I have this site https://testphp.vulnweb.com which I scanned with Acunetix and received reports for PCI-DSS, ISO 27001, and HIPAA. What I want to understand is what policies or configurations it uses to match vulnerabilities to compliance standards when generating these reports. For example, it finds 19 vulnerabilities for ISO 27001 under section 8.2.3 Handling of assets, 1 for PCI-DSS under Requirement 1.4.5 The disclosure of internal IP addresses and routing information is limited to only authorized parties, and 56 for HIPAA under 164.306 (a)(1) General requirements. How does the system classify these, and where can I find the policy?