Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
Visão geral do PCI DSS
A Standard de Segurança de Dados (DSS) da Indústria de Cartões de Pagamento (PCI) é uma norma global de segurança de informações concebida para evitar fraudes através de um maior controlo dos dados de card de crédito. Organizações de todas as dimensões devem seguir as normas PCI DSS se aceitarem cartões de pagamento das cinco principais marcas de card de crédito: Visa, MasterCard, American Express, Discover e o Japan Credit Bureau (JCB). A conformidade com o PCI DSS é obrigatória para toda empresa que armazene, processe ou transmita dados de pagamento e do titular do cartão.
Microsoft e PCI DSS
A Microsoft conclui uma avaliação anual do PCI DSS com um Avaliador de Segurança Qualificado (QSA) aprovado. Os auditores analisam os ambientes microsoft Azure, Microsoft OneDrive for Business, Microsoft Office SharePoint Online e Microsoft Azure Communication Service. Esta revisão inclui a validação da infraestrutura, desenvolvimento, operações, gestão, suporte e serviços no âmbito. O PCI DSS especifica quatro níveis de conformidade de acordo com o volume de transações. Azure, OneDrive for Business, SharePoint Online e Azure Communication Service são certificados como conformes na versão PCI DSS 4.0.1 no Nível 1 do Fornecedor de Serviços (o maior volume de transações, mais de 6 milhões por ano).
A avaliação resulta num Atestado de Conformidade (AoC), que está disponível para os clientes, e num Relatório de Conformidade (RoC) emitido pela QSA. O período efetivo de conformidade começa quando a auditoria é aprovada e o avaliador fornece o AoC e termina um ano a partir da data em que o AoC é assinado..
Os clientes que pretendam desenvolver um ambiente de marcador de cartão ou card serviço de processamento podem utilizar estas validações em muitas das partes subjacentes, reduzindo o esforço e os custos associados de obter a sua própria certificação PCI DSS.
É importante compreender que a conformidade do PCI DSS status para Azure, OneDrive for Business, SharePoint Online e Azure Communication Service não se traduz automaticamente na certificação PCI DSS para os serviços que os clientes criam ou alojam nestas plataformas. Os clientes são responsáveis por garantir sua conformidade com os requisitos do PCI DSS.
Plataformas e serviços na cloud no âmbito da Microsoft
- Azure e Azure Governamental
- Intune
- Microsoft Defender for Cloud Apps
- Microsoft Defender para Ponto de Extremidade
- Microsoft Graph
- Office 365 (OneDrive, SharePoint e Azure Communication Service)
- Serviço de nuvem do PowerApps como um serviço autônomo ou incluído em um plano ou pacote com a marca Office 365 ou Dynamics 365
- Power Automate (como um serviço autônomo ou incluído em um plano ou pacote com a marca Office 365 ou Dynamics 365)
- Serviço de nuvem do Power BI como um serviço autônomo ou incluído em um plano ou pacote com a marca Office 365
Azure, Dynamics 365 e PCI DSS
Para obter mais informações sobre o Azure, o Dynamics 365 e outros serviços online, consulte a Oferta do Azure PCI DSS.
Office 365 e PCI DSS
Ambientes do Office 365
O Microsoft Office 365 é uma plataforma em nuvem de hiperescala de vários locatários e uma experiência integrada de aplicativos e serviços disponíveis para clientes em várias regiões no mundo todo. A maioria dos serviços do Office 365 permite que os clientes especifiquem a região onde os dados do cliente estão localizados. A Microsoft pode replicar dados do cliente para outras regiões dentro da mesma área geográfica (por exemplo, os Estados Unidos) para resiliência de dados, mas a Microsoft não replicará dados do cliente fora da área geográfica escolhida.
Essa seção aborda os seguintes ambientes do Office 365:
- Software cliente (Cliente): software cliente comercial em execução em dispositivos do cliente.
- Office 365 (Comercial): o serviço público comercial em nuvem do Office 365 disponível globalmente.
- Nuvem da Comunidade do Office 365 Government (GCC): o serviço em nuvem do Office 365 GCC está disponível para governos federais, estaduais, locais e tribais dos Estados Unidos, assim como prestadores de serviços que armazenam ou processam dados em nome do governo dos EUA.
- Nuvem da Comunidade do Office 365 Government – Alto (GCC High): o serviço em nuvem do Office 365 GCC High foi projetado de acordo com as Diretrizes de Segurança de Nível 4 do Departamento de Defesa (DoD) e suporta informações federais e de defesa rigorosamente regulamentadas. Esse ambiente é usado por agências federais, pela Base Industrial de Defesa (DIBs), e por empreiteiras governamentais.
- Office 365 DoD (DoD): o serviço de nuvem do Office 365 DoD foi projetado de acordo com as Diretrizes de Segurança de Nível 5 das Exigências do DoD e apóia os rígidos regulamentos federais e de defesa. Esse ambiente se destina ao uso exclusivo do Departamento de Defesa dos EUA.
Use esta seção para ajudar a cumprir suas obrigações de conformidade em setores regulamentados e mercados globais. Para descobrir quais serviços estão disponíveis em quais regiões, consulte Informações de disponibilidade internacional e o artigo Onde os dados do seu cliente do Microsoft 365 são armazenados. Para obter mais informações sobre o ambiente de nuvem do Office 365 Government, consulte o artigo Nuvem do Office 365 Government.
Sua organização é totalmente responsável por garantir o cumprimento de todas as leis e regulamentos aplicáveis. As informações fornecidas nesta seção não constituem aconselhamento jurídico e você deve consultar os consultores jurídicos para quaisquer questões relativas à conformidade regulamentar da sua organização.
Aplicabilidade do Office 365 e serviços no escopo
Use a seguinte tabela para determinar a aplicabilidade para seus serviços e assinatura do Office 365:
| Aplicabilidade | Serviços no escopo |
|---|---|
| Comercial | Azure Communication Service, OneDrive for Business, SharePoint Online |
Auditoria, relatórios e certificados do Office 365
Perguntas frequentes
Porque é que a página de rosto do Atestado de Conformidade (AoC) diz "Agosto de 2024"?
A data de agosto de 2024 na página de rosto é quando o modelo aoC foi publicado. Consulte a Secção 2 para obter as datas da avaliação.
Qual é a relação entre PA DSS e PCI DSS?
O Standard de Segurança de Dados da Aplicação de Pagamento (PA DSS) é um conjunto de requisitos que estão em conformidade com o PCI DSS. Substitui as Melhores Práticas da Aplicação de Pagamento da Visa e consolida os requisitos de conformidade dos outros emissores de card principais. O PA DSS ajuda os fabricantes de software a desenvolver aplicações que armazenam, processam ou transmitem dados de pagamento de titulares de cartões como parte de um processo de autorização ou liquidação card. Os varejistas precisam usar aplicativos com a certificação PA DSS para obter efetivamente a conformidade com o PCI DSS. O DSS pa não se aplica a Azure.
O que é um adquirente? O Azure usa um?
Os adquirentes são bancos ou outras entidades que processam transações de cartões de pagamento. Azure não oferece pagamento card processamento como um serviço e, por conseguinte, não utiliza um adquirente.
A quais organizações e comerciantes o PCI DSS se aplica?
O PCI DSS se aplica a qualquer empresa, independentemente do tamanho ou do número de transações que aceite, transmita ou armazene dados de titulares de cartões. Ou seja, se qualquer cliente pagar uma empresa usando um cartão de crédito ou débito, os requisitos do PCI DSS se aplicarão. As empresas são validadas em um dos quatro níveis de acordo com o volume total de transações durante um período de 12 meses. O Level 1 engloba empresas que processam mais de 6 milhões de transações por ano; o Level 2, de 1 milhão a 6 milhões de transações; o Level 3, de 20.000 a 1 milhão de transações e o Level 4, para menos de 20.000 transações.
O que está no escopo do OneDrive for Business e do Microsoft Office SharePoint Online?
Atualmente, apenas os ficheiros e documentos carregados para OneDrive for Business e o SharePoint Online estão em conformidade com o PCI DSS.
Utilizar o Gestor de Conformidade do Microsoft Purview para avaliar o risco
O Gestor de Conformidade do Microsoft Purview é uma funcionalidade no portal do Microsoft Purview que o ajuda a compreender a postura de conformidade da sua organização e a tomar medidas para ajudar a reduzir os riscos. O Gerenciador de Conformidade oferece um modelo premium para criar uma avaliação para essa regulamentação. Encontre o modelo na página modelos de avaliação no Gerenciador de Conformidade. Saiba como criar avaliações no Compliance Manager.