Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Panoramica PCI DSS
Il data security Standard (DSS) di Payment Card Industry (PCI) è uno standard di sicurezza delle informazioni globale progettato per prevenire le frodi attraverso un maggiore controllo dei dati delle carte di credito. Le organizzazioni di tutte le dimensioni devono seguire gli standard PCI DSS se accettano carte di pagamento dei cinque principali marchi di carte di credito: Visa, MasterCard, American Express, Discover e Japan Credit Bureau (JCB). L'adozione dello standard PCI DSS è obbligatoria per tutte le organizzazioni che archiviano, elaborano o trasmettono dati di pagamento e dei titolari di carte di credito.
Microsoft e PCI DSS
Microsoft completa una valutazione annuale di PCI DSS usando un valutatore di sicurezza qualificato (QSA) approvato. I revisori esaminano gli ambienti Microsoft Azure, Microsoft OneDrive for Business, Microsoft SharePoint Online e Microsoft Azure Communication Service. Questa verifica include la convalida dell'infrastruttura, dello sviluppo, delle operazioni, della gestione, del supporto e dei servizi nell'ambito. Lo standard PCI DSS definisce quattro livelli di conformità secondo il volume di transazioni. Azure, OneDrive for Business, SharePoint Online e Azure Communication Service sono certificati come conformi alla versione 4.0.1 di PCI DSS al livello 1 del provider di servizi (il volume più alto di transazioni, oltre 6 milioni all'anno).
La valutazione genera un'attestazione di conformità (AoC), disponibile per i clienti, e un report sulla conformità (RoC) emesso dal QSA. Il periodo effettivo per la conformità inizia quando il controllo passa e il compilatore fornisce l'AoC e termina un anno dalla data di firma dell'AoC.
I clienti che vogliono sviluppare un ambiente di titolari di carte o un servizio di elaborazione delle carte possono usare queste convalide in molte delle parti sottostanti, riducendo gli sforzi e i costi associati per ottenere la propria certificazione PCI DSS.
È importante comprendere che lo stato di conformità di PCI DSS per Azure, OneDrive for Business, SharePoint Online e Azure Communication Service non si traduce automaticamente in certificazione PCI DSS per i servizi che i clienti creano o ospitano su queste piattaforme. Il rispetto dei requisiti PCI DSS è responsabilità dei clienti.
Servizi e piattaforme cloud microsoft nell'ambito
- Azure e Azure per enti pubblici
- Intune
- Microsoft Defender for Cloud Apps
- Microsoft Defender per endpoint
- Microsoft Graph
- Office 365 (OneDrive, SharePoint e Azure Communication Service)
- Servizio cloud PowerApps come servizio autonomo o incluso in un piano o in una famiglia di prodotti con marchio Office 365 o Dynamics 365
- Power Automate: servizio autonomo o incluso in un piano o in una famiglia di prodotti Office 365 o Dynamics 365
- Servizio cloud Power BI, servizio autonomo o incluso in un piano o in una famiglia di prodotti Office 365
Azure, Dynamics 365 e PCI DSS
Per altre informazioni su Azure, Dynamics 365 e la conformità dei servizi online, vedere l'offerta Azure PCI DSS.
Office 365 e PCI DSS
ambienti Office 365
Microsoft Office 365 è una piattaforma cloud iperscalabile multi-tenant e un'esperienza integrata di app e servizi disponibili per i clienti in diverse aree geografiche del mondo. La maggior parte dei servizi di Office 365 consente ai clienti di specificare l'area geografica in cui si trovano i dati dei clienti. Microsoft potrebbe replicare i dati dei clienti in altre parti all'interno della stessa area geografica (ad esempio, gli Stati Uniti) per la resilienza dei dati. Tuttavia, Microsoft non replicherà i dati dei clienti al di fuori dell'area geografica prescelta.
Questa sezione illustra gli ambienti di Office 365 seguenti:
- Software client (client): software client commerciale in esecuzione nei dispositivi dei clienti.
- Office 365 (commerciale): il servizio cloud pubblico commerciale di Office 365 disponibile a livello globale.
- Office 365 Government Community Cloud (GCC): il servizio cloud Office 365 GCC è disponibile per i governi federali, statali, locali e tribali degli Stati Uniti, nonché per i terzisti che detengono o elaborano dati per conto del governo degli Stati Uniti.
- Office 365 Government Community Cloud - High (GCC High): il servizio cloud Office 365 GCC High è progettato secondo i controlli di livello 4 delle linee guida sui requisiti di sicurezza del Dipartimento della Difesa (DoD) e controlla e supporta le informazioni federali e di difesa rigorosamente regolamentate. Questo ambiente viene usato dalle agenzie federali, dalla Defense Industrial Base (DIB) e dai terzisti governativi.
- Office 365 DoD (DoD): il servizio cloud Office 365 DoD è progettato secondo i controlli di livello 5 delle linee guida sui requisiti di sicurezza del Dipartimento della Difesa e supporta rigide normative federali e di difesa. Questo ambiente è destinato all'uso esclusivo da parte del Dipartimento della Difesa degli Stati Uniti.
Usare questa sezione per soddisfare gli obblighi di conformità in settori regolamentati e mercati globali. Per scoprire quali servizi sono disponibili in quali aree geografiche, vedere le informazioni sulla disponibilità internazionale e l'articolo Dove sono archiviati i dati dei clienti Microsoft 365. Per altre informazioni sull'ambiente cloud di Office 365 Government, vedere l'articolo Office 365 Government Cloud.
L'organizzazione è interamente responsabile di garantire la conformità a tutte le leggi e normative applicabili. Le informazioni fornite in questa sezione non costituiscono una consulenza legale. Pertanto, è consigliabile consultare i propri consulenti legali per eventuali domande relative alla conformità normativa della propria organizzazione.
Applicabilità di Office 365 e servizi inclusi nell'ambito
Usare la tabella seguente per determinare l'applicabilità per i servizi e l'abbonamento a Office 365:
| Applicabilità | Servizi inclusi nell'ambito |
|---|---|
| Commerciale | Azure Communication Service, OneDrive for Business, SharePoint Online |
Controlli, report e certificati di Office 365
Domande frequenti
Perché la copertina attestazione della conformità (AoC) dice "agosto 2024"?
La data di agosto 2024 nella copertina è la data di pubblicazione del modello AoC. Per le date della valutazione, vedere la sezione 2.
Qual è la relazione tra PA DSS e PCI DSS?
Il Standard di sicurezza dei dati dell'applicazione di pagamento (PA DSS) è un set di requisiti conformi a PCI DSS. Sostituisce le procedure consigliate per l'applicazione di pagamento visa e consolida i requisiti di conformità degli altri emittenti di carte principali. Pa DSS consente agli editori di software di sviluppare applicazioni che archivino, elaborano o trasmettono i dati di pagamento dei titolari di carte come parte di un processo di autorizzazione o regolamento della carta. I venditori al dettaglio devono usare applicazioni certificate PA DSS per la conformità allo standard PCI DSS. Pa DSS non si applica a Azure.
Cosa si intende per acquirente? Azure usa un acquirente?
Un acquirente è una banca o un altro istituto finanziario che elabora le transazioni con carta di pagamento. Azure non offre l'elaborazione della carta di pagamento come servizio e quindi non usa un acquirente.
A quali organizzazioni ed esercenti si applica PCI DSS?
PCI DSS si applica a qualsiasi azienda, a prescindere dalle dimensioni o dal numero di transazioni elaborate, che accetta, trasmette o archivia i dati dei titolari di carte. Ciò significa che se un cliente effettua un pagamento all'azienda usando una carta di credito o debito, si applicano i requisiti PCI DSS. Le aziende vengono valutate rispetto ai quattro livelli disponibili in base al volume di transazioni totale elaborate in un periodo di 12 mesi. Il livello 1 è per le aziende che elaborano oltre 6 milioni di transazioni all'anno, il livello 2 da 1 milione a 6 milioni, il livello 3 da 20.000 a 1 milione e il livello 4 fino a 20.000 transazioni.
Cosa includono OneDrive for Business e SharePoint Online?
Attualmente, solo i file e i documenti caricati in OneDrive for Business e SharePoint Online sono conformi a PCI DSS.
Usare Microsoft Purview Compliance Manager per valutare il rischio
Microsoft Purview Compliance Manager è una funzionalità del portale di Microsoft Purview che consente di comprendere il comportamento di conformità dell'organizzazione e di intraprendere azioni per ridurre i rischi. Compliance Manager offre un modello premium per creare una valutazione per questa normativa. Individuare il modello nella pagina modelli di valutazioni in Compliance Manager. Informazioni su come creare valutazioni in Compliance Manager.