Стандарт безопасности данных в сфере платежных карт (PCI-DSS)

Общие сведения о PCI DSS

Стандарт безопасности данных индустрии платежных карт (PCI-DSS) — это глобальный стандарт по информационной безопасности, призванный предотвращать мошенничество путем усиленного контроля данных кредитных карт. Если организация (любого масштаба) принимает платежные карты пяти ведущих операторов кредитных карт (Visa, MasterCard, American Express, Discover и Japan Credit Bureau (JCB)), она должна неукоснительно выполнять требования стандартов PCI DSS. Для любой организации, которая хранит, обрабатывает или передает данные о платежах и о держателях карт, требуется соответствие PCI DSS.

Корпорация Майкрософт и PCI DSS

Корпорация Майкрософт прошла ежегодную оценку PCI DSS с помощью утвержденного Квалифицированного аудитора по безопасности (QSA). Аудиторы рассмотрели среды Microsoft Azure, Microsoft OneDrive для бизнеса и Microsoft Office SharePoint Online, включая проверку инфраструктуры, разработки, операций, управления, поддержки и область служб. PCI DSS определяет четыре уровня соответствия в зависимости от объема транзакций. Azure, OneDrive для бизнеса и SharePoint Online сертифицированы как соответствующие требованиям стандарта PCI DSS версии 3.2 на уровне поставщика услуг 1 (самый большой объем транзакций — более 6 миллионов в год).

Результатом оценки является доступная для клиентов Аттестация соответствия (AoC) и Отчет о соответствии (RoC), изданный QSA. Срок действия соответствия начинается после прохождения аудита и получения AoC от аудитора и заканчивается через год с момента подписания AoC.

Клиенты, желающие создать среду держателя карты или службу обработки карты, могут использовать эти проверки при разработке входящих в них процедур, тем самым сокращая затрачиваемые усилия и расходы на получение собственной сертификации PCI DSS.

Важно понимать, что состояние соответствия PCI DSS для Azure, OneDrive для бизнеса и SharePoint Online не автоматически преобразуется в сертификацию PCI DSS для служб, которые клиенты создают или размещают на этих платформах. Клиенты обязаны обеспечить соблюдение требованиям PCI DSS.

Затрагиваемые облачные платформы и службы Майкрософт

  • Azure и Azure для государственных организаций
  • Intune
  • Microsoft Defender for Cloud Apps
  • Microsoft Defender для конечной точки
  • Microsoft Graph
  • Office 365
  • OneDrive для бизнеса и SharePoint Online (только Соединенные Штаты)
  • Облачная служба PowerApps в виде автономной службы или в составе плана либо набора Office 365 или Dynamics 365
  • Power Automate (в виде автономной службы или в составе плана либо набора Office 365 или Dynamics 365)
  • Облачная служба Power BI в виде автономной службы или в составе плана либо набора Office 365

Azure, Dynamics 365 и PCI DSS

Дополнительные сведения о соответствии требованиям Azure, Dynamics 365 и другим веб-службам см. в разделе Предложение Azure PCI DSS.

Office 365 и PCI DSS

Office 365 среды

Microsoft Office 365 — это рассчитанная на множество клиентов гипермасштабируемая облачная платформа с интегрированным интерфейсом приложений и служб, доступная клиентам в нескольких регионах по всему миру. Большинство служб Office 365 позволяют клиентам указывать регион, в котором находятся их данные клиентов. Корпорация Майкрософт может реплицировать данные клиентов в другие регионы в той же географической области (например, в США) для обеспечения устойчивости данных, но корпорация Майкрософт не будет реплицировать данные клиентов за пределами выбранной географической области.

В этом разделе рассматриваются следующие Office 365 среды:

  • Клиентское программное обеспечение (клиент). Коммерческое клиентское программное обеспечение, работающее на устройствах пользователей.
  • Office 365 (коммерческая). Глобальная общедоступная коммерческая облачная служба Office 365.
  • Облако сообщества Office 365 для государственных организаций (GCC). Облачная служба Office 365 GCC доступна для государственных организаций США федерального уровня, уровня штатов, местного и племенного уровня, а также для подрядчиков, хранящих или обрабатывающих данные от имени правительства США.
  • Облако сообщества Office 365 для государственных организаций — высокий уровень (GCC High). Облачная служба Office 365 GCC High разработана в соответствии с элементами управления четвертого уровня, предусмотренными руководством по требованиям к безопасности Министерства обороны (DoD), и поддерживает строго регулируемую информацию федерального значения и данные, относящиеся к обороне. Эта среда используется федеральными учреждениями, предприятиями военно-промышленного комплекса и подрядчиками государственных организаций.
  • Office 365 DoD (DoD). Облачная служба Office 365 DoD разработана в соответствии с элементами управления пятого уровня, предусмотренными руководством по требованиям к безопасности Министерства обороны (DoD), и поддерживает строгие нормы относительно информации федерального значения и данных, относящихся к обороне. Эта среда используется исключительно Министерством обороны США.

Используйте этот раздел для выполнения своих обязательств по обеспечению соответствия требованиям в регулируемых отраслях и на глобальных рынках. Чтобы узнать, какие службы доступны в тех или иных регионах, см. статьи Информация о доступности в международном масштабе и Где хранятся ваши данные как клиента Microsoft 365. Дополнительные сведения об облачной среде Office 365 для государственных организаций см. в статье Облако Office 365 для государственных организаций.

Ваша организация несет полную ответственность за обеспечение соответствия всем применимым законам и нормативным актам. Информация, представленная в этом разделе, не является юридической консультацией, поэтому по любым вопросам, относящимся к соблюдению нормативных требований в вашей организации, следует обращаться к юридическим консультантам.

Применимость Office 365 и затрагиваемые службы

Чтобы определить применимость изменений к вашим службам и подписке Office 365, воспользуйтесь следующей таблицей.

Применимость Затрагиваемые службы
Коммерческий сектор OneDrive для бизнеса, SharePoint Online

Аудит, отчеты и сертификаты Office 365

Вопросы и ответы

Почему на титульной странице аттестации соответствия (AoC) указано "Сентябрь 2022 г."?

Дата сентября 2022 г. на титульной странице — это дата публикации шаблона AoC. Дата оценки приведена в разделе 2.

Как соотносятся PA DSS и PCI DSS??

Стандарт безопасности данных платежного приложения (PA DSS) — это набор требований, соответствующих PCI DSS, который заменяет рекомендации Visa для платежных приложений и объединяет требования соответствия других основных эмитентов карт. PA DSS позволяет поставщикам программного обеспечения разрабатывать приложения сторонних разработчиков, которые хранят, обрабатывают или передают платежные данные владельца карты в рамках процедуры авторизации или расчета. Розничные продавцы должны использовать сертифицированные приложения PA DSS для эффективного обеспечения соответствия PCI DSS. PA DSS не применяется к Azure.

Что такое эквайрер и использует ли его Azure?

Эквайрер — это банк или другой субъект, который обрабатывает транзакции платежной карты. В Azure не предлагается обработка платежных карт в качестве услуги, поэтому не используется эквайрер.

К каким организациям и продавцам применяется PCI DSS?

PCI DSS применяется ко всем компаниям, независимо от размера или количества транзакций, которые принимают, передают или сохраняют данные о владельце карты. То есть, если какой-либо клиент осуществлял платеж для компании с помощью кредитной или дебетовой карты, тогда применяются требования PCI DSS. Компании проходят проверку по одному из четырех уровней на основании общего объема транзакций за период 12 месяцев. Уровень 1 предназначен для компаний, которые обрабатывают более 6 миллионов транзакций в год. Уровень 2 предназначен для компаний с объемом транзакций от 1 миллиона до 6 миллионов. Уровень 3 — для объема от 20 000 до 1 миллиона транзакций. Уровень 4 предназначен для компаний с объемом транзакций менее чем 20 000 в год.

Какое содержимое OneDrive для бизнеса и SharePoint Online затрагивает стандарт?

В настоящее время соответствовать PCI DSS будут только файлы и документы, отправленные в OneDrive для бизнеса и SharePoint Online.

Использование Microsoft Purview Compliance Manager для оценки риска

Microsoft Purview Compliance Manager — это функция в Портал соответствия требованиям Microsoft Purview, которая помогает понять состояние соответствия требованиям вашей организации и принять меры для снижения рисков. Диспетчер соответствия требованиям предоставляет премиум-шаблон для оценки этих нормативных требований. Шаблон находится на странице шаблонов оценки в диспетчере соответствия требованиям. См. Создание оценки в диспетчере соответствия требованиям.

Ресурсы