Standard de securitate a datelor (DSS) pentru industria cardurilor de plata (PCI) – conformitate Microsoft

• 30.03.2021
• 5 minute de citit

• • r

In acest articol

Prezentare generala PCI DSS

Standardele de securitate a datelor (DSI) pentru industria cardurilor de plata (PCI) sunt un standard global de securitate a informatiilor conceput pentru a preveni frauda prin control sporit al datelor cardurilor de credit. Organizatiile de toate dimensiunile trebuie sa respecte standardele PCI DSS daca accepta carduri de plata de la cele cinci mari marci de carduri de credit, Visa, MasterCard, American Express, Discover si Japan Credit Bureau (JCB). Conformitatea cu PCI DSS este necesara pentru orice organizatie care stocheaza, proceseaza sau transmite date de plata si detinator de card.

Microsoft si PCI DSS

Microsoft a finalizat anual o evaluare PCI DSS utilizand un evaluator de securitate calificat (QSA) aprobat. Auditorii au analizat mediile Microsoft Azure, Microsoft OneDrive for Business si Microsoft SharePoint Online, care includ validarea infrastructurii, dezvoltarii, operatiunilor, gestionarii, asistentei si serviciilor din domeniul de aplicare. PCI DSS desemneaza patru niveluri de conformitate pe baza volumului tranzactiilor. Azure, OneDrive for Business si SharePoint Online sunt certificate conform PCI DSS versiunea 3.2 la nivelul furnizorului de servicii 1 (cel mai mare volum de tranzactii, mai mult de 6 milioane pe an).

Evaluarea are ca rezultat o atestare de conformitate (AoC), care este disponibila pentru clienti si un raport de conformitate (RoC) emis de QSA. Perioada efectiva de conformitate incepe dupa trecerea auditului si primirea AoC de la evaluator si se incheie la un an de la data semnarii AoC.

Clientii care doresc sa dezvolte un mediu detinator de card sau un serviciu de procesare a cardului pot utiliza aceste validari in multe dintre portiunile subiacente, reducand astfel efortul si costurile asociate obtinerii propriei certificari PCI DSS.

Este important sa intelegem ca starea de conformitate PCI DSS pentru Azure, OneDrive for Business si SharePoint Online nu se traduce automat in certificarea PCI DSS pentru serviciile pe care clientii le construiesc sau le gazduiesc pe aceste platforme. Clientii sunt responsabili de asigurarea conformitatii cu cerintele PCI DSS.

Servicii cloud in domeniul de aplicare Microsoft

• Azure si Azure Government
• Securitatea aplicatiei Microsoft Cloud
• Flow cloud service fie ca serviciu independent, fie inclus intr-un plan sau suita de marca Office 365 sau Dynamics 365
• Microsoft Graph
• In ton
• Microsoft Defender pentru Endpoint
• Serviciul cloud PowerApps fie ca serviciu independent, fie inclus intr-un plan sau suita de marca Office 365 sau Dynamics 365
• Serviciul cloud Power BI fie ca serviciu independent, fie inclus intr-un plan sau suita de marca Office 365
• OneDrive for Business si SharePoint Online (numai in Statele Unite)

Audit, rapoarte si certificate

• Atestare de conformitate (AoC) Azure PCI DSS
• OneDrive for Business si SharePoint Online PCI DSS Attestation of Compliance (AoC)

Executati solutia PCI DSS pe Azure

Construiti si implementati solutia PCI DSS in cloud chiar mai rapid cu Azure Security and Compliance PCI DSS Blueprint. Obtineti arhitecturi de referinta, indrumari de implementare, controlati mapari de implementare, scripturi automate si multe altele. Incepeti sa utilizati Azure PCI DSS Blueprint.

Intrebari frecvente

De ce pagina de coperta a Atestarii de conformitate (AoC) spune „iunie 2018”?

Data din iunie 2018 pe pagina de coperta este data la care a fost publicat sablonul AoC. Consultati sectiunea 2 pentru data evaluarii.

De ce exista mai multe Atestari de conformitate Azure (AoC)?

Pachetul Azure AoC are AoC-uri corespunzatoare cloud Azure Public, Germania si Government. Clientii ar trebui sa utilizeze AoC care corespunde mediului lor Azure.

Care este relatia dintre PA DSS si PCI DSS?

Standardul de securitate a datelor pentru cererea de plata (PA DSS) este un set de cerinte care sunt conforme cu PCI DSS si inlocuieste cele mai bune practici ale cererii de plata Visa si consolideaza cerintele de conformitate ale celorlalti emitenti primari de carduri. PA DSS ajuta furnizorii de software sa dezvolte aplicatii terte care stocheaza, proceseaza sau transmit date de plata ale detinatorului de card ca parte a unui proces de autorizare sau decontare a cardului. Retailerii trebuie sa utilizeze aplicatii certificate PA DSS pentru a-si atinge in mod eficient conformitatea PCI DSS. PA DSS nu se aplica pentru Azure.

Ce este un achizitor si Azure il foloseste?

Un dobanditor este o banca sau alta entitate care proceseaza tranzactiile cu cardul de plata. Azure nu ofera procesarea cardului de plata ca serviciu si, prin urmare, nu foloseste un achizitor.

La ce organizatii si comercianti se aplica PCI DSS?

PCI DSS se aplica oricarei companii, indiferent de marimea sau numarul de tranzactii, care accepta, transmite sau stocheaza datele detinatorului de card. Adica, daca vreun client plateste vreodata o companie utilizand un card de credit sau de debit, atunci se aplica cerintele PCI DSS. Companiile sunt validate la unul din cele patru niveluri pe baza volumului total al tranzactiilor pe o perioada de 12 luni. Nivelul 1 este pentru companiile care proceseaza peste 6 milioane de tranzactii pe an; Nivelul 2 pentru 1 milion pana la 6 milioane de tranzactii; Nivelul 3 este pentru 20.000 pana la 1 milion de tranzactii; iar nivelul 4 este pentru mai putin de 20.000 de tranzactii.

De unde incep eforturile de conformitate PCI DSS ale organizatiei mele pentru o solutie implementata pe Azure?

Informatiile pe care Consiliul pentru standarde de securitate PCI le pune la dispozitie este un loc bun pentru a afla despre cerintele specifice de conformitate. Consiliul publica Ghidul de referinta rapida PCI DSS pentru comercianti si alte persoane implicate in procesarea cardului de plata. Ghidul explica modul in care PCI DSS poate ajuta la protejarea unui mediu de tranzactie cu cardul de plata si cum sa il aplicati.

Conformitatea implica mai multi factori, inclusiv evaluarea sistemelor si proceselor care nu sunt gazduite pe Azure. Cerintele individuale variaza in functie de serviciile Azure si de modul in care sunt utilizate in cadrul solutiei.

Exista planuri ca OneDrive for Business si SharePoint Online sa fie compatibile cu PCI DSS in afara Statelor Unite?

In prezent OneDrive for Business si SharePoint Online este compatibil PCI-DSS numai in Statele Unite (SUA). Microsoft va evalua cerintele si termenele pentru regiunile din afara SUA si va oferi actualizari cand si daca alte regiuni sunt adaugate la foaia de parcurs.

Ce este in domeniul de aplicare pentru OneDrive for Business si SharePoint Online?

In prezent, numai fisierele si documentele incarcate in OneDrive for Business si SharePoint Online vor fi conforme cu PCI DSS.

Utilizati Microsoft Compliance Manager pentru a va evalua riscul

Microsoft Compliance Manager este o functie din centrul de conformitate Microsoft 365 pentru a va ajuta sa intelegeti pozitia de conformitate a organizatiei dvs. si sa luati masuri pentru a reduce riscurile. Compliance Manager ofera un sablon premium pentru construirea unei evaluari pentru acest regulament. Gasiti sablonul in pagina de sabloane de evaluare din Compliance Manager. Aflati cum sa creati evaluari in Compliance Manager.

Resurse

• PCI Security Standards Council
• Standard de securitate a datelor PCI
• Azure PCI DSS 3.2.1 Blueprint
• Ghid de referinta rapida PCI DSS
• Conformitate la Microsoft Trust Center