere ai fornitori di servizi esterni di rispettare i requisiti di sicurezza | CMA_C1586 - Richiedere ai fornitori di servizi esterni di rispettare i requisiti di sicurezza | Manuale, Disabilitato | 1.1.0 |
I provider di servizi di terze parti (TPSP) supportano la conformità PCI DSS dei propri clienti
ID: PCI DSS v4.0 12.9.2 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Richiedere ai fornitori di servizi esterni di rispettare i requisiti di sicurezza | CMA_C1586 - Richiedere ai fornitori di servizi esterni di rispettare i requisiti di sicurezza | Manuale, Disabilitato | 1.1.0 |
| Esaminare la conformità del provider di servizi cloud ai criteri e ai contratti | CMA_0469 - Esaminare la conformità del provider di servizi cloud ai criteri e ai contratti | Manuale, Disabilitato | 1.1.0 |
| Sottoporsi a una revisione indipendente della sicurezza | CMA_0515 - Sottoporsi a una revisione indipendente della sicurezza | Manuale, Disabilitato | 1.1.0 |
Requisito 02: Applicare configurazioni sicure a tutti i componenti di sistema
I processi e i meccanismi per l'applicazione di configurazioni sicure a tutti i componenti di sistema vengono definiti e riconosciuti
ID: PCI DSS v4.0 2.1.1 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Esaminare e aggiornare i criteri e le procedure di gestione della configurazione | CMA_C1175 - Esaminare e aggiornare i criteri e le procedure di gestione della configurazione | Manuale, Disabilitato | 1.1.0 |
I componenti di sistema vengono configurati e gestiti in modo sicuro
ID: PCI DSS v4.0 2.2.1 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Configurare le azioni per i dispositivi non conformi | CMA_0062: configurare le azioni per i dispositivi non conformi | Manuale, Disabilitato | 1.1.0 |
| Sviluppare e gestire le configurazioni di base | CMA_0153 - Sviluppare e gestire le configurazioni di base | Manuale, Disabilitato | 1.1.0 |
| Imporre le impostazioni della configurazione della sicurezza | CMA_0249 - Imporre le impostazioni della configurazione della sicurezza | Manuale, Disabilitato | 1.1.0 |
| Stabilire un comitato di controllo della configurazione | CMA_0254: stabilire un comitato di controllo della configurazione | Manuale, Disabilitato | 1.1.0 |
| Definire e documentare un piano di gestione della configurazione | CMA_0264 - Definire e documentare un piano di gestione della configurazione | Manuale, Disabilitato | 1.1.0 |
| Implementare uno strumento di gestione della configurazione automatizzato | CMA_0311 - Implementare uno strumento di gestione della configurazione automatizzato | Manuale, Disabilitato | 1.1.0 |
I componenti di sistema vengono configurati e gestiti in modo sicuro
ID: PCI DSS v4.0 2.2.2 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Gestire gli autenticatori | CMA_C1321 - Gestire gli autenticatori | Manuale, Disabilitato | 1.1.0 |
I componenti di sistema vengono configurati e gestiti in modo sicuro
ID: PCI DSS v4.0 2.2.5 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Imporre le impostazioni della configurazione della sicurezza | CMA_0249 - Imporre le impostazioni della configurazione della sicurezza | Manuale, Disabilitato | 1.1.0 |
| Correggere i difetti del sistema informativo | CMA_0427 - Correggere i difetti del sistema informativo | Manuale, Disabilitato | 1.1.0 |
I componenti di sistema vengono configurati e gestiti in modo sicuro
ID: PCI DSS v4.0 2.2.7 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Implementare meccanismi di crittografia | CMA_C1419 - Implementare meccanismi di crittografia | Manuale, Disabilitato | 1.1.0 |
Gli ambienti wireless vengono configurati e gestiti in modo sicuro
ID: PCI DSS v4.0 2.3.1 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Documentare e implementare le linee guida per l'accesso wireless | CMA_0190 - Documentare e implementare le linee guida per l'accesso wireless | Manuale, Disabilitato | 1.1.0 |
| Identificare e autenticare i dispositivi di rete | CMA_0296 - Identificare e autenticare i dispositivi di rete | Manuale, Disabilitato | 1.1.0 |
| Proteggere l'accesso wireless | CMA_0411 - Proteggere l'accesso wireless | Manuale, Disabilitato | 1.1.0 |
Gli ambienti wireless vengono configurati e gestiti in modo sicuro
ID: PCI DSS v4.0 2.3.2 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Documentare e implementare le linee guida per l'accesso wireless | CMA_0190 - Documentare e implementare le linee guida per l'accesso wireless | Manuale, Disabilitato | 1.1.0 |
| Identificare e autenticare i dispositivi di rete | CMA_0296 - Identificare e autenticare i dispositivi di rete | Manuale, Disabilitato | 1.1.0 |
| Proteggere l'accesso wireless | CMA_0411 - Proteggere l'accesso wireless | Manuale, Disabilitato | 1.1.0 |
Requisito 03: Proteggere i dati dell'account archiviati
I processi e i meccanismi per la protezione dei dati degli account archiviati sono definiti e riconosciuti
ID: PCI DSS v4.0 3.1.1 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Stabilire un programma per la privacy | CMA_0257 - Stabilire un programma per la privacy | Manuale, Disabilitato | 1.1.0 |
| Sviluppare criteri e procedure di protezione dei sistemi e delle comunicazioni | CMA_C1616 - Esaminare e aggiornare i criteri e le procedure di protezione del sistema e delle comunicazioni | Manuale, Disabilitato | 1.1.0 |
| Aggiornare il piano di privacy, i criteri e le procedure | CMA_C1807 - Aggiornare il piano di privacy, i criteri e le procedure | Manuale, Disabilitato | 1.1.0 |
L'archiviazione dei dati degli account viene mantenuta al minimo
ID: PCI DSS v4.0 3.2.1 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Rispettare i periodi di conservazione definiti | CMA_0004 - Rispettare i periodi di conservazione definiti | Manuale, Disabilitato | 1.1.0 |
| Controllare l'accesso fisico | CMA_0081 - Controllare l'accesso fisico | Manuale, Disabilitato | 1.1.0 |
| Documentare la base giuridica per il trattamento dei dati personali | CMA_0206 - Documentare la base giuridica per il trattamento dei dati personali | Manuale, Disabilitato | 1.1.0 |
| Gestire l'input, l'output, l'elaborazione e l'archiviazione dei dati | CMA_0369 - Gestire l'input, l'output, l'elaborazione e l'archiviazione dei dati | Manuale, Disabilitato | 1.1.0 |
| Ottenere il consenso prima della raccolta o dell'elaborazione dei dati personali | CMA_0385 - Ottenere il consenso prima della raccolta o dell'elaborazione dei dati personali | Manuale, Disabilitato | 1.1.0 |
| Eseguire la revisione per l'eliminazione | CMA_0391 - Eseguire la revisione per l'eliminazione | Manuale, Disabilitato | 1.1.0 |
| Rivedere attività e analisi delle etichette | CMA_0474 - Rivedere attività e analisi delle etichette | Manuale, Disabilitato | 1.1.0 |
| Verificare che i dati personali vengano eliminati al termine dell'elaborazione | CMA_0540 - Verificare che i dati personali vengano eliminati al termine dell'elaborazione | Manuale, Disabilitato | 1.1.0 |
I dati di autenticazione sensibili non vengono archiviati dopo l'autorizzazione
ID: PCI DSS v4.0 3.3.1 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Rispettare i periodi di conservazione definiti | CMA_0004 - Rispettare i periodi di conservazione definiti | Manuale, Disabilitato | 1.1.0 |
| Documentare la base giuridica per il trattamento dei dati personali | CMA_0206 - Documentare la base giuridica per il trattamento dei dati personali | Manuale, Disabilitato | 1.1.0 |
| Implementare metodi di distribuzione dell'informativa sulla privacy | CMA_0324 - Implementare metodi di distribuzione dell'informativa sulla privacy | Manuale, Disabilitato | 1.1.0 |
| Ottenere il consenso prima della raccolta o dell'elaborazione dei dati personali | CMA_0385 - Ottenere il consenso prima della raccolta o dell'elaborazione dei dati personali | Manuale, Disabilitato | 1.1.0 |
| Eseguire la revisione per l'eliminazione | CMA_0391 - Eseguire la revisione per l'eliminazione | Manuale, Disabilitato | 1.1.0 |
| Fornire l'informativa sulla privacy | CMA_0414 - Fornire l'informativa sulla privacy | Manuale, Disabilitato | 1.1.0 |
| Limitare le comunicazioni | CMA_0449 - Limitare le comunicazioni | Manuale, Disabilitato | 1.1.0 |
| Verificare che i dati personali vengano eliminati al termine dell'elaborazione | CMA_0540 - Verificare che i dati personali vengano eliminati al termine dell'elaborazione | Manuale, Disabilitato | 1.1.0 |
I dati di autenticazione sensibili non vengono archiviati dopo l'autorizzazione
ID: PCI DSS v4.0 3.3.1.1 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Rispettare i periodi di conservazione definiti | CMA_0004 - Rispettare i periodi di conservazione definiti | Manuale, Disabilitato | 1.1.0 |
| Documentare la base giuridica per il trattamento dei dati personali | CMA_0206 - Documentare la base giuridica per il trattamento dei dati personali | Manuale, Disabilitato | 1.1.0 |
| Implementare metodi di distribuzione dell'informativa sulla privacy | CMA_0324 - Implementare metodi di distribuzione dell'informativa sulla privacy | Manuale, Disabilitato | 1.1.0 |
| Ottenere il consenso prima della raccolta o dell'elaborazione dei dati personali | CMA_0385 - Ottenere il consenso prima della raccolta o dell'elaborazione dei dati personali | Manuale, Disabilitato | 1.1.0 |
| Eseguire la revisione per l'eliminazione | CMA_0391 - Eseguire la revisione per l'eliminazione | Manuale, Disabilitato | 1.1.0 |
| Fornire l'informativa sulla privacy | CMA_0414 - Fornire l'informativa sulla privacy | Manuale, Disabilitato | 1.1.0 |
| Limitare le comunicazioni | CMA_0449 - Limitare le comunicazioni | Manuale, Disabilitato | 1.1.0 |
| Verificare che i dati personali vengano eliminati al termine dell'elaborazione | CMA_0540 - Verificare che i dati personali vengano eliminati al termine dell'elaborazione | Manuale, Disabilitato | 1.1.0 |
I dati di autenticazione sensibili non vengono archiviati dopo l'autorizzazione
ID: PCI DSS v4.0 3.3.1.2 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Documentare la base giuridica per il trattamento dei dati personali | CMA_0206 - Documentare la base giuridica per il trattamento dei dati personali | Manuale, Disabilitato | 1.1.0 |
| Implementare metodi di distribuzione dell'informativa sulla privacy | CMA_0324 - Implementare metodi di distribuzione dell'informativa sulla privacy | Manuale, Disabilitato | 1.1.0 |
| Ottenere il consenso prima della raccolta o dell'elaborazione dei dati personali | CMA_0385 - Ottenere il consenso prima della raccolta o dell'elaborazione dei dati personali | Manuale, Disabilitato | 1.1.0 |
| Fornire l'informativa sulla privacy | CMA_0414 - Fornire l'informativa sulla privacy | Manuale, Disabilitato | 1.1.0 |
| Limitare le comunicazioni | CMA_0449 - Limitare le comunicazioni | Manuale, Disabilitato | 1.1.0 |
I dati di autenticazione sensibili non vengono archiviati dopo l'autorizzazione
ID: PCI DSS v4.0 3.3.1.3 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Rispettare i periodi di conservazione definiti | CMA_0004 - Rispettare i periodi di conservazione definiti | Manuale, Disabilitato | 1.1.0 |
| Documentare la base giuridica per il trattamento dei dati personali | CMA_0206 - Documentare la base giuridica per il trattamento dei dati personali | Manuale, Disabilitato | 1.1.0 |
| Implementare metodi di distribuzione dell'informativa sulla privacy | CMA_0324 - Implementare metodi di distribuzione dell'informativa sulla privacy | Manuale, Disabilitato | 1.1.0 |
| Ottenere il consenso prima della raccolta o dell'elaborazione dei dati personali | CMA_0385 - Ottenere il consenso prima della raccolta o dell'elaborazione dei dati personali | Manuale, Disabilitato | 1.1.0 |
| Eseguire la revisione per l'eliminazione | CMA_0391 - Eseguire la revisione per l'eliminazione | Manuale, Disabilitato | 1.1.0 |
| Fornire l'informativa sulla privacy | CMA_0414 - Fornire l'informativa sulla privacy | Manuale, Disabilitato | 1.1.0 |
| Limitare le comunicazioni | CMA_0449 - Limitare le comunicazioni | Manuale, Disabilitato | 1.1.0 |
| Verificare che i dati personali vengano eliminati al termine dell'elaborazione | CMA_0540 - Verificare che i dati personali vengano eliminati al termine dell'elaborazione | Manuale, Disabilitato | 1.1.0 |
I dati di autenticazione sensibili non vengono archiviati dopo l'autorizzazione
ID: PCI DSS v4.0 3.3.2 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Eseguire l'autenticazione al modulo di crittografia | CMA_0021 - Eseguire l'autenticazione al modulo di crittografia | Manuale, Disabilitato | 1.1.0 |
I dati di autenticazione sensibili non vengono archiviati dopo l'autorizzazione
ID: PCI DSS v4.0 3.3.3 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Per gli account con autorizzazioni di proprietario nelle risorse di Azure deve essere abilitata l'autenticazione a più fattori | È necessario abilitare Multi-Factor Authentication (MFA) per tutti gli account della sottoscrizione con autorizzazioni di proprietario per evitare una violazione di account o risorse. | AuditIfNotExists, Disabled | 1.0.0 |
| Per gli account con autorizzazioni di scrittura nelle risorse di Azure deve essere abilitata l'autenticazione a più fattori | È necessario abilitare Multi-Factor Authentication (MFA) per tutti gli account della sottoscrizione con privilegi di scrittura per evitare una violazione di account o risorse. | AuditIfNotExists, Disabled | 1.0.0 |
| È consigliabile effettuare il provisioning di un amministratore di Azure Active Directory per i server SQL | Controlla il provisioning di un amministratore di Azure Active Directory per il server SQL per abilitare l'autenticazione di Azure AD. L'autenticazione di Azure AD consente una gestione semplificata delle autorizzazioni e una gestione centralizzata delle identità di utenti di database e di altri servizi Microsoft | AuditIfNotExists, Disabled | 1.0.0 |
| Controllare l'utilizzo dei ruoli Controllo degli accessi in base al ruolo (RBAC) personalizzati | Controlla i ruoli predefiniti, ad esempio "Proprietario, Collaboratore, Lettore" invece che i ruoli Controllo degli accessi in base al ruolo personalizzati, che sono soggetti a errori. L'uso di ruoli personalizzati è considerato un'eccezione e richiede una revisione rigorosa e la modellazione delle minacce | Audit, Disabled | 1.0.1 |
| Eseguire l'autenticazione al modulo di crittografia | CMA_0021 - Eseguire l'autenticazione al modulo di crittografia | Manuale, Disabilitato | 1.1.0 |
| Documentare la base giuridica per il trattamento dei dati personali | CMA_0206 - Documentare la base giuridica per il trattamento dei dati personali | Manuale, Disabilitato | 1.1.0 |
| Gli account guest con autorizzazioni di proprietario nelle risorse di Azure devono essere rimossi | È necessario rimuovere dalla sottoscrizione gli account esterni con autorizzazioni di proprietario in modo da evitare l'accesso non monitorato. | AuditIfNotExists, Disabled | 1.0.0 |
| Gli account guest con autorizzazioni di lettura nelle risorse di Azure devono essere rimossi | È necessario rimuovere dalla sottoscrizione gli account esterni con privilegi di lettura in modo da evitare l'accesso non monitorato. | AuditIfNotExists, Disabled | 1.0.0 |
| Gli account guest con autorizzazioni di scrittura nelle risorse di Azure devono essere rimossi | È necessario rimuovere dalla sottoscrizione gli account esterni con privilegi di scrittura in modo da evitare l'accesso non monitorato. | AuditIfNotExists, Disabled | 1.0.0 |
| Implementare metodi di distribuzione dell'informativa sulla privacy | CMA_0324 - Implementare metodi di distribuzione dell'informativa sulla privacy | Manuale, Disabilitato | 1.1.0 |
| Ottenere il consenso prima della raccolta o dell'elaborazione dei dati personali | CMA_0385 - Ottenere il consenso prima della raccolta o dell'elaborazione dei dati personali | Manuale, Disabilitato | 1.1.0 |
| Fornire l'informativa sulla privacy | CMA_0414 - Fornire l'informativa sulla privacy | Manuale, Disabilitato | 1.1.0 |
| Limitare le comunicazioni | CMA_0449 - Limitare le comunicazioni | Manuale, Disabilitato | 1.1.0 |
L'accesso alla visualizzazione del PAN completo e la possibilità di copiare i dati dei titolari di carte sono limitati
ID: PCI DSS v4.0 3.4.1 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Implementare metodi di distribuzione dell'informativa sulla privacy | CMA_0324 - Implementare metodi di distribuzione dell'informativa sulla privacy | Manuale, Disabilitato | 1.1.0 |
| Fornire l'informativa sulla privacy | CMA_0414 - Fornire l'informativa sulla privacy | Manuale, Disabilitato | 1.1.0 |
| Limitare le comunicazioni | CMA_0449 - Limitare le comunicazioni | Manuale, Disabilitato | 1.1.0 |
L'accesso alla visualizzazione del PAN completo e la possibilità di copiare i dati dei titolari di carte sono limitati
ID: PCI DSS v4.0 3.4.2 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Implementare metodi di distribuzione dell'informativa sulla privacy | CMA_0324 - Implementare metodi di distribuzione dell'informativa sulla privacy | Manuale, Disabilitato | 1.1.0 |
| Fornire l'informativa sulla privacy | CMA_0414 - Fornire l'informativa sulla privacy | Manuale, Disabilitato | 1.1.0 |
| Limitare le comunicazioni | CMA_0449 - Limitare le comunicazioni | Manuale, Disabilitato | 1.1.0 |
Il numero del conto primario (PAN) è protetto ovunque sia archiviato
ID: PCI DSS v4.0 3.5.1 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Il Servizio app deve essere accessibile solo tramite HTTPS | L'uso di HTTPS assicura l'autenticazione di server/servizi e protegge i dati in transito da attacchi di intercettazione a livello rete. | Audit, Disabled, Deny | 4.0.0 |
| Le variabili dell'account di automazione devono essere crittografate | È importante abilitare la crittografia degli asset della variabile dell'account di Automazione quando si archiviano dati sensibili | Audit, Deny, Disabled | 1.1.0 |
| Stabilire una procedura di gestione delle perdite di dati | CMA_0255: stabilire una procedura di gestione delle perdite di dati | Manuale, Disabilitato | 1.1.0 |
| Le app per le funzioni devono essere accessibili solo tramite HTTPS | L'uso di HTTPS assicura l'autenticazione di server/servizi e protegge i dati in transito da attacchi di intercettazione a livello rete. | Audit, Disabled, Deny | 5.0.0 |
| Implementare i controlli per proteggere tutti i supporti | CMA_0314 - Implementare i controlli per proteggere tutti i supporti | Manuale, Disabilitato | 1.1.0 |
| Devono essere abilitate solo le connessioni sicure alla cache di Azure per Redis | Controllare l'abilitazione delle sole connessioni tramite SSL a Cache Redis. L'uso di connessioni sicure garantisce l'autenticazione tra il server e il servizio e protegge i dati in transito dagli attacchi a livello rete, come attacchi man-in-the-middle, eavesdropping e hijack della sessione | Audit, Deny, Disabled | 1.0.0 |
| Proteggere i dati in movimento mediante la crittografia | CMA_0403 - Proteggere i dati in movimento mediante la crittografia | Manuale, Disabilitato | 1.1.0 |
| Proteggere le informazioni speciali | CMA_0409: proteggere le informazioni speciali | Manuale, Disabilitato | 1.1.0 |
| È consigliabile abilitare il trasferimento sicuro agli account di archiviazione | Requisito di controllo del trasferimento sicuro nell'account di archiviazione. Il trasferimento sicuro è un'opzione che impone all'account di archiviazione di accettare richieste solo da connessioni protette (HTTPS). L'uso di HTTPS garantisce l'autenticazione tra il server e il servizio e protegge i dati in transito dagli attacchi a livello rete, come attacchi man-in-the-middle, eavesdropping e hijack della sessione | Audit, Deny, Disabled | 2.0.0 |
| La proprietà ClusterProtectionLevel dei cluster di Service Fabric dovrebbe essere impostata su EncryptAndSign | Service Fabric offre tre livelli di protezione (None, Sign ed EncryptAndSign) per la comunicazione da nodo a nodo mediante un certificato cluster primario. Impostare il livello di protezione per garantire che tutti i messaggi da nodo a nodo vengano crittografati e firmati digitalmente | Audit, Deny, Disabled | 1.1.0 |
| È consigliabile abilitare Transparent Data Encryption nei database SQL | Abilitare Transparent Data Encryption per proteggere i dati inattivi e rispettare i requisiti relativi alla conformità | AuditIfNotExists, Disabled | 2.0.0 |
Il numero del conto primario (PAN) è protetto ovunque sia archiviato
ID: PCI DSS v4.0 3.5.1.1 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Stabilire una procedura di gestione delle perdite di dati | CMA_0255: stabilire una procedura di gestione delle perdite di dati | Manuale, Disabilitato | 1.1.0 |
| Implementare i controlli per proteggere tutti i supporti | CMA_0314 - Implementare i controlli per proteggere tutti i supporti | Manuale, Disabilitato | 1.1.0 |
| Proteggere i dati in movimento mediante la crittografia | CMA_0403 - Proteggere i dati in movimento mediante la crittografia | Manuale, Disabilitato | 1.1.0 |
| Proteggere le informazioni speciali | CMA_0409: proteggere le informazioni speciali | Manuale, Disabilitato | 1.1.0 |
Il numero del conto primario (PAN) è protetto ovunque sia archiviato
ID: PCI DSS v4.0 3.5.1.2 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Stabilire una procedura di gestione delle perdite di dati | CMA_0255: stabilire una procedura di gestione delle perdite di dati | Manuale, Disabilitato | 1.1.0 |
| Implementare i controlli per proteggere tutti i supporti | CMA_0314 - Implementare i controlli per proteggere tutti i supporti | Manuale, Disabilitato | 1.1.0 |
| Proteggere i dati in movimento mediante la crittografia | CMA_0403 - Proteggere i dati in movimento mediante la crittografia | Manuale, Disabilitato | 1.1.0 |
| Proteggere le informazioni speciali | CMA_0409: proteggere le informazioni speciali | Manuale, Disabilitato | 1.1.0 |
Il numero del conto primario (PAN) è protetto ovunque sia archiviato
ID: PCI DSS v4.0 3.5.1.3 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Stabilire una procedura di gestione delle perdite di dati | CMA_0255: stabilire una procedura di gestione delle perdite di dati | Manuale, Disabilitato | 1.1.0 |
| Implementare i controlli per proteggere tutti i supporti | CMA_0314 - Implementare i controlli per proteggere tutti i supporti | Manuale, Disabilitato | 1.1.0 |
| Proteggere i dati in movimento mediante la crittografia | CMA_0403 - Proteggere i dati in movimento mediante la crittografia | Manuale, Disabilitato | 1.1.0 |
| Proteggere le informazioni speciali | CMA_0409: proteggere le informazioni speciali | Manuale, Disabilitato | 1.1.0 |
Le chiavi crittografiche usate per proteggere i dati degli account archiviati sono protette
ID: PCI DSS v4.0 3.6.1 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Definire un processo di gestione delle chiavi fisiche | CMA_0115 - Definire un processo di gestione delle chiavi fisiche | Manuale, Disabilitato | 1.1.0 |
| Definire l'utilizzo della crittografia | CMA_0120 - Definire l'utilizzo della crittografia | Manuale, Disabilitato | 1.1.0 |
| Definire i requisiti aziendali per la gestione delle chiavi crittografiche | CMA_0123 - Definire i requisiti aziendali per la gestione delle chiavi crittografiche | Manuale, Disabilitato | 1.1.0 |
| Determinare i requisiti di asserzione | CMA_0136 - Determinare i requisiti di asserzione | Manuale, Disabilitato | 1.1.0 |
| Rilasciare certificati a chiave pubblica | CMA_0347 - Rilasciare certificati a chiave pubblica | Manuale, Disabilitato | 1.1.0 |
| Gestire le chiavi crittografiche simmetriche | CMA_0367 - Gestire le chiavi crittografiche simmetriche | Manuale, Disabilitato | 1.1.0 |
| Limitare l'accesso alle chiavi private | CMA_0445 - Limitare l'accesso alle chiavi private | Manuale, Disabilitato | 1.1.0 |
Le chiavi crittografiche usate per proteggere i dati degli account archiviati sono protette
ID: PCI DSS v4.0 3.6.1.1 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Definire un processo di gestione delle chiavi fisiche | CMA_0115 - Definire un processo di gestione delle chiavi fisiche | Manuale, Disabilitato | 1.1.0 |
| Definire l'utilizzo della crittografia | CMA_0120 - Definire l'utilizzo della crittografia | Manuale, Disabilitato | 1.1.0 |
| Definire i requisiti aziendali per la gestione delle chiavi crittografiche | CMA_0123 - Definire i requisiti aziendali per la gestione delle chiavi crittografiche | Manuale, Disabilitato | 1.1.0 |
| Determinare i requisiti di asserzione | CMA_0136 - Determinare i requisiti di asserzione | Manuale, Disabilitato | 1.1.0 |
| Rilasciare certificati a chiave pubblica | CMA_0347 - Rilasciare certificati a chiave pubblica | Manuale, Disabilitato | 1.1.0 |
| Gestire le chiavi crittografiche simmetriche | CMA_0367 - Gestire le chiavi crittografiche simmetriche | Manuale, Disabilitato | 1.1.0 |
| Limitare l'accesso alle chiavi private | CMA_0445 - Limitare l'accesso alle chiavi private | Manuale, Disabilitato | 1.1.0 |
Le chiavi crittografiche usate per proteggere i dati degli account archiviati sono protette
ID: PCI DSS v4.0 3.6.1.2 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Definire un processo di gestione delle chiavi fisiche | CMA_0115 - Definire un processo di gestione delle chiavi fisiche | Manuale, Disabilitato | 1.1.0 |
| Definire l'utilizzo della crittografia | CMA_0120 - Definire l'utilizzo della crittografia | Manuale, Disabilitato | 1.1.0 |
| Definire i requisiti aziendali per la gestione delle chiavi crittografiche | CMA_0123 - Definire i requisiti aziendali per la gestione delle chiavi crittografiche | Manuale, Disabilitato | 1.1.0 |
| Determinare i requisiti di asserzione | CMA_0136 - Determinare i requisiti di asserzione | Manuale, Disabilitato | 1.1.0 |
| Rilasciare certificati a chiave pubblica | CMA_0347 - Rilasciare certificati a chiave pubblica | Manuale, Disabilitato | 1.1.0 |
| Gestire le chiavi crittografiche simmetriche | CMA_0367 - Gestire le chiavi crittografiche simmetriche | Manuale, Disabilitato | 1.1.0 |
| Produrre, controllare e distribuire chiavi crittografiche simmetriche | CMA_C1645 - Produci, controlla e distribuisci chiavi crittografiche simmetriche | Manuale, Disabilitato | 1.1.0 |
| Limitare l'accesso alle chiavi private | CMA_0445 - Limitare l'accesso alle chiavi private | Manuale, Disabilitato | 1.1.0 |
Le chiavi crittografiche usate per proteggere i dati degli account archiviati sono protette
ID: PCI DSS v4.0 3.6.1.3 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Definire un processo di gestione delle chiavi fisiche | CMA_0115 - Definire un processo di gestione delle chiavi fisiche | Manuale, Disabilitato | 1.1.0 |
| Definire l'utilizzo della crittografia | CMA_0120 - Definire l'utilizzo della crittografia | Manuale, Disabilitato | 1.1.0 |
| Definire i requisiti aziendali per la gestione delle chiavi crittografiche | CMA_0123 - Definire i requisiti aziendali per la gestione delle chiavi crittografiche | Manuale, Disabilitato | 1.1.0 |
| Determinare i requisiti di asserzione | CMA_0136 - Determinare i requisiti di asserzione | Manuale, Disabilitato | 1.1.0 |
| Rilasciare certificati a chiave pubblica | CMA_0347 - Rilasciare certificati a chiave pubblica | Manuale, Disabilitato | 1.1.0 |
| Gestire le chiavi crittografiche simmetriche | CMA_0367 - Gestire le chiavi crittografiche simmetriche | Manuale, Disabilitato | 1.1.0 |
| Limitare l'accesso alle chiavi private | CMA_0445 - Limitare l'accesso alle chiavi private | Manuale, Disabilitato | 1.1.0 |
Le chiavi crittografiche usate per proteggere i dati degli account archiviati sono protette
ID: PCI DSS v4.0 3.6.1.4 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Definire un processo di gestione delle chiavi fisiche | CMA_0115 - Definire un processo di gestione delle chiavi fisiche | Manuale, Disabilitato | 1.1.0 |
| Definire l'utilizzo della crittografia | CMA_0120 - Definire l'utilizzo della crittografia | Manuale, Disabilitato | 1.1.0 |
| Definire i requisiti aziendali per la gestione delle chiavi crittografiche | CMA_0123 - Definire i requisiti aziendali per la gestione delle chiavi crittografiche | Manuale, Disabilitato | 1.1.0 |
| Determinare i requisiti di asserzione | CMA_0136 - Determinare i requisiti di asserzione | Manuale, Disabilitato | 1.1.0 |
| Rilasciare certificati a chiave pubblica | CMA_0347 - Rilasciare certificati a chiave pubblica | Manuale, Disabilitato | 1.1.0 |
| Gestire le chiavi crittografiche simmetriche | CMA_0367 - Gestire le chiavi crittografiche simmetriche | Manuale, Disabilitato | 1.1.0 |
| Limitare l'accesso alle chiavi private | CMA_0445 - Limitare l'accesso alle chiavi private | Manuale, Disabilitato | 1.1.0 |
Dove la crittografia viene usata per proteggere i dati degli account archiviati, i processi e le procedure di gestione delle chiavi che coprono tutti gli aspetti del ciclo di vita delle chiavi vengono definiti e implementati
ID: PCI DSS v4.0 3.7.1 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Definire un processo di gestione delle chiavi fisiche | CMA_0115 - Definire un processo di gestione delle chiavi fisiche | Manuale, Disabilitato | 1.1.0 |
| Definire l'utilizzo della crittografia | CMA_0120 - Definire l'utilizzo della crittografia | Manuale, Disabilitato | 1.1.0 |
| Definire i requisiti aziendali per la gestione delle chiavi crittografiche | CMA_0123 - Definire i requisiti aziendali per la gestione delle chiavi crittografiche | Manuale, Disabilitato | 1.1.0 |
| Determinare i requisiti di asserzione | CMA_0136 - Determinare i requisiti di asserzione | Manuale, Disabilitato | 1.1.0 |
| Rilasciare certificati a chiave pubblica | CMA_0347 - Rilasciare certificati a chiave pubblica | Manuale, Disabilitato | 1.1.0 |
| Gestire le chiavi crittografiche simmetriche | CMA_0367 - Gestire le chiavi crittografiche simmetriche | Manuale, Disabilitato | 1.1.0 |
| Limitare l'accesso alle chiavi private | CMA_0445 - Limitare l'accesso alle chiavi private | Manuale, Disabilitato | 1.1.0 |
Dove la crittografia viene usata per proteggere i dati degli account archiviati, i processi e le procedure di gestione delle chiavi che coprono tutti gli aspetti del ciclo di vita delle chiavi vengono definiti e implementati
ID: PCI DSS v4.0 3.7.2 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Definire un processo di gestione delle chiavi fisiche | CMA_0115 - Definire un processo di gestione delle chiavi fisiche | Manuale, Disabilitato | 1.1.0 |
| Definire l'utilizzo della crittografia | CMA_0120 - Definire l'utilizzo della crittografia | Manuale, Disabilitato | 1.1.0 |
| Definire i requisiti aziendali per la gestione delle chiavi crittografiche | CMA_0123 - Definire i requisiti aziendali per la gestione delle chiavi crittografiche | Manuale, Disabilitato | 1.1.0 |
| Determinare i requisiti di asserzione | CMA_0136 - Determinare i requisiti di asserzione | Manuale, Disabilitato | 1.1.0 |
| Rilasciare certificati a chiave pubblica | CMA_0347 - Rilasciare certificati a chiave pubblica | Manuale, Disabilitato | 1.1.0 |
| Gestire le chiavi crittografiche simmetriche | CMA_0367 - Gestire le chiavi crittografiche simmetriche | Manuale, Disabilitato | 1.1.0 |
| Produrre, controllare e distribuire chiavi crittografiche simmetriche | CMA_C1645 - Produci, controlla e distribuisci chiavi crittografiche simmetriche | Manuale, Disabilitato | 1.1.0 |
| Limitare l'accesso alle chiavi private | CMA_0445 - Limitare l'accesso alle chiavi private | Manuale, Disabilitato | 1.1.0 |
Dove la crittografia viene usata per proteggere i dati degli account archiviati, i processi e le procedure di gestione delle chiavi che coprono tutti gli aspetti del ciclo di vita delle chiavi vengono definiti e implementati
ID: PCI DSS v4.0 3.7.3 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Definire un processo di gestione delle chiavi fisiche | CMA_0115 - Definire un processo di gestione delle chiavi fisiche | Manuale, Disabilitato | 1.1.0 |
| Definire l'utilizzo della crittografia | CMA_0120 - Definire l'utilizzo della crittografia | Manuale, Disabilitato | 1.1.0 |
| Definire i requisiti aziendali per la gestione delle chiavi crittografiche | CMA_0123 - Definire i requisiti aziendali per la gestione delle chiavi crittografiche | Manuale, Disabilitato | 1.1.0 |
| Determinare i requisiti di asserzione | CMA_0136 - Determinare i requisiti di asserzione | Manuale, Disabilitato | 1.1.0 |
| Rilasciare certificati a chiave pubblica | CMA_0347 - Rilasciare certificati a chiave pubblica | Manuale, Disabilitato | 1.1.0 |
| Mantenere la disponibilità delle informazioni | CMA_C1644: mantenere la disponibilità delle informazioni | Manuale, Disabilitato | 1.1.0 |
| Gestire le chiavi crittografiche simmetriche | CMA_0367 - Gestire le chiavi crittografiche simmetriche | Manuale, Disabilitato | 1.1.0 |
| Produrre, controllare e distribuire chiavi crittografiche simmetriche | CMA_C1645 - Produci, controlla e distribuisci chiavi crittografiche simmetriche | Manuale, Disabilitato | 1.1.0 |
| Limitare l'accesso alle chiavi private | CMA_0445 - Limitare l'accesso alle chiavi private | Manuale, Disabilitato | 1.1.0 |
Dove la crittografia viene usata per proteggere i dati degli account archiviati, i processi e le procedure di gestione delle chiavi che coprono tutti gli aspetti del ciclo di vita delle chiavi vengono definiti e implementati
ID: PCI DSS v4.0 3.7.4 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Definire un processo di gestione delle chiavi fisiche | CMA_0115 - Definire un processo di gestione delle chiavi fisiche | Manuale, Disabilitato | 1.1.0 |
| Definire l'utilizzo della crittografia | CMA_0120 - Definire l'utilizzo della crittografia | Manuale, Disabilitato | 1.1.0 |
| Definire i requisiti aziendali per la gestione delle chiavi crittografiche | CMA_0123 - Definire i requisiti aziendali per la gestione delle chiavi crittografiche | Manuale, Disabilitato | 1.1.0 |
| Determinare i requisiti di asserzione | CMA_0136 - Determinare i requisiti di asserzione | Manuale, Disabilitato | 1.1.0 |
| Rilasciare certificati a chiave pubblica | CMA_0347 - Rilasciare certificati a chiave pubblica | Manuale, Disabilitato | 1.1.0 |
| Gestire le chiavi crittografiche simmetriche | CMA_0367 - Gestire le chiavi crittografiche simmetriche | Manuale, Disabilitato | 1.1.0 |
| Limitare l'accesso alle chiavi private | CMA_0445 - Limitare l'accesso alle chiavi private | Manuale, Disabilitato | 1.1.0 |
Dove la crittografia viene usata per proteggere i dati degli account archiviati, i processi e le procedure di gestione delle chiavi che coprono tutti gli aspetti del ciclo di vita delle chiavi vengono definiti e implementati
ID: PCI DSS v4.0 3.7.5 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Definire un processo di gestione delle chiavi fisiche | CMA_0115 - Definire un processo di gestione delle chiavi fisiche | Manuale, Disabilitato | 1.1.0 |
| Definire l'utilizzo della crittografia | CMA_0120 - Definire l'utilizzo della crittografia | Manuale, Disabilitato | 1.1.0 |
| Definire i requisiti aziendali per la gestione delle chiavi crittografiche | CMA_0123 - Definire i requisiti aziendali per la gestione delle chiavi crittografiche | Manuale, Disabilitato | 1.1.0 |
| Determinare i requisiti di asserzione | CMA_0136 - Determinare i requisiti di asserzione | Manuale, Disabilitato | 1.1.0 |
| Rilasciare certificati a chiave pubblica | CMA_0347 - Rilasciare certificati a chiave pubblica | Manuale, Disabilitato | 1.1.0 |
| Gestire le chiavi crittografiche simmetriche | CMA_0367 - Gestire le chiavi crittografiche simmetriche | Manuale, Disabilitato | 1.1.0 |
| Limitare l'accesso alle chiavi private | CMA_0445 - Limitare l'accesso alle chiavi private | Manuale, Disabilitato | 1.1.0 |
Dove la crittografia viene usata per proteggere i dati degli account archiviati, i processi e le procedure di gestione delle chiavi che coprono tutti gli aspetti del ciclo di vita delle chiavi vengono definiti e implementati
ID: PCI DSS v4.0 3.7.6 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Definire un processo di gestione delle chiavi fisiche | CMA_0115 - Definire un processo di gestione delle chiavi fisiche | Manuale, Disabilitato | 1.1.0 |
| Definire l'utilizzo della crittografia | CMA_0120 - Definire l'utilizzo della crittografia | Manuale, Disabilitato | 1.1.0 |
| Definire i requisiti aziendali per la gestione delle chiavi crittografiche | CMA_0123 - Definire i requisiti aziendali per la gestione delle chiavi crittografiche | Manuale, Disabilitato | 1.1.0 |
| Determinare i requisiti di asserzione | CMA_0136 - Determinare i requisiti di asserzione | Manuale, Disabilitato | 1.1.0 |
| Rilasciare certificati a chiave pubblica | CMA_0347 - Rilasciare certificati a chiave pubblica | Manuale, Disabilitato | 1.1.0 |
| Gestire le chiavi crittografiche simmetriche | CMA_0367 - Gestire le chiavi crittografiche simmetriche | Manuale, Disabilitato | 1.1.0 |
| Limitare l'accesso alle chiavi private | CMA_0445 - Limitare l'accesso alle chiavi private | Manuale, Disabilitato | 1.1.0 |
Dove la crittografia viene usata per proteggere i dati degli account archiviati, i processi e le procedure di gestione delle chiavi che coprono tutti gli aspetti del ciclo di vita delle chiavi vengono definiti e implementati
ID: PCI DSS v4.0 3.7.7 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Definire un processo di gestione delle chiavi fisiche | CMA_0115 - Definire un processo di gestione delle chiavi fisiche | Manuale, Disabilitato | 1.1.0 |
| Definire l'utilizzo della crittografia | CMA_0120 - Definire l'utilizzo della crittografia | Manuale, Disabilitato | 1.1.0 |
| Definire i requisiti aziendali per la gestione delle chiavi crittografiche | CMA_0123 - Definire i requisiti aziendali per la gestione delle chiavi crittografiche | Manuale, Disabilitato | 1.1.0 |
| Determinare i requisiti di asserzione | CMA_0136 - Determinare i requisiti di asserzione | Manuale, Disabilitato | 1.1.0 |
| Rilasciare certificati a chiave pubblica | CMA_0347 - Rilasciare certificati a chiave pubblica | Manuale, Disabilitato | 1.1.0 |
| Gestire le chiavi crittografiche simmetriche | CMA_0367 - Gestire le chiavi crittografiche simmetriche | Manuale, Disabilitato | 1.1.0 |
| Limitare l'accesso alle chiavi private | CMA_0445 - Limitare l'accesso alle chiavi private | Manuale, Disabilitato | 1.1.0 |
Dove la crittografia viene usata per proteggere i dati degli account archiviati, i processi e le procedure di gestione delle chiavi che coprono tutti gli aspetti del ciclo di vita delle chiavi vengono definiti e implementati
ID: PCI DSS v4.0 3.7.8 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Definire un processo di gestione delle chiavi fisiche | CMA_0115 - Definire un processo di gestione delle chiavi fisiche | Manuale, Disabilitato | 1.1.0 |
| Definire l'utilizzo della crittografia | CMA_0120 - Definire l'utilizzo della crittografia | Manuale, Disabilitato | 1.1.0 |
| Definire i requisiti aziendali per la gestione delle chiavi crittografiche | CMA_0123 - Definire i requisiti aziendali per la gestione delle chiavi crittografiche | Manuale, Disabilitato | 1.1.0 |
| Determinare i requisiti di asserzione | CMA_0136 - Determinare i requisiti di asserzione | Manuale, Disabilitato | 1.1.0 |
| Rilasciare certificati a chiave pubblica | CMA_0347 - Rilasciare certificati a chiave pubblica | Manuale, Disabilitato | 1.1.0 |
| Gestire le chiavi crittografiche simmetriche | CMA_0367 - Gestire le chiavi crittografiche simmetriche | Manuale, Disabilitato | 1.1.0 |
| Limitare l'accesso alle chiavi private | CMA_0445 - Limitare l'accesso alle chiavi private | Manuale, Disabilitato | 1.1.0 |
Dove la crittografia viene usata per proteggere i dati degli account archiviati, i processi e le procedure di gestione delle chiavi che coprono tutti gli aspetti del ciclo di vita delle chiavi vengono definiti e implementati
ID: PCI DSS v4.0 3.7.9 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Definire un processo di gestione delle chiavi fisiche | CMA_0115 - Definire un processo di gestione delle chiavi fisiche | Manuale, Disabilitato | 1.1.0 |
| Definire l'utilizzo della crittografia | CMA_0120 - Definire l'utilizzo della crittografia | Manuale, Disabilitato | 1.1.0 |
| Definire i requisiti aziendali per la gestione delle chiavi crittografiche | CMA_0123 - Definire i requisiti aziendali per la gestione delle chiavi crittografiche | Manuale, Disabilitato | 1.1.0 |
| Determinare i requisiti di asserzione | CMA_0136 - Determinare i requisiti di asserzione | Manuale, Disabilitato | 1.1.0 |
| Rilasciare certificati a chiave pubblica | CMA_0347 - Rilasciare certificati a chiave pubblica | Manuale, Disabilitato | 1.1.0 |
| Gestire le chiavi crittografiche simmetriche | CMA_0367 - Gestire le chiavi crittografiche simmetriche | Manuale, Disabilitato | 1.1.0 |
| Limitare l'accesso alle chiavi private | CMA_0445 - Limitare l'accesso alle chiavi private | Manuale, Disabilitato | 1.1.0 |
Requisito 04: Proteggere i dati dei titolari di carte con crittografia avanzata durante la trasmissione su reti pubbliche aperte
I processi e i meccanismi per proteggere i dati dei titolari di carte con crittografia avanzata durante la trasmissione su reti pubbliche aperte sono definiti e documentati
ID: PCI DSS v4.0 4.1.1 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Sviluppare criteri e procedure di protezione dei sistemi e delle comunicazioni | CMA_C1616 - Esaminare e aggiornare i criteri e le procedure di protezione del sistema e delle comunicazioni | Manuale, Disabilitato | 1.1.0 |
Il PAN è protetto con crittografia avanzata durante la trasmissione
ID: PCI DSS v4.0 4.2.1 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Configurare le workstation per il controllo dei certificati digitali | CMA_0073 - Configurare le workstation per il controllo dei certificati digitali | Manuale, Disabilitato | 1.1.0 |
| Definire un processo di gestione delle chiavi fisiche | CMA_0115 - Definire un processo di gestione delle chiavi fisiche | Manuale, Disabilitato | 1.1.0 |
| Definire l'utilizzo della crittografia | CMA_0120 - Definire l'utilizzo della crittografia | Manuale, Disabilitato | 1.1.0 |
| Definire i requisiti aziendali per la gestione delle chiavi crittografiche | CMA_0123 - Definire i requisiti aziendali per la gestione delle chiavi crittografiche | Manuale, Disabilitato | 1.1.0 |
| Determinare i requisiti di asserzione | CMA_0136 - Determinare i requisiti di asserzione | Manuale, Disabilitato | 1.1.0 |
| Rilasciare certificati a chiave pubblica | CMA_0347 - Rilasciare certificati a chiave pubblica | Manuale, Disabilitato | 1.1.0 |
| Gestire le chiavi crittografiche simmetriche | CMA_0367 - Gestire le chiavi crittografiche simmetriche | Manuale, Disabilitato | 1.1.0 |
| Produrre, controllare e distribuire chiavi crittografiche asimmetriche | CMA_C1646 - Produrre, controllare e distribuire chiavi crittografiche asimmetriche | Manuale, Disabilitato | 1.1.0 |
| Produrre, controllare e distribuire chiavi crittografiche simmetriche | CMA_C1645 - Produci, controlla e distribuisci chiavi crittografiche simmetriche | Manuale, Disabilitato | 1.1.0 |
| Proteggere i dati in movimento mediante la crittografia | CMA_0403 - Proteggere i dati in movimento mediante la crittografia | Manuale, Disabilitato | 1.1.0 |
| Proteggere le password con la crittografia | CMA_0408 - Proteggere le password con la crittografia | Manuale, Disabilitato | 1.1.0 |
| Limitare l'accesso alle chiavi private | CMA_0445 - Limitare l'accesso alle chiavi private | Manuale, Disabilitato | 1.1.0 |
Il PAN è protetto con crittografia avanzata durante la trasmissione
ID: PCI DSS v4.0 4.2.1.1 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Definire un processo di gestione delle chiavi fisiche | CMA_0115 - Definire un processo di gestione delle chiavi fisiche | Manuale, Disabilitato | 1.1.0 |
| Definire l'utilizzo della crittografia | CMA_0120 - Definire l'utilizzo della crittografia | Manuale, Disabilitato | 1.1.0 |
| Definire i requisiti aziendali per la gestione delle chiavi crittografiche | CMA_0123 - Definire i requisiti aziendali per la gestione delle chiavi crittografiche | Manuale, Disabilitato | 1.1.0 |
| Determinare i requisiti di asserzione | CMA_0136 - Determinare i requisiti di asserzione | Manuale, Disabilitato | 1.1.0 |
| Rilasciare certificati a chiave pubblica | CMA_0347 - Rilasciare certificati a chiave pubblica | Manuale, Disabilitato | 1.1.0 |
| Mantenere la disponibilità delle informazioni | CMA_C1644: mantenere la disponibilità delle informazioni | Manuale, Disabilitato | 1.1.0 |
| Gestire le chiavi crittografiche simmetriche | CMA_0367 - Gestire le chiavi crittografiche simmetriche | Manuale, Disabilitato | 1.1.0 |
| Limitare l'accesso alle chiavi private | CMA_0445 - Limitare l'accesso alle chiavi private | Manuale, Disabilitato | 1.1.0 |
Il PAN è protetto con crittografia avanzata durante la trasmissione
ID: PCI DSS v4.0 4.2.1.2 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Documentare e implementare le linee guida per l'accesso wireless | CMA_0190 - Documentare e implementare le linee guida per l'accesso wireless | Manuale, Disabilitato | 1.1.0 |
| Identificare e autenticare i dispositivi di rete | CMA_0296 - Identificare e autenticare i dispositivi di rete | Manuale, Disabilitato | 1.1.0 |
| Proteggere l'accesso wireless | CMA_0411 - Proteggere l'accesso wireless | Manuale, Disabilitato | 1.1.0 |
Il PAN è protetto con crittografia avanzata durante la trasmissione
ID: PCI DSS v4.0 4.2.2 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Configurare le workstation per il controllo dei certificati digitali | CMA_0073 - Configurare le workstation per il controllo dei certificati digitali | Manuale, Disabilitato | 1.1.0 |
| Proteggere i dati in movimento mediante la crittografia | CMA_0403 - Proteggere i dati in movimento mediante la crittografia | Manuale, Disabilitato | 1.1.0 |
| Proteggere le password con la crittografia | CMA_0408 - Proteggere le password con la crittografia | Manuale, Disabilitato | 1.1.0 |
Requisito 05: proteggere tutti i sistemi e le reti da software dannosi
I processi e i meccanismi per la protezione di tutti i sistemi e le reti da software dannoso sono definiti e riconosciuti
ID: PCI DSS v4.0 5.1.1 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Esaminare e aggiornare i criteri e le procedure di integrità delle informazioni | CMA_C1667 - Esaminare e aggiornare i criteri e le procedure di integrità delle informazioni | Manuale, Disabilitato | 1.1.0 |
I software dannosi (malware) vengono impediti o rilevati e risolti
ID: PCI DSS v4.0 5.2.1 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| È consigliabile abilitare una soluzione di valutazione della vulnerabilità nelle macchine virtuali | Controlla le macchine virtuali per rilevare se eseguono una soluzione di valutazione della vulnerabilità supportata. Un componente principale di ogni programma per la sicurezza e il rischio informatico è costituito dall'identificazione e dall'analisi delle vulnerabilità. Il piano tariffario standard del Centro sicurezza di Azure include l'analisi delle vulnerabilità per le macchine virtuali senza costi aggiuntivi. Inoltre, il Centro sicurezza è in grado di distribuire automaticamente questo strumento. | AuditIfNotExists, Disabled | 3.0.0 |
| Bloccare i processi non attendibili e non firmati eseguiti da USB | CMA_0050 - Bloccare i processi non attendibili e non firmati eseguiti da USB | Manuale, Disabilitato | 1.1.0 |
| Gestire i gateway | CMA_0363 - Gestire i gateway | Manuale, Disabilitato | 1.1.0 |
| Eseguire un'analisi delle tendenze per le minacce | CMA_0389 - Eseguire un'analisi delle tendenze per le minacce | Manuale, Disabilitato | 1.1.0 |
| Eseguire analisi delle vulnerabilità | CMA_0393 - Eseguire analisi delle vulnerabilità | Manuale, Disabilitato | 1.1.0 |
| Esaminare il report sui rilevamenti di malware ogni settimana | CMA_0475 - Esaminare il report sui rilevamenti di malware ogni settimana | Manuale, Disabilitato | 1.1.0 |
| Esaminare lo stato della protezione dalla minacce ogni settimana | CMA_0479 - Esaminare lo stato della protezione dalle minacce ogni settimana | Manuale, Disabilitato | 1.1.0 |
| I risultati delle vulnerabilità devono essere risolti nei database SQL | Consente di monitorare i consigli e i risultati dell'analisi della valutazione della vulnerabilità per informazioni su come correggere le vulnerabilità del database. | AuditIfNotExists, Disabled | 4.1.0 |
| Aggiornare le definizioni antivirus | CMA_0517 - Aggiornare le definizioni antivirus | Manuale, Disabilitato | 1.1.0 |
| Le vulnerabilità nella configurazione di sicurezza delle macchine devono essere risolte | I server che non soddisfano la baseline configurata verranno monitorati dal Centro sicurezza di Azure che invierà i consigli corrispondenti | AuditIfNotExists, Disabled | 3.1.0 |
I software dannosi (malware) vengono impediti o rilevati e risolti
ID: PCI DSS v4.0 5.2.2 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| È consigliabile abilitare una soluzione di valutazione della vulnerabilità nelle macchine virtuali | Controlla le macchine virtuali per rilevare se eseguono una soluzione di valutazione della vulnerabilità supportata. Un componente principale di ogni programma per la sicurezza e il rischio informatico è costituito dall'identificazione e dall'analisi delle vulnerabilità. Il piano tariffario standard del Centro sicurezza di Azure include l'analisi delle vulnerabilità per le macchine virtuali senza costi aggiuntivi. Inoltre, il Centro sicurezza è in grado di distribuire automaticamente questo strumento. | AuditIfNotExists, Disabled | 3.0.0 |
| Bloccare i processi non attendibili e non firmati eseguiti da USB | CMA_0050 - Bloccare i processi non attendibili e non firmati eseguiti da USB | Manuale, Disabilitato | 1.1.0 |
| Gestire i gateway | CMA_0363 - Gestire i gateway | Manuale, Disabilitato | 1.1.0 |
| Eseguire un'analisi delle tendenze per le minacce | CMA_0389 - Eseguire un'analisi delle tendenze per le minacce | Manuale, Disabilitato | 1.1.0 |
| Eseguire analisi delle vulnerabilità | CMA_0393 - Eseguire analisi delle vulnerabilità | Manuale, Disabilitato | 1.1.0 |
| Esaminare il report sui rilevamenti di malware ogni settimana | CMA_0475 - Esaminare il report sui rilevamenti di malware ogni settimana | Manuale, Disabilitato | 1.1.0 |
| Esaminare lo stato della protezione dalla minacce ogni settimana | CMA_0479 - Esaminare lo stato della protezione dalle minacce ogni settimana | Manuale, Disabilitato | 1.1.0 |
| I risultati delle vulnerabilità devono essere risolti nei database SQL | Consente di monitorare i consigli e i risultati dell'analisi della valutazione della vulnerabilità per informazioni su come correggere le vulnerabilità del database. | AuditIfNotExists, Disabled | 4.1.0 |
| Aggiornare le definizioni antivirus | CMA_0517 - Aggiornare le definizioni antivirus | Manuale, Disabilitato | 1.1.0 |
| Le vulnerabilità nella configurazione di sicurezza delle macchine devono essere risolte | I server che non soddisfano la baseline configurata verranno monitorati dal Centro sicurezza di Azure che invierà i consigli corrispondenti | AuditIfNotExists, Disabled | 3.1.0 |
I software dannosi (malware) vengono impediti o rilevati e risolti
ID: PCI DSS v4.0 5.2.3 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| È consigliabile abilitare una soluzione di valutazione della vulnerabilità nelle macchine virtuali | Controlla le macchine virtuali per rilevare se eseguono una soluzione di valutazione della vulnerabilità supportata. Un componente principale di ogni programma per la sicurezza e il rischio informatico è costituito dall'identificazione e dall'analisi delle vulnerabilità. Il piano tariffario standard del Centro sicurezza di Azure include l'analisi delle vulnerabilità per le macchine virtuali senza costi aggiuntivi. Inoltre, il Centro sicurezza è in grado di distribuire automaticamente questo strumento. | AuditIfNotExists, Disabled | 3.0.0 |
| Bloccare i processi non attendibili e non firmati eseguiti da USB | CMA_0050 - Bloccare i processi non attendibili e non firmati eseguiti da USB | Manuale, Disabilitato | 1.1.0 |
| Gestire i gateway | CMA_0363 - Gestire i gateway | Manuale, Disabilitato | 1.1.0 |
| Eseguire un'analisi delle tendenze per le minacce | CMA_0389 - Eseguire un'analisi delle tendenze per le minacce | Manuale, Disabilitato | 1.1.0 |
| Eseguire analisi delle vulnerabilità | CMA_0393 - Eseguire analisi delle vulnerabilità | Manuale, Disabilitato | 1.1.0 |
| Esaminare il report sui rilevamenti di malware ogni settimana | CMA_0475 - Esaminare il report sui rilevamenti di malware ogni settimana | Manuale, Disabilitato | 1.1.0 |
| Esaminare lo stato della protezione dalla minacce ogni settimana | CMA_0479 - Esaminare lo stato della protezione dalle minacce ogni settimana | Manuale, Disabilitato | 1.1.0 |
| I risultati delle vulnerabilità devono essere risolti nei database SQL | Consente di monitorare i consigli e i risultati dell'analisi della valutazione della vulnerabilità per informazioni su come correggere le vulnerabilità del database. | AuditIfNotExists, Disabled | 4.1.0 |
| Aggiornare le definizioni antivirus | CMA_0517 - Aggiornare le definizioni antivirus | Manuale, Disabilitato | 1.1.0 |
| Le vulnerabilità nella configurazione di sicurezza delle macchine devono essere risolte | I server che non soddisfano la baseline configurata verranno monitorati dal Centro sicurezza di Azure che invierà i consigli corrispondenti | AuditIfNotExists, Disabled | 3.1.0 |
I software dannosi (malware) vengono impediti o rilevati e risolti
ID: PCI DSS v4.0 5.2.3.1 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Eseguire la valutazione dei rischi | CMA_C1543 - Eseguire la valutazione dei rischi | Manuale, Disabilitato | 1.1.0 |
| Eseguire la valutazione dei rischi e documentarne i risultati | CMA_C1542 - Eseguire la valutazione dei rischi e documentarne i risultati | Manuale, Disabilitato | 1.1.0 |
| Eseguire una valutazione dei rischi | CMA_0388 - Eseguire una valutazione dei rischi | Manuale, Disabilitato | 1.1.0 |
I meccanismi e i processi antimalware sono attivi, mantenuti e monitorati
ID: PCI DSS v4.0 5.3.1 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Bloccare i processi non attendibili e non firmati eseguiti da USB | CMA_0050 - Bloccare i processi non attendibili e non firmati eseguiti da USB | Manuale, Disabilitato | 1.1.0 |
| Gestire i gateway | CMA_0363 - Gestire i gateway | Manuale, Disabilitato | 1.1.0 |
| Eseguire un'analisi delle tendenze per le minacce | CMA_0389 - Eseguire un'analisi delle tendenze per le minacce | Manuale, Disabilitato | 1.1.0 |
| Eseguire analisi delle vulnerabilità | CMA_0393 - Eseguire analisi delle vulnerabilità | Manuale, Disabilitato | 1.1.0 |
| Esaminare il report sui rilevamenti di malware ogni settimana | CMA_0475 - Esaminare il report sui rilevamenti di malware ogni settimana | Manuale, Disabilitato | 1.1.0 |
| Aggiornare le definizioni antivirus | CMA_0517 - Aggiornare le definizioni antivirus | Manuale, Disabilitato | 1.1.0 |
I meccanismi e i processi antimalware sono attivi, mantenuti e monitorati
ID: PCI DSS v4.0 5.3.3 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Bloccare i processi non attendibili e non firmati eseguiti da USB | CMA_0050 - Bloccare i processi non attendibili e non firmati eseguiti da USB | Manuale, Disabilitato | 1.1.0 |
| Gestire i gateway | CMA_0363 - Gestire i gateway | Manuale, Disabilitato | 1.1.0 |
| Eseguire un'analisi delle tendenze per le minacce | CMA_0389 - Eseguire un'analisi delle tendenze per le minacce | Manuale, Disabilitato | 1.1.0 |
| Eseguire analisi delle vulnerabilità | CMA_0393 - Eseguire analisi delle vulnerabilità | Manuale, Disabilitato | 1.1.0 |
| Esaminare il report sui rilevamenti di malware ogni settimana | CMA_0475 - Esaminare il report sui rilevamenti di malware ogni settimana | Manuale, Disabilitato | 1.1.0 |
| Esaminare lo stato della protezione dalla minacce ogni settimana | CMA_0479 - Esaminare lo stato della protezione dalle minacce ogni settimana | Manuale, Disabilitato | 1.1.0 |
| Aggiornare le definizioni antivirus | CMA_0517 - Aggiornare le definizioni antivirus | Manuale, Disabilitato | 1.1.0 |
I meccanismi e i processi antimalware sono attivi, mantenuti e monitorati
ID: PCI DSS v4.0 5.3.4 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Rispettare i periodi di conservazione definiti | CMA_0004 - Rispettare i periodi di conservazione definiti | Manuale, Disabilitato | 1.1.0 |
| Determinare gli eventi controllabili | CMA_0137 - Determinare gli eventi controllabili | Manuale, Disabilitato | 1.1.0 |
| Mantenere criteri e procedure di sicurezza | CMA_0454 - Mantenere criteri e procedure di sicurezza | Manuale, Disabilitato | 1.1.0 |
| Conservare i dati degli utenti terminati | CMA_0455 - Conservare i dati degli utenti terminati | Manuale, Disabilitato | 1.1.0 |
I meccanismi e i processi antimalware sono attivi, mantenuti e monitorati
ID: PCI DSS v4.0 5.3.5 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Eseguire un'analisi dell'impatto sulla sicurezza | CMA_0057 - Eseguire un'analisi dell'impatto sulla sicurezza | Manuale, Disabilitato | 1.1.0 |
| Sviluppare e mantenere uno standard di gestione delle vulnerabilità | CMA_0152 - Sviluppare e mantenere uno standard di gestione delle vulnerabilità | Manuale, Disabilitato | 1.1.0 |
| Definire una strategia di gestione dei rischi | CMA_0258 - Definire una strategia di gestione dei rischi | Manuale, Disabilitato | 1.1.0 |
| Stabilire e documentare i processi di controllo delle modifiche | CMA_0265 - Stabilire e documentare i processi di controllo delle modifiche | Manuale, Disabilitato | 1.1.0 |
| Stabilire i requisiti di gestione della configurazione per i developer | CMA_0270 - Stabilire i requisiti di gestione della configurazione per gli sviluppatori | Manuale, Disabilitato | 1.1.0 |
| Eseguire una valutazione dell'impatto sulla privacy | CMA_0387 - Eseguire una valutazione dell'impatto sulla privacy | Manuale, Disabilitato | 1.1.0 |
| Eseguire una valutazione dei rischi | CMA_0388 - Eseguire una valutazione dei rischi | Manuale, Disabilitato | 1.1.0 |
| Eseguire il controllo per la verifica delle modifiche di configurazione | CMA_0390 - Eseguire il controllo per la verifica delle modifiche di configurazione | Manuale, Disabilitato | 1.1.0 |
I meccanismi anti-phishing proteggono gli utenti da attacchi di phishing
ID: PCI DSS v4.0 5.4.1 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Bloccare i processi non attendibili e non firmati eseguiti da USB | CMA_0050 - Bloccare i processi non attendibili e non firmati eseguiti da USB | Manuale, Disabilitato | 1.1.0 |
| Gestire i gateway | CMA_0363 - Gestire i gateway | Manuale, Disabilitato | 1.1.0 |
| Eseguire un'analisi delle tendenze per le minacce | CMA_0389 - Eseguire un'analisi delle tendenze per le minacce | Manuale, Disabilitato | 1.1.0 |
| Eseguire analisi delle vulnerabilità | CMA_0393 - Eseguire analisi delle vulnerabilità | Manuale, Disabilitato | 1.1.0 |
| Esaminare il report sui rilevamenti di malware ogni settimana | CMA_0475 - Esaminare il report sui rilevamenti di malware ogni settimana | Manuale, Disabilitato | 1.1.0 |
| Esaminare lo stato della protezione dalla minacce ogni settimana | CMA_0479 - Esaminare lo stato della protezione dalle minacce ogni settimana | Manuale, Disabilitato | 1.1.0 |
| Aggiornare le definizioni antivirus | CMA_0517 - Aggiornare le definizioni antivirus | Manuale, Disabilitato | 1.1.0 |
Requisito 06: sviluppare e gestire sistemi e software sicuri
I processi e i meccanismi per lo sviluppo e la gestione di sistemi e software sicuri sono definiti e compresi
ID: PCI DSS v4.0 6.1.1 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Esaminare e aggiornare i criteri e le procedure di gestione della configurazione | CMA_C1175 - Esaminare e aggiornare i criteri e le procedure di gestione della configurazione | Manuale, Disabilitato | 1.1.0 |
| Esaminare e aggiornare i criteri e le procedure di acquisizione di sistemi e servizi | CMA_C1560 - Esaminare e aggiornare i criteri e le procedure di acquisizione di sistemi e servizi | Manuale, Disabilitato | 1.1.0 |
I software personalizzati e su misura vengono sviluppati in modo sicuro
ID: PCI DSS v4.0 6.2.2 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Erogare formazione periodica sulla sicurezza basata sui ruoli | CMA_C1095 - Erogare formazione periodica sulla sicurezza basata sui ruoli | Manuale, Disabilitato | 1.1.0 |
| Fornire la formazione sulla sicurezza prima di concedere l'accesso | CMA_0418 - Erogare la formazione sulla sicurezza prima di concedere l'accesso | Manuale, Disabilitato | 1.1.0 |
I software personalizzati e su misura vengono sviluppati in modo sicuro
ID: PCI DSS v4.0 6.2.3.1 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Separare i compiti delle persone | CMA_0492 - Separare i compiti delle persone | Manuale, Disabilitato | 1.1.0 |
I software personalizzati e su misura vengono sviluppati in modo sicuro
ID: PCI DSS v4.0 6.2.4 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Il Servizio app deve essere accessibile solo tramite HTTPS | L'uso di HTTPS assicura l'autenticazione di server/servizi e protegge i dati in transito da attacchi di intercettazione a livello rete. | Audit, Disabled, Deny | 4.0.0 |
| Le variabili dell'account di automazione devono essere crittografate | È importante abilitare la crittografia degli asset della variabile dell'account di Automazione quando si archiviano dati sensibili | Audit, Deny, Disabled | 1.1.0 |
| Le app per le funzioni devono essere accessibili solo tramite HTTPS | L'uso di HTTPS assicura l'autenticazione di server/servizi e protegge i dati in transito da attacchi di intercettazione a livello rete. | Audit, Disabled, Deny | 5.0.0 |
| Devono essere abilitate solo le connessioni sicure alla cache di Azure per Redis | Controllare l'abilitazione delle sole connessioni tramite SSL a Cache Redis. L'uso di connessioni sicure garantisce l'autenticazione tra il server e il servizio e protegge i dati in transito dagli attacchi a livello rete, come attacchi man-in-the-middle, eavesdropping e hijack della sessione | Audit, Deny, Disabled | 1.0.0 |
| È consigliabile abilitare il trasferimento sicuro agli account di archiviazione | Requisito di controllo del trasferimento sicuro nell'account di archiviazione. Il trasferimento sicuro è un'opzione che impone all'account di archiviazione di accettare richieste solo da connessioni protette (HTTPS). L'uso di HTTPS garantisce l'autenticazione tra il server e il servizio e protegge i dati in transito dagli attacchi a livello rete, come attacchi man-in-the-middle, eavesdropping e hijack della sessione | Audit, Deny, Disabled | 2.0.0 |
| La proprietà ClusterProtectionLevel dei cluster di Service Fabric dovrebbe essere impostata su EncryptAndSign | Service Fabric offre tre livelli di protezione (None, Sign ed EncryptAndSign) per la comunicazione da nodo a nodo mediante un certificato cluster primario. Impostare il livello di protezione per garantire che tutti i messaggi da nodo a nodo vengano crittografati e firmati digitalmente | Audit, Deny, Disabled | 1.1.0 |
| È consigliabile abilitare Transparent Data Encryption nei database SQL | Abilitare Transparent Data Encryption per proteggere i dati inattivi e rispettare i requisiti relativi alla conformità | AuditIfNotExists, Disabled | 2.0.0 |
Le vulnerabilità di sicurezza vengono identificate e risolte
ID: PCI DSS v4.0 6.3.1 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Trasmettere avvisi di sicurezza al personale | CMA_C1705 - Trasmettere avvisi di sicurezza al personale | Manuale, Disabilitato | 1.1.0 |
| Stabilire un programma di intelligence sulle minacce | CMA_0260 - Stabilire un programma di intelligence sulle minacce | Manuale, Disabilitato | 1.1.0 |
| Implementare le direttive di sicurezza | CMA_C1706 - Implementare le direttive di sicurezza | Manuale, Disabilitato | 1.1.0 |
| Correggere i difetti del sistema informativo | CMA_0427 - Correggere i difetti del sistema informativo | Manuale, Disabilitato | 1.1.0 |
Le vulnerabilità di sicurezza vengono identificate e risolte
ID: PCI DSS v4.0 6.3.2 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Ottenere la documentazione dell'amministratore | CMA_C1580 - Ottienere la documentazione dell'amministratore | Manuale, Disabilitato | 1.1.0 |
Le vulnerabilità di sicurezza vengono identificate e risolte
ID: PCI DSS v4.0 6.3.3 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| È consigliabile abilitare una soluzione di valutazione della vulnerabilità nelle macchine virtuali | Controlla le macchine virtuali per rilevare se eseguono una soluzione di valutazione della vulnerabilità supportata. Un componente principale di ogni programma per la sicurezza e il rischio informatico è costituito dall'identificazione e dall'analisi delle vulnerabilità. Il piano tariffario standard del Centro sicurezza di Azure include l'analisi delle vulnerabilità per le macchine virtuali senza costi aggiuntivi. Inoltre, il Centro sicurezza è in grado di distribuire automaticamente questo strumento. | AuditIfNotExists, Disabled | 3.0.0 |
| I risultati delle vulnerabilità devono essere risolti nei database SQL | Consente di monitorare i consigli e i risultati dell'analisi della valutazione della vulnerabilità per informazioni su come correggere le vulnerabilità del database. | AuditIfNotExists, Disabled | 4.1.0 |
| Le vulnerabilità nella configurazione di sicurezza delle macchine devono essere risolte | I server che non soddisfano la baseline configurata verranno monitorati dal Centro sicurezza di Azure che invierà i consigli corrispondenti | AuditIfNotExists, Disabled | 3.1.0 |
Le applicazioni Web pubbliche sono protette dagli attacchi
ID: PCI DSS v4.0 6.4.1 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| È consigliabile abilitare una soluzione di valutazione della vulnerabilità nelle macchine virtuali | Controlla le macchine virtuali per rilevare se eseguono una soluzione di valutazione della vulnerabilità supportata. Un componente principale di ogni programma per la sicurezza e il rischio informatico è costituito dall'identificazione e dall'analisi delle vulnerabilità. Il piano tariffario standard del Centro sicurezza di Azure include l'analisi delle vulnerabilità per le macchine virtuali senza costi aggiuntivi. Inoltre, il Centro sicurezza è in grado di distribuire automaticamente questo strumento. | AuditIfNotExists, Disabled | 3.0.0 |
| Eseguire analisi delle vulnerabilità | CMA_0393 - Eseguire analisi delle vulnerabilità | Manuale, Disabilitato | 1.1.0 |
| Correggere i difetti del sistema informativo | CMA_0427 - Correggere i difetti del sistema informativo | Manuale, Disabilitato | 1.1.0 |
| I risultati delle vulnerabilità devono essere risolti nei database SQL | Consente di monitorare i consigli e i risultati dell'analisi della valutazione della vulnerabilità per informazioni su come correggere le vulnerabilità del database. | AuditIfNotExists, Disabled | 4.1.0 |
| Le vulnerabilità nella configurazione di sicurezza delle macchine devono essere risolte | I server che non soddisfano la baseline configurata verranno monitorati dal Centro sicurezza di Azure che invierà i consigli corrispondenti | AuditIfNotExists, Disabled | 3.1.0 |
Le applicazioni Web pubbliche sono protette dagli attacchi
ID: PCI DSS v4.0 6.4.3 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Verificare l'integrità di software, firmware e informazioni | CMA_0542 - Verificare l'integrità di software, firmware e informazioni | Manuale, Disabilitato | 1.1.0 |
| Visualizzare e configurare i dati di diagnostica del sistema | CMA_0544 - Visualizzare e configurare i dati di diagnostica del sistema | Manuale, Disabilitato | 1.1.0 |
Le modifiche apportate a tutti i componenti di sistema vengono gestite in modo sicuro
ID: PCI DSS v4.0 6.5.1 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Eseguire un'analisi dell'impatto sulla sicurezza | CMA_0057 - Eseguire un'analisi dell'impatto sulla sicurezza | Manuale, Disabilitato | 1.1.0 |
| Sviluppare e mantenere uno standard di gestione delle vulnerabilità | CMA_0152 - Sviluppare e mantenere uno standard di gestione delle vulnerabilità | Manuale, Disabilitato | 1.1.0 |
| Definire una strategia di gestione dei rischi | CMA_0258 - Definire una strategia di gestione dei rischi | Manuale, Disabilitato | 1.1.0 |
| Stabilire e documentare i processi di controllo delle modifiche | CMA_0265 - Stabilire e documentare i processi di controllo delle modifiche | Manuale, Disabilitato | 1.1.0 |
| Stabilire i requisiti di gestione della configurazione per i developer | CMA_0270 - Stabilire i requisiti di gestione della configurazione per gli sviluppatori | Manuale, Disabilitato | 1.1.0 |
| Eseguire una valutazione dell'impatto sulla privacy | CMA_0387 - Eseguire una valutazione dell'impatto sulla privacy | Manuale, Disabilitato | 1.1.0 |
| Eseguire una valutazione dei rischi | CMA_0388 - Eseguire una valutazione dei rischi | Manuale, Disabilitato | 1.1.0 |
| Eseguire il controllo per la verifica delle modifiche di configurazione | CMA_0390 - Eseguire il controllo per la verifica delle modifiche di configurazione | Manuale, Disabilitato | 1.1.0 |
Le modifiche apportate a tutti i componenti di sistema vengono gestite in modo sicuro
ID: PCI DSS v4.0 6.5.2 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Richiedere agli sviluppatori di gestire l'integrità delle modifiche | CMA_C1595 - Richiedere agli sviluppatori di gestire l'integrità delle modifiche | Manuale, Disabilitato | 1.1.0 |
Le modifiche apportate a tutti i componenti di sistema vengono gestite in modo sicuro
ID: PCI DSS v4.0 6.5.3 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Eseguire un'analisi dell'impatto sulla sicurezza | CMA_0057 - Eseguire un'analisi dell'impatto sulla sicurezza | Manuale, Disabilitato | 1.1.0 |
| Stabilire e documentare i processi di controllo delle modifiche | CMA_0265 - Stabilire e documentare i processi di controllo delle modifiche | Manuale, Disabilitato | 1.1.0 |
| Stabilire i requisiti di gestione della configurazione per i developer | CMA_0270 - Stabilire i requisiti di gestione della configurazione per gli sviluppatori | Manuale, Disabilitato | 1.1.0 |
| Limitare i privilegi per apportare modifiche nell'ambiente di produzione | CMA_C1206 - Limitare i privilegi per apportare modifiche nell'ambiente di produzione | Manuale, Disabilitato | 1.1.0 |
| Eseguire una valutazione dell'impatto sulla privacy | CMA_0387 - Eseguire una valutazione dell'impatto sulla privacy | Manuale, Disabilitato | 1.1.0 |
| Eseguire il controllo per la verifica delle modifiche di configurazione | CMA_0390 - Eseguire il controllo per la verifica delle modifiche di configurazione | Manuale, Disabilitato | 1.1.0 |
Le modifiche apportate a tutti i componenti di sistema vengono gestite in modo sicuro
ID: PCI DSS v4.0 6.5.4 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Eseguire un'analisi dell'impatto sulla sicurezza | CMA_0057 - Eseguire un'analisi dell'impatto sulla sicurezza | Manuale, Disabilitato | 1.1.0 |
| Stabilire e documentare i processi di controllo delle modifiche | CMA_0265 - Stabilire e documentare i processi di controllo delle modifiche | Manuale, Disabilitato | 1.1.0 |
| Stabilire i requisiti di gestione della configurazione per i developer | CMA_0270 - Stabilire i requisiti di gestione della configurazione per gli sviluppatori | Manuale, Disabilitato | 1.1.0 |
| Limitare i privilegi per apportare modifiche nell'ambiente di produzione | CMA_C1206 - Limitare i privilegi per apportare modifiche nell'ambiente di produzione | Manuale, Disabilitato | 1.1.0 |
| Eseguire una valutazione dell'impatto sulla privacy | CMA_0387 - Eseguire una valutazione dell'impatto sulla privacy | Manuale, Disabilitato | 1.1.0 |
| Eseguire il controllo per la verifica delle modifiche di configurazione | CMA_0390 - Eseguire il controllo per la verifica delle modifiche di configurazione | Manuale, Disabilitato | 1.1.0 |
Le modifiche apportate a tutti i componenti di sistema vengono gestite in modo sicuro
ID: PCI DSS v4.0 6.5.5 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Incorporare le procedure di sicurezza e privacy dei dati nell'elaborazione della ricerca | CMA_0331 - Incorporare le procedure di sicurezza e privacy dei dati nell'elaborazione della ricerca | Manuale, Disabilitato | 1.1.0 |
Le modifiche apportate a tutti i componenti di sistema vengono gestite in modo sicuro
ID: PCI DSS v4.0 6.5.6 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Eseguire un'analisi dell'impatto sulla sicurezza | CMA_0057 - Eseguire un'analisi dell'impatto sulla sicurezza | Manuale, Disabilitato | 1.1.0 |
| Stabilire e documentare i processi di controllo delle modifiche | CMA_0265 - Stabilire e documentare i processi di controllo delle modifiche | Manuale, Disabilitato | 1.1.0 |
| Stabilire i requisiti di gestione della configurazione per i developer | CMA_0270 - Stabilire i requisiti di gestione della configurazione per gli sviluppatori | Manuale, Disabilitato | 1.1.0 |
| Eseguire una valutazione dell'impatto sulla privacy | CMA_0387 - Eseguire una valutazione dell'impatto sulla privacy | Manuale, Disabilitato | 1.1.0 |
| Eseguire il controllo per la verifica delle modifiche di configurazione | CMA_0390 - Eseguire il controllo per la verifica delle modifiche di configurazione | Manuale, Disabilitato | 1.1.0 |
Requisito 07: limitare l'accesso ai componenti di sistema e ai dati di titolari di carte al personale autorizzato per motivi professionali
I processi e i meccanismi per limitare l'accesso ai componenti di sistema e ai dati dei titolari di carte a seconda delle esigenze dell’azienda devono essere definiti e riconosciuti
ID: PCI DSS v4.0 7.1.1 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Sviluppare criteri e procedure di controllo di accesso | CMA_0144 - Sviluppare criteri e procedure di controllo di accesso | Manuale, Disabilitato | 1.1.0 |
| Imporre criteri di controllo degli accessi obbligatori e discrezionali | CMA_0246 - Imporre criteri di controllo di accesso obbligatori e discrezionali | Manuale, Disabilitato | 1.1.0 |
| Gestire criteri e procedure | CMA_0292 - Gestire criteri e procedure | Manuale, Disabilitato | 1.1.0 |
| Esaminare i criteri e le procedure di controllo degli accessi | CMA_0457 - Esaminare i criteri e le procedure di controllo degli accessi | Manuale, Disabilitato | 1.1.0 |
I processi e i meccanismi per limitare l'accesso ai componenti di sistema e ai dati dei titolari di carte a seconda delle esigenze dell’azienda devono essere definiti e riconosciuti
ID: PCI DSS v4.0 7.1.2 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Sviluppare criteri e procedure di controllo di accesso | CMA_0144 - Sviluppare criteri e procedure di controllo di accesso | Manuale, Disabilitato | 1.1.0 |
| Imporre criteri di controllo degli accessi obbligatori e discrezionali | CMA_0246 - Imporre criteri di controllo di accesso obbligatori e discrezionali | Manuale, Disabilitato | 1.1.0 |
| Gestire criteri e procedure | CMA_0292 - Gestire criteri e procedure | Manuale, Disabilitato | 1.1.0 |
L'accesso ai componenti e ai dati di sistema è definito e assegnato in modo appropriato
ID: PCI DSS v4.0 7.2.1 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Per la sottoscrizione devono essere designati al massimo 3 proprietari | È consigliabile designare fino a 3 proprietari della sottoscrizione in modo da ridurre la probabilità di violazione da parte di un proprietario compromesso. | AuditIfNotExists, Disabled | 3.0.0 |
| Autorizzare l'accesso alle informazioni e alle funzioni di sicurezza | CMA_0022 - Autorizzare l'accesso alle informazioni e alle funzioni di sicurezza | Manuale, Disabilitato | 1.1.0 |
| Autorizzare e gestire l'accesso | CMA_0023 - Autorizzare e gestire l'accesso | Manuale, Disabilitato | 1.1.0 |
| Progettare un modello di controllo degli accessi | CMA_0129 - Progettare un modello di controllo degli accessi | Manuale, Disabilitato | 1.1.0 |
| Utilizzare l'accesso con privilegi minimi | CMA_0212 - Utilizzare l'accesso con privilegi minimi | Manuale, Disabilitato | 1.1.0 |
| Imporre l'accesso logico | CMA_0245 - Imporre l'accesso logico | Manuale, Disabilitato | 1.1.0 |
| Imporre criteri di controllo degli accessi obbligatori e discrezionali | CMA_0246 - Imporre criteri di controllo di accesso obbligatori e discrezionali | Manuale, Disabilitato | 1.1.0 |
| Richiedere l'approvazione per la creazione di account | CMA_0431 - Richiedere l'approvazione per la creazione di account | Manuale, Disabilitato | 1.1.0 |
| Esaminare gruppi di utenti e applicazioni con accesso a dati sensibili | CMA_0481 - Esaminare gruppi di utenti e applicazioni con accesso a dati sensibili | Manuale, Disabilitato | 1.1.0 |
| Alla sottoscrizione deve essere assegnato più di un proprietario | È consigliabile designare più di un proprietario di sottoscrizione per assicurare la ridondanza dell'accesso amministratore. | AuditIfNotExists, Disabled | 3.0.0 |
L'accesso ai componenti e ai dati di sistema è definito e assegnato in modo appropriato
ID: PCI DSS v4.0 7.2.2 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Per la sottoscrizione devono essere designati al massimo 3 proprietari | È consigliabile designare fino a 3 proprietari della sottoscrizione in modo da ridurre la probabilità di violazione da parte di un proprietario compromesso. | AuditIfNotExists, Disabled | 3.0.0 |
| Autorizzare l'accesso alle informazioni e alle funzioni di sicurezza | CMA_0022 - Autorizzare l'accesso alle informazioni e alle funzioni di sicurezza | Manuale, Disabilitato | 1.1.0 |
| Autorizzare e gestire l'accesso | CMA_0023 - Autorizzare e gestire l'accesso | Manuale, Disabilitato | 1.1.0 |
| Progettare un modello di controllo degli accessi | CMA_0129 - Progettare un modello di controllo degli accessi | Manuale, Disabilitato | 1.1.0 |
| Utilizzare l'accesso con privilegi minimi | CMA_0212 - Utilizzare l'accesso con privilegi minimi | Manuale, Disabilitato | 1.1.0 |
| Imporre criteri di controllo degli accessi obbligatori e discrezionali | CMA_0246 - Imporre criteri di controllo di accesso obbligatori e discrezionali | Manuale, Disabilitato | 1.1.0 |
| Alla sottoscrizione deve essere assegnato più di un proprietario | È consigliabile designare più di un proprietario di sottoscrizione per assicurare la ridondanza dell'accesso amministratore. | AuditIfNotExists, Disabled | 3.0.0 |
L'accesso ai componenti e ai dati di sistema è definito e assegnato in modo appropriato
ID: PCI DSS v4.0 7.2.3 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Autorizzare l'accesso alle informazioni e alle funzioni di sicurezza | CMA_0022 - Autorizzare l'accesso alle informazioni e alle funzioni di sicurezza | Manuale, Disabilitato | 1.1.0 |
| Autorizzare e gestire l'accesso | CMA_0023 - Autorizzare e gestire l'accesso | Manuale, Disabilitato | 1.1.0 |
| Progettare un modello di controllo degli accessi | CMA_0129 - Progettare un modello di controllo degli accessi | Manuale, Disabilitato | 1.1.0 |
| Utilizzare l'accesso con privilegi minimi | CMA_0212 - Utilizzare l'accesso con privilegi minimi | Manuale, Disabilitato | 1.1.0 |
| Imporre l'accesso logico | CMA_0245 - Imporre l'accesso logico | Manuale, Disabilitato | 1.1.0 |
| Imporre criteri di controllo degli accessi obbligatori e discrezionali | CMA_0246 - Imporre criteri di controllo di accesso obbligatori e discrezionali | Manuale, Disabilitato | 1.1.0 |
| Richiedere l'approvazione per la creazione di account | CMA_0431 - Richiedere l'approvazione per la creazione di account | Manuale, Disabilitato | 1.1.0 |
| Esaminare gruppi di utenti e applicazioni con accesso a dati sensibili | CMA_0481 - Esaminare gruppi di utenti e applicazioni con accesso a dati sensibili | Manuale, Disabilitato | 1.1.0 |
L'accesso ai componenti e ai dati di sistema è definito e assegnato in modo appropriato
ID: PCI DSS v4.0 7.2.4 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllare lo stato dell'account utente | CMA_0020 - Controllare lo stato dell'account utente | Manuale, Disabilitato | 1.1.0 |
| Esaminare i log di provisioning account | CMA_0460 - Esaminare i log di provisioning account | Manuale, Disabilitato | 1.1.0 |
| Esaminare gli account utente | CMA_0480 - Esaminare gli account utente | Manuale, Disabilitato | 1.1.0 |
| Esaminare i privilegi utente | CMA_C1039 - Esaminare i privilegi utente | Manuale, Disabilitato | 1.1.0 |
L'accesso ai componenti e ai dati di sistema è definito e assegnato in modo appropriato
ID: PCI DSS v4.0 7.2.5 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Definire i tipi di account del sistema informativo | CMA_0121 - Definire i tipi di account del sistema informativo | Manuale, Disabilitato | 1.1.0 |
L'accesso ai componenti e ai dati di sistema è definito e assegnato in modo appropriato
ID: PCI DSS v4.0 7.2.5.1 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Monitorare l'attività dell'account | CMA_0377 - Monitorare l'attività dell'account | Manuale, Disabilitato | 1.1.0 |
L'accesso ai componenti e ai dati di sistema è definito e assegnato in modo appropriato
ID: PCI DSS v4.0 7.2.6 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Autorizzare l'accesso alle informazioni e alle funzioni di sicurezza | CMA_0022 - Autorizzare l'accesso alle informazioni e alle funzioni di sicurezza | Manuale, Disabilitato | 1.1.0 |
| Autorizzare e gestire l'accesso | CMA_0023 - Autorizzare e gestire l'accesso | Manuale, Disabilitato | 1.1.0 |
| Progettare un modello di controllo degli accessi | CMA_0129 - Progettare un modello di controllo degli accessi | Manuale, Disabilitato | 1.1.0 |
| Utilizzare l'accesso con privilegi minimi | CMA_0212 - Utilizzare l'accesso con privilegi minimi | Manuale, Disabilitato | 1.1.0 |
| Imporre l'accesso logico | CMA_0245 - Imporre l'accesso logico | Manuale, Disabilitato | 1.1.0 |
| Imporre criteri di controllo degli accessi obbligatori e discrezionali | CMA_0246 - Imporre criteri di controllo di accesso obbligatori e discrezionali | Manuale, Disabilitato | 1.1.0 |
| Richiedere l'approvazione per la creazione di account | CMA_0431 - Richiedere l'approvazione per la creazione di account | Manuale, Disabilitato | 1.1.0 |
| Esaminare gruppi di utenti e applicazioni con accesso a dati sensibili | CMA_0481 - Esaminare gruppi di utenti e applicazioni con accesso a dati sensibili | Manuale, Disabilitato | 1.1.0 |
L'accesso ai componenti e ai dati di sistema viene gestito tramite uno o più sistemi di controllo di accesso
ID: PCI DSS v4.0 7.3.1 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Per gli account con autorizzazioni di proprietario nelle risorse di Azure deve essere abilitata l'autenticazione a più fattori | È necessario abilitare Multi-Factor Authentication (MFA) per tutti gli account della sottoscrizione con autorizzazioni di proprietario per evitare una violazione di account o risorse. | AuditIfNotExists, Disabled | 1.0.0 |
| Per gli account con autorizzazioni di scrittura nelle risorse di Azure deve essere abilitata l'autenticazione a più fattori | È necessario abilitare Multi-Factor Authentication (MFA) per tutti gli account della sottoscrizione con privilegi di scrittura per evitare una violazione di account o risorse. | AuditIfNotExists, Disabled | 1.0.0 |
| È consigliabile effettuare il provisioning di un amministratore di Azure Active Directory per i server SQL | Controlla il provisioning di un amministratore di Azure Active Directory per il server SQL per abilitare l'autenticazione di Azure AD. L'autenticazione di Azure AD consente una gestione semplificata delle autorizzazioni e una gestione centralizzata delle identità di utenti di database e di altri servizi Microsoft | AuditIfNotExists, Disabled | 1.0.0 |
| Controllare l'utilizzo dei ruoli Controllo degli accessi in base al ruolo (RBAC) personalizzati | Controlla i ruoli predefiniti, ad esempio "Proprietario, Collaboratore, Lettore" invece che i ruoli Controllo degli accessi in base al ruolo personalizzati, che sono soggetti a errori. L'uso di ruoli personalizzati è considerato un'eccezione e richiede una revisione rigorosa e la modellazione delle minacce | Audit, Disabled | 1.0.1 |
| Autorizzare l'accesso alle informazioni e alle funzioni di sicurezza | CMA_0022 - Autorizzare l'accesso alle informazioni e alle funzioni di sicurezza | Manuale, Disabilitato | 1.1.0 |
| Autorizzare e gestire l'accesso | CMA_0023 - Autorizzare e gestire l'accesso | Manuale, Disabilitato | 1.1.0 |
| Automatizzare la gestione degli account | CMA_0026 - Automatizzare la gestione degli account | Manuale, Disabilitato | 1.1.0 |
| Imporre l'accesso logico | CMA_0245 - Imporre l'accesso logico | Manuale, Disabilitato | 1.1.0 |
| Imporre criteri di controllo degli accessi obbligatori e discrezionali | CMA_0246 - Imporre criteri di controllo di accesso obbligatori e discrezionali | Manuale, Disabilitato | 1.1.0 |
| Gli account guest con autorizzazioni di proprietario nelle risorse di Azure devono essere rimossi | È necessario rimuovere dalla sottoscrizione gli account esterni con autorizzazioni di proprietario in modo da evitare l'accesso non monitorato. | AuditIfNotExists, Disabled | 1.0.0 |
| Gli account guest con autorizzazioni di lettura nelle risorse di Azure devono essere rimossi | È necessario rimuovere dalla sottoscrizione gli account esterni con privilegi di lettura in modo da evitare l'accesso non monitorato. | AuditIfNotExists, Disabled | 1.0.0 |
| Gli account guest con autorizzazioni di scrittura nelle risorse di Azure devono essere rimossi | È necessario rimuovere dalla sottoscrizione gli account esterni con privilegi di scrittura in modo da evitare l'accesso non monitorato. | AuditIfNotExists, Disabled | 1.0.0 |
| Gestire gli account di sistema e amministratore | CMA_0368 - Gestire gli account di sistema e amministratore | Manuale, Disabilitato | 1.1.0 |
| Monitorare l'accesso nell'organizzazione | CMA_0376 - Monitorare l'accesso nell'organizzazione | Manuale, Disabilitato | 1.1.0 |
| Inviare una notifica per gli account non necessari | CMA_0383 - Inviare una notifica per gli account non necessari | Manuale, Disabilitato | 1.1.0 |
| Richiedere l'approvazione per la creazione di account | CMA_0431 - Richiedere l'approvazione per la creazione di account | Manuale, Disabilitato | 1.1.0 |
| Esaminare gruppi di utenti e applicazioni con accesso a dati sensibili | CMA_0481 - Esaminare gruppi di utenti e applicazioni con accesso a dati sensibili | Manuale, Disabilitato | 1.1.0 |
L'accesso ai componenti e ai dati di sistema viene gestito tramite uno o più sistemi di controllo di accesso
ID: PCI DSS v4.0 7.3.2 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Autorizzare l'accesso alle informazioni e alle funzioni di sicurezza | CMA_0022 - Autorizzare l'accesso alle informazioni e alle funzioni di sicurezza | Manuale, Disabilitato | 1.1.0 |
| Autorizzare e gestire l'accesso | CMA_0023 - Autorizzare e gestire l'accesso | Manuale, Disabilitato | 1.1.0 |
| Automatizzare la gestione degli account | CMA_0026 - Automatizzare la gestione degli account | Manuale, Disabilitato | 1.1.0 |
| Imporre l'accesso logico | CMA_0245 - Imporre l'accesso logico | Manuale, Disabilitato | 1.1.0 |
| Imporre criteri di controllo degli accessi obbligatori e discrezionali | CMA_0246 - Imporre criteri di controllo di accesso obbligatori e discrezionali | Manuale, Disabilitato | 1.1.0 |
| Gestire gli account di sistema e amministratore | CMA_0368 - Gestire gli account di sistema e amministratore | Manuale, Disabilitato | 1.1.0 |
| Monitorare l'accesso nell'organizzazione | CMA_0376 - Monitorare l'accesso nell'organizzazione | Manuale, Disabilitato | 1.1.0 |
| Inviare una notifica per gli account non necessari | CMA_0383 - Inviare una notifica per gli account non necessari | Manuale, Disabilitato | 1.1.0 |
| Richiedere l'approvazione per la creazione di account | CMA_0431 - Richiedere l'approvazione per la creazione di account | Manuale, Disabilitato | 1.1.0 |
| Esaminare gruppi di utenti e applicazioni con accesso a dati sensibili | CMA_0481 - Esaminare gruppi di utenti e applicazioni con accesso a dati sensibili | Manuale, Disabilitato | 1.1.0 |
L'accesso ai componenti e ai dati di sistema viene gestito tramite uno o più sistemi di controllo di accesso
ID: PCI DSS v4.0 7.3.3 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Autorizzare l'accesso alle informazioni e alle funzioni di sicurezza | CMA_0022 - Autorizzare l'accesso alle informazioni e alle funzioni di sicurezza | Manuale, Disabilitato | 1.1.0 |
| Autorizzare e gestire l'accesso | CMA_0023 - Autorizzare e gestire l'accesso | Manuale, Disabilitato | 1.1.0 |
| Imporre l'accesso logico | CMA_0245 - Imporre l'accesso logico | Manuale, Disabilitato | 1.1.0 |
| Imporre criteri di controllo degli accessi obbligatori e discrezionali | CMA_0246 - Imporre criteri di controllo di accesso obbligatori e discrezionali | Manuale, Disabilitato | 1.1.0 |
| Richiedere l'approvazione per la creazione di account | CMA_0431 - Richiedere l'approvazione per la creazione di account | Manuale, Disabilitato | 1.1.0 |
| Esaminare gruppi di utenti e applicazioni con accesso a dati sensibili | CMA_0481 - Esaminare gruppi di utenti e applicazioni con accesso a dati sensibili | Manuale, Disabilitato | 1.1.0 |
Requisito 08: Identificare gli utenti e autenticare l'accesso ai componenti di sistema
I processi e i meccanismi per identificare gli utenti e autenticare l'accesso ai componenti di sistema sono definiti e riconosciuti
ID: PCI DSS v4.0 8.1.1 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Esaminare e aggiorna i criteri e le procedure di identificazione e autenticazione | CMA_C1299 - Rivedere e aggiornare i criteri e le procedure di identificazione e autenticazione | Manuale, Disabilitato | 1.1.0 |
L'identificazione utente e gli account correlati per utenti e amministratori vengono gestiti rigorosamente durante il ciclo di vita di un account’
ID: PCI DSS v4.0 8.2.1 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Assegnare gli identificatori di sistema | CMA_0018 - Assegnare gli identificatori di sistema | Manuale, Disabilitato | 1.1.0 |
| Imporre l'univocità dell'utente | CMA_0250 - Imporre l’univocità dell’utente | Manuale, Disabilitato | 1.1.0 |
| Supportare le credenziali personali di verifica emesse dalle autorità competenti | CMA_0507 - Supportare le credenziali personali di verifica emesse dalle autorità competenti | Manuale, Disabilitato | 1.1.0 |
L'identificazione utente e gli account correlati per utenti e amministratori vengono gestiti rigorosamente durante il ciclo di vita di un account’
ID: PCI DSS v4.0 8.2.2 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Definire e imporre le condizioni per gli account condivisi e di gruppo | CMA_0117 - Definire e imporre le condizioni per gli account condivisi e di gruppo | Manuale, Disabilitato | 1.1.0 |
| Riemettere autenticatori per i gruppi e gli account modificati | CMA_0426 - Riemettere autenticatori per i gruppi e gli account modificati | Manuale, Disabilitato | 1.1.0 |
| Richiedere l'utilizzo di autenticatori di persone fisiche | CMA_C1305 - Richiedere l'utilizzo di autenticatori di persone fisiche | Manuale, Disabilitato | 1.1.0 |
| Terminare le credenziali dell'account controllato dal cliente | CMA_C1022 - Terminare le credenziali dell'account controllato dal cliente | Manuale, Disabilitato | 1.1.0 |
L'identificazione utente e gli account correlati per utenti e amministratori vengono gestiti rigorosamente durante il ciclo di vita di un account’
ID: PCI DSS v4.0 8.2.3 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Adottare meccanismi di autenticazione biometrica | CMA_0005: adottare meccanismi di autenticazione biometrica | Manuale, Disabilitato | 1.1.0 |
| Identificare e autenticare i dispositivi di rete | CMA_0296 - Identificare e autenticare i dispositivi di rete | Manuale, Disabilitato | 1.1.0 |
| Soddisfare i requisiti di qualità dei token | CMA_0487: soddisfare i requisiti di qualità dei token | Manuale, Disabilitato | 1.1.0 |
L'identificazione utente e gli account correlati per utenti e amministratori vengono gestiti rigorosamente durante il ciclo di vita di un account’
ID: PCI DSS v4.0 8.2.4 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Assegnare gli identificatori di sistema | CMA_0018 - Assegnare gli identificatori di sistema | Manuale, Disabilitato | 1.1.0 |
| Gli account bloccati con autorizzazioni di proprietario nelle risorse di Azure devono essere rimossi | Gli account deprecati con autorizzazioni di proprietario devono essere rimossi dalla sottoscrizione. Gli account deprecati sono account a cui è stato bloccato l'accesso. | AuditIfNotExists, Disabled | 1.0.0 |
| Gli account bloccati con autorizzazioni di scrittura e lettura nelle risorse di Azure devono essere rimossi | È necessario rimuovere dalle sottoscrizioni gli account deprecati. Gli account deprecati sono account a cui è stato bloccato l'accesso. | AuditIfNotExists, Disabled | 1.0.0 |
| Gli account guest con autorizzazioni di proprietario nelle risorse di Azure devono essere rimossi | È necessario rimuovere dalla sottoscrizione gli account esterni con autorizzazioni di proprietario in modo da evitare l'accesso non monitorato. | AuditIfNotExists, Disabled | 1.0.0 |
| Gli account guest con autorizzazioni di lettura nelle risorse di Azure devono essere rimossi | È necessario rimuovere dalla sottoscrizione gli account esterni con privilegi di lettura in modo da evitare l'accesso non monitorato. | AuditIfNotExists, Disabled | 1.0.0 |
| Gli account guest con autorizzazioni di scrittura nelle risorse di Azure devono essere rimossi | È necessario rimuovere dalla sottoscrizione gli account esterni con privilegi di scrittura in modo da evitare l'accesso non monitorato. | AuditIfNotExists, Disabled | 1.0.0 |
| Richiedere l'approvazione per la creazione di account | CMA_0431 - Richiedere l'approvazione per la creazione di account | Manuale, Disabilitato | 1.1.0 |
L'identificazione utente e gli account correlati per utenti e amministratori vengono gestiti rigorosamente durante il ciclo di vita di un account’
ID: PCI DSS v4.0 8.2.5 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Gli account bloccati con autorizzazioni di proprietario nelle risorse di Azure devono essere rimossi | Gli account deprecati con autorizzazioni di proprietario devono essere rimossi dalla sottoscrizione. Gli account deprecati sono account a cui è stato bloccato l'accesso. | AuditIfNotExists, Disabled | 1.0.0 |
| Gli account bloccati con autorizzazioni di scrittura e lettura nelle risorse di Azure devono essere rimossi | È necessario rimuovere dalle sottoscrizioni gli account deprecati. Gli account deprecati sono account a cui è stato bloccato l'accesso. | AuditIfNotExists, Disabled | 1.0.0 |
L'identificazione utente e gli account correlati per utenti e amministratori vengono gestiti rigorosamente durante il ciclo di vita di un account’
ID: PCI DSS v4.0 8.2.6 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Disabilitare gli autenticatori alla chiusura | CMA_0169 - Disabilitare gli autenticatori alla chiusura | Manuale, Disabilitato | 1.1.0 |
| Revocare i ruoli con privilegi in base alle esigenze | CMA_0483 - Revocare i ruoli con privilegi in base alle esigenze | Manuale, Disabilitato | 1.1.0 |
L'identificazione utente e gli account correlati per utenti e amministratori vengono gestiti rigorosamente durante il ciclo di vita di un account’
ID: PCI DSS v4.0 8.2.7 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Gli account bloccati con autorizzazioni di proprietario nelle risorse di Azure devono essere rimossi | Gli account deprecati con autorizzazioni di proprietario devono essere rimossi dalla sottoscrizione. Gli account deprecati sono account a cui è stato bloccato l'accesso. | AuditIfNotExists, Disabled | 1.0.0 |
| Gli account bloccati con autorizzazioni di scrittura e lettura nelle risorse di Azure devono essere rimossi | È necessario rimuovere dalle sottoscrizioni gli account deprecati. Gli account deprecati sono account a cui è stato bloccato l'accesso. | AuditIfNotExists, Disabled | 1.0.0 |
| Gli account guest con autorizzazioni di proprietario nelle risorse di Azure devono essere rimossi | È necessario rimuovere dalla sottoscrizione gli account esterni con autorizzazioni di proprietario in modo da evitare l'accesso non monitorato. | AuditIfNotExists, Disabled | 1.0.0 |
| Gli account guest con autorizzazioni di lettura nelle risorse di Azure devono essere rimossi | È necessario rimuovere dalla sottoscrizione gli account esterni con privilegi di lettura in modo da evitare l'accesso non monitorato. | AuditIfNotExists, Disabled | 1.0.0 |
| Gli account guest con autorizzazioni di scrittura nelle risorse di Azure devono essere rimossi | È necessario rimuovere dalla sottoscrizione gli account esterni con privilegi di scrittura in modo da evitare l'accesso non monitorato. | AuditIfNotExists, Disabled | 1.0.0 |
| Identifica e autentica gli utenti non aziendali | CMA_C1346 - Identifica e autentica gli utenti non aziendali | Manuale, Disabilitato | 1.1.0 |
L'identificazione utente e gli account correlati per utenti e amministratori vengono gestiti rigorosamente durante il ciclo di vita di un account’
ID: PCI DSS v4.0 8.2.8 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Definire e applicare i criteri del log di inattività | CMA_C1017 - Definire e applicare i criteri del log di inattività | Manuale, Disabilitato | 1.1.0 |
| Terminare automaticamente la sessione utente | CMA_C1054 - Terminare automaticamente la sessione utente | Manuale, Disabilitato | 1.1.0 |
Viene stabilita e gestita un'autenticazione avanzata per utenti e amministratori
ID: PCI DSS v4.0 8.3.1 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Adottare meccanismi di autenticazione biometrica | CMA_0005: adottare meccanismi di autenticazione biometrica | Manuale, Disabilitato | 1.1.0 |
| Stabilire i processi e i tipi di autenticatori | CMA_0267 - Stabilire i processi e i tipi di autenticatori | Manuale, Disabilitato | 1.1.0 |
| Identificare e autenticare i dispositivi di rete | CMA_0296 - Identificare e autenticare i dispositivi di rete | Manuale, Disabilitato | 1.1.0 |
| Soddisfare i requisiti di qualità dei token | CMA_0487: soddisfare i requisiti di qualità dei token | Manuale, Disabilitato | 1.1.0 |
Viene stabilita e gestita un'autenticazione avanzata per utenti e amministratori
ID: PCI DSS v4.0 8.3.10 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Gestire la durata e il riutilizzo dell'autenticatore | CMA_0355 - Gestire la durata e il riutilizzo dell'autenticatore | Manuale, Disabilitato | 1.1.0 |
| Aggiornare gli autenticatori | CMA_0425 - Aggiornare gli autenticatori | Manuale, Disabilitato | 1.1.0 |
Viene stabilita e gestita un'autenticazione avanzata per utenti e amministratori
ID: PCI DSS v4.0 8.3.10.1 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Gestire la durata e il riutilizzo dell'autenticatore | CMA_0355 - Gestire la durata e il riutilizzo dell'autenticatore | Manuale, Disabilitato | 1.1.0 |
| Aggiornare gli autenticatori | CMA_0425 - Aggiornare gli autenticatori | Manuale, Disabilitato | 1.1.0 |
Viene stabilita e gestita un'autenticazione avanzata per utenti e amministratori
ID: PCI DSS v4.0 8.3.11 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Adottare meccanismi di autenticazione biometrica | CMA_0005: adottare meccanismi di autenticazione biometrica | Manuale, Disabilitato | 1.1.0 |
| Distribuire gli autenticatori | CMA_0184 - Distribuire gli autenticatori | Manuale, Disabilitato | 1.1.0 |
| Stabilire i processi e i tipi di autenticatori | CMA_0267 - Stabilire i processi e i tipi di autenticatori | Manuale, Disabilitato | 1.1.0 |
| Identificare e autenticare i dispositivi di rete | CMA_0296 - Identificare e autenticare i dispositivi di rete | Manuale, Disabilitato | 1.1.0 |
| Soddisfare i requisiti di qualità dei token | CMA_0487: soddisfare i requisiti di qualità dei token | Manuale, Disabilitato | 1.1.0 |
| Verificare l'identità prima della distribuzione di autenticatori | CMA_0538 - Verificare l'identità prima della distribuzione di autenticatori | Manuale, Disabilitato | 1.1.0 |
Viene stabilita e gestita un'autenticazione avanzata per utenti e amministratori
ID: PCI DSS v4.0 8.3.2 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Verificare che gli utenti autorizzati proteggano gli autenticatori forniti | CMA_C1339 - Verificare che gli utenti autorizzati proteggano gli autenticatori forniti | Manuale, Disabilitato | 1.1.0 |
| Proteggere le password con la crittografia | CMA_0408 - Proteggere le password con la crittografia | Manuale, Disabilitato | 1.1.0 |
Viene stabilita e gestita un'autenticazione avanzata per utenti e amministratori
ID: PCI DSS v4.0 8.3.4 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Imporre un limite di tentativi di accesso non riuscito consecutivi | CMA_C1044 - Imporre un limite di tentativi di accesso non riuscito consecutivi | Manuale, Disabilitato | 1.1.0 |
Viene stabilita e gestita un'autenticazione avanzata per utenti e amministratori
ID: PCI DSS v4.0 8.3.5 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Stabilire i processi e i tipi di autenticatori | CMA_0267 - Stabilire i processi e i tipi di autenticatori | Manuale, Disabilitato | 1.1.0 |
Viene stabilita e gestita un'autenticazione avanzata per utenti e amministratori
ID: PCI DSS v4.0 8.3.6 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Aggiungi l'identità gestita assegnata dal sistema per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali senza identità | Questo criterio aggiunge un'identità gestita assegnata dal sistema alle macchine virtuali ospitate in Azure supportate da Configurazione guest ma che non hanno un'identità gestita assegnata dal sistema. Un'identità gestita assegnata dal sistema è un prerequisito per tutte le assegnazioni di Configurazione guest e deve essere aggiunta ai computer prima di usare qualsiasi definizione di criteri di Configurazione guest. Per altre informazioni su Configurazione guest, vedere https://aka.ms/gcpol. | modify | 4.1.0 |
| Aggiungi l'identità gestita assegnata dal sistema per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali con un'identità assegnata dall'utente | Questo criterio aggiunge un'identità gestita assegnata dal sistema alle macchine virtuali ospitate in Azure supportate da Configurazione guest e che hanno almeno un'identità assegnata dall'utente, ma non hanno un'identità gestita assegnata dal sistema. Un'identità gestita assegnata dal sistema è un prerequisito per tutte le assegnazioni di Configurazione guest e deve essere aggiunta ai computer prima di usare qualsiasi definizione di criteri di Configurazione guest. Per altre informazioni su Configurazione guest, vedere https://aka.ms/gcpol. | modify | 4.1.0 |
| Controlla i computer Windows che consentono il riutilizzo delle password dopo il numero specificato di password univoche | Richiede che i prerequisiti vengano distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. Le macchine non sono conformi se si tratta di macchine Windows che consentono il riutilizzo delle password dopo il numero specificato di password uniche. Il valore predefinito per le password univoche è 24 | AuditIfNotExists, Disabled | 2.1.0 |
| Controlla i computer Windows che non hanno la validità massima della password impostata sul numero specificato di giorni | Richiede che i prerequisiti vengano distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. I computer non sono conformi se i computer Windows che non hanno la validità massima della password impostata sul numero di giorni specificato. Il valore predefinito per la validità massima della password è 70 giorni | AuditIfNotExists, Disabled | 2.1.0 |
| Controlla i computer Windows in cui la lunghezza minima della password non è limitata a un numero specificato di caratteri | Richiede che i prerequisiti vengano distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. Non sono conformi le macchine Windows che non limitano la lunghezza minima della password al numero di caratteri specificato. Il valore predefinito per la lunghezza minima della password è di 14 caratteri | AuditIfNotExists, Disabled | 2.1.0 |
| Distribuisci l'estensione Configurazione guest Windows per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali Windows | Questo criterio distribuisce l'estensione Configurazione guest di Windows nelle macchine virtuali Windows ospitate in Azure supportate da Configurazione guest. L'estensione Configurazione guest di Windows è un prerequisito per tutte le assegnazioni di Configurazione guest di Windows e deve essere distribuita nelle macchine virtuali prima di usare qualsiasi definizione di criteri di Configurazione guest di Windows. Per altre informazioni su Configurazione guest, vedere https://aka.ms/gcpol. | deployIfNotExists | 1.2.0 |
| Documentare i requisiti di complessità della sicurezza nei contratti di acquisizione | CMA_0203 - Documentare i requisiti di complessità della sicurezza nei contratti di acquisizione | Manuale, Disabilitato | 1.1.0 |
| Stabilire criteri per le password | CMA_0256 - Stabilire criteri per le password | Manuale, Disabilitato | 1.1.0 |
| Implementare i parametri per gli strumenti di verifica dei segreti memorizzati | CMA_0321 - Implementare i parametri per gli strumenti di verifica dei segreti memorizzati | Manuale, Disabilitato | 1.1.0 |
Viene stabilita e gestita un'autenticazione avanzata per utenti e amministratori
ID: PCI DSS v4.0 8.3.8 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Implementare il training per la protezione degli autenticatori | CMA_0329 - Implementare il training per la protezione degli autenticatori | Manuale, Disabilitato | 1.1.0 |
Viene stabilita e gestita un'autenticazione avanzata per utenti e amministratori
ID: PCI DSS v4.0 8.3.9 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Gestire la durata e il riutilizzo dell'autenticatore | CMA_0355 - Gestire la durata e il riutilizzo dell'autenticatore | Manuale, Disabilitato | 1.1.0 |
| Aggiornare gli autenticatori | CMA_0425 - Aggiornare gli autenticatori | Manuale, Disabilitato | 1.1.0 |
La Multi-Factor Authentication (MFA) viene implementata per proteggere l'accesso all'ambiente dei dati dei titolari di carte
ID: PCI DSS v4.0 8.4.1 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Per gli account con autorizzazioni di proprietario nelle risorse di Azure deve essere abilitata l'autenticazione a più fattori | È necessario abilitare Multi-Factor Authentication (MFA) per tutti gli account della sottoscrizione con autorizzazioni di proprietario per evitare una violazione di account o risorse. | AuditIfNotExists, Disabled | 1.0.0 |
| Per gli account con autorizzazioni di scrittura nelle risorse di Azure deve essere abilitata l'autenticazione a più fattori | È necessario abilitare Multi-Factor Authentication (MFA) per tutti gli account della sottoscrizione con privilegi di scrittura per evitare una violazione di account o risorse. | AuditIfNotExists, Disabled | 1.0.0 |
| Adottare meccanismi di autenticazione biometrica | CMA_0005: adottare meccanismi di autenticazione biometrica | Manuale, Disabilitato | 1.1.0 |
| È consigliabile effettuare il provisioning di un amministratore di Azure Active Directory per i server SQL | Controlla il provisioning di un amministratore di Azure Active Directory per il server SQL per abilitare l'autenticazione di Azure AD. L'autenticazione di Azure AD consente una gestione semplificata delle autorizzazioni e una gestione centralizzata delle identità di utenti di database e di altri servizi Microsoft | AuditIfNotExists, Disabled | 1.0.0 |
| Controllare l'utilizzo dei ruoli Controllo degli accessi in base al ruolo (RBAC) personalizzati | Controlla i ruoli predefiniti, ad esempio "Proprietario, Collaboratore, Lettore" invece che i ruoli Controllo degli accessi in base al ruolo personalizzati, che sono soggetti a errori. L'uso di ruoli personalizzati è considerato un'eccezione e richiede una revisione rigorosa e la modellazione delle minacce | Audit, Disabled | 1.0.1 |
| Gli account guest con autorizzazioni di proprietario nelle risorse di Azure devono essere rimossi | È necessario rimuovere dalla sottoscrizione gli account esterni con autorizzazioni di proprietario in modo da evitare l'accesso non monitorato. | AuditIfNotExists, Disabled | 1.0.0 |
| Gli account guest con autorizzazioni di lettura nelle risorse di Azure devono essere rimossi | È necessario rimuovere dalla sottoscrizione gli account esterni con privilegi di lettura in modo da evitare l'accesso non monitorato. | AuditIfNotExists, Disabled | 1.0.0 |
| Gli account guest con autorizzazioni di scrittura nelle risorse di Azure devono essere rimossi | È necessario rimuovere dalla sottoscrizione gli account esterni con privilegi di scrittura in modo da evitare l'accesso non monitorato. | AuditIfNotExists, Disabled | 1.0.0 |
La Multi-Factor Authentication (MFA) viene implementata per proteggere l'accesso all'ambiente dei dati dei titolari di carte
ID: PCI DSS v4.0 8.4.2 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Adottare meccanismi di autenticazione biometrica | CMA_0005: adottare meccanismi di autenticazione biometrica | Manuale, Disabilitato | 1.1.0 |
| Autorizzare l'accesso remoto | CMA_0024 - Autorizzare l'accesso remoto | Manuale, Disabilitato | 1.1.0 |
| Documentare la formazione sulla mobilità | CMA_0191 - Documentare la formazione sulla mobilità | Manuale, Disabilitato | 1.1.0 |
| Documentare le linee guida di accesso remoto | CMA_0196 - Documentare le linee guida di accesso remoto | Manuale, Disabilitato | 1.1.0 |
| Identificare e autenticare i dispositivi di rete | CMA_0296 - Identificare e autenticare i dispositivi di rete | Manuale, Disabilitato | 1.1.0 |
| Implementare i controlli per proteggere i siti di lavoro alternativi | CMA_0315 - Implementare i controlli per proteggere siti di lavoro alternativi | Manuale, Disabilitato | 1.1.0 |
| Fornire training sulla privacy | CMA_0415 - Fornire formazione sulla privacy | Manuale, Disabilitato | 1.1.0 |
| Soddisfare i requisiti di qualità dei token | CMA_0487: soddisfare i requisiti di qualità dei token | Manuale, Disabilitato | 1.1.0 |
La Multi-Factor Authentication (MFA) viene implementata per proteggere l'accesso all'ambiente dei dati dei titolari di carte
ID: PCI DSS v4.0 8.4.3 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Adottare meccanismi di autenticazione biometrica | CMA_0005: adottare meccanismi di autenticazione biometrica | Manuale, Disabilitato | 1.1.0 |
| Autorizzare l'accesso remoto | CMA_0024 - Autorizzare l'accesso remoto | Manuale, Disabilitato | 1.1.0 |
| Documentare la formazione sulla mobilità | CMA_0191 - Documentare la formazione sulla mobilità | Manuale, Disabilitato | 1.1.0 |
| Documentare le linee guida di accesso remoto | CMA_0196 - Documentare le linee guida di accesso remoto | Manuale, Disabilitato | 1.1.0 |
| Identificare e autenticare i dispositivi di rete | CMA_0296 - Identificare e autenticare i dispositivi di rete | Manuale, Disabilitato | 1.1.0 |
| Implementare i controlli per proteggere i siti di lavoro alternativi | CMA_0315 - Implementare i controlli per proteggere siti di lavoro alternativi | Manuale, Disabilitato | 1.1.0 |
| Fornire training sulla privacy | CMA_0415 - Fornire formazione sulla privacy | Manuale, Disabilitato | 1.1.0 |
| Soddisfare i requisiti di qualità dei token | CMA_0487: soddisfare i requisiti di qualità dei token | Manuale, Disabilitato | 1.1.0 |
I sistemi di autenticazione a più fattori (MFA) sono configurati per impedire l'uso improprio
ID: PCI DSS v4.0 8.5.1 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Adottare meccanismi di autenticazione biometrica | CMA_0005: adottare meccanismi di autenticazione biometrica | Manuale, Disabilitato | 1.1.0 |
| Autorizzare l'accesso remoto | CMA_0024 - Autorizzare l'accesso remoto | Manuale, Disabilitato | 1.1.0 |
| Documentare la formazione sulla mobilità | CMA_0191 - Documentare la formazione sulla mobilità | Manuale, Disabilitato | 1.1.0 |
| Documentare le linee guida di accesso remoto | CMA_0196 - Documentare le linee guida di accesso remoto | Manuale, Disabilitato | 1.1.0 |
| Identificare e autenticare i dispositivi di rete | CMA_0296 - Identificare e autenticare i dispositivi di rete | Manuale, Disabilitato | 1.1.0 |
| Implementare i controlli per proteggere i siti di lavoro alternativi | CMA_0315 - Implementare i controlli per proteggere siti di lavoro alternativi | Manuale, Disabilitato | 1.1.0 |
| Fornire training sulla privacy | CMA_0415 - Fornire formazione sulla privacy | Manuale, Disabilitato | 1.1.0 |
| Soddisfare i requisiti di qualità dei token | CMA_0487: soddisfare i requisiti di qualità dei token | Manuale, Disabilitato | 1.1.0 |
L'uso di account di applicazioni e sistemi e dei fattori di autenticazione associati è gestito in modo rigoroso
ID: PCI DSS v4.0 8.6.1 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Definire i tipi di account del sistema informativo | CMA_0121 - Definire i tipi di account del sistema informativo | Manuale, Disabilitato | 1.1.0 |
| Richiedere l'approvazione per la creazione di account | CMA_0431 - Richiedere l'approvazione per la creazione di account | Manuale, Disabilitato | 1.1.0 |
L'uso di account di applicazioni e sistemi e dei fattori di autenticazione associati è gestito in modo rigoroso
ID: PCI DSS v4.0 8.6.2 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Implementare il training per la protezione degli autenticatori | CMA_0329 - Implementare il training per la protezione degli autenticatori | Manuale, Disabilitato | 1.1.0 |
L'uso di account di applicazioni e sistemi e dei fattori di autenticazione associati è gestito in modo rigoroso
ID: PCI DSS v4.0 8.6.3 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Documentare i requisiti di complessità della sicurezza nei contratti di acquisizione | CMA_0203 - Documentare i requisiti di complessità della sicurezza nei contratti di acquisizione | Manuale, Disabilitato | 1.1.0 |
| Stabilire criteri per le password | CMA_0256 - Stabilire criteri per le password | Manuale, Disabilitato | 1.1.0 |
| Implementare i parametri per gli strumenti di verifica dei segreti memorizzati | CMA_0321 - Implementare i parametri per gli strumenti di verifica dei segreti memorizzati | Manuale, Disabilitato | 1.1.0 |
| Implementare il training per la protezione degli autenticatori | CMA_0329 - Implementare il training per la protezione degli autenticatori | Manuale, Disabilitato | 1.1.0 |
| Gestire la durata e il riutilizzo dell'autenticatore | CMA_0355 - Gestire la durata e il riutilizzo dell'autenticatore | Manuale, Disabilitato | 1.1.0 |
| Aggiornare gli autenticatori | CMA_0425 - Aggiornare gli autenticatori | Manuale, Disabilitato | 1.1.0 |
Requisito 09: Limitare l'accesso fisico ai dati dei titolari di carte
I processi e i meccanismi per limitare l'accesso fisico ai dati dei titolari di carte sono definiti e riconosciuti
ID: PCI DSS v4.0 9.1.1 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Esaminare e aggiornare i criteri e le procedure di protezione dei supporti | CMA_C1427 - Esaminare e aggiornare i criteri e le procedure di protezione dei supporti | Manuale, Disabilitato | 1.1.0 |
| Esaminare e aggiornare criteri e procedure fisici e ambientali | CMA_C1446 - Rivedere e aggiornare criteri e procedure fisici e ambientali | Manuale, Disabilitato | 1.1.0 |
I controlli di accesso fisico gestiscono l'accesso a strutture e sistemi contenenti dati dei titolari di carte
ID: PCI DSS v4.0 9.2.2 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllare l'accesso fisico | CMA_0081 - Controllare l'accesso fisico | Manuale, Disabilitato | 1.1.0 |
I controlli di accesso fisico gestiscono l'accesso a strutture e sistemi contenenti dati dei titolari di carte
ID: PCI DSS v4.0 9.2.3 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllare l'accesso fisico | CMA_0081 - Controllare l'accesso fisico | Manuale, Disabilitato | 1.1.0 |
| Implementare la sicurezza fisica per uffici, aree di lavoro e aree sicure | CMA_0323 - Implementare la sicurezza fisica per uffici, aree di lavoro e aree protette | Manuale, Disabilitato | 1.1.0 |
I controlli di accesso fisico gestiscono l'accesso a strutture e sistemi contenenti dati dei titolari di carte
ID: PCI DSS v4.0 9.2.4 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllare l'accesso fisico | CMA_0081 - Controllare l'accesso fisico | Manuale, Disabilitato | 1.1.0 |
| Implementare la sicurezza fisica per uffici, aree di lavoro e aree sicure | CMA_0323 - Implementare la sicurezza fisica per uffici, aree di lavoro e aree protette | Manuale, Disabilitato | 1.1.0 |
L'accesso fisico per personale e visitatori è autorizzato e gestito
ID: PCI DSS v4.0 9.3.1 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllare l'accesso fisico | CMA_0081 - Controllare l'accesso fisico | Manuale, Disabilitato | 1.1.0 |
L'accesso fisico per personale e visitatori è autorizzato e gestito
ID: PCI DSS v4.0 9.3.1.1 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllare l'accesso fisico | CMA_0081 - Controllare l'accesso fisico | Manuale, Disabilitato | 1.1.0 |
L'accesso fisico per personale e visitatori è autorizzato e gestito
ID: PCI DSS v4.0 9.3.2 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllare l'accesso fisico | CMA_0081 - Controllare l'accesso fisico | Manuale, Disabilitato | 1.1.0 |
| Implementare la sicurezza fisica per uffici, aree di lavoro e aree sicure | CMA_0323 - Implementare la sicurezza fisica per uffici, aree di lavoro e aree protette | Manuale, Disabilitato | 1.1.0 |
L'accesso fisico per personale e visitatori è autorizzato e gestito
ID: PCI DSS v4.0 9.3.3 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllare l'accesso fisico | CMA_0081 - Controllare l'accesso fisico | Manuale, Disabilitato | 1.1.0 |
| Implementare la sicurezza fisica per uffici, aree di lavoro e aree sicure | CMA_0323 - Implementare la sicurezza fisica per uffici, aree di lavoro e aree protette | Manuale, Disabilitato | 1.1.0 |
L'accesso fisico per personale e visitatori è autorizzato e gestito
ID: PCI DSS v4.0 9.3.4 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllare l'accesso fisico | CMA_0081 - Controllare l'accesso fisico | Manuale, Disabilitato | 1.1.0 |
| Implementare la sicurezza fisica per uffici, aree di lavoro e aree sicure | CMA_0323 - Implementare la sicurezza fisica per uffici, aree di lavoro e aree protette | Manuale, Disabilitato | 1.1.0 |
I supporti di memorizzazione con i dati dei titolari di carte vengono archiviati, distribuiti ed eliminati e il loro accesso viene fornito in modo sicuro
ID: PCI DSS v4.0 9.4.1 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Implementare i controlli per proteggere tutti i supporti | CMA_0314 - Implementare i controlli per proteggere tutti i supporti | Manuale, Disabilitato | 1.1.0 |
I supporti di memorizzazione con i dati dei titolari di carte vengono archiviati, distribuiti ed eliminati e il loro accesso viene fornito in modo sicuro
ID: PCI DSS v4.0 9.4.1.1 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Implementare i controlli per proteggere tutti i supporti | CMA_0314 - Implementare i controlli per proteggere tutti i supporti | Manuale, Disabilitato | 1.1.0 |
I supporti di memorizzazione con i dati dei titolari di carte vengono archiviati, distribuiti ed eliminati e il loro accesso viene fornito in modo sicuro
ID: PCI DSS v4.0 9.4.2 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Implementare i controlli per proteggere tutti i supporti | CMA_0314 - Implementare i controlli per proteggere tutti i supporti | Manuale, Disabilitato | 1.1.0 |
I supporti di memorizzazione con i dati dei titolari di carte vengono archiviati, distribuiti ed eliminati e il loro accesso viene fornito in modo sicuro
ID: PCI DSS v4.0 9.4.3 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Implementare i controlli per proteggere tutti i supporti | CMA_0314 - Implementare i controlli per proteggere tutti i supporti | Manuale, Disabilitato | 1.1.0 |
| Gestire il trasporto degli asset | CMA_0370 - Gestire il trasporto degli asset | Manuale, Disabilitato | 1.1.0 |
I supporti di memorizzazione con i dati dei titolari di carte vengono archiviati, distribuiti ed eliminati e il loro accesso viene fornito in modo sicuro
ID: PCI DSS v4.0 9.4.4 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Implementare i controlli per proteggere tutti i supporti | CMA_0314 - Implementare i controlli per proteggere tutti i supporti | Manuale, Disabilitato | 1.1.0 |
| Gestire il trasporto degli asset | CMA_0370 - Gestire il trasporto degli asset | Manuale, Disabilitato | 1.1.0 |
I supporti di memorizzazione con i dati dei titolari di carte vengono archiviati, distribuiti ed eliminati e il loro accesso viene fornito in modo sicuro
ID: PCI DSS v4.0 9.4.5.1 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Creare un inventario dati | CMA_0096 - Creare un inventario dati | Manuale, Disabilitato | 1.1.0 |
| Gestire i record dell'elaborazione dei dati personali | CMA_0353 - Gestire i record dell'elaborazione dei dati personali | Manuale, Disabilitato | 1.1.0 |
I supporti di memorizzazione con i dati dei titolari di carte vengono archiviati, distribuiti ed eliminati e il loro accesso viene fornito in modo sicuro
ID: PCI DSS v4.0 9.4.6 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Utilizzare un meccanismo di bonifica dei supporti | CMA_0208 - Utilizzare un meccanismo di bonifica dei supporti | Manuale, Disabilitato | 1.1.0 |
| Implementare i controlli per proteggere tutti i supporti | CMA_0314 - Implementare i controlli per proteggere tutti i supporti | Manuale, Disabilitato | 1.1.0 |
| Eseguire la revisione per l'eliminazione | CMA_0391 - Eseguire la revisione per l'eliminazione | Manuale, Disabilitato | 1.1.0 |
| Verificare che i dati personali vengano eliminati al termine dell'elaborazione | CMA_0540 - Verificare che i dati personali vengano eliminati al termine dell'elaborazione | Manuale, Disabilitato | 1.1.0 |
I supporti di memorizzazione con i dati dei titolari di carte vengono archiviati, distribuiti ed eliminati e il loro accesso viene fornito in modo sicuro
ID: PCI DSS v4.0 9.4.7 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Utilizzare un meccanismo di bonifica dei supporti | CMA_0208 - Utilizzare un meccanismo di bonifica dei supporti | Manuale, Disabilitato | 1.1.0 |
| Implementare i controlli per proteggere tutti i supporti | CMA_0314 - Implementare i controlli per proteggere tutti i supporti | Manuale, Disabilitato | 1.1.0 |
| Eseguire la revisione per l'eliminazione | CMA_0391 - Eseguire la revisione per l'eliminazione | Manuale, Disabilitato | 1.1.0 |
| Verificare che i dati personali vengano eliminati al termine dell'elaborazione | CMA_0540 - Verificare che i dati personali vengano eliminati al termine dell'elaborazione | Manuale, Disabilitato | 1.1.0 |
I dispositivi punto di interazione (POI) sono protetti da manomissioni e sostituzioni non autorizzate
ID: PCI DSS v4.0 9.5.1 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllare l'accesso fisico | CMA_0081 - Controllare l'accesso fisico | Manuale, Disabilitato | 1.1.0 |
| Implementare la sicurezza fisica per uffici, aree di lavoro e aree sicure | CMA_0323 - Implementare la sicurezza fisica per uffici, aree di lavoro e aree protette | Manuale, Disabilitato | 1.1.0 |
| Gestire l'input, l'output, l'elaborazione e l'archiviazione dei dati | CMA_0369 - Gestire l'input, l'output, l'elaborazione e l'archiviazione dei dati | Manuale, Disabilitato | 1.1.0 |
I dispositivi punto di interazione (POI) sono protetti da manomissioni e sostituzioni non autorizzate
ID: PCI DSS v4.0 9.5.1.2 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllare l'accesso fisico | CMA_0081 - Controllare l'accesso fisico | Manuale, Disabilitato | 1.1.0 |
| Implementare la sicurezza fisica per uffici, aree di lavoro e aree sicure | CMA_0323 - Implementare la sicurezza fisica per uffici, aree di lavoro e aree protette | Manuale, Disabilitato | 1.1.0 |
| Gestire l'input, l'output, l'elaborazione e l'archiviazione dei dati | CMA_0369 - Gestire l'input, l'output, l'elaborazione e l'archiviazione dei dati | Manuale, Disabilitato | 1.1.0 |
I dispositivi punto di interazione (POI) sono protetti da manomissioni e sostituzioni non autorizzate
ID: PCI DSS v4.0 9.5.1.2.1 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllare l'accesso fisico | CMA_0081 - Controllare l'accesso fisico | Manuale, Disabilitato | 1.1.0 |
| Implementare la sicurezza fisica per uffici, aree di lavoro e aree sicure | CMA_0323 - Implementare la sicurezza fisica per uffici, aree di lavoro e aree protette | Manuale, Disabilitato | 1.1.0 |
| Gestire l'input, l'output, l'elaborazione e l'archiviazione dei dati | CMA_0369 - Gestire l'input, l'output, l'elaborazione e l'archiviazione dei dati | Manuale, Disabilitato | 1.1.0 |
I dispositivi punto di interazione (POI) sono protetti da manomissioni e sostituzioni non autorizzate
ID: PCI DSS v4.0 9.5.1.3 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Fornire la formazione sulla sicurezza prima di concedere l'accesso | CMA_0418 - Erogare la formazione sulla sicurezza prima di concedere l'accesso | Manuale, Disabilitato | 1.1.0 |
Passaggi successivi
Articoli aggiuntivi su Criteri di Azure:
- Panoramica della Conformità con le normative.
- Vedere la struttura della definizione dell'iniziativa.
- Vedere altri esempi in Esempi di Criteri di Azure.
- Leggere Informazioni sugli effetti di Criteri.
- Informazioni su come correggere le risorse non conformi.