Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Visão geral do PCI DSS
A Standard de Segurança de Dados (DSS) da Indústria de Cartões de Pagamento (PCI) é uma norma global de segurança de informações concebida para evitar fraudes através de um maior controlo dos dados de card de crédito. Organizações de todas as dimensões devem seguir as normas PCI DSS se aceitarem cartões de pagamento das cinco principais marcas de card de crédito: Visa, MasterCard, American Express, Discover e o Japan Credit Bureau (JCB). A conformidade com o PCI DSS é obrigatória para toda empresa que armazene, processe ou transmita dados de pagamento e do titular do cartão.
Microsoft e PCI DSS
A Microsoft completou uma avaliação anual de PCI DSS por um avaliador qualificado de segurança (Qualified Security Assessor - QSA). Os auditores analisaram os ambientes do Microsoft Azure, Microsoft OneDrive for Business, Microsoft Office SharePoint Online e Microsoft Azure Communication Service. Esta revisão incluiu a validação da infraestrutura, desenvolvimento, operações, gestão, suporte e serviços no âmbito. O PCI DSS especifica quatro níveis de conformidade de acordo com o volume de transações. O Azure, o OneDrive for Business, o SharePoint Online e o Azure Communication Service são certificados como conformes na versão PCI DSS 4.0.1 no Nível 1 do Fornecedor de Serviços (o maior volume de transações, mais de 6 milhões por ano).
A avaliação resulta em um Certificado de Conformidade (Attestation of Compliance - AoC), que está disponível para clientes e um Relatório sobre Conformidade (Report on Compliance - RoC) emitidos pelo QSA. O período de vigência da conformidade tem início no momento da aprovação na auditoria e recebimento do AoC do avaliador e termina um ano após a data de assinatura do AoC.
Os clientes que pretendam desenvolver um ambiente de marcador de cartão ou card serviço de processamento podem utilizar estas validações em muitas das partes subjacentes, reduzindo o esforço e os custos associados de obter a sua própria certificação PCI DSS.
É importante compreender que a conformidade do PCI DSS status para o Azure, OneDrive for Business, SharePoint Online e Azure Communication Service não se traduz automaticamente na certificação PCI DSS para os serviços que os clientes criam ou alojam nestas plataformas. Os clientes são responsáveis por garantir sua conformidade com os requisitos do PCI DSS.
Plataformas e serviços de nuvem da Microsoft no escopo
- Azure e Azure Governamental
- Intune
- Microsoft Defender for Cloud Apps
- Microsoft Defender para Ponto de Extremidade
- Microsoft Graph
- Office 365
- OneDrive for Business, SharePoint Online e Azure Communication Service
- Serviço de nuvem do PowerApps como um serviço autônomo ou incluído em um plano ou pacote com a marca Office 365 ou Dynamics 365
- Power Automate (como um serviço autônomo ou incluído em um plano ou pacote com a marca Office 365 ou Dynamics 365)
- Serviço de nuvem do Power BI como um serviço autônomo ou incluído em um plano ou pacote com a marca Office 365
Azure, Dynamics 365 e PCI DSS
Para obter mais informações sobre o Azure, o Dynamics 365 e outros serviços online, consulte a Oferta do Azure PCI DSS.
Office 365 e PCI DSS
Ambientes do Office 365
O Microsoft Office 365 é uma plataforma em nuvem de hiperescala de vários locatários e uma experiência integrada de aplicativos e serviços disponíveis para clientes em várias regiões no mundo todo. A maioria dos serviços do Office 365 permite que os clientes especifiquem a região onde os dados do cliente estão localizados. A Microsoft pode replicar dados do cliente para outras regiões dentro da mesma área geográfica (por exemplo, os Estados Unidos) para resiliência de dados, mas a Microsoft não replicará dados do cliente fora da área geográfica escolhida.
Essa seção aborda os seguintes ambientes do Office 365:
- Software cliente (Cliente): software cliente comercial em execução em dispositivos do cliente.
- Office 365 (Comercial): o serviço público comercial em nuvem do Office 365 disponível globalmente.
- Nuvem da Comunidade do Office 365 Government (GCC): o serviço em nuvem do Office 365 GCC está disponível para governos federais, estaduais, locais e tribais dos Estados Unidos, assim como prestadores de serviços que armazenam ou processam dados em nome do governo dos EUA.
- Nuvem da Comunidade do Office 365 Government – Alto (GCC High): o serviço em nuvem do Office 365 GCC High foi projetado de acordo com as Diretrizes de Segurança de Nível 4 do Departamento de Defesa (DoD) e suporta informações federais e de defesa rigorosamente regulamentadas. Esse ambiente é usado por agências federais, pela Base Industrial de Defesa (DIBs), e por empreiteiras governamentais.
- Office 365 DoD (DoD): o serviço de nuvem do Office 365 DoD foi projetado de acordo com as Diretrizes de Segurança de Nível 5 das Exigências do DoD e apóia os rígidos regulamentos federais e de defesa. Esse ambiente se destina ao uso exclusivo do Departamento de Defesa dos EUA.
Use esta seção para ajudar a cumprir suas obrigações de conformidade em setores regulamentados e mercados globais. Para descobrir quais serviços estão disponíveis em quais regiões, consulte Informações de disponibilidade internacional e o artigo Onde os dados do seu cliente do Microsoft 365 são armazenados. Para obter mais informações sobre o ambiente de nuvem do Office 365 Government, consulte o artigo Nuvem do Office 365 Government.
Sua organização é totalmente responsável por garantir o cumprimento de todas as leis e regulamentos aplicáveis. As informações fornecidas nesta seção não constituem aconselhamento jurídico e você deve consultar os consultores jurídicos para quaisquer questões relativas à conformidade regulamentar da sua organização.
Aplicabilidade do Office 365 e serviços no escopo
Use a seguinte tabela para determinar a aplicabilidade para seus serviços e assinatura do Office 365:
| Aplicabilidade | Serviços no escopo |
|---|---|
| Comercial | Serviço de Comunicação do Azure, OneDrive for Business, SharePoint Online |
Auditoria, relatórios e certificados do Office 365
Perguntas frequentes
Porque é que a página de rosto do Atestado de Conformidade (AoC) diz "Agosto de 2024"?
A data de agosto de 2024 na página de rosto é quando o modelo aoC foi publicado. Consulte a Secção 2 para obter as datas da avaliação.
Qual é a relação entre PA DSS e PCI DSS?
O Padrão de Segurança de Dados em Aplicativos de Pagamento (Payment Application Data Security Standard - PA DSS) é um conjunto de requisitos que cumpre o PCI DSS e substitui as Práticas Recomendadas para Aplicativos de Pagamento da Visa (Visa’s Payment Application Best Practices) e consolida os requisitos de conformidade dos outros emissores de cartões principais. O PA DSS ajuda os fabricantes de software a desenvolver aplicações que armazenam, processam ou transmitem dados de pagamento de titulares de cartões como parte de um processo de autorização ou liquidação card. Os varejistas precisam usar aplicativos com a certificação PA DSS para obter efetivamente a conformidade com o PCI DSS. O PA DSS não se aplica ao Azure.
O que é um adquirente? O Azure usa um?
Os adquirentes são bancos ou outras entidades que processam transações de cartões de pagamento. O Azure não oferece pagamento card processamento como um serviço e, portanto, não utiliza um adquirente.
A quais organizações e comerciantes o PCI DSS se aplica?
O PCI DSS se aplica a qualquer empresa, independentemente do tamanho ou do número de transações que aceite, transmita ou armazene dados de titulares de cartões. Ou seja, se qualquer cliente pagar uma empresa usando um cartão de crédito ou débito, os requisitos do PCI DSS se aplicarão. As empresas são validadas em um dos quatro níveis de acordo com o volume total de transações durante um período de 12 meses. O Level 1 engloba empresas que processam mais de 6 milhões de transações por ano; o Level 2, de 1 milhão a 6 milhões de transações; o Level 3, de 20.000 a 1 milhão de transações e o Level 4, para menos de 20.000 transações.
O que está no escopo do OneDrive for Business e do Microsoft Office SharePoint Online?
Atualmente, apenas os ficheiros e documentos carregados para OneDrive for Business e o SharePoint Online estão em conformidade com o PCI DSS.
Utilizar o Gestor de Conformidade do Microsoft Purview para avaliar o risco
O Gestor de Conformidade do Microsoft Purview é uma funcionalidade no portal do Microsoft Purview que o ajuda a compreender a postura de conformidade da sua organização e a tomar medidas para ajudar a reduzir os riscos. O Gerenciador de Conformidade oferece um modelo premium para criar uma avaliação para essa regulamentação. Encontre o modelo na página modelos de avaliação no Gerenciador de Conformidade. Saiba como criar avaliações no Compliance Manager.