Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Información general del DSS PCI
La Standard de seguridad de datos del sector de tarjetas de pago (PCI) (DSS) es un estándar global de seguridad de la información diseñado para evitar fraudes a través de un mayor control de los datos de tarjetas de crédito. Las organizaciones de todos los tamaños deben seguir los estándares de PCI DSS si aceptan tarjetas de pago de las cinco principales marcas de tarjetas de crédito: Visa, MasterCard, American Express, Discover y japan credit bureau (JCB). El cumplimiento con el DSS PCI es necesario para cualquier organización que almacene, procese o transmita datos de pago y de titulares de tarjetas.
Microsoft y el DSS PCI
Microsoft ha completado una evaluación anual del DSS PCI mediante un asesor de seguridad certificado aprobado (QSA). Los auditores revisaron los entornos de Microsoft Azure, Microsoft OneDrive para la Empresa, Microsoft Office SharePoint Online y Microsoft Azure Communication Service. Esta revisión incluyó la validación de los servicios de infraestructura, desarrollo, operaciones, administración, soporte técnico y dentro del ámbito. El DSS PCI designa cuatro niveles de cumplimiento basados en el volumen de transacciones. Azure, OneDrive para la Empresa, SharePoint Online y Azure Communication Service están certificados como compatibles con PCI DSS versión 4.0.1 en el nivel 1 del proveedor de servicios (el mayor volumen de transacciones, más de 6 millones al año).
La evaluación da como resultado una Atestación de Cumplimiento (AoC), que está disponible para los clientes y el Informe sobre el Cumplimiento (RoC) emitido por el QSA. El período de vigencia para el cumplimiento empieza al pasar la auditoría y recibir el AoC del asesor y finaliza un año después de la fecha en la que se firmó el AoC.
Los clientes que quieran desarrollar un entorno de titulares de tarjetas o un servicio de procesamiento de tarjetas pueden usar estas validaciones en muchas de las partes subyacentes, lo que reduce el esfuerzo y los costos asociados de obtener su propia certificación PCI DSS.
Es importante comprender que el estado de cumplimiento de PCI DSS para Azure, OneDrive para la Empresa, SharePoint Online y Azure Communication Service no se traduce automáticamente en la certificación PCI DSS para los servicios que los clientes crean o hospedan en estas plataformas. Los clientes son responsables de garantizar que se logre cumplir con los requisitos del DSS PCI.
Servicios y plataformas en la nube dentro de Microsoft
- Azure y Azure Government
- Intune
- Microsoft Defender for Cloud Apps
- Microsoft Defender para punto de conexión
- Microsoft Graph
- Office 365
- OneDrive para la Empresa, SharePoint Online y Azure Communication Service
- El servicio de nube de PowerApps como servicio independiente o incluido en un plan o conjunto de aplicaciones de Office 365 o Dynamics 365
- Power Automate (como servicio independiente o incluido en un plan o conjunto de aplicaciones de Office 365 o Dynamics 365)
- El servicio de nube de Power BI como servicio independiente o incluido en un plan o conjunto de aplicaciones de Office 365
Azure, Dynamics 365 y PCI DSS
Para obtener más información acerca del cumplimiento de Azure, Dynamics 365 y otros servicios en línea, consulte la oferta de Azure para el DSS PCI.
Office 365 y DSS PCI
entornos de Office 365
Microsoft Office 365 es una plataforma en la nube multiempresa a hiperescala y una experiencia integrada de aplicaciones y servicios disponibles para los clientes de varias regiones de todo el mundo. La mayoría de los servicios de Office 365 permiten a los clientes especificar la región en la que se encuentran los datos de sus clientes. Microsoft puede replicar los datos del cliente en otras regiones dentro de la misma área geográfica (por ejemplo, Estados Unidos) para fomentar la resistencia de los datos, pero Microsoft no replicará los datos del cliente fuera del área geográfica elegida.
En esta sección se tratan los siguientes entornos de Office 365:
- Software cliente (cliente): Software cliente comercial que se ejecuta en dispositivos cliente.
- Office 365 (comercial): El servicio en la nube público comercial de Office 365 disponible a nivel mundial.
- Office 365 Government Community Cloud (GCC): El servicio en la nube GCC de Office 365 está disponible para el Gobierno federal de los Estados Unidos, así como para los gobiernos estatales, locales y tribales, y los contratistas que mantienen o procesan datos en nombre del Gobierno de los Estados Unidos.
- Office 365 Government Community Cloud - High (GCC High): el servicio en la nube GCC High de Office 365 está diseñado de acuerdo con los controles de nivel 4 de las directrices sobre requisitos de seguridad del Departamento de Defensa (DoD) y admite información federal y de defensa regulada rigurosamente. Este entorno lo usan las agencias federales, la Base Industrial de Defensa (DIB) y los contratistas gubernamentales.
- Office 365 DoD (DoD): el servicio en la nube del DoD de Office 365 está diseñado de acuerdo con los controles de nivel 5 de las directrices sobre requisitos de seguridad del DoD y admite estrictas regulaciones federales y de defensa. Este entorno es para uso exclusivo del Departamento de Defensa de EE. UU.
Use esta sección para ayudarle a cumplir sus obligaciones relativas al cumplimiento en los sectores regulados y en los mercados globales. Para averiguar qué servicios están disponibles en qué regiones, consulte la información de disponibilidad internacional y el artículo Dónde se almacenan los datos del cliente de Microsoft 365. Para más información sobre el entorno de nube de Office 365 Administración Pública, consulte el artículo Nube de Office 365 Administración Pública.
Su organización es totalmente responsable de garantizar el cumplimiento de todas las leyes y normativas aplicables. La información proporcionada en esta sección no constituye asesoramiento legal. Debe consultar a asesores legales para cualquier pregunta relacionada con el cumplimiento normativo de su organización.
Aplicabilidad y servicios dentro Office 365
Use la siguiente tabla para determinar la aplicabilidad de los servicios y la suscripción de Office 365:
| Aplicabilidad | Servicios incluidos |
|---|---|
| Comercial | Azure Communication Service, OneDrive para la Empresa, SharePoint Online |
Auditoría, informes y certificados de Office 365
Preguntas frecuentes
¿Por qué la página de portada atestación de cumplimiento (AoC) dice "Agosto de 2024"?
La fecha de agosto de 2024 en la portada es cuando se publicó la plantilla de AoC. Consulte la sección 2 para conocer las fechas de la evaluación.
¿Cuál es la relación entre el DSS PA y el DSS PCI
El Estándar de seguridad de datos para las aplicaciones de pago (DSS PA) es un conjunto de requerimientos que cumplen con el DSS PCI, que reemplaza a las Mejores prácticas para las aplicaciones de pagos de Visa y consolida los requerimientos de cumplimiento de los otros emisores principales de tarjetas. Pa DSS ayuda a los editores de software a desarrollar aplicaciones que almacenan, procesan o transmiten datos de pago de titulares de tarjetas como parte de un proceso de autorización o liquidación de tarjetas. Los distribuidores deben usar aplicaciones certificadas con el DSS PA para lograr el cumplimiento eficaz de su DSS PCI. Pa DSS no se aplica a Azure.
¿Qué es un adquiriente y Azure usa uno?
Un adquirente es un banco u otra entidad que procesa transacciones con tarjetas de pago. Azure no ofrece procesamiento de tarjetas de pago como servicio y, por tanto, no usa un adquirente.
¿A qué organizaciones y comerciantes se aplica el DSS PCI ?
El DSS PCI se aplica a cualquier empresa, independientemente del tamaño o el número de transacciones, que acepte, transmita o almacene los datos de los titulares de la tarjeta. Es decir, si un cliente paga con una tarjeta de crédito o débito a una empresa en alguna ocasión, se aplicarán los requisitos del DSS PCI. Las empresas se validan en uno de los cuatro niveles, basándose en el volumen de transacciones totales durante un período de 12 meses. El nivel 1 es para las empresas que procesan más de 6 millones de transacciones al año; el nivel 2 para 1 millón a 6 millones de transacciones; el nivel 3 es para transacciones entre 20.000 a 1 millón y el nivel 4 es de menos de 20.000 transacciones.
¿Qué abarcan OneDrive para la Empresa y SharePoint Online?
Actualmente, solo los archivos y documentos cargados en OneDrive para la Empresa y SharePoint Online son compatibles con PCI DSS.
Uso del Administrador de cumplimiento de Microsoft Purview para evaluar el riesgo
El Administrador de cumplimiento de Microsoft Purview es una característica del portal de Microsoft Purview para ayudarle a comprender la posición de cumplimiento de su organización y a tomar medidas para ayudar a reducir los riesgos. El Administrador de cumplimiento ofrece una plantilla premium para crear una evaluación de esta normativa. Busque la plantilla en la página plantillas de evaluación en el Administrador de cumplimiento. Obtenga información sobre cómo crear evaluaciones en el Administrador de cumplimiento.