Estándar de seguridad de los datos (DSS) de la industria de tarjetas de pago (PCI)
Información general del DSS PCI
Los estándares de seguridad de datos (DSS) de la industria de tarjetas de pago (PCI) son un estándar global de seguridad de la información diseñado para evitar el fraude mediante un aumento en el control de datos de las tarjetas de crédito. Organizaciones de todos los tamaños deben seguir las normativas del DSS PCI si aceptan tarjetas de pago de las cinco marcas de tarjetas de crédito más grandes: Visa, MasterCard, American Express, Discover y Japan Credit Bureau (JCB). El cumplimiento con el DSS PCI es necesario para cualquier organización que almacene, procese o transmita datos de pago y de titulares de tarjetas.
Microsoft y el DSS PCI
Microsoft ha completado una evaluación anual del DSS PCI mediante un asesor de seguridad certificado aprobado (QSA). Los auditores revisaron los entornos de Microsoft Azure, Microsoft OneDrive para la Empresa y Microsoft Office SharePoint Online, que incluyen la validación de los servicios de infraestructura, desarrollo, operaciones, administración, soporte técnico y dentro del ámbito. El DSS PCI designa cuatro niveles de cumplimiento basados en el volumen de transacciones. Azure, OneDrive para la Empresa y SharePoint Online están certificados como compatibles con la versión 3.2 del DSS PCI en el Nivel 1 de proveedor de servicios (el mayor volumen de transacciones: más de 6 millones al año).
La evaluación da como resultado una Atestación de Cumplimiento (AoC), que está disponible para los clientes y el Informe sobre el Cumplimiento (RoC) emitido por el QSA. El período de vigencia para el cumplimiento empieza al pasar la auditoría y recibir el AoC del asesor y finaliza un año después de la fecha en la que se firmó el AoC.
Los clientes que quieran desarrollar un entorno de titulares de tarjetas o un servicio de procesamiento de tarjetas pueden usar estas validaciones en muchas de las partes subyacentes y, por lo tanto, reducir el esfuerzo y los costos asociados a la obtención de su propia certificación del DSS PCI.
Es importante comprender que el estado de cumplimiento de PCI DSS para Azure, OneDrive para la Empresa y SharePoint Online no se traduce automáticamente en la certificación PCI DSS para los servicios que los clientes crean o hospedan en estas plataformas. Los clientes son responsables de garantizar que se logre cumplir con los requisitos del DSS PCI.
Servicios de plataformas & en la nube en el ámbito de Microsoft
- Azure y Azure Government
- Intune
- Microsoft Defender for Cloud Apps
- Microsoft Defender para punto de conexión
- Microsoft Graph
- Office 365
- OneDrive para la Empresa y SharePoint Online (solo Estados Unidos)
- El servicio de nube de PowerApps como servicio independiente o incluido en un plan o conjunto de aplicaciones de Office 365 o Dynamics 365
- Power Automate (como servicio independiente o incluido en un plan o conjunto de aplicaciones de Office 365 o Dynamics 365)
- El servicio de nube de Power BI como servicio independiente o incluido en un plan o conjunto de aplicaciones de Office 365
Azure, Dynamics 365 y PCI DSS
Para obtener más información acerca del cumplimiento de Azure, Dynamics 365 y otros servicios en línea, consulte la oferta de Azure para el DSS PCI.
Office 365 y DSS PCI
entornos de Office 365
Microsoft Office 365 es una plataforma en la nube multiempresa a hiperescala y una experiencia integrada de aplicaciones y servicios disponibles para los clientes de varias regiones de todo el mundo. La mayoría de los servicios de Office 365 permiten a los clientes especificar la región en la que se encuentran los datos de sus clientes. Microsoft puede replicar los datos del cliente en otras regiones dentro de la misma área geográfica (por ejemplo, Estados Unidos) para fomentar la resistencia de los datos, pero Microsoft no replicará los datos del cliente fuera del área geográfica elegida.
En esta sección se tratan los siguientes entornos de Office 365:
- Software cliente (cliente): Software cliente comercial que se ejecuta en dispositivos cliente.
- Office 365 (comercial): El servicio en la nube público comercial de Office 365 disponible a nivel mundial.
- Office 365 Government Community Cloud (GCC): El servicio en la nube GCC de Office 365 está disponible para el Gobierno federal de los Estados Unidos, así como para los gobiernos estatales, locales y tribales, y los contratistas que mantienen o procesan datos en nombre del Gobierno de los Estados Unidos.
- Office 365 Government Community Cloud - High (GCC High): el servicio en la nube GCC High de Office 365 está diseñado de acuerdo con los controles de nivel 4 de las directrices sobre requisitos de seguridad del Departamento de Defensa (DoD) y admite información federal y de defensa regulada rigurosamente. Este entorno lo usan las agencias federales, la Base Industrial de Defensa (DIB) y los contratistas gubernamentales.
- Office 365 DoD (DoD): el servicio en la nube del DoD de Office 365 está diseñado de acuerdo con los controles de nivel 5 de las directrices sobre requisitos de seguridad del DoD y admite estrictas regulaciones federales y de defensa. Este entorno es para uso exclusivo del Departamento de Defensa de EE. UU.
Use esta sección para ayudarle a cumplir sus obligaciones relativas al cumplimiento en los sectores regulados y en los mercados globales. Para averiguar qué servicios están disponibles en qué regiones, consulte la información de disponibilidad internacional y el artículo Dónde se almacenan los datos del cliente de Microsoft 365. Para más información sobre el entorno de nube de Office 365 Administración Pública, consulte el artículo Nube de Office 365 Administración Pública.
Su organización es totalmente responsable de garantizar el cumplimiento de todas las leyes y normativas aplicables. La información proporcionada en esta sección no constituye asesoramiento legal. Debe consultar a asesores legales para cualquier pregunta relacionada con el cumplimiento normativo de su organización.
Aplicabilidad y servicios dentro Office 365
Use la siguiente tabla para determinar la aplicabilidad de los servicios y la suscripción de Office 365:
| Aplicabilidad | Servicios incluidos |
|---|---|
| Comercial | OneDrive para la Empresa (Estados Unidos), SharePoint Online (Estados Unidos) |
Auditoría, informes y certificados de Office 365
Preguntas más frecuentes
¿Por qué dice la página de portada de la Atestación de Cumplimiento (AoC) "Junio de 2018"?
La fecha de junio de 2018 en la portada es de cuando se publicó la plantilla AoC. Consulte la sección 2 para ver la fecha de la evaluación.
¿Cuál es la relación entre el DSS PA y el DSS PCI
El Estándar de seguridad de datos para las aplicaciones de pago (DSS PA) es un conjunto de requerimientos que cumplen con el DSS PCI, que reemplaza a las Mejores prácticas para las aplicaciones de pagos de Visa y consolida los requerimientos de cumplimiento de los otros emisores principales de tarjetas. El PA DSS ayuda a los proveedores de software a desarrollar aplicaciones de terceros que almacenan, procesan o transmiten datos de pago del titular de la tarjeta como parte de un proceso de autorización o liquidación de tarjeta. Los distribuidores deben usar aplicaciones certificadas con el DSS PA para lograr el cumplimiento eficaz de su DSS PCI. El PA DSS no es aplicable a Azure.
¿Qué es un adquiriente y Azure usa uno?
Un adquirente es un banco u otra entidad que procesa transacciones con tarjetas de pago. Azure no ofrece el procesamiento de tarjetas de pago como servicio y, por lo tanto, no usa una empresa adquirente.
¿A qué organizaciones y comerciantes se aplica el DSS PCI ?
El DSS PCI se aplica a cualquier empresa, independientemente del tamaño o el número de transacciones, que acepte, transmita o almacene los datos de los titulares de la tarjeta. Es decir, si un cliente paga con una tarjeta de crédito o débito a una empresa en alguna ocasión, se aplicarán los requisitos del DSS PCI. Las empresas se validan en uno de los cuatro niveles, basándose en el volumen de transacciones totales durante un período de 12 meses. El nivel 1 es para las empresas que procesan más de 6 millones de transacciones al año; el nivel 2 para 1 millón a 6 millones de transacciones; el nivel 3 es para transacciones entre 20.000 a 1 millón y el nivel 4 es de menos de 20.000 transacciones.
¿Hay planes para que OneDrive para la Empresa y SharePoint Online sean compatibles con el DSS PCI fuera de Estados Unidos?
Actualmente OneDrive para la Empresa y SharePoint Online solo son compatibles con PCI DSS dentro de Estados Unidos (US). Microsoft evaluará los requisitos y plazos para las regiones fuera de Estados Unidos y ofrecerá actualizaciones en caso de que se agreguen otras regiones al plan de desarrollo.
¿Qué abarcan OneDrive para la Empresa y SharePoint Online?
En la actualidad, solo los archivos y documentos cargados en OneDrive para la Empresa y SharePoint Online serán compatibles con el DSS PCI.
Uso del Administrador de cumplimiento de Microsoft Purview para evaluar el riesgo
El Administrador de cumplimiento de Microsoft Purview es una característica de la portal de cumplimiento Microsoft Purview para ayudarle a comprender la posición de cumplimiento de su organización y a tomar medidas para ayudar a reducir los riesgos. El Administrador de cumplimiento ofrece una plantilla premium para crear una evaluación de esta normativa. Busque la plantilla en la página plantillas de evaluación en el Administrador de cumplimiento. Obtenga información sobre cómo crear evaluaciones en el Administrador de cumplimiento.