Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Общие сведения о PCI DSS
Standard безопасности данных (DSS) индустрии платежных карт (PCI) — это глобальный стандарт информационной безопасности, предназначенный для предотвращения мошенничества за счет усиления контроля за кредитными карта данными. Организации всех размеров должны следовать стандартам PCI DSS, если они принимают платежные карты от пяти основных кредитных карта брендов: Visa, MasterCard, American Express, Discover и Японского кредитного бюро (JCB). Для любой организации, которая хранит, обрабатывает или передает данные о платежах и о держателях карт, требуется соответствие PCI DSS.
Корпорация Майкрософт и PCI DSS
Корпорация Майкрософт завершает ежегодную оценку PCI DSS с помощью утвержденного квалифицированного оценчика безопасности (QSA). Аудиторы рассматривают среды Microsoft Azure, Microsoft OneDrive для бизнеса, Microsoft Office SharePoint Online и Microsoft Azure Communication Service. Этот обзор включает проверку инфраструктуры, разработки, операций, управления, поддержки и область служб. PCI DSS определяет четыре уровня соответствия в зависимости от объема транзакций. Azure, OneDrive для бизнеса, SharePoint Online и Azure Communication Service сертифицированы как соответствующие требованиям pci DSS версии 4.0.1 на уровне поставщика услуг 1 (наибольший объем транзакций, более 6 миллионов в год).
Оценка приводит к аттестации соответствия (AoC), которая доступна клиентам, и отчет о соответствии (RoC), выданный QSA. Действующий период соответствия начинается с прохождения аудита и оценчик предоставляет AoC и заканчивается через год с даты подписания AoC.
Клиенты, которые хотят разработать среду для владельцев карт или службу обработки карта, могут использовать эти проверки во многих базовых частей, что снижает затраты на получение собственной сертификации PCI DSS.
Важно понимать, что состояние соответствия ТРЕБОВАНИЯМ PCI DSS для Azure, OneDrive для бизнеса, SharePoint Online и службы коммуникации Azure не автоматически преобразуется в сертификацию PCI DSS для служб, которые клиенты создают или размещают на этих платформах. Клиенты обязаны обеспечить соблюдение требованиям PCI DSS.
Майкрософт in-область облачные платформы и службы
- Azure и Azure для государственных организаций
- Microsoft Intune
- Microsoft Defender for Cloud Apps
- Microsoft Defender для конечной точки
- Microsoft Graph
- Office 365 (OneDrive, SharePoint и служба коммуникации Azure)
- Облачная служба Power Apps в качестве автономной службы или в составе Office 365 или Майкрософт Dynamics 365 фирменного плана или набора
- Power Automate (в виде автономной службы или в составе плана либо набора Office 365 или Dynamics 365)
- Облачная служба Power BI в виде автономной службы или в составе плана либо набора Office 365
Azure, Dynamics 365 и PCI DSS
Дополнительные сведения о соответствии требованиям Azure, Dynamics 365 и другим веб-службам см. в разделе Предложение Azure PCI DSS.
Office 365 и PCI DSS
Office 365 среды
Microsoft Office 365 — это рассчитанная на множество клиентов гипермасштабируемая облачная платформа с интегрированным интерфейсом приложений и служб, доступная клиентам в нескольких регионах по всему миру. Большинство служб Office 365 позволяют клиентам указывать регион, в котором находятся их данные клиентов. Корпорация Майкрософт может реплицировать данные клиентов в другие регионы в той же географической области (например, в США) для обеспечения устойчивости данных, но корпорация Майкрософт не будет реплицировать данные клиентов за пределами выбранной географической области.
В этом разделе рассматриваются следующие Office 365 среды:
- Клиентское программное обеспечение (клиент). Коммерческое клиентское программное обеспечение, работающее на устройствах пользователей.
- Office 365 (коммерческая). Глобальная общедоступная коммерческая облачная служба Office 365.
- Облако сообщества Office 365 для государственных организаций (GCC). Облачная служба Office 365 GCC доступна для государственных организаций США федерального уровня, уровня штатов, местного и племенного уровня, а также для подрядчиков, хранящих или обрабатывающих данные от имени правительства США.
- Облако сообщества Office 365 для государственных организаций — высокий уровень (GCC High). Облачная служба Office 365 GCC High разработана в соответствии с элементами управления четвертого уровня, предусмотренными руководством по требованиям к безопасности Министерства обороны (DoD), и поддерживает строго регулируемую информацию федерального значения и данные, относящиеся к обороне. Эта среда используется федеральными учреждениями, предприятиями военно-промышленного комплекса и подрядчиками государственных организаций.
- Office 365 DoD (DoD). Облачная служба Office 365 DoD разработана в соответствии с элементами управления пятого уровня, предусмотренными руководством по требованиям к безопасности Министерства обороны (DoD), и поддерживает строгие нормы относительно информации федерального значения и данных, относящихся к обороне. Эта среда используется исключительно Министерством обороны США.
Используйте этот раздел для выполнения своих обязательств по обеспечению соответствия требованиям в регулируемых отраслях и на глобальных рынках. Чтобы узнать, какие службы доступны в тех или иных регионах, см. статьи Информация о доступности в международном масштабе и Где хранятся ваши данные как клиента Microsoft 365. Дополнительные сведения об облачной среде Office 365 для государственных организаций см. в статье Облако Office 365 для государственных организаций.
Ваша организация несет полную ответственность за обеспечение соответствия всем применимым законам и нормативным актам. Информация, представленная в этом разделе, не является юридической консультацией, поэтому по любым вопросам, относящимся к соблюдению нормативных требований в вашей организации, следует обращаться к юридическим консультантам.
Применимость Office 365 и затрагиваемые службы
Чтобы определить применимость изменений к вашим службам и подписке Office 365, воспользуйтесь следующей таблицей.
| Применимость | Затрагиваемые службы |
|---|---|
| Коммерческий сектор | Служба коммуникации Azure, OneDrive для бизнеса, SharePoint Online |
Аудит, отчеты и сертификаты Office 365
Вопросы и ответы
Почему на титульной странице аттестации соответствия (AoC) указано "Август 2024 г."?
Дата августа 2024 г. на титульной странице — это дата публикации шаблона AoC. Даты оценки см. в разделе 2.
Как соотносятся PA DSS и PCI DSS??
Standard безопасности данных приложения для платежных приложений (PA DSS) — это набор требований, которые соответствуют стандарту PCI DSS. Он заменяет рекомендации по приложениям для оплаты Visa и объединяет требования к соответствию других основных карта издателей. PA DSS помогает издателям программного обеспечения разрабатывать приложения, которые хранят, обрабатывают или передают платежные данные владельца карты в рамках авторизации или урегулирования карта. Розничные продавцы должны использовать сертифицированные приложения PA DSS для эффективного обеспечения соответствия PCI DSS. Pa DSS не применяется к Azure.
Что такое эквайрер и использует ли его Azure?
Эквайрер — это банк или другой субъект, который обрабатывает транзакции платежной карты. Azure не предлагает платежную карта обработку как услугу и, следовательно, не использует эквайер.
К каким организациям и продавцам применяется PCI DSS?
PCI DSS применяется ко всем компаниям, независимо от размера или количества транзакций, которые принимают, передают или сохраняют данные о владельце карты. То есть, если какой-либо клиент осуществлял платеж для компании с помощью кредитной или дебетовой карты, тогда применяются требования PCI DSS. Компании проходят проверку по одному из четырех уровней на основании общего объема транзакций за период 12 месяцев. Уровень 1 предназначен для компаний, которые обрабатывают более 6 миллионов транзакций в год. Уровень 2 предназначен для компаний с объемом транзакций от 1 миллиона до 6 миллионов. Уровень 3 — для объема от 20 000 до 1 миллиона транзакций. Уровень 4 предназначен для компаний с объемом транзакций менее чем 20 000 в год.
Какое содержимое OneDrive для бизнеса и SharePoint Online затрагивает стандарт?
В настоящее время только файлы и документы, отправленные в OneDrive для бизнеса и SharePoint Online, соответствуют стандарту PCI DSS.
Использование Диспетчер соответствия требованиям Microsoft Purview для оценки риска
Диспетчер соответствия требованиям Microsoft Purview — это функция на портале Microsoft Purview , которая поможет вам понять состояние соответствия требованиям вашей организации и принять меры для снижения рисков. Диспетчер соответствия требованиям предоставляет премиум-шаблон для оценки этих нормативных требований. Шаблон находится на странице шаблонов оценки в диспетчере соответствия требованиям. См. Создание оценки в диспетчере соответствия требованиям.