本文提供了应用目录中可用应用程序字段的参考。应用目录。 使用此参考了解Cato为每个应用程序显示的元数据,以及这些字段如何帮助您评估企业的应用程序。
Cato 的安全研究团队不断更新应用目录中包含的新应用程序和元数据,这些数据在 CMA 中被使用,以帮助您评估应用程序,并将其用于策略和规则库中。
类别 指的是此应用程序的 Cato 类别。
该表解释了可用于应用程序的元数据。
| 字段 | 描述 | |
|---|---|---|
| 应用快速查看 | ||
| 1 | 类型 | 指示应用程序是云应用程序、本地应用程序还是服务 |
| 2 | 风险 | 表示应用程序的风险级别的数值分数 |
| 3 | 分类 | 显示应用程序当前是否得到批准,允许您将应用程序添加到批准的应用程序中 |
| 应用概览 | ||
| 4 | 描述 | 应用程序的目的和功能摘要 |
| 5 | 总部 | 应用程序归属公司的位置 |
| 6 | 网站 | 官方供应商网站 |
| 7 | 尺寸 | 组织的估算规模 |
| 安全性 | ||
| 8 | MFA 支持 | 指示是否支持多因素认证 |
| 9 | SSO 支持 | 指示是否支持单点登录 |
| 10 | RBAC 支持 | 指示是否提供角色访问控制 |
| 12 | 传输中加密 | 指示数据在传输过程中是否加密 |
| 13 | TLS 版本支持 | 应用程序支持的 TLS 版本 |
| 14 | 存储加密 | 指示存储的数据是否加密 |
| 15 | 静态加密强度 | 描述数据在可用时的存储加密强度 |
| 16 | 弱加密支持 | 指示是否允许弱加密 |
| 17 | 受信任的证书 | 指示应用程序是否使用受信任的证书 |
| 18 | HTTP 安全头 | 指示是否存在安全的 HTTP 头 |
| 19 | 物理数据中心安全性 | 指示是否披露或支持物理安全控制 |
| 20 | 审计追踪 | 指示活动日志是否可用 |
| 21 | 灾难恢复 | 指示恢复机制是否可用 |
| 22 | 按租户的数据分隔 | 指示租户数据是否被逻辑上分割 |
| 23 | 记住密码 | 表明是否支持持久登录 |
| 24 | 数据保留政策 | 定义客户数据存储的时长 |
| 25 | 数据删除政策 | 定义客户数据的删除方式和时间 |
| 26 | 数据所有权 | 指定存储客户数据的所有权 |
| 合规性 - 核心框架 | ||
| 27 | ISO 27001 | 信息安全管理认证 |
| 28 | SOC 1 | SOC 1 报告对客户财务报告可能影响的控制 |
| 29 | SOC 2 | SOC 2 报告对安全性、可用性、处理完整性、机密性和隐私的控制 |
| 30 | SOC 3 | SOC 3 是 SOC 2 控制的公众摘要,以便广泛共享 |
| 31 | HIPAA | 医疗数据保护合规 |
| 32 | PCI-DSS | 支付卡行业数据安全标准 |
| 33 | GDPR | 欧洲数据保护法规 |
| 34 | SOX | 财务报告合规 |
| 35 | ISAE 3402 | 服务组织的保证标准 |
| 36 | FedRAMP | 美国政府云安全授权 |
| 37 | FISMA | 联邦信息安全标准 |
| 38 | NIST SP 800-53 | NIST 框架,定义信息系统和组织的安全和隐私控制 |
| 39 | ISO 27017 | 云安全标准 |
| 40 | ISO 27018 | 云数据的隐私保护 |
| 41 | ISO 27002 | 信息安全控制标准 |
| 42 | CSA STAR | 云安全联盟认证 |
| 43 | C5 背书 | 德国云合规框架 |
| 44 | 网络基础知识增强版 | 英国网络安全认证 |
| 45 | COBIT | IT 治理框架 |
| 46 | FERPA | 美国教育隐私法规 |
| 47 | COPPA | 美国儿童隐私法规 |
| 48 | GLBA | 金融服务隐私法规 |
| 49 | CJIS | 刑事司法信息标准 |
| 50 | FINRA | 金融行业法规 |
| 51 | FFIEC | 美国金融机构指导 |
| 52 | GAPP | 由美国和加拿大会计机构制定的隐私框架,用于管理和评估组织的隐私计划 |
| 53 | 欧盟-美国数据隐私框架 | 跨境数据传输合规性 |
| 54 | TrustArc 隐私 | A US-based third-party privacy certification program that validates an organization’s privacy practices |
| 55 | 日本隐私标志 | 日本第三方认证,用于满足隐私保护要求的组织 |
| 56 | 耶利哥论坛戒律 | 客户主导的行业小组定义的安全设计原则,用于开放的网络环境中的安全架构 |
| 身份和访问管理 | ||
| 57 | 访问控制执行 | 指示应用程序能否原生限制和强制用户访问 |
| 58 | 基于 IP 的访问限制 | 显示应用程序是否支持基于 IP 的访问限制 |
| 59 | SAML 认证 | 显示应用程序是否支持 SAML 认证 |
| 活动 | ||
| 60 | 上传 | 上传内容的能力 |
| 61 | 下载 | 下载内容的能力 |
| 62 | 发送语音消息 | 发送语音数据的能力 |
| 63 | 移除/删除 | 删除内容的能力 |
| 64 | 完整路径网址访问 | 通过直接网址访问 |
| AI 风险 | ||
| 65 | AI风险等级 | Cato分配的AI应用风险 |
| 66 | AI等级 | AI如何参与应用程序 |
| 67 | AI威胁 | AI应用的潜在威胁摘要 |
0 条评论
请登录写评论。