Payment Card Industry (PCI) Data Security Standard (DSS)
Panoramica PCI DSS
Il Payment Card Industry (PCI) Data Security Standards (DSS) è uno standard di sicurezza delle informazioni globale progettato per prevenire le frodi attraverso un maggiore controllo dei dati delle carte di credito. Tutte le organizzazioni, indipendentemente dalle loro dimensioni, devono aderire agli standard PCI DSS se accettano le carte di credito dei cinque principali marchi ovvero Visa, MasterCard, American Express, Discover e Japan Credit Bureau (JCB). L'adozione dello standard PCI DSS è obbligatoria per tutte le organizzazioni che archiviano, elaborano o trasmettono dati di pagamento e dei titolari di carte di credito.
Microsoft e PCI DSS
Microsoft ha incaricato un Qualified Security Assessor (QSA) approvato di condurre una valutazione PCI DSS annuale. I revisori hanno esaminato gli ambienti Microsoft Azure, Microsoft OneDrive for Business e Microsoft SharePoint Online, tra cui la convalida dell'infrastruttura, dello sviluppo, delle operazioni, della gestione, del supporto e dei servizi nell'ambito. Lo standard PCI DSS definisce quattro livelli di conformità secondo il volume di transazioni. Azure, OneDrive for Business e SharePoint Online hanno ottenuto la certificazione di conformità a PCI DSS versione 3.2 al livello 1 dei provider di servizi (il volume più alto di transazioni, ovvero oltre 6 milioni all'anno).
I risultati della valutazione sono riportati in un Attestato di conformità (AoC, Attestation on Compliance), consultabile dai clienti, e in un Report di conformità (RoC, Report on Compliance) rilasciati dal QSA. Il periodo di validità della conformità inizia dopo il superamento del controllo e dopo aver ricevuto l'AoC dal QSA e termina dopo un anno a partire dalla data della firma dell'Attestato di conformità.
I clienti che intendono sviluppare un ambiente per i titolari di carte di credito o un servizio di elaborazione carte possono sfruttare questi attestati anche per molte delle porzioni sottostanti e ridurre così le attività e i costi necessari per ottenere la loro certificazione PCI DSS.
È importante comprendere che lo stato di conformità di PCI DSS per Azure, OneDrive for Business e SharePoint Online non si traduce automaticamente in certificazione PCI DSS per i servizi compilati o ospitati dai clienti su queste piattaforme. Il rispetto dei requisiti PCI DSS è responsabilità dei clienti.
Piattaforme e servizi cloud Microsoft inclusi nell'ambito
- Azure e Azure per enti pubblici
- Intune
- Microsoft Defender for Cloud Apps
- Microsoft Defender per endpoint
- Microsoft Graph
- Office 365
- OneDrive for Business e SharePoint Online (solo Stati Uniti)
- Servizio cloud PowerApps come servizio autonomo o incluso in un piano o in una famiglia di prodotti con marchio Office 365 o Dynamics 365
- Power Automate: servizio autonomo o incluso in un piano o in una famiglia di prodotti Office 365 o Dynamics 365
- Servizio cloud Power BI, servizio autonomo o incluso in un piano o in una famiglia di prodotti Office 365
Azure, Dynamics 365 e PCI DSS
Per altre informazioni su Azure, Dynamics 365 e la conformità dei servizi online, vedere l'offerta Azure PCI DSS.
Office 365 e PCI DSS
ambienti Office 365
Microsoft Office 365 è una piattaforma cloud iperscalabile multi-tenant e un'esperienza integrata di app e servizi disponibili per i clienti in diverse aree geografiche del mondo. La maggior parte dei servizi di Office 365 consente ai clienti di specificare l'area geografica in cui si trovano i dati dei clienti. Microsoft potrebbe replicare i dati dei clienti in altre parti all'interno della stessa area geografica (ad esempio, gli Stati Uniti) per la resilienza dei dati. Tuttavia, Microsoft non replicherà i dati dei clienti al di fuori dell'area geografica prescelta.
Questa sezione illustra gli ambienti di Office 365 seguenti:
- Software client (client): software client commerciale in esecuzione nei dispositivi dei clienti.
- Office 365 (commerciale): il servizio cloud pubblico commerciale di Office 365 disponibile a livello globale.
- Office 365 Government Community Cloud (GCC): il servizio cloud Office 365 GCC è disponibile per i governi federali, statali, locali e tribali degli Stati Uniti, nonché per i terzisti che detengono o elaborano dati per conto del governo degli Stati Uniti.
- Office 365 Government Community Cloud - High (GCC High): il servizio cloud Office 365 GCC High è progettato secondo i controlli di livello 4 delle linee guida sui requisiti di sicurezza del Dipartimento della Difesa (DoD) e controlla e supporta le informazioni federali e di difesa rigorosamente regolamentate. Questo ambiente viene usato dalle agenzie federali, dalla Defense Industrial Base (DIB) e dai terzisti governativi.
- Office 365 DoD (DoD): il servizio cloud Office 365 DoD è progettato secondo i controlli di livello 5 delle linee guida sui requisiti di sicurezza del Dipartimento della Difesa e supporta rigide normative federali e di difesa. Questo ambiente è destinato all'uso esclusivo da parte del Dipartimento della Difesa degli Stati Uniti.
Usare questa sezione per soddisfare gli obblighi di conformità in settori regolamentati e mercati globali. Per scoprire quali servizi sono disponibili in quali aree geografiche, vedere le informazioni sulla disponibilità internazionale e l'articolo Dove sono archiviati i dati dei clienti Microsoft 365. Per altre informazioni sull'ambiente cloud di Office 365 Government, vedere l'articolo Office 365 Government Cloud.
L'organizzazione è interamente responsabile di garantire la conformità a tutte le leggi e normative applicabili. Le informazioni fornite in questa sezione non costituiscono una consulenza legale. Pertanto, è consigliabile consultare i propri consulenti legali per eventuali domande relative alla conformità normativa della propria organizzazione.
Applicabilità di Office 365 e servizi inclusi nell'ambito
Usare la tabella seguente per determinare l'applicabilità per i servizi e l'abbonamento a Office 365:
Applicabilità | Servizi inclusi nell'ambito |
---|---|
Commerciale | OneDrive for Business, SharePoint Online |
Controlli, report e certificati di Office 365
Domande frequenti
Perché la copertina attestazione della conformità (AoC) dice "settembre 2022"?
La data di settembre 2022 nella copertina è la data di pubblicazione del modello AoC. Fare riferimento alla Sezione 2 per la data della valutazione.
Qual è la relazione tra PA DSS e PCI DSS?
Il Payment Application Data Security Standard (PA DSS) è un insieme di requisiti conformi a PCI DSS che sostituisce le Payment Application Best Practices di Visa e riunisce tutti i requisiti di conformità degli altri principali istituti emittenti delle carte. Il PA DSS aiuta i fornitori di software a sviluppare applicazioni di terze parti per archiviare, elaborare o trasmettere i dati di pagamento dei titolari delle carte per l’autorizzazione o il saldo di una transazione. I venditori al dettaglio devono usare applicazioni certificate PA DSS per la conformità allo standard PCI DSS. PA DSS non si applica ad Azure.
Cosa si intende per acquirente? Azure usa un acquirente?
Un acquirente è una banca o un altro istituto finanziario che elabora le transazioni con carta di pagamento. Azure non offre l'elaborazione delle carte di pagamento come servizio, pertanto non si serve di un acquirente.
A quali organizzazioni ed esercenti si applica PCI DSS?
PCI DSS si applica a qualsiasi azienda, a prescindere dalle dimensioni o dal numero di transazioni elaborate, che accetta, trasmette o archivia i dati dei titolari di carte. Ciò significa che se un cliente effettua un pagamento all'azienda usando una carta di credito o debito, si applicano i requisiti PCI DSS. Le aziende vengono valutate rispetto ai quattro livelli disponibili in base al volume di transazioni totale elaborate in un periodo di 12 mesi. Il livello 1 è per le aziende che elaborano oltre 6 milioni di transazioni all'anno, il livello 2 da 1 milione a 6 milioni, il livello 3 da 20.000 a 1 milione e il livello 4 fino a 20.000 transazioni.
Cosa includono OneDrive for Business e SharePoint Online?
Al momento, solo i file e i documenti caricati su OneDrive for Business e SharePoint Online saranno conformi a PCI DSS.
Usare Microsoft Purview Compliance Manager per valutare il rischio
Microsoft Purview Compliance Manager è una funzionalità del Portale di conformità di Microsoft Purview che consente di comprendere il comportamento di conformità dell'organizzazione e di intraprendere azioni per ridurre i rischi. Compliance Manager offre un modello premium per creare una valutazione per questa normativa. Individuare il modello nella pagina modelli di valutazioni in Compliance Manager. Informazioni su come creare valutazioni in Compliance Manager.